Cette rubrique traite des questions fréquemment posées sur la fédération d'entreprise de domaines d'entreprise avec VMware Cloud services.

Q : Puis-je toujours accéder à my.vmware.com avec mon compte ID VMware (My VMware) après la configuration de la fédération d'entreprise pour mon domaine d'entreprise ?

R : Oui. Si votre ou vos domaines sont fédérés, vous pouvez accéder à VMware Cloud services uniquement à l'aide de votre compte d'entreprise, mais vous pouvez continuer à accéder à my.vmware.com avec votre compte My VMware.

Q : Dois-je toujours créer un compte avec VMware si mon compte d'entreprise est fédéré ?

R : En tant qu'utilisateur d'un compte fédéré, vous devez créer un compte My VMware uniquement si vous souhaitez déposer un ticket de support ou effectuer des opérations liées à la facturation et à l'abonnement.

Q : Puis-je continuer à utiliser mon compte ID VMware pour me connecter au portail VMware Cloud Services après la configuration de la fédération pour mon entreprise ?

R : Non. Une fois la fédération d'entreprise définie avec votre fournisseur d'identité d'entreprise, vous devez utiliser vos informations d'identification d'entreprise pour toutes les connexions suivantes à VMware Cloud services.

Q : La liaison de mon compte ID VMware à mon compte d'entreprise entraîne-t-elle des modifications à mon compte d'entreprise ?

R : Votre compte d'entreprise n'est pas modifié suite à sa liaison à votre compte My VMware. La liaison crée un mappage interne qui ne modifie aucun attribut de votre compte d'entreprise.

Q : Puis-je appliquer l'authentification multifacteur (MFA) pour accéder à VMware Cloud Services après la configuration de la fédération d'entreprise ?

A : Cela dépend de votre configuration d'entreprise. Si le fournisseur d'identité utilisé par votre entreprise est configuré pour effectuer une authentification multifacteur, la réponse est oui. Vous serez invité à effectuer une authentification multifacteur pour accéder à VMware Cloud services lors de la connexion.

Q : La fédération d'entreprise est-elle liée à une organisation ou un service particulier dans VMware Cloud Services ?

R : Non. La fédération d'entreprise est mise en œuvre à l'échelle du domaine. Tout utilisateur disposant de domaines enregistrés et vérifiés peut accéder à n'importe organisation VMware Cloud services et aux services pour lesquels cette organisation est abonnée.

En outre, si vous vous abonnez à des services cloud supplémentaires auprès de VMware, vous continuez à accéder aux nouveaux services avec vos informations d'identification d'entreprise.

Q : Puis-je annuler la fédération d'entreprise après son activation ?

R : Oui. Pour annuler la configuration de la fédération pour vos domaines, déposez un ticket de support dans la Cloud Services Console. Si le support VMware annule la configuration de la fédération d'entreprise, tous les droits d'accès, utilisateurs et groupes qui ont été ajoutés après la configuration de la fédération peuvent être perdus.

Q : Pourquoi les services de mon organisation sont-ils invisibles après la connexion à mon compte d'entreprise ?

Avant la configuration de la fédération d'entreprise pour votre entreprise, vous utilisiez votre compte My VMware pour vous authentifier auprès de VMware Cloud services. Une fois la fédération activée, vous utilisez votre compte d'entreprise pour vous connecter à VMware Cloud services et vous vous authentifiez directement auprès de votre fournisseur d'identité d'entreprise. Pour accéder aux services que vous utilisiez précédemment en vous connectant à votre compte My VMware, vous devez lier votre compte d'entreprise à votre ID VMware. Ce n'est que lorsque les deux comptes sont liés que les services deviennent visibles et accessibles en fonction de l'accès aux rôles d'organisation et de service dont vous disposez dans l'organisation.

Q : Pourquoi puis-je voir deux comptes sous l'onglet Identité et accès une fois la fédération d'entreprise activée ?

Vous aviez initialement accès à VMware Cloud services à l'aide de votre compte My VMware. Supposons que vous avez utilisé joe@acme.com pour créer un compte My VMware et vous connecter à VMware Cloud services à l'aide de ce compte. Après la fédération, vous accédez à VMware Cloud services en utilisant votre compte fédéré et liez votre compte ID My VMware. L'adresse joe@acme.com initiale est grisée et marquée d'une étiquette « ID VMware » pour indiquer le compte My VMware que vous n'utilisez plus, mais il reste visible en tant que « compte fantôme ».

Vous ne pouvez pas modifier des comptes fantômes en termes d'attributions de rôles d'organisation ou de service. Il est préférable de conserver ces entrées pendant au moins quelques mois après la configuration de la fédération, au cas où vous décidiez d'annuler la configuration de la fédération d'entreprise.

Q : Quel type de fournisseurs d'identité tiers sont pris en charge ?

R : Tout fournisseur d'identité tiers compatible SAML 2.0 est pris en charge pour la fédération d'entreprise avec VMware Cloud services.

Q : Je n'ai pas de fournisseur d'identité tiers compatible SAML 2.0 et je souhaite m'authentifier directement auprès de mon annuaire Active Directory (AD) d'entreprise. Est-ce pris en charge ?

Oui. Vous pouvez utiliser les méthode d'authentification intégrées du connecteur Workspace ONE Access sur site pour authentifier les utilisateurs directement auprès de votre annuaire AD d'entreprise.

Q : Puis-je utiliser une machine virtuelle Windows créée à l'aide de la technologie VMware pour installer le connecteur Workspace ONE Access sur site ?

R : Oui. Vous pouvez utiliser les technologies VMware pour créer une machine virtuelle Windows qui peut être utilisée pour installer le connecteur Windows Workspace ONE Access.

Q : Workspace ONE Access Connector doit-il être installé sur site ?

R : Le connecteur Windows Workspace ONE Access est un composant sur site qui est généralement installé dans l'intranet ou la zone verte d'une entreprise. Cependant, les clients peuvent installer le connecteur sur un cloud, à condition qu'il puisse communiquer avec l'annuaire Active Directory de l'entreprise sur le protocole LDAP/LDAPS, ports 389, 636.

Mon entreprise a déjà un locataire Workspace ONE Access configuré dans le cadre d'autres produits achetés via VMware. Puis-je utiliser l'instance de locataire existante au lieu d'en créer une pour la configuration de la fédération en libre-service ?

Non, vous ne pouvez pas utiliser les locataires Workspace ONE Access existants (anciennement appelés VMware Identity Manager) dont vous disposez. Un locataire Workspace ONE Access sera créé dans le cadre de la configuration de la fédération en libre-service. Il sera exclusivement utilisé pour VMware Cloud Services. L'utilisation du nouveau locataire Workspace ONE Access pour accéder à VMware Cloud Services n'entraîne aucun coût et n'impose pas l'attribution d'une licence.

Il en va de même pour l'utilisation d'un connecteur Workspace ONE Access existant. La configuration de la fédération en nécessite un nouveau.

Mon entreprise dispose déjà d'un connecteur Workspace ONE Access sur site. Puis-je utiliser le connecteur existant au lieu d'en créer un pour la configuration de la fédération en libre-service ?

Non. La configuration de la fédération en libre-service nécessite que votre entreprise installe et configure un connecteur Workspace ONE Access dédié qui sera utilisé uniquement pour la fédération avec VMware Cloud Services.

Il en va de même pour l'utilisation d'un locataire Workspace ONE Access existant. La configuration de la fédération en nécessite un nouveau.

Q : Dois-je ouvrir des ports de pare-feu pour Workspace ONE Access Connector afin d'établir une relation de confiance avec l'instance du service Workspace ONE Access ?

R : Le connecteur Workspace ONE Access communique sur le canal HTTPS/443 sortant vers l'instance du service Workspace ONE Access qui agit en tant que broker d'identité. Si le pare-feu bloque l'accès à des domaines externes, certains domaines VMware doivent se voir attribuer l'accès.

Q : Quelles données sont synchronisées par le connecteur Workspace ONE Access sur site ?

R : Le connecteur Workspace ONE Access sur site est utilisé pour la synchronisation des utilisateurs et des groupes dans l'instance du service Workspace ONE Access (broker d'identité) au fournisseur d'identité du client. Seuls les noms uniques d'utilisateur et de groupe configurés lors de la configuration en libre-service sont synchronisés, pas l'intégralité de votre annuaire AD. Seul un ensemble d'attributs requis est synchronisé : prénom, nom de famille, e-mail, nom d'utilisateur et domaine. Si votre entreprise utilise le nom principal de l'utilisateur (UPN) pour authentifier les utilisateurs, cet attribut doit également avoir une valeur pour la synchronisation.
Important : Les mots de passe utilisateur ne sont jamais synchronisés.

Q : Dans quelles régions l'instance du service Workspace ONE Access (broker d'identité) est-elle hébergée ?

R : L'instance du service Workspace ONE Access est hébergée sur AWS dans la région des États-Unis.

Q : Des utilisateurs de différents domaines que je possède (par exemple, acme.com, ext.acme.com, company.com) peuvent-ils s'authentifier auprès de mon fournisseur d'identité ?

R : Oui. Si vous pouvez vérifier tous les domaines publics que vous possédez, les utilisateurs de ces domaines peuvent s'authentifier auprès de VMware Cloud services avec leurs informations d'identification d'entreprise. Les utilisateurs de tous ces domaines doivent d'abord être synchronisés dans l'instance du service Workspace ONE Access (broker d'identité).

Q : Puis-je ajouter des services à l'organisation de la fédération d'entreprise ?

R : Non. Vous ne pouvez pas et ne devez pas ajouter de services à l'organisation de la fédération d'entreprise. Vous accédez à l'organisation de la fédération d'entreprise dans le seul but d'effectuer des opérations qui ont un impact sur tous les services et toutes les organisations d'un domaine donné.

Existe-t-il un compte bris de glace que je peux utiliser pour accéder à VMware Cloud Services si je ne peux pas me connecter avec mes informations d'identification d'entreprise ?

Vous pouvez ajouter un compte My VMware à votre organisation avec un domaine qui n'est pas fédéré. Par exemple, si le domaine acme.com est fédéré, n'importe quel compte My VMware disposant d'un domaine non-acme.com peut être utilisé pour se connecter à VMware Cloud services. L'utilisateur disposant du compte My VMware doit être ajouté à l'organisation en tant que propriétaire de l'organisation ou membre de l'organisation.

Les attributs, synchronisés à partir de mon annuaire Active Directory d'entreprise, sont-ils chiffrés lorsqu'ils sont conservés sur une instance du service Workspace ONE Access et sur VMware Cloud Services on AWS ?

Non. Les attributs utilisateur prénom, nom de famille, e-mail, nom d'utilisateur, domaine et UPN ne sont pas chiffrés lorsqu'ils sont conservés par VMware Cloud services On AWS.

Quel est l'impact sur les utilisateurs accédant à Cloud Services Console si le serveur de connecteur est hors service ? Puis-je configurer le connecteur en mode HA ?

Si votre entreprise utilise l'authentification de fournisseur d'identité tiers et non les méthodes d'authentification basées sur connecteur, toutes les authentifications des utilisateurs sont effectuées directement auprès de votre fournisseur d'identité. Dans ce cas, si le connecteur est en panne, la connexion de l'utilisateur ne sera pas affectée pour les utilisateurs déjà synchronisés. Étant donné que le connecteur est utilisé uniquement pour la synchronisation des utilisateurs et des groupes, le connecteur en mode HA peut ne pas être nécessaire.