VMware Identity Manager prend en charge plusieurs méthodes d'authentification. Vous pouvez configurer une seule méthode d'authentification et vous pouvez configurer une authentification à deux facteurs par enchaînement. Vous pouvez également utiliser une méthode d'authentification externe pour les protocoles RADIUS et SAML.
L'instance de fournisseur d'identité que vous utilisez avec le service VMware Identity Manager crée une autorité fédératrice intégrée au réseau qui communique avec le service à l'aide d'assertions SAML 2.0.
Lors du déploiement initial du service VMware Identity Manager, vous installez VMware Identity Manager Connector pour Windows comme fournisseur d'identité initial pour le service. Le connecteur utilise votre infrastructure Active Directory existante pour l'authentification et la gestion des utilisateurs.
Les méthodes d'authentification suivantes sont prises en charge. Vous configurez ces méthodes d'authentification à partir de la console VMware Identity Manager.
| Méthodes d'authentification | Description |
|---|---|
| Mot de passe (déploiement sur site) |
Sans configuration supplémentaire après la configuration d'Active Directory, VMware Identity Manager prend en charge l'authentification par mot de passe d'Active Directory. Cette méthode authentifie les utilisateurs avec Active Directory. |
| Kerberos pour postes de travail |
L'authentification Kerberos fournit aux utilisateurs de domaine un accès à authentification unique à leur portail d'applications. Les utilisateurs n'ont pas besoin de se connecter de nouveau à leur portail d'applications une fois qu'ils sont connectés au réseau. Deux méthodes d'authentification Kerberos peuvent être configurées : l'authentification Kerberos pour postes de travail avec l'authentification Windows intégrée et l'authentification Kerberos intégrée pour périphériques mobiles iOS 9 lorsqu'une relation de confiance est établie entre Active Directory et le service Workspace ONE UEM. |
| Certificat (déploiement sur site) |
L'authentification par certificat peut être configurée afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce que possède l'utilisateur et sur ce que la personne sait. Un certificat X.509 utilise la norme d'infrastructure de clé publique pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. |
| RSA SecurID (déploiement sur site) | Lorsque l'authentification RSA SecurID est configurée, VMware Identity Manager est configuré comme agent d'authentification sur le serveur RSA SecurID. L'authentification RSA SecurID nécessite l'utilisation d'un système d'authentification à jeton par les utilisateurs. RSA SecurID est une méthode d'authentification pour les utilisateurs qui accèdent à VMware Identity Manager depuis l'extérieur du réseau de l'entreprise. |
| RADIUS (déploiement sur site) |
L'authentification RADIUS fournit des options d'authentification à deux facteurs. Vous configurez le serveur RADIUS qui est accessible par le service VMware Identity Manager. Lorsque des utilisateurs se connectent avec leur nom d'utilisateur et leur code secret, une demande d'accès est soumise au serveur RADIUS pour authentification. |
| RSA Adaptive Authentication (déploiement sur site) |
L'authentification RSA offre une authentification multifacteur plus forte que l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Lorsque RSA Adaptive Authentication est activé, les indicateurs de risque spécifiés dans la stratégie de risque sont configurés dans l'application RSA Policy Management. La configuration du service VMware Identity Manager d'Adaptive Authentication est utilisée pour déterminer les invites d'authentification requises. |
| Mobile SSO (pour iOS) | L'authentification mobile SSO pour iOS est utilisée pour l'authentification unique pour les périphériques iOS gérés par Workspace ONE UEM. L'authentification Mobile SSO (pour iOS) utilise un centre de distribution de clés (KDC) qui fait partie du service VMware Identity Manager. Vous devez initier le service KDC dans le service VMware Identity Manager avant de pouvoir activer cette méthode d'authentification. |
| Mobile SSO (pour Android) | L'authentification mobile SSO pour Android est utilisée pour l'authentification unique pour les périphériques Android gérés par Workspace ONE UEM. Un service proxy est configuré entre le service VMware Identity Manager et Workspace ONE UEM pour récupérer le certificat à partir de Workspace ONE UEM pour l'authentification. |
| Mot de passe (AirWatch Connector) | AirWatch Cloud Connector peut être intégré au service VMware Identity Manager pour l'authentification par mot de passe utilisateur. Vous configurez le service VMware Identity Manager pour synchroniser des utilisateurs à partir de l'annuaire Workspace ONE UEM. |
| VMware Verify |
VMware Verify peut être utilisé comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise. La première méthode d'authentification consiste à fournir un nom d'utilisateur et un mot de passe, la seconde à fournir une approbation de demande ou un code VMware Verify. VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sont stockées dans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité. |
| Mot de passe (répertoire local) | La méthode Mot de passe (répertoire local) est activée par défaut pour le fournisseur d'identité Système-IDP utilisé avec le répertoire système. Elle s'applique à la stratégie d'accès par défaut. |
Une fois les méthodes d'authentification configurées, vous créez des règles de stratégie d'accès qui spécifient les méthodes d'authentification à utiliser par type de périphérique. Les utilisateurs sont authentifiés en fonction des méthodes d'authentification, des règles de stratégie d'accès par défaut, des plages réseau et de l'instance du fournisseur d'identité que vous configurez. Voir Gestion des méthodes d'authentification à appliquer aux utilisateurs.
