L'authentification Security Assertion Markup Language (SAML) 2.0 propose la prise en charge de l'authentification unique, ainsi que l'authentification fédérée. Workspace ONE UEM ne reçoit jamais d'identifiants professionnels.

Lorsqu'une organisation dispose d'un serveur fournisseur d'identité SAML, utilisez l'intégration SAML 2.0. Assurez-vous que le fournisseur d'identité renvoie l'attribut objectGUID dans la réponse SAML.

Avantages

  • Propose des fonctionnalités d'authentification unique.
  • Authentification avec les identifiants d'entreprise existants.
  • Workspace ONE UEM ne reçoit jamais les identifiants d'entreprise en texte brut.
  • Peut être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur d'annuaire SAML.
  • Les environnements à domaines multiples sont pris en charge uniquement pour les administrateurs.

Inconvénients

  • Nécessite une infrastructure professionnelle de fournisseurs d'identités SAML.
  • Ne peut pas être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur basique SAML.
  • Les applications SaaS ne sont pas disponibles pour les administrateurs SAML qui s'authentifient à l'aide de Workspace ONE Access. Voir ci-dessous pour plus de détails.

Ce diagramme montre le serveur SaaS Workspace ONE recevant des entrées d'un terminal via Internet et accédant au fournisseur d'identité SAML via un pare-feu.

  1. Le terminal se connecte à Workspace ONE UEM pour l'enrôlement. Le serveur UEM redirige alors le terminal vers le fournisseur d'identité spécifié par le client.
  2. La terminal se connecte en toute sécurité via HTTPS au fournisseur d'identités fourni et l'utilisateur saisit ses identifiants.
    • Les identifiants sont chiffrés lors du transfert entre le terminal et le point de terminaison SAML.
  3. Les identifiants sont validés auprès des services d'annuaire.
  4. Le fournisseur d'identité renvoie une réponse SAML signée avec le nom d'utilisateur authentifié.
  5. Le terminal répond au serveur Workspace ONE UEM et présente le message SAML signé. L'utilisateur est authentifié.

    Pour plus d'informations, reportez-vous au document VMware AirWatch SAML Integration Guide.

Fonctionnalité de l'application SaaS pour les administrateurs SAML

Les applications SaaS, ainsi que d'autres stratégies et fonctions Workspace ONE Access, ne sont pas disponibles si vous êtes un administrateur SAML qui s'authentifie à l'aide de Workspace ONE Access. Le message d'erreur suivant s'affiche lorsque vous accédez à la page Applications SaaS.

Vérifiez que votre compte administrateur existe à la fois dans les systèmes UEM et IDM, et que le domaine dans Workspace ONE UEM correspond exactement au domaine de ce compte dans VMware Identity Manager.

Pour restaurer l'accessibilité de l'application SaaS, vous devez vous connecter à Workspace ONE UEM à l'aide d'une authentification de base. Vous devez également activer Workspace ONE Access dans votre groupe organisationnel.