Avant l'enrôlement de terminaux, chaque utilisateur de terminal doit avoir un compte utilisateur authentique reconnu par Workspace ONE UEM powered by AirWatch. Le type d'authentification utilisateur que vous sélectionnez dépend des besoins de votre organisation.

Proxy d'authentification

Le proxy d'authentification fournit une intégration des services d'annuaire via le Cloud ou les réseaux internes renforcés. Dans ce modèle, le serveur Workspace ONE UEM communique avec un serveur Web public ou un serveur Exchange ActiveSync. Cette organisation permet d'authentifier les utilisateurs en fonction du contrôleur de domaine.

AVANTAGES

  • Offre une méthode sécurisée pour l'intégration du proxy avec AD/LDAP via le Cloud.
  • Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
  • Module léger qui n'exige qu'une configuration minimale.

INCONVÉNIENTS

  • Requiert un serveur Web public ou un serveur Exchange ActiveSync lié à un serveur AD/LDAP.
  • Uniquement réalisable pour certaines configurations d'architecture.
  • Solution beaucoup moins robuste que VMware Enterprise Systems Connector.
  • Ne peut pas être utilisé pour l'enrôlement direct de Workspace ONE.

Ce diagramme montre un serveur proxy inverse en tant qu'intermédiaire entre les services d'annuaire et le modèle SaaS Workspace ONE.

  1. Le terminal se connecte à Workspace ONE UEM pour s'enrôler. L'utilisateur saisit son nom d'utilisateur et son mot de passe des services d'annuaire.
    • Le nom d'utilisateur et le mot de passe sont chiffrés lors du transfert.
    • Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.
  2. Workspace ONE UEM relaie le nom d'utilisateur et le mot de passe vers un point de terminaison Proxy d'authentification configuré qui nécessite une authentification (par exemple, authentification basique).
  3. Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.
  4. S'ils sont valides, le serveur Workspace ONE UEM autorise le terminal à terminer son enrôlement.

Authentification Active Directory avec LDAP et VMware Enterprise Systems Connector

L'authentification Active Directory avec LDAP et VMware Enterprise Systems Connector offre les mêmes fonctionnalités qu'une authentification Active Directory et LDAP traditionnelle. Ce modèle fonctionne via le Cloud pour les déploiements SaaS.

AVANTAGES

  • Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
  • Aucune modification du pare-feu n'est requise, puisque la communication s'effectue depuis VMware Enterprise Systems Connector au sein de votre réseau.
  • La transmission des identifiants est chiffrée et sécurisée.
  • Propose aussi une configuration sécurisée pour d'autres infrastructures comme le BES, Microsoft ADCS ou SCEP et les serveurs SMTP.
  • Peut être utilisé pour l'enrôlement direct de Workspace ONE™.

INCONVÉNIENTS

  • VMware Enterprise Systems Connector doit être installé derrière le pare-feu ou dans une zone DMZ.
  • Nécessite une configuration supplémentaire.

Modèle de déploiement SaaS

Ce diagramme montre le dispositif VMware Cloud Connector servant Workspace ONE dans le Cloud via le pare-feu tout en accédant aux ressources du réseau interne.

Modèle de déploiement sur site

Ce diagramme montre un terminal accédant aux services des terminaux dans une zone DMZ qui est servie via un pare-feu par des ressources du réseau interne.

Authentification SAML 2.0

L'authentification Security Assertion Markup Language (SAML) 2.0 propose la prise en charge de l'authentification unique, ainsi que l'authentification fédérée. Workspace ONE UEM ne reçoit jamais d'identifiants professionnels.

Lorsqu'une organisation dispose d'un serveur fournisseur d'identité SAML, utilisez l'intégration SAML 2.0. Assurez-vous que le fournisseur d'identité renvoie l'attribut objectGUID dans la réponse SAML.

AVANTAGES

  • Propose des fonctionnalités d'authentification unique.
  • Authentification avec les identifiants d'entreprise existants.
  • Workspace ONE UEM ne reçoit jamais les identifiants d'entreprise en texte brut.
  • Peut être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur d'annuaire SAML.
  • Les environnements à domaines multiples sont pris en charge uniquement pour les administrateurs.

INCONVÉNIENTS

  • Nécessite une infrastructure professionnelle de fournisseurs d'identités SAML.
  • Ne peut pas être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur basique SAML.

    Ce diagramme montre le serveur SaaS Workspace ONE recevant des entrées d'un terminal via Internet et accédant au fournisseur d'identité SAML via un pare-feu.

    1. Le terminal se connecte à Workspace ONE UEM pour l'enrôlement. Le serveur UEM redirige alors le terminal vers le fournisseur d'identité spécifié par le client.
    2. La terminal se connecte en toute sécurité via HTTPS au fournisseur d'identités fourni et l'utilisateur saisit ses identifiants.
      • Les identifiants sont chiffrés lors du transfert entre le terminal et le point de terminaison SAML.
    3. Les identifiants sont validés auprès des services d'annuaire.
    4. Le fournisseur d'identité renvoie une réponse SAML signée avec le nom d'utilisateur authentifié.
    5. Le terminal répond au serveur Workspace ONE UEM et présente le message SAML signé. L'utilisateur est authentifié.

    Pour plus d'informations, reportez-vous à la page Configurer les services d'annuaire manuellement et faites défiler vers le bas jusqu'à la section SAML.

  • Les applications SaaS ne sont pas disponibles pour les administrateurs SAML qui s'authentifient à l'aide de Workspace ONE Access.

Fonctionnalité de l'application SaaS pour les administrateurs SAML

Les applications SaaS, ainsi que d'autres stratégies et fonctions Workspace ONE Access, ne sont pas disponibles si vous êtes un administrateur SAML qui s'authentifie à l'aide de Workspace ONE Access. Le message d'erreur suivant s'affiche lorsque vous accédez à la page Applications SaaS.

Vérifiez que votre compte administrateur existe à la fois dans les systèmes UEM et IDM, et que le domaine dans Workspace ONE UEM correspond exactement au domaine de ce compte dans VMware Identity Manager.

Pour restaurer l'accessibilité de l'application SaaS, vous devez vous connecter à Workspace ONE UEM à l'aide d'une authentification de base. Vous devez également activer Workspace ONE Access dans votre groupe organisationnel.

Authentification basée sur les jetons

L'authentification basée sur les jetons est la méthode la plus simple pour qu'un utilisateur enrôle son terminal. Grâce à ce paramètre d'enrôlement, Workspace ONE UEM génère un jeton qui est placé dans l'URL d'enrôlement.

Pour l'authentification unique, l'utilisateur accède au lien depuis le terminal pour procéder à l'enrôlement, et le serveur Workspace ONE UEM mentionne le jeton fourni par l'utilisateur.

Pour plus de sécurité, définissez une période d'expiration (en heures) pour chaque jeton. Vous réduisez ainsi le risque qu'un autre utilisateur n'accède aux informations et fonctions disponibles sur ce terminal.

Vous pouvez aussi décider de mettre en place une authentification forte pour renforcer la vérification de l'identité de l'utilisateur final. Avec ce paramètre d'authentification, l'utilisateur doit saisir son nom d'utilisateur et son mot de passe en accédant au lien d'enrôlement grâce au jeton fourni.

AVANTAGES

  • Les utilisateurs enrôlent et authentifient leur terminal rapidement et facilement.
  • Sécurisez l'utilisation des jetons en définissant une expiration.
  • L'utilisateur n'a pas besoin d'identifiants pour l'authentification par jeton.

INCONVÉNIENTS

  • Requiert une intégration Simple Mail Transfer Protocol (SMTP) ou Short Message Service (SMS) pour l'envoi de jetons au terminal.

Ce diagramme montre l'utilisateur admin fournissant un jeton à usage unique à un utilisateur de l'enrôlement.

  1. L'administrateur autorise l'inscription du terminal de l'utilisateur.
  2. Le jeton à usage unique généré est envoyé à l'utilisateur depuis Workspace ONE UEM.
  3. L'utilisateur reçoit un jeton et navigue vers l'URL d'enrôlement. L'utilisateur doit saisir le jeton ou peut éventuellement utiliser l'authentification à deux facteurs.
  4. Processus d'enrôlement des terminaux
  5. Workspace ONE UEM signale le jeton comme étant expiré.
Note : le protocole SMTP est inclus dans les déploiements SaaS.

Activer les types de sécurité pour l'enrôlement

Une fois que Workspace ONE UEM est intégré à un type de sécurité utilisateur sélectionné, et avant l'enrôlement, activez chaque mode d'authentification que vous prévoyez d'autoriser.

  1. Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement sur l'onglet Authentification.
  2. Cochez les cases appropriées pour le paramètre de Mode d'authentication.
    Paramètre Description
    Ajouter un domaine de messagerie Ce bouton est utilisé pour configurer le service de détection automatique afin d'inscrire des domaines de messagerie à votre environnement.
    Mode(s) d'authentification

    Sélectionnez les types d'authentification autorisés, parmi lesquels :

    • Basique – Les comptes utilisateur basiques (ceux que vous créez manuellement dans UEM Console) peuvent s'enrôler.
    • Annuaire – Les comptes utilisateur d'annuaire (ceux que vous avez importés ou autorisés à l'aide de l'intégration des services d'annuaire) peuvent s'enrôler. L'enrôlement direct de Workspace ONE prend en charge les utilisateurs d'annuaire avec ou sans SAML.
    • Proxy d'authentification – Permet aux utilisateurs de s'enrôler à l'aide de comptes utilisateur Proxy d'authentification. Les utilisateurs s'authentifient auprès d'un point d'accès web.
      • Renseignez les champs URL de proxy d'authentification, Sauvegarde de l'URL de proxy d'authentification et Type de méthode d'authentification (faites votre choix entre HTTP de base et Exchange ActiveSync).
    Source d'authentification pour Intelligent Hub

    Sélectionnez le système que le service Intelligent Hub utilise comme source pour les utilisateurs et les stratégies d'authentification.

    • Workspace ONE UEM – Sélectionnez ce paramètre si vous voulez que les services du Hub utilisent Workspace ONE UEM en tant que source pour les utilisateurs et les stratégies d'authentification.

      Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire des services du Hub.

    • Workspace ONE Access – Sélectionnez ce paramètre si vous souhaitez que les services du Hub utilisent Workspace ONE Access en tant que source pour les utilisateurs et les stratégies d'authentification.

      Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire de Workspace ONE Access.

    Pour plus d'informations sur Workspace ONE Intelligent Hub, reportez-vous à la documentation sur VMware Workspace ONE Hub Services.

    Pour plus d'informations sur Workspace ONE Access, reportez-vous à la documentation sur VMware Workspace ONE Access.

    Mode d'enrôlement des terminaux

    Sélectionnez le mode d'enrôlement des terminaux de votre préférence, notamment les options suivantes :

    • Enrôlement ouvert – Permet essentiellement à toute personne répondant aux autres critères d'enrôlement (mode d'authentification, restrictions, etc.) de s'enrôler. L'enrôlement direct de Workspace ONE prend en charge l'enrôlement ouvert.
    • Terminaux enregistrés uniquement – Autorise uniquement les utilisateurs à s'enrôler à l'aide de terminaux que vous ou eux avez inscrits. L'inscription des terminaux correspond au processus d'ajout de terminaux professionnels dans UEM Console avant leur enrôlement. L'enrôlement direct de Workspace ONE prend en charge l'autorisation d'enrôlement de terminaux enregistrés seulement, mais uniquement si les jetons d'enregistrement ne sont pas requis.
    Exiger un jeton d'enregistrement

    Visible uniquement lorsque l'option Terminaux enregistrés uniquement est sélectionnée.

    Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander qu'un jeton d'enregistrement soit utilisé pour l'enrôlement. Cette option offre davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autorisé à s'enrôler. Vous pouvez envoyer un e-mail ou un SMS et joindre le jeton d'enrôlement pour les utilisateurs disposant d'un compte Workspace ONE UEM.

    Exiger l'enrôlement par Intelligent Hub pour les terminaux iOS Cochez cette case pour exiger que les utilisateurs des terminaux iOS téléchargent et installent Workspace ONE Intelligent Hub avant de pouvoir s'enrôler. Si elle est décochée, l'enrôlement par le Web est disponible.
    Exiger l'enrôlement par Intelligent Hub pour les terminaux macOS Cochez cette case pour exiger que les utilisateurs des terminaux macOS téléchargent et installent Workspace ONE Intelligent Hub avant de pouvoir s'enrôler. Si elle est décochée, l'enrôlement par le Web est disponible.
  3. Cliquez sur Enregistrer.

Authentification utilisateur basique

L'authentification basique peut être utilisée pour identifier des utilisateurs par n'importe quelle architecture Workspace ONE UEM, mais cette méthode ne propose pas d'intégration aux comptes utilisateur d'entreprise existants.

AVANTAGES

  • Peut être utilisé pour n'importe quelle méthode de déploiement.
  • Ne nécessite aucune intégration technique.
  • Ne nécessite aucune infrastructure d'entreprise.

INCONVÉNIENTS

  • Ne peut pas être utilisé avec la détection automatique.
  • Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux identifiants professionnels existants.
  • Ne propose ni sécurité fédérée ni authentification unique.
  • Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.
  • Ne peut pas être utilisé pour l'enrôlement direct de Workspace ONE.

  1. L'utilisateur de la console se connecte sur Workspace ONE UEM SaaS en utilisant un compte local AirWatch pour s'authentifier (authentification basique).
    • Les identifiants sont chiffrés pendant le transfert.
    • (Par exemple, nom d'utilisateur : jdupont@air-watch.com, mot de passe : Abcd.)
  2. L'utilisateur enrôle son terminal en utilisant les identifiants du compte local Workspace ONE UEM (authentification basique).
    • Les identifiants sont chiffrés pendant le transfert.
    • (Par exemple, nom d'utilisateur : jdupont2, mot de passe : 2557.)

Authentification Active Directory avec LDAP

L'authentification Active Directory (AD) avec Lightweight Directory Access Protocol (LDAP) permet d'intégrer les comptes utilisateur et administrateur Workspace ONE UEM aux comptes d'entreprise existants.

AVANTAGES

  • Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
  • Méthode sécurisée d'intégration à LDAP/AD.
  • Pratique d'intégration standard.
  • Peut être utilisé pour l'enrôlement direct de Workspace ONE.

INCONVÉNIENTS

  • Nécessite un serveur AD ou LDAP.

Ce diagramme montre un terminal accédant à UEM Console via Internet en passant par un pare-feu. UEM Console accède aux services d'annuaire.

  1. Le terminal se connecte à Workspace ONE UEM pour s'enrôler. L'utilisateur saisit son nom d'utilisateur et son mot de passe des services d'annuaire.
    • Le nom d'utilisateur et le mot de passe sont chiffrés lors du transfert.
    • Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.
  2. Workspace ONE UEM adresse les requêtes aux services d'annuaire du client via le protocole sécurisé LDAP à l'aide d'un compte de service pour l'authentification.
  3. Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.
  4. S'ils sont valides, le serveur Workspace ONE UEM autorise le terminal à terminer son enrôlement.