Types d'authentification utilisateur

Avant de pouvoir enrôler des terminaux, chaque utilisateur de terminal doit disposer d'un compte utilisateur authentique reconnu par Workspace ONE UEM. Le type d'authentification utilisateur que vous sélectionnez dépend des besoins de votre organisation.

Proxy d'authentification

Le proxy d'authentification fournit une intégration des services d'annuaire via le Cloud ou les réseaux internes renforcés. Dans ce modèle, le serveur Workspace ONE UEM communique avec un serveur Web public ou un serveur Exchange ActiveSync. Cette organisation permet d'authentifier les utilisateurs en fonction du contrôleur de domaine.

AVANTAGES

Méthode sécurisée pour l'intégration du proxy avec AD/LDAP via le Cloud.
Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
Module léger qui n'exige qu'une configuration minimale.

INCONVÉNIENTS

Requiert un serveur Web public ou un serveur Exchange ActiveSync lié un serveur AD/LDAP.
Uniquement réalisable pour certaines configurations d'architecture.
Solution moins robuste que VMware Enterprise Systems Connector.
Ne peut pas être utilisé pour l'enrôlement direct de Workspace ONE.

Ce diagramme montre un serveur proxy inverse en tant qu'intermédiaire entre les services d'annuaire et le modèle SaaS Workspace ONE.

Le terminal se connecte à Workspace ONE UEM en vue de son enrôlement. L'utilisateur saisit son nom d'utilisateur et son mot de passe des services d'annuaire.
- Nom d’utilisateur et mot de passe chiffrés pendant le transport.
- Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.
Workspace ONE UEM relaie le nom d'utilisateur et le mot de passe vers un point de terminaison configuré de proxy d'authentification qui nécessite une authentification (par exemple, authentification basique).
Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.
Si les informations d'identification de l'utilisateur sont valides, le serveur Workspace ONE UEM enrôle le terminal.

Authentification Active Directory avec LDAP et VMware Enterprise Systems Connector

L'authentification Active Directory avec LDAP et VMware Enterprise Systems Connector offre les mêmes fonctionnalités qu'une authentification Active Directory et LDAP traditionnelle. Ce modèle fonctionne via le Cloud pour les déploiements SaaS.

AVANTAGES

Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
Aucune modification du pare-feu n'est requise, puisque la communication s'effectue depuis VMware Enterprise Systems Connector au sein de votre réseau.
La transmission des informations d'identification est chiffrée en toute sécurité.
Propose aussi une configuration sécurisée pour d'autres infrastructures comme le BES, Microsoft ADCS ou SCEP et les serveurs SMTP.
Compatible avec l'enrôlement direct Workspace ONE™.

INCONVÉNIENTS

VMware Enterprise Systems Connector doit être installé derrière le pare-feu ou dans une zone DMZ.
Nécessite une configuration supplémentaire.

Modèle de déploiement SaaS

Ce diagramme montre le dispositif VMware Cloud Connector servant Workspace ONE dans le Cloud via le pare-feu tout en accédant aux ressources du réseau interne.

Modèle de déploiement sur site

Ce diagramme montre un terminal accédant aux services des terminaux dans une zone DMZ qui est servie via un pare-feu par des ressources du réseau interne.

Authentification SAML 2.0

L'authentification Security Assertion Markup Language (SAML) 2.0 propose la prise en charge de l'authentification unique, ainsi que l'authentification fédérée. Workspace ONE UEM ne reçoit jamais les identifiants professionnels.

Lorsqu'une organisation dispose d'un serveur fournisseur d'identité SAML, utilisez l'intégration SAML 2.0. Assurez-vous que le fournisseur d'identité renvoie l'attribut objectGUID dans la réponse SAML.

AVANTAGES

Propose des fonctionnalités d'authentification unique.
Authentification avec les identifiants d'entreprise existants.
Workspace ONE UEM ne reçoit jamais les identifiants professionnels en texte brut.
Compatible avec l'enrôlement direct Workspace ONE lorsqu'il est associé à un utilisateur de l'annuaire SAML.
Seuls les administrateurs peuvent utiliser des environnements multi-domaines.

INCONVÉNIENTS

Nécessite une infrastructure professionnelle de fournisseurs d'identités SAML.
Incompatible avec l'enrôlement direct Workspace ONE lorsqu'il est associé à un utilisateur de base SAML.
La configuration SAML avec Workspace ONE Access en tant que fournisseur d'identité avec la fonctionnalité d'utilisateur de base local activée ne prend pas en charge l'authentification des utilisateurs de base.
1. Le terminal se connecte à Workspace ONE UEM pour son enrôlement. Le serveur UEM redirige alors le terminal vers le fournisseur d'identité spécifié par le client.
2. La terminal se connecte en toute sécurité via HTTPS au fournisseur d'identités fourni et l'utilisateur saisit ses identifiants.
  - Identifiants chiffrés lors du transport directement entre le terminal et le point de terminaison SAML.
3. Les informations d'identification sont validées à l'aide des services d'annuaire.
4. Le fournisseur d'identité renvoie une réponse SAML signée avec le nom d'utilisateur authentifié.
5. Le terminal répond au serveur Workspace ONE UEM et présente le message SAML signé. L'utilisateur s'authentifie. Pour plus d'informations, reportez-vous à la page Configurer les services d'annuaire manuellement et faites défiler vers le bas jusqu'à la section SAML.
Les applications SaaS ne sont pas disponibles pour les administrateurs SAML qui s'authentifient à l'aide de Workspace ONE Access.

Fonctionnalité de l'application SaaS pour les administrateurs SAML

Les applications SaaS, ainsi que d'autres stratégies et fonctions de Workspace ONE Access, ne sont pas disponibles si vous êtes un administrateur SAML qui s'authentifie à l'aide de Workspace ONE Access. Le message d'erreur suivant s'affiche lorsque vous accédez à la page Applications SaaS.

Vérifiez que votre compte administrateur existe à la fois dans les systèmes UEM et IDM, et que le domaine dans Workspace ONE UEM correspond exactement au domaine de ce compte dans VMware Identity Manager.

Pour restaurer l'accessibilité de l'application SaaS, vous devez vous connecter à Workspace ONE UEM à l'aide d'une authentification de base. Vous devez également activer Workspace ONE Access dans votre groupe organisationnel.

Authentification basée sur les jetons

L'authentification basée sur les jetons est la méthode la plus simple pour qu'un utilisateur enrôle son terminal. Grâce à ce paramètre d'enrôlement, Workspace ONE UEM génère un jeton qui est placé dans l'URL d'enrôlement.

Pour l'authentification à un seul jeton, l'utilisateur accède au lien depuis le terminal pour procéder à l'enrôlement et le serveur Workspace ONE UEM mentionne le jeton fourni par l'utilisateur.

Pour plus de sécurité, définissez une période d'expiration (en heures) pour chaque jeton. Vous réduisez ainsi le risque qu'un autre utilisateur n'accède aux informations et fonctions disponibles sur ce terminal.

Vous pouvez aussi décider de mettre en place une authentification forte pour renforcer la vérification de l'identité de l'utilisateur final. Avec ce paramètre d'authentification, l'utilisateur doit saisir son nom d'utilisateur et son mot de passe en accédant au lien d'enrôlement grâce au jeton fourni.

AVANTAGES

Les utilisateurs enrôlent et authentifient leur terminal rapidement et facilement.
Sécurisez l'utilisation des jetons en définissant une expiration.
L'utilisateur n'a pas besoin d'identifiants pour l'authentification par jeton.

INCONVÉNIENTS

Requiert une intégration Simple Mail Transfer Protocol (SMTP) ou Short Message Service (SMS) pour l'envoi de jetons au terminal.

Ce diagramme montre l'utilisateur admin fournissant un jeton à usage unique à un utilisateur de l'enrôlement.

L'administrateur autorise l'inscription du terminal de l'utilisateur.
Le jeton à usage unique généré est envoyé à l'utilisateur depuis Workspace ONE UEM Console.
L'utilisateur reçoit un jeton et navigue vers l'URL d'enrôlement. L'utilisateur doit saisir le jeton ou peut éventuellement utiliser l'authentification à deux facteurs.
Processus d'enrôlement des terminaux
Workspace ONE UEM marque le jeton comme étant expiré.

Remarque : Les déploiements SaaS incluent SMTP.

Activer les types de sécurité pour l'enrôlement

Quand Workspace ONE UEM s’intègre à un type de sécurité utilisateur sélectionné et avant l'enrôlement, activez chaque mode d'authentification que vous autorisez.

Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement dans l'onglet Authentification.

Cochez les cases appropriées pour le paramètre de Mode d'authentication.

Paramètre	Description
Ajouter un domaine de messagerie	Ce bouton est utilisé pour configurer le service de détection automatique afin d'inscrire des domaines de messagerie à votre environnement.
Mode(s) d'authentification	Sélectionnez les types d'authentification autorisés, parmi lesquels : * Basique : les comptes utilisateur basiques (ceux que vous créez manuellement dans UEM Console) peuvent s'enrôler. * Annuaire : les comptes utilisateur d'annuaire (ceux que vous avez importés ou autorisés à l'aide de l'intégration des services d'annuaire) peuvent s'enrôler. L'enrôlement direct de Workspace ONE prend en charge les utilisateurs d'annuaire avec ou sans SAML. * Proxy d'authentification : permet aux utilisateurs de s'enrôler à l'aide de comptes utilisateur Proxy d'authentification. Les utilisateurs s'authentifient auprès d'un point d'accès web. Renseignez les champs URL de proxy d'authentification, Sauvegarde de l'URL de proxy d'authentification et Type de méthode d'authentification (faites votre choix entre HTTP de base et Exchange ActiveSync).
Source d'authentification pour Intelligent Hub	Sélectionnez le système que le service Intelligent Hub utilise comme source pour les utilisateurs et les stratégies d'authentification. * Workspace ONE UEM : sélectionnez ce paramètre si vous souhaitez que les services du Hub utilisent Workspace ONE UEM en tant que source pour les utilisateurs et les stratégies d'authentification. Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire des services du Hub. * Workspace ONE Access : sélectionnez ce paramètre si vous souhaitez que les services du Hub utilisent Workspace ONE Access en tant que source pour les utilisateurs et les stratégies d'authentification. Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire de Workspace ONE Access. Remarque : Si vous activez Workspace ONE Access comme source d’authentification pour Intelligent Hub et que vous utilisez une ligne de commande pour vous enrôler à des fins de préenrôlement, cette configuration est contournée en faveur des informations d’identification fournies dans la ligne de commande. Pour plus d'informations sur VMware Workspace ONE Intelligent Hub, reportez-vous à la documentation des services VMware Workspace ONE Hub. Pour plus d'informations sur Workspace ONE Access, reportez-vous à la documentation de VMware Workspace ONE Access.
Mode d'enrôlement des terminaux	Sélectionnez le mode d'enrôlement des terminaux de votre préférence, notamment les options suivantes : * Enrôlement ouvert : permet essentiellement à toute personne répondant aux autres critères d'enrôlement (mode d'authentification, restrictions, etc.) de s'enrôler. L'enrôlement direct de Workspace ONE prend en charge l'enrôlement ouvert. * Terminaux enregistrés uniquement : autorise uniquement les utilisateurs à s'enrôler à l'aide de terminaux que vous ou eux avez inscrits. L'inscription des terminaux correspond au processus d'ajout de terminaux professionnels dans UEM Console avant leur enrôlement. L'enrôlement direct de Workspace ONE prend en charge l'autorisation d'enrôlement de terminaux enregistrés seulement, mais uniquement si les jetons d'enregistrement ne sont pas requis.
Exiger un jeton d'enregistrement	Visible uniquement lorsque l'option Terminaux enregistrés uniquement est sélectionnée. Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander qu'un jeton d'enregistrement soit utilisé pour l'enrôlement. Cette option offre davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autorisé à s'enrôler. Vous pouvez envoyer un e-mail ou un SMS et joindre le jeton d'enrôlement pour les utilisateurs disposant d'un compte Workspace ONE UEM.
Exiger l'enregistrement Intelligent Hub pour les terminaux iOS	Cochez cette case pour exiger que les utilisateurs des terminaux iOS téléchargent et installent Workspace One Intelligent Hub avant de pouvoir s'enrôler. Si elle est désactivée, l'enrôlement par le Web est disponible.
Exiger l'enrôlement Intelligent Hub pour les terminaux macOS	Cochez cette case pour exiger que les utilisateurs des terminaux macOS téléchargent et installent Workspace One Intelligent Hub avant de pouvoir s'enrôler. Si elle est désactivée, l'enrôlement par le Web est disponible.

Cliquez sur Enregistrer.

Authentification utilisateur basique

L'authentification basique peut être utilisée pour identifier des utilisateurs dans l'architecture Workspace ONE UEM, mais cette méthode ne propose pas d'intégration aux comptes utilisateur d'entreprise existants.

AVANTAGES

Compatible avec n’importe quelle méthode de déploiement.
Ne nécessite aucune intégration technique.
Ne nécessite aucune infrastructure d'entreprise.

INCONVÉNIENTS

Incompatible avec la détection automatique.
Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux identifiants professionnels existants.
Ne propose ni sécurité fédérée ni authentification unique.
Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.
Incompatible avec l'enrôlement direct Workspace ONE™.

Ce diagramme montre un terminal accédant à la console UEM via Internet. L'utilisateur de la console d'administration accède à Workspace ONE UEM via un pare-feu.

L'utilisateur de la console se connecte sur le SaaS Workspace ONE UEM en utilisant un compte local pour s'authentifier (authentification basique).
- Les informations d'identification sont chiffrées pendant le transport.
- (Par exemple, nom d'utilisateur : [email protected], mot de passe : Abcd).
L'utilisateur enrôle son terminal en utilisant les identifiants du compte local Workspace ONE UEM (authentification basique).
- Les informations d'identification sont chiffrées pendant le transport.
- (Par exemple, nom d'utilisateur : jdupont2, mot de passe : 2557.)

Authentification Active Directory avec LDAP

L'authentification Active Directory (AD) avec Lightweight Directory Access Protocol (LDAP) permet d'intégrer les comptes utilisateur et administrateur Workspace ONE UEM aux comptes d'entreprise existants.

AVANTAGES

Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
Méthode sécurisée d'intégration à LDAP/AD.
Pratique d'intégration standard.
Compatible avec l'enrôlement direct Workspace ONE.

INCONVÉNIENTS

AD ou un autre serveur LDAP requis.

Ce diagramme montre un terminal accédant à la console UEM via Internet. La console UEM accède aux services d'annuaire.

Le terminal se connecte à Workspace ONE UEM en vue de son enrôlement. L'utilisateur saisit son nom d'utilisateur et son mot de passe des services d'annuaire.
- Le nom d’utilisateur et le mot de passe sont chiffrés pendant le transport.
- Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.
Workspace ONE UEM adresse les requêtes aux services d'annuaire via le protocole sécurisé LDAP à l'aide d'un compte de service pour l'authentification.
Les identifiants de l'utilisateur sont validés auprès du service d'annuaire de l'entreprise.
Si les informations d'identification de l'utilisateur sont valides, le serveur Workspace ONE UEM enrôle le terminal.