Workspace ONE UEM utilise des groupes organisationnels pour identifier les utilisateurs et établir des autorisations. Lorsqu'Workspace ONE UEM est intégré à VMware Identity Manager, les clés REST API de l'utilisateur d'administration et d'inscription sont configurées sur le type de groupe organisationnel Workspace ONE UEM appelé Client.
Lorsque les utilisateurs se connectent à Workspace ONE à partir d'un périphérique, un événement d'enregistrement de périphérique est déclenché dans VMware Identity Manager. Une demande est envoyée à Workspace ONE UEM pour extraire toutes les applications auxquelles la combinaison utilisateur/périphérique est autorisée à accéder. La demande est envoyée à l'aide de REST API pour localiser l'utilisateur dans Workspace ONE UEM et pour placer le périphérique dans le groupe organisationnel approprié.
Pour gérer les groupes organisationnels, deux options peuvent être configurées dans VMware Identity Manager.
Activez la découverte automatique d'Workspace ONE UEM.
Mappez des groupes organisationnels Workspace ONE UEM à des domaines dans le service VMware Identity Manager.
Si aucune de ces deux options n'est configurée, Workspace ONE tente de localiser l'utilisateur dans le groupe organisationnel dans lequel la clé REST API est créée. Il s'agit du groupe Client.
Utilisation de la découverte automatique d'Workspace ONE UEM
Configurez la découverte automatique lorsqu'un répertoire unique est configuré dans un groupe enfant pour le groupe organisationnel Client, ou lorsque plusieurs répertoires sont configurés sous le groupe Client avec des domaines de messagerie uniques.
Dans l'exemple 1, le domaine de messagerie de l'organisation est enregistré pour la découverte automatique. Les utilisateurs entrent uniquement leur adresse e-mail sur la page de connexion de Workspace ONE.
Dans cet exemple, lorsque les utilisateurs du domaine Amérique du Nord se connectent à Workspace ONE, ils entrent l'adresse e-mail complète sous la forme [email protected]. L'application recherche le domaine et vérifie que l'utilisateur existe ou peut être créé avec un appel de répertoire dans le groupe organisationnel Amérique du Nord. Le périphérique peut être enregistré.
Utilisation du mappage de groupe organisationnel d'Workspace ONE UEM à des domaines VMware Identity Manager
Configurez le service VMware Identity Manager pour le mappage de groupe organisationnel Workspace ONE UEM lorsque plusieurs répertoires sont configurés avec le même domaine de messagerie. Activez Mapper les domaines sur plusieurs groupes d'organisation dans la page de configuration d’AirWatch dans la console VMware Identity Manager.
Lorsque l'option Mapper les domaines sur plusieurs groupes d'organisation est activée, les domaines configurés dans VMware Identity Manager peuvent être mappés aux ID de groupe organisationnel de Workspace ONE UEM. La clé REST API d'administration est également requise.
Dans l'exemple 2, deux domaines sont mappés à des groupes organisationnels différents. Une clé REST API d'administration est requise. La même clé REST API d'administration est utilisée pour les deux ID de groupe organisationnel.
Sur la page de configuration d’AirWatch de la console VMware Identity Manager, configurez un ID de groupe organisationnel de Workspace ONE UEM spécifique pour chaque domaine.
Avec cette configuration, lorsque les utilisateurs se connectent à Workspace ONE à partir de leur périphérique, la demande d'enregistrement de périphérique tente de localiser les utilisateurs du domaine Domain3 dans le groupe organisationnel Europe et les utilisateurs du domaine Domain4 dans le groupe organisationnel Asie Pacifique.
Dans l'exemple 3, un domaine est mappé à plusieurs groupes organisationnels Workspace ONE UEM. Les deux répertoires partagent le domaine de messagerie. Le domaine pointe sur le même groupe organisationnel de Workspace ONE UEM.
Dans cette configuration, lorsque les utilisateurs se connectent à Workspace ONE, l'application les invite à sélectionner le groupe auquel ils souhaitent s'enregistrer. Dans cet exemple, les utilisateurs peuvent sélectionner Ingénierie ou Comptabilité.
Placement de périphériques dans le groupe organisationnel correct
Lorsqu'un enregistrement d'utilisateur est trouvé, le périphérique est ajouté au groupe organisationnel approprié. Le paramètre d'inscription d'Workspace ONE UEM Mode d'attribution d'ID de groupe détermine le groupe organisationnel dans lequel placer le périphérique. Ce paramètre se trouve dans la page Paramètres système > Périphérique et utilisateurs > Général > Inscription > de Workspace ONE UEM Console.
Dans l'exemple 4, tous les utilisateurs sont au niveau du groupe organisationnel Entreprise.
Le placement du périphérique dépend de la configuration sélectionnée pour le mode d'attribution d'ID de groupe dans le groupe organisationnel Entreprise.
Si la valeur par défaut est sélectionnée, le périphérique est placé dans le même groupe où se trouve l'utilisateur. Pour l'exemple 4, le périphérique est placé dans le groupe Entreprise.
Si l'option Inviter l'utilisateur à sélectionner un ID de groupe est sélectionnée, les utilisateurs sont invités à sélectionner le groupe dans lequel enregistrer leur périphérique. Pour l'exemple 4, les utilisateurs voient un menu déroulant dans l'application Workspace ONE avec Ingénierie et Comptabilité comme options.
Si l'option Automatiquement sélectionné en fonction du groupe d'utilisateurs est sélectionnée, les terminaux sont placés dans Ingénierie ou Comptabilité en fonction de leur attribution de groupe d'utilisateurs et du mappage correspondant dans la console Workspace ONE UEM.
Comprendre le concept de groupe masqué
Dans l'exemple 4, lorsque les utilisateurs sont invités à sélectionner un groupe organisationnel à partir duquel enregistrer, ils peuvent également entrer une valeur d'ID de groupe qui ne se trouve pas dans la liste présentée dans l'application Workspace ONE. Il s'agit du concept de groupe masqué.
Dans l'exemple 5, dans la structure de groupe organisationnel Entreprise, Amérique du Nord et Bêta sont configurés comme groupes sous Entreprise.
Dans l'exemple 5, les utilisateurs entrent leur adresse e-mail dans Workspace ONE. Après l'authentification, les utilisateurs voient une liste qui affiche Ingénierie et Comptabilité. Ils doivent choisir l'une de ces options. Bêta n'est pas une option qui s'affiche. Si les utilisateurs connaissent l'ID du groupe organisationnel, ils peuvent entrer manuellement Bêta dans la zone de texte de sélection de groupe et enregistrer correctement leur périphérique dans Bêta.