AirWatch utilise des groupes organisationnels pour identifier les utilisateurs et établir des autorisations. Lorsqu'AirWatch est intégré à VMware Identity Manager, les clés REST API de l'utilisateur d'administration et d'inscription sont configurées sur le type de groupe organisationnel AirWatch appelé Client.

Lorsque les utilisateurs se connectent à Workspace ONE à partir d'un périphérique, un événement d'enregistrement de périphérique est déclenché dans VMware Identity Manager. Une demande est envoyée à AirWatch pour extraire toutes les applications auxquelles la combinaison utilisateur/périphérique est autorisée à accéder. La demande est envoyée à l'aide de REST API pour localiser l'utilisateur dans AirWatch et pour placer le périphérique dans le groupe organisationnel approprié.

Pour gérer les groupes organisationnels, deux options peuvent être configurées dans VMware Identity Manager.

  • Activez la découverte automatique d'AirWatch.

  • Mappez des groupes organisationnels AirWatch à des domaines dans le service VMware Identity Manager.

Si aucune de ces deux options n'est configurée, Workspace ONE tente de localiser l'utilisateur dans le groupe organisationnel dans lequel la clé REST API est créée. Il s'agit du groupe Client.

Utilisation de la découverte automatique d'AirWatch

Configurez la découverte automatique lorsqu'un répertoire unique est configuré dans un groupe enfant pour le groupe organisationnel Client, ou lorsque plusieurs répertoires sont configurés sous le groupe Client avec des domaines de messagerie uniques.

Figure 1. Exemple 1

Dans l'exemple 1, le domaine de messagerie de l'organisation est enregistré pour la découverte automatique. Les utilisateurs entrent uniquement leur adresse e-mail sur la page de connexion de Workspace ONE.

Dans cet exemple, lorsque les utilisateurs du domaine Amérique du Nord se connectent à Workspace ONE, ils entrent l'adresse e-mail complète sous la forme [email protected]. L'application recherche le domaine et vérifie que l'utilisateur existe ou peut être créé avec un appel de répertoire dans le groupe organisationnel Amérique du Nord. Le périphérique peut être enregistré.

Utilisation du mappage de groupe organisationnel d'AirWatch à des domaines VMware Identity Manager

Configurez VMware Identity Manager pour le mappage de groupe organisationnel d'AirWatch lorsque plusieurs répertoires sont configurés avec le même domaine de messagerie. Vous activez Mapper des domaines à plusieurs groupes organisationnels sur la page de configuration d'AirWatch dans la console d’administration de VMware Identity Manager.

Lorsque l'option Mapper des domaines à plusieurs groupes organisationnels est activée, les domaines configurés dans VMware Identity Manager peuvent être mappés à des ID de groupe organisationnel d'AirWatch. La clé REST API d'administration est également requise.

Dans l'exemple 2, deux domaines sont mappés à des groupes organisationnels différents. Une clé REST API d'administration est requise. La même clé REST API d'administration est utilisée pour les deux ID de groupe organisationnel.

Figure 2. Exemple 2

Sur la page de configuration d'AirWatch dans la console d’administration de VMware Identity Manager, configurez un ID de groupe organisationnel AirWatch spécifique pour chaque domaine.

Figure 3. Exemple 2 de configuration de groupe organisationnel

Avec cette configuration, lorsque les utilisateurs se connectent à Workspace ONE à partir de leur périphérique, la demande d'enregistrement de périphérique tente de localiser les utilisateurs du domaine Domain3 dans le groupe organisationnel Europe et les utilisateurs du domaine Domain4 dans le groupe organisationnel Asie Pacifique.

Dans l'exemple 3, un domaine est mappé à plusieurs groupes organisationnels AirWatch. Les deux répertoires partagent le domaine de messagerie. Le domaine pointe sur le même groupe organisationnel AirWatch.

Figure 4. Exemple 3

Dans cette configuration, lorsque les utilisateurs se connectent à Workspace ONE, l'application les invite à sélectionner le groupe auquel ils souhaitent s'enregistrer. Dans cet exemple, les utilisateurs peuvent sélectionner Ingénierie ou Comptabilité.

Figure 5. Groupes organisationnels dans lesquels les répertoires partagent le même domaine

Placement de périphériques dans le groupe organisationnel correct

Lorsqu'un enregistrement d'utilisateur est trouvé, le périphérique est ajouté au groupe organisationnel approprié. Le paramètre d'inscription d'AirWatch Mode d'attribution d'ID de groupe détermine le groupe organisationnel dans lequel placer le périphérique. Ce paramètre se trouve sur la page Paramètres système > Périphérique et utilisateurs > Général > Inscription > Regroupement.

Figure 6. Inscription de groupe AirWatch pour des périphériques

Dans l'exemple 4, tous les utilisateurs sont au niveau du groupe organisationnel Entreprise.

Figure 7. Exemple 4

Le placement du périphérique dépend de la configuration sélectionnée pour le mode d'attribution d'ID de groupe dans le groupe organisationnel Entreprise.

  • Si la valeur par défaut est sélectionnée, le périphérique est placé dans le même groupe où se trouve l'utilisateur. Pour l'exemple 4, le périphérique est placé dans le groupe Entreprise.

  • Si l'option Inviter l'utilisateur à sélectionner un ID de groupe est sélectionnée, les utilisateurs sont invités à sélectionner le groupe dans lequel enregistrer leur périphérique. Pour l'exemple 4, les utilisateurs voient un menu déroulant dans l'application Workspace ONE avec Ingénierie et Comptabilité comme options.

  • Si l'option Automatiquement sélectionné en fonction du groupe d'utilisateurs est sélectionnée, les périphériques sont placés dans Ingénierie ou Comptabilité en fonction de leur attribution de groupe d'utilisateurs et du mappage correspondant dans la console d'administration d'AirWatch.

Comprendre le concept de groupe masqué

Dans l'exemple 4, lorsque les utilisateurs sont invités à sélectionner un groupe organisationnel à partir duquel enregistrer, ils peuvent également entrer une valeur d'ID de groupe qui ne se trouve pas dans la liste présentée dans l'application Workspace ONE. Il s'agit du concept de groupe masqué.

Dans l'exemple 5, dans la structure de groupe organisationnel Entreprise, Amérique du Nord et Bêta sont configurés comme groupes sous Entreprise.

Figure 8. Exemple 5

Dans l'exemple 5, les utilisateurs entrent leur adresse e-mail dans Workspace ONE. Après l'authentification, les utilisateurs voient une liste qui affiche Ingénierie et Comptabilité. Ils doivent choisir l'une de ces options. Bêta n'est pas une option qui s'affiche. Si les utilisateurs connaissent l'ID du groupe organisationnel, ils peuvent entrer manuellement Bêta dans la zone de texte de sélection de groupe et enregistrer correctement leur périphérique dans Bêta.