VMware Identity Services est un nouveau service cloud pour l'intégration de produits VMware à des fournisseurs d'identité tiers basés sur le cloud, tels que Microsoft Entra ID et Okta, pour le provisionnement des utilisateurs et la fédération des identités. Ce document couvre VMware Identity Services pour VMware Workspace ONE®, qui fournit une gestion centralisée des utilisateurs sur les services Workspace ONE.
Les principales fonctionnalités de VMware Identity Services sont les suivantes :
- Provisionnement des utilisateurs SCIM 2.0
VMware Identity Services est basé sur le système pour le protocole SCIM (Cross-domain Identity Management) 2.0, qui constitue une norme de gestion des identités utilisateur dans les applications et les services basés sur le cloud. VMware Identity Services prend en charge n'importe quel fournisseur d'identité cloud basé sur SCIM 2.0.
- Fédération des identités utilisant OpenID Connect ou SAML 2.0
Vous pouvez configurer l'authentification fédérée avec votre fournisseur d'identité tiers à l'aide d'OpenID Connect ou de SAML 2.0.
- Gestion centralisée des utilisateurs dans les services Workspace ONE
VMware Identity Services permet de créer un annuaire provisionné unique dans la console Workspace ONE Cloud. Les utilisateurs et les groupes sont provisionnés de votre fournisseur d'identité à VMware Identity Services, puis automatiquement de VMware Identity Services aux services Workspace ONE que vous sélectionnez. VMware Identity Services prend actuellement en charge VMware Workspace ONE® Access™ et VMware Workspace ONE® UEM.
Gérez l'annuaire à partir de la console Workspace ONE Cloud. Les paramètres suivants dans Workspace ONE Access et Workspace ONE UEM sont en lecture seule : annuaire, utilisateurs, groupes d'utilisateurs, attributs utilisateur et fournisseur d'identité.
- Aucune configuration requise du connecteur
Il est inutile de déployer VMware Workspace ONE Access Connector ou VMware AirWatch Cloud Connector sur site pour intégrer VMware Identity Services à des fournisseurs d'identité de cloud.
Configurez et gérez VMware Identity Services à partir de la console Workspace ONE Cloud. Aucune configuration n'est requise dans les consoles Workspace ONE Access et Workspace ONE UEM.
Fournisseurs d'identité pris en charge
VMware Identity Services prend en charge les fournisseurs d'identité basés sur le cloud suivants :
- Microsoft Entra ID (anciennement Azure Active Directory ou Azure AD)
- Okta
- Toute source d'identité SCIM 2.0 générique
Services Workspace ONE pris en charge
Vous pouvez configurer VMware Identity Services pour les services cloud Workspace ONE suivants :
- Services Workspace ONE Access Cloud
- Workspace ONE UEM 2212 ou version ultérieure
Éléments clés à prendre en compte
- VMware Identity Services n'est disponible que pour les nouveaux locataires Workspace ONE.
- VMware Identity Services prend actuellement en charge Workspace ONE Access et Workspace ONE UEM.
- Pour avoir accès à VMware Identity Services, votre droit doit inclure Workspace ONE Cloud Admin Hub, une plate-forme administrative Web qui connecte les services Workspace ONE pour gérer et fournir l'espace de travail numérique.
- VMware Identity Services centralise la gestion des annuaires dans Workspace ONE Cloud. Après avoir activé VMware Identity Services, vous pouvez gérer votre annuaire uniquement à partir de Workspace ONE Cloud Admin Hub. Les paramètres des services d'annuaire et du fournisseur d'identité dans Workspace ONE UEM et Workspace ONE Access passent en lecture seule.
- Vous ne pouvez intégrer qu'un seul annuaire à VMware Identity Services.
- Vous ne pouvez configurer qu'un seul domaine.
- Vous devez configurer le provisionnement et l'authentification avec le même fournisseur d'identité. L'intégration à plusieurs fournisseurs d'identité n'est pas prise en charge.
- VMware Identity Services ne prend pas en charge les administrateurs locaux, les utilisateurs locaux ou les utilisateurs juste-à-temps.
Tous les utilisateurs de l'annuaire sont des utilisateurs provisionnés à partir de votre fournisseur d'identité ou des administrateurs du service Workspace ONE provisionnés à partir de VMware Cloud Services.
- VMware Identity Services ne prend pas en charge l'intégration directe à Active Directory ou à d'autres annuaires LDAP.
- Vous devez disposer d'un compte d'administrateur dans le service Workspace ONE Cloud pour configurer VMware Identity Services.
Fonctionnalités de Workspace ONE non prises en charge
VMware Identity Services ne prend pas en charge les fonctionnalités suivantes dans les services Workspace ONE.
Workspace ONE UEM
Si VMware Identity Services est activé pour un locataire, les fonctionnalités suivantes ne sont pas prises en charge :
- Intégration directe à Active Directory sur site
- Flux d'authentification basés sur le nom d'utilisateur et le mot de passe
- Flux d'entrée et de sortie (pour les terminaux partagés)
- Flux DEP
- Flux de paramètres du type d'authentification du nom d'utilisateur/mot de passe
- Flux d'inscription PPKG
- Utilisateurs administrateurs d'annuaire
Seuls les utilisateurs administrateurs de VMware Cloud Services seront disponibles.
- Remplacement des groupes d'organisation enfants si VMware Identity Services est configuré pour les groupes d'organisation principaux
- Utilisateurs juste-à-temps (JIT)
Les utilisateurs ne peuvent être ajoutés qu'à partir du fournisseur d'identité de cloud.
- Flux d'inscription liés à l'authentification d'Active Directory sur site
L'annuaire Active Directory sur site sans Microsoft Entra ID n'est pas pris en charge. Par conséquent, les flux suivants ne sont pas pris en charge :
- Livraison directe en ligne (compte de préproduction d'utilisateur de base) avec Active Directory sur site
- Inscription silencieuse (compte de préproduction d'utilisateur de base) avec Active Directory sur site
- Inscription de l'agent (compte d'annuaire) avec annuaire Active Directory sur site
Workspace ONE Access
Si VMware Identity Services est activé pour un locataire, les fonctionnalités suivantes ne sont pas prises en charge :
- Intégration directe à Active Directory sur site
- Création d'utilisateurs locaux, d'administrateurs locaux ou d'utilisateurs juste-à-temps (JIT)
Tous les utilisateurs sont provisionnés à partir de votre fournisseur d'identité par VMware Identity Services ou sont des administrateurs provisionnés à partir de VMware Cloud Services.
- People Search
- Intégration à Horizon Cloud
- Intégration à Horizon Enterprise
- Si vous intégrez Workspace ONE Access à Office 365, vous ne pouvez pas utiliser l'authentification fédérée sur le fournisseur d'identité Microsoft Entra ID. Seules les méthodes d'authentification spécifiques de Workspace ONE Access, telles que RSA SecurID, MFA du Hub, Mobile SSO et l'authentification par certificat, seront disponibles. Authentification par flux actif Office 365 non prise en charge actuellement.
Services du Hub
Si VMware Identity Services est activé pour un locataire, les fonctionnalités suivantes ne sont pas prises en charge :
- Configurations de l'onglet Personnes
- Configurations d'intégration de nouveaux employés, y compris les modèles d'intégration
- Digital Badge et expérience de reprise du travail
- Intégration à Horizon Cloud Service on Microsoft Azure avec Universal Broker
Workspace ONE Intelligent Hub
Si VMware Identity Services est activé, les fonctionnalités suivantes ne sont pas disponibles pour les utilisateurs dans l'application VMware Workspace ONE® Intelligent Hub ou le navigateur Web :
- Onglet Personnes
- Digital Badge et expérience de reprise du travail
- Intégration de nouveaux employés
- Option Modifier le mot de passe pour les utilisateurs Workspace ONE Access (qui ne sont pas des utilisateurs Okta)
- Applications et postes de travail d'Horizon Cloud Service sur Microsoft Azure avec Universal Broker
Informations complémentaires
Pour voir une présentation vidéo des avantages de l'utilisation de VMware Identity Services, regardez la vidéo VMware Présentation de la gestion centralisée des utilisateurs.