Questa sezione tratta le domande frequenti (FAQ) relative alla federazione aziendale dei domini aziendali con VMware Cloud services.

D: È ancora possibile accedere a my.vmware.com con il proprio account ID VMware (My VMware) dopo aver configurato la federazione aziendale per il dominio aziendale?

R: Sì. Se i domini sono federati, è possibile accedere a VMware Cloud services solo utilizzando il proprio account aziendale, ma si potrà continuare ad accedere a my.vmware.com con il proprio account My VMware.

D: È ancora necessario creare un account con VMware se il proprio account aziendale è federato?

R: In qualità di utente di un account federato, è necessario creare un account My VMware solo se si desidera inviare un ticket di supporto o eseguire operazioni di fatturazione e sottoscrizione.

D: È possibile continuare a utilizzare il proprio account ID VMware per accedere al portale dei VMware Cloud Services dopo aver configurato la federazione per la propria azienda?

A: No. Dopo aver configurato la federazione aziendale con il fornitore di identità aziendale, è necessario utilizzare le credenziali aziendali per tutti gli accessi successivi a VMware Cloud services.

D: Se si collega l'account ID VMware al proprio account aziendale, l'account aziendale viene modificato?

R: Il proprio account aziendale non cambia collegandolo all'account My VMware. Il collegamento crea una mappatura interna che non modifica alcun attributo dell'account aziendale.

D: È possibile imporre l'autenticazione multifattore (MFA, Multi-Factor Authentication) per l'accesso ai VMware Cloud Services dopo aver configurato la federazione aziendale?

R: Dipende dalla configurazione aziendale. Se il fornitore di identità utilizzato dall'azienda è configurato per l'esecuzione di MFA, la risposta è sì. Verrà richiesto di confermare MFA per l'accesso ai VMware Cloud services al momento dell'accesso.

D: La federazione aziendale è legata a una particolare organizzazione o servizio nei VMware Cloud Services?

A: No. La federazione aziendale è a livello di dominio. Qualsiasi utente con domini registrati e verificati può accedere a qualsiasi organizzazione di VMware Cloud services e ai servizi per cui l'organizzazione è registrata.

Inoltre, se si sottoscrivono servizi cloud aggiuntivi da VMware, si continuerà ad accedere ai nuovi servizi con le credenziali aziendali.

D: È possibile annullare la federazione aziendale dopo che è stata abilitata?

R: Sì. Per annullare la configurazione della federazione per i domini, inviare un ticket di supporto nel Cloud Services Console. Se il supporto di VMware ripristina la configurazione della federazione aziendale, è possibile che tutti i permessi, gli utenti e i gruppi aggiunti dopo la configurazione della federazione vengano persi.

D: Perché i servizi nella mia organizzazione non vengono visualizzati dopo aver eseguito l'accesso con il mio account aziendale?

Prima di configurare la federazione aziendale per l'azienda, è stato utilizzato l'account My VMware per l'autenticazione con VMware Cloud services. Dopo aver abilitato la federazione, utilizzare l'account aziendale per accedere a VMware Cloud services e autenticarsi direttamente con il fornitore di identità aziendale. Per accedere ai servizi utilizzati in precedenza accedendo all'account My VMware, è necessario collegare l'account aziendale all'ID VMware. Solo quando i due account sono collegati, i servizi diventano visibili e accessibili all'utente in base al ruolo ricoperto nell'organizzazione e nei servizi.

D: Perché vengono visualizzati due account nella scheda Identità e Accesso dopo l'abilitazione della federazione aziendale?

L'accesso iniziale a VMware Cloud services è stato eseguito utilizzando l'account My VMware. Si supponga di aver utilizzato joe@acme.com per creare un account My VMware e accedere a VMware Cloud services utilizzando tale account. Dopo la federazione si accede a VMware Cloud services utilizzando l'account federato e si collega l'account ID My VMware. Il joe@acme.com iniziale è inattivo e contrassegnato con un'etichetta "ID VMware" per indicare l'account My VMware non più utilizzato, ma rimane visibile come "account shadow".

Non è possibile modificare gli account shadow in termini di assegnazione dei ruoli di organizzazione o servizio. È consigliabile mantenere queste voci per almeno alcuni mesi dopo l'abilitazione della configurazione della federazione nel caso in cui si decidesse di annullare la configurazione della federazione aziendale.

D: Quali tipi di fornitore di identità di terze parti sono supportati?

R: Qualsiasi fornitore di identità di terze parti SAML 2.0 è supportato per la federazione aziendale con VMware Cloud services.

D: Non ho un fornitore di identità di terze parti compatibile con SAML 2.0 e desidero autenticarmi direttamente con i miei Active Directory aziendali (AD). Questa operazione è supportata?

Sì. È possibile utilizzare i metodi di autenticazione integrati del connettore locale Workspace ONE Access per autenticare gli utenti direttamente nell'AD aziendale.

D: È possibile utilizzare una macchina virtuale Windows creata utilizzando tecnologia VMware per installare il connettore locale Workspace ONE Access?

R: Sì. È possibile utilizzare le tecnologie VMware per creare una macchina virtuale Windows utilizzabile per installare il connettore di Workspace ONE Access Windows.

D: Il Workspace ONE Access Connector deve essere installato in locale?

R: Il connettore Workspace ONE Access Windows è un componente locale generalmente installato in una rete Intranet o in una zona verde dell'azienda. Tuttavia, i clienti possono installare Connector su un cloud, a condizione che possa comunicare con l'Active Directory aziendale su protocollo LDAP/LDAPS sulle porte 389, 636.

My Enterprise ha già un tenant Workspace ONE Access configurato come parte di altri prodotti acquistati tramite VMware. È possibile utilizzare l'istanza del tenant esistente anziché crearne una nuova per la configurazione della federazione self-service?

No, non è possibile utilizzare i tenant Workspace ONE Access (in precedenza denominati VMware Identity Manager) esistenti. Un nuovo Workspace ONE Access tenant verrà impostato come parte della configurazione della federazione self-service. Sarà utilizzato esclusivamente per VMware Cloud Services. Non sono previsti costi o requisiti di licenza per utilizzare il nuovo tenant di Workspace ONE Access per l'accesso a VMware Cloud Services.

La stessa cosa vale per l'utilizzo di un connettore Workspace ONE Access esistente. La configurazione della federazione ne richiede uno nuovo.

La mia azienda dispone già di un connettore Workspace ONE Access locale. È possibile utilizzare il connettore esistente anziché crearne uno nuovo per la configurazione della federazione self-service?

No. Per configurare la federazione self-service, l'azienda deve installare e configurare un connettore Workspace ONE Access dedicato, che verrà utilizzato solo per la federazione con VMware Cloud Services.

La stessa cosa vale per l'utilizzo di un tenant di Workspace ONE Access esistente. La configurazione della federazione ne richiede uno nuovo.

D: È necessario aprire porte firewall per il Workspace ONE Access Connector per stabilire una relazione di attendibilità con l'istanza di servizio Workspace ONE Access?

R: Il connettore Workspace ONE Access comunica il canale HTTPS/443 in uscita all'istanza di servizio Workspace ONE Access che funge da broker di identità. Se il firewall blocca l'accesso ai domini esterni, è necessario concedere l'accesso ad alcuni domini VMware.

D: Quali dati vengono sincronizzati dal connettore locale Workspace ONE Access?

R: Il connettore locale Workspace ONE Access viene utilizzato per la sincronizzazione di utenti e gruppi nell'istanza di servizio di Workspace ONE Access (broker di identità) con il fornitore di identità del cliente. Vengono sincronizzati solo i DN di utenti e gruppi configurati durante la configurazione self-service, non l'intera Active Directory. Vengono sincronizzati solo un set di attributi obbligatori: nome, cognome, e-mail, nome utente e dominio. Se l'azienda utilizza il nome dell'entità utente (UPN) per autenticare gli utenti, questo attributo deve avere anche un valore per la sincronizzazione.
Importante: Le password degli utenti non vengono mai sincronizzate.

D: In quali regioni è ospitata l'istanza di servizio Workspace ONE Access (broker di identità)?

R: L'istanza di servizio Workspace ONE Access è ospitata su AWS nell'area degli Stati Uniti.

D: È possibile autenticare utenti di diversi domini di cui sono proprietario, come acme.com, ext.acme.com, company.com, con il mio fornitore di identità?

R: Sì. Se è possibile verificare tutti i domini pubblici di cui si è proprietari, gli utenti di questi domini possono autenticarsi per VMware Cloud services con le proprie credenziali aziendali. Gli utenti di tutti questi domini devono innanzitutto essere sincronizzati nell'istanza di servizio Workspace ONE Access (broker di identità).

D: È possibile aggiungere servizi all'organizzazione della federazione aziendale?

A: No. Non è possibile aggiungere servizi all'organizzazione della federazione aziendale e non va fatto. È possibile accedere all'organizzazione della federazione aziendale con il solo scopo di eseguire operazioni che influiscono su tutti i servizi e le organizzazioni per un determinato dominio.

Vi è un account di controllo che posso utilizzare per accedere a VMware Cloud Services se non posso accedere con le mie credenziali aziendali?

È possibile aggiungere un account My VMware all'organizzazione con un dominio non federato. Ad esempio, se il dominio di acme.com è federato, è possibile utilizzare qualsiasi account My VMware con un dominio non-acme.com per accedere a VMware Cloud services. L'utente con l'account My VMware deve essere aggiunto come proprietario dell'organizzazione o membro dell'organizzazione.

Gli attributi, sincronizzati dall'Active Directory aziendale, sono crittografati se presenti nell'istanza di servizio Workspace ONE Access e nei VMware Cloud Services su AWS?

No. Gli attributi utente nome, cognome, e-mail, nome utente, dominio e UPN non vengono crittografati se presenti nei VMware Cloud services su AWS.

Quale potrebbe essere l'impatto sugli utenti che accedono a Cloud Services Console se il server del connettore è inattivo? È possibile configurare il connettore in modalità HA?

Se l'azienda utilizza l'autenticazione del fornitore di identità di terze parti e non i metodi di autenticazione basati sul connettore, tutte le autenticazioni degli utenti vengono eseguite direttamente con il fornitore di identità. In questo caso, se il connettore è inattivo, l'accesso dell'utente non verrà interessato dagli utenti già sincronizzati. Poiché il connettore viene utilizzato solo per la sincronizzazione di utenti e gruppi, potrebbe non essere necessario il connettore in modalità HA.