Questa sezione tratta le domande frequenti (FAQ) relative alla federazione aziendale dei domini aziendali con VMware Cloud services.
D: Qual è la differenza tra la configurazione della federazione basata su connettore e la configurazione della federazione senza connettore (dinamica)?
R: In una configurazione della federazione basata su connettore, si scarica il file eseguibile di Workspace ONE Access Connector e lo si installa in una macchina Windows con accesso alla directory aziendale. In una configurazione di federazione senza connettore non è necessario eseguire questo passaggio, poiché non è presente alcun file eseguibile da installare. In una configurazione di federazione basata su connettore, gli utenti e i gruppi vengono sottoposti a pre-provisioning, mentre in una configurazione di federazione senza connettore, gli utenti e i gruppi vengono sottoposti a provisioning dinamico (Just-in-Time).
D: È possibile avviare la configurazione della federazione dal fornitore di identità?
R: No, la configurazione avviata dall'IdP del cliente non è attualmente supportata con VMware Cloud Services.
D: È ancora possibile accedere a my.vmware.com con il proprio account ID VMware (My VMware) dopo aver configurato la federazione aziendale per il dominio aziendale?
R: Sì. Se i domini sono federati, è possibile accedere a VMware Cloud services solo utilizzando il proprio account aziendale, ma si potrà continuare ad accedere a my.vmware.com con il proprio account My VMware.
D: È ancora necessario creare un account con VMware se il proprio account aziendale è federato?
R: In qualità di utente di un account federato, è necessario creare un account My VMware solo se si desidera inviare un ticket di supporto o eseguire operazioni di fatturazione e sottoscrizione.
D: È possibile continuare a utilizzare il proprio account ID VMware per accedere al portale dei VMware Cloud Services dopo aver configurato la federazione per la propria azienda?
A: No. Dopo aver configurato la federazione aziendale con il fornitore di identità aziendale, è necessario utilizzare le credenziali aziendali per tutti gli accessi successivi a VMware Cloud services.
D: Se si collega l'account ID VMware al proprio account aziendale, l'account aziendale viene modificato?
R: Il proprio account aziendale non cambia collegandolo all'account My VMware. Il collegamento crea una mappatura interna che non modifica alcun attributo dell'account aziendale.
D: È possibile imporre l'autenticazione multifattore (MFA, Multi-Factor Authentication) per l'accesso ai VMware Cloud Services dopo aver configurato la federazione aziendale?
R: Dipende dalla configurazione aziendale. Se il fornitore di identità utilizzato dall'azienda è configurato per l'esecuzione di MFA, la risposta è sì. Verrà richiesto di confermare MFA per l'accesso ai VMware Cloud services al momento dell'accesso.
D: La federazione aziendale è legata a un'organizzazione o un servizio specifici in VMware Cloud Services?
A: No. La federazione aziendale è a livello di dominio. Qualsiasi utente con domini registrati e verificati può accedere a qualsiasi organizzazione di VMware Cloud services e ai servizi per cui l'organizzazione è registrata.
Inoltre, se si sottoscrivono servizi cloud aggiuntivi da VMware, si continuerà ad accedere ai nuovi servizi con le credenziali aziendali.
D: È possibile annullare la federazione aziendale dopo che è stata attivata?
R: Sì. Per annullare la configurazione della federazione per i domini, inviare un ticket di supporto nel console di Cloud Services. Se il supporto di VMware ripristina la configurazione della federazione aziendale, è possibile che tutti i permessi, gli utenti e i gruppi aggiunti dopo la configurazione della federazione vengano persi.
D: Perché dopo aver eseguito l'accesso con l'account aziendale non è possibile vedere i servizi della propria organizzazione?
D: Prima di configurare la federazione aziendale per l'azienda, è stato utilizzato l'account My VMware per l'autenticazione in VMware Cloud services. Dopo aver attivato la federazione, utilizzare l'account aziendale per accedere a VMware Cloud services e autenticarsi direttamente con il fornitore di identità aziendale. Per accedere ai servizi utilizzati in precedenza accedendo all'account My VMware, è necessario collegare l'account aziendale all'ID VMware. Solo quando i due account sono collegati, i servizi diventano visibili e accessibili in base all'accesso al ruolo dell'organizzazione e del servizio di cui si dispone nell'organizzazione.
D: Perché vengono visualizzati due account nella scheda Identità e Accesso dopo l'attivazione della federazione aziendale?
R: L'accesso iniziale a VMware Cloud services è stato eseguito utilizzando l'account My VMware. Si supponga di aver utilizzato [email protected] per creare un account My VMware e accedere a VMware Cloud services utilizzando tale account. Dopo la federazione si accede a VMware Cloud services utilizzando l'account federato e si collega l'account ID My VMware. Il [email protected] iniziale è inattivo e contrassegnato con un'etichetta "ID VMware" per indicare l'account My VMware non più utilizzato, ma rimane visibile come "account shadow".
Non è possibile modificare gli account shadow in termini di assegnazione dei ruoli dell'organizzazione o del servizio. È consigliabile mantenere queste voci per almeno alcuni mesi dopo l'attivazione della configurazione della federazione nel caso in cui si decidesse di annullare la configurazione della federazione aziendale.
D: Quali tipi di fornitore di identità di terze parti sono supportati?
R: Qualsiasi fornitore di identità di terze parti SAML 2.0 è supportato per la federazione aziendale con VMware Cloud services.
D: Non ho un fornitore di identità di terze parti compatibile con SAML 2.0 e desidero autenticarmi direttamente con i miei Active Directory aziendali (AD). Questa operazione è supportata?
R: Sì. È possibile utilizzare i metodi di autenticazione integrati del connettore locale Workspace ONE Access per autenticare gli utenti direttamente nell'AD aziendale.
D: È possibile utilizzare una macchina virtuale Windows creata utilizzando tecnologia VMware per installare il connettore locale Workspace ONE Access?
R: Sì. È possibile utilizzare le tecnologie VMware per creare una macchina virtuale Windows utilizzabile per installare il connettore di Workspace ONE Access Windows.
D: Il Workspace ONE Access Connector deve essere installato in locale?
R: Il connettore Workspace ONE Access Windows è un componente locale generalmente installato in una rete Intranet o in una zona verde dell'azienda. Tuttavia, i clienti possono installare Connector su un cloud, a condizione che possa comunicare con l'Active Directory aziendale su protocollo LDAP/LDAPS sulle porte 389, 636.
D: My Enterprise ha già un tenant di Workspace ONE Access configurato come parte di altri prodotti acquistati tramite VMware. È possibile utilizzare l'istanza del tenant esistente anziché crearne una nuova per la configurazione della federazione self-service?
R: No, non è possibile utilizzare i tenant di Workspace ONE Access (in precedenza denominato VMware Identity Manager) esistenti. Un nuovo Workspace ONE Access tenant verrà impostato come parte della configurazione della federazione self-service. Sarà utilizzato esclusivamente per VMware Cloud Services. Non sono previsti costi o requisiti di licenza per utilizzare il nuovo tenant di Workspace ONE Access per l'accesso a VMware Cloud Services.
La stessa cosa vale per l'utilizzo di un connettore Workspace ONE Access esistente. La configurazione della federazione ne richiede uno nuovo.
D: L'azienda dispone già di un Workspace ONE Access Connector locale. È possibile utilizzare il connettore esistente anziché crearne uno nuovo per la configurazione della federazione self-service?
A: No. Per configurare la federazione self-service, l'azienda deve installare e configurare un connettore Workspace ONE Access dedicato, che verrà utilizzato solo per la federazione con VMware Cloud Services.
La stessa cosa vale per l'utilizzo di un tenant di Workspace ONE Access esistente. La configurazione della federazione ne richiede uno nuovo.
D: È necessario aprire porte firewall per il Workspace ONE Access Connector per stabilire una relazione di attendibilità con l'istanza di servizio Workspace ONE Access?
R: Il connettore Workspace ONE Access comunica il canale HTTPS/443 in uscita all'istanza di servizio Workspace ONE Access che funge da broker di identità. Se il firewall blocca l'accesso ai domini esterni, è necessario concedere l'accesso ad alcuni domini VMware.
D: Quali dati vengono sincronizzati dal connettore locale Workspace ONE Access?
D: In quali regioni è ospitata l'istanza di servizio Workspace ONE Access (broker di identità)?
R: L'istanza di servizio Workspace ONE Access è ospitata su AWS nell'area degli Stati Uniti.
D: È possibile autenticare utenti di diversi domini di cui sono proprietario, come acme.com, ext.acme.com, company.com, con il mio fornitore di identità?
R: Sì. Se è possibile verificare tutti i domini pubblici di cui si è proprietari, gli utenti di questi domini possono autenticarsi per VMware Cloud services con le proprie credenziali aziendali. Gli utenti di tutti questi domini devono innanzitutto essere sincronizzati nell'istanza di servizio Workspace ONE Access (broker di identità).
D: Come verificare i domini privati durante la configurazione della federazione self-service?
R: Questa opzione non è disponibile nell'attuale workflow di federazione self-service. Per verificare i domini privati, è necessario generare una richiesta di assistenza e il team di assistenza verificherà i domini privati per conto dell'utente.
D: È possibile aggiungere servizi all'organizzazione di federazione aziendale?
A: No. Non è possibile e non è consentito aggiungere servizi all'organizzazione di federazione aziendale. È possibile accedere all'organizzazione di federazione aziendale solo per eseguire operazioni che influiscono su tutti i servizi e le organizzazioni per un determinato dominio.
D: È disponibile un account di emergenza che può essere utilizzato per accedere a VMware Cloud Services se non è possibile accedere con le credenziali aziendali?
R: È possibile aggiungere un account My VMware all'organizzazione con un dominio non federato. Ad esempio, se il dominio di acme.com è federato, è possibile utilizzare qualsiasi account My VMware con un dominio non-acme.com per accedere a VMware Cloud services. L'utente con l'account My VMware deve essere aggiunto come Proprietario dell'organizzazione o Membro dell'organizzazione.
D: Gli attributi sincronizzati da Active Directory aziendale vengono crittografati quando sono persistenti nell'istanza del servizio Workspace ONE Access e in VMware Cloud Services on AWS?
A: No. Gli attributi utente nome, cognome, e-mail, nome utente, dominio e UPN non vengono crittografati se presenti nei VMware Cloud services su AWS.
D: In che modo il server del connettore inattivo influisce sugli utenti che accedono a console di Cloud Services? È possibile configurare il connettore in modalità HA?
R: Se l'azienda utilizza l'autenticazione del fornitore di identità di terze parti e non i metodi di autenticazione basati sul connettore, tutte le autenticazioni degli utenti vengono eseguite direttamente con il fornitore di identità. In questo caso, se il connettore è inattivo, l'accesso dell'utente non verrà interessato dagli utenti già sincronizzati. Poiché il connettore viene utilizzato solo per la sincronizzazione di utenti e gruppi, potrebbe non essere necessario il connettore in modalità HA.