Workspace ONE UEM utilizza i gruppi di organizzazioni per identificare gli utenti e stabilire autorizzazioni. Quando Workspace ONE UEM è integrato con Workspace ONE Access, le chiavi delle REST API di amministrazione e utente di registrazione sono configurate al tipo di gruppo di organizzazioni di Workspace ONE UEM denominato Cliente.

Quando gli utenti accedono all'app Workspace ONE Intelligent Hub da un dispositivo, all'interno di Workspace ONE Access viene attivato un evento di registrazione del dispositivo. Viene inviata una richiesta ad Workspace ONE UEM per richiamare tutte le applicazioni per le quali la combinazione utente/dispositivo è autorizzata. La richiesta viene inviata utilizzando le REST API per individuare l'utente all'interno di Workspace ONE UEM e inserire il dispositivo nel gruppo di organizzazioni appropriato.

Per gestire i gruppi di organizzazioni in Workspace ONE Access, mappare i gruppi di organizzazioni di Workspace ONE UEM ai domini nel servizio Workspace ONE Access.

Se i gruppi di organizzazioni di Workspace ONE UEM non sono mappati ai domini del servizio Workspace ONE Access, l'app Workspace ONE Intelligent Hub tenta di individuare l'utente nel gruppo di organizzazioni in cui è stata creata la chiave della REST API. Questo gruppo è il gruppo Cliente.

Uso dell'Auto Discovery di Workspace ONE UEM

Assicurarsi che la funzionalità Auto Discovery sia configurata nella console di Workspace ONE UEM. Impostare l'Auto Discovery quando è configurata una singola directory per un gruppo figlio nel gruppo di organizzazioni Cliente, oppure quando sono configurate più directory sotto il gruppo Cliente con domini e-mail univoci.

Figura 1. Esempio 1
Screenshot che mostra una singola directory configurata nel gruppo figlio

Nell'esempio 1, per l'Auto Discovery è registrato il dominio e-mail dell'organizzazione. Gli utenti inseriscono solo il proprio indirizzo e-mail nella pagina di registrazione di Workspace ONE Intelligent Hub.

In questo esempio, quando gli utenti del dominio NorthAmerica accedono all'app Workspace ONE Intelligent Hub, inseriscono l'indirizzo e-mail completo nel formato [email protected]. L'applicazione cerca il dominio e verifica che l'utente sia esistente o che sia possibile crearlo con una chiamata a directory nel gruppo di organizzazioni NorthAmerica. Il dispositivo può essere registrato.

Utilizzo della mappatura del gruppo di organizzazioni di Workspace ONE UEM ai domini di Workspace ONE Access

Configurare il servizio Workspace ONE Access per la mappatura del gruppo di organizzazioni di Workspace ONE UEM quando sono configurate più directory con lo stesso dominio e-mail. Abilitare Mappa domini a più gruppi di organizzazioni nella pagina Integrazioni > Integrazione UEM nella console di Workspace ONE Access.

Quando l'opzione Mappa domini a più gruppi di organizzazioni è abilitata, i domini configurati in Workspace ONE Access possono essere mappati agli ID dei gruppi di organizzazioni di Workspace ONE UEM. È richiesta anche la chiave delle REST API di amministrazione.

Nell'esempio 2, due domini sono mappati a gruppi di organizzazioni differenti. È richiesta la chiave delle REST API di amministrazione. La stessa chiave REST API di amministrazione è utilizzata per entrambi gli ID dei gruppi di organizzazioni.

Figura 2. Esempio 2
Screenshot che mostra due domini mappati a gruppi di organizzazioni diversi con una sola chiave della REST API amministratore

Nella pagina di configurazione dell'Integrazione UEM nella console di Workspace ONE Access, configurare un ID del gruppo di organizzazioni di Workspace ONE UEM specifico per ogni dominio.

Figura 3. Esempio 2 Configurazione dei gruppi di organizzazioni
Screenshot che mostra due domini mappati a gruppi di organizzazioni diversi con chiavi della REST API amministratore diverse

Con questa configurazione, quando gli utenti accedono all'app Workspace ONE Intelligent Hub dal proprio dispositivo, la richiesta di registrazione del dispositivo tenta di individuare utenti da Domain3 nel gruppo di organizzazioni Europe e utenti da Domain4 nel gruppo di organizzazioni AsiaPacific.

Nell'esempio 3, un dominio è mappato a più gruppi di organizzazioni di Workspace ONE UEM. Entrambe le directory condividono il dominio e-mail. Il dominio punta allo stesso gruppo di organizzazioni di Workspace ONE UEM.

Figura 4. Esempio 3
Screenshot che mostra un dominio mappato a più gruppi di organizzazioni in cui più directory condividono il dominio

In questa configurazione, quando gli utenti accedono all'app Workspace ONE Intelligent Hub, l'applicazione richiede agli utenti di selezionare il gruppo a cui desiderano registrarsi. In questo esempio, gli utenti possono selezionare Engineering o Accounting.

Figura 5. Gruppi di organizzazioni in cui le directory condividono lo stesso dominio
Screenshot della finestra di dialogo Mappa domini a più gruppi di organizzazioni in cui le directory condividono un dominio

Inserimento dei dispositivi nel gruppo di organizzazioni corretto

Quando il record di un utente viene correttamente individuato, il dispositivo viene aggiunto al gruppo di organizzazioni appropriato. L'impostazione di registrazione di Workspace ONE UEM Modalità di assegnazione ID di gruppo determina in quale gruppo di organizzazioni inserire il dispositivo. Questa impostazione si trova nella pagina Impostazioni di sistema> Dispositivi e utenti > Generale> Registrazione> Raggruppamento della Workspace ONE UEM Console.

Figura 6. Registrazione dei gruppi di Workspace ONE UEM per i dispositivi
Screenshot della pagina Registrazione che mostra la scheda Raggruppamento

Nell'esempio 4, tutti gli utenti sono al livello del gruppo di organizzazioni Corporate.

Figura 7. Esempio 4
Screenshot della pagina Registrazione che mostra la scheda Raggruppamento

La collocazione del dispositivo dipende dalla configurazione selezionata per la modalità di assegnazione dell'ID del gruppo al gruppo di organizzazioni Corporate.

  • Se è selezionata l'opzione Predefinito, il dispositivo viene inserito nello stesso gruppo in cui si trova l'utente. Nell'esempio 4 il dispositivo viene inserito nel gruppo Corporate.
  • Se è selezionata l'opzione Richiedi all'utente di selezionare l'ID del gruppo, agli utenti viene richiesto di selezionare in quale gruppo registrare il proprio dispositivo. Nell'esempio 4, gli utenti vedono un menu a discesa all'interno dell'app Workspace ONE Intelligent Hub contenente le opzioni Engineering e Accounting.
  • Se è selezionata l'opzione Seleziona automaticamente in base al gruppo utente, i dispositivi vengono inseriti in Engineering o in Accounting in base all'assegnazione al rispettivo gruppo di utenti e alla mappatura corrispondente in Workspace ONE UEM Console.

Cos'è un gruppo nascosto

Nell'esempio 4, quando agli utenti viene richiesto di selezionare il gruppo di organizzazioni da cui registrare, essi possono anche specificare un valore di ID di gruppo non presente nell'elenco presentato dall'app Workspace ONE Intelligent Hub. Si tratta di un gruppo nascosto.

Nell'esempio 5, nella struttura del gruppo di organizzazioni Corporate, North America e Beta sono configurati come gruppi in Corporate.

Figura 8. Esempio 5
Screenshot che mostra i gruppi configurati nella struttura del gruppo di organizzazioni Corporate

Nell'esempio 5, gli utenti immettono il proprio indirizzo e-mail nell'app Workspace ONE Intelligent Hub. Dopo l'autenticazione, agli utenti viene mostrato un elenco che consente di scegliere tra Engineering e Accounting. Beta non è una delle opzioni visualizzate. Se gli utenti conoscono l'ID del gruppo di organizzazioni, possono specificare Beta manualmente nella casella di testo di selezione del gruppo e registrare correttamente il proprio dispositivo nel gruppo Beta.