L'autenticazione Security Assertion Markup Language (SAML) 2.0 offre il supporto del Single Sign-On e l'autenticazione federata. Workspace ONE UEM non riceve mai credenziali aziendali.

Se un'organizzazione dispone di un server fornitore di identità SAML, si consiglia l'integrazione SAML 2.0. Assicurarsi che il fornitore di identità restituisca l'attributo objectGUID come parte della risposta SAML.

Pro

  • Offre funzionalità Single Sign-On.
  • Autenticazione con le credenziali aziendali esistenti.
  • Workspace ONE UEM non riceve mai le credenziali in formato testo normale.
  • Può essere utilizzata per la registrazione diretta di Workspace ONE quando abbinata a un utente Directory SAML.
  • Gli ambienti multi-dominio sono supportati solo per gli amministratori.

Contro

  • Richiede l'infrastruttura aziendale del fornitore di identità SAML.
  • Non può essere utilizzata per la registrazione diretta di Workspace ONE quando abbinata a un utente di base di SAML.
  • Le app SaaS non sono disponibili per gli amministratori SAML che eseguono l'autenticazione tramite Workspace ONE Access. Per informazioni, vedere di seguito.

Questo diagramma illustra il server di Workspace ONE SaaS ricevere l'input da un dispositivo tramite Internet e accedere al fornitore di identità SAML attraverso un firewall.

  1. Il dispositivo deve connettersi ad Workspace ONE UEM per effettuare la registrazione. Il server UEM reindirizza quindi il dispositivo al fornitore di identità specificato dal client.
  2. Il dispositivo si connette tramite HTTPS al fornitore di identità fornito dal client e l'utente immette le credenziali.
    • Le credenziali sono criptate durante la trasmissione diretta tra il dispositivo e il terminale SAML.
  3. Le credenziali vengono convalidate in base ai servizi di directory.
  4. Il fornitore di identità restituisce una risposta SAML firmata con il nome utente autenticato.
  5. Il dispositivo risponde al server Workspace ONE UEM e presenta il messaggio SAML firmato. L'utente viene autenticato.

    Per ulteriori informazioni, vedere la Guida di integrazione di VMware AirWatch SAML.

Funzionalità delle app SaaS per gli amministratori SAML

Le applicazioni SaaS, oltre ad altri criteri e funzioni di Workspace ONE Access, non sono disponibili se si è un amministratore SAML che esegue l'autenticazione utilizzando Workspace ONE Access. Quando si accede alla pagina delle app SaaS, viene visualizzato il messaggio di errore riportato di seguito.

Verifica che l'account dell'amministratore sia presente in entrambi i sistemi UEM e IDM e che il dominio in Workspace ONE UEM corrisponda esattamente al dominio dello stesso account in VMware Identity Manager.

Per ripristinare l'accessibilità all'app SaaS, è necessario accedere a Workspace ONE UEM utilizzando l'autenticazione di base e attivare Workspace ONE Access nel gruppo.