Prima di poter procedere con la registrazione, ogni utente dei dispositivi deve disporre di un account utente autentico riconosciuto da Workspace ONE UEM. La scelta del tipo di autenticazione utente dipende dalle esigenze dell'organizzazione.

Proxy di autenticazione

Il proxy di autenticazione fornisce l'integrazione dei servizi di directory sul cloud o su reti interne a protezione avanzata. In questo modello, il server Workspace ONE UEM comunica con un server Web pubblico o con un server Exchange ActiveSync. che può autenticare gli utenti mediante il controller di dominio.

PROS

  • Offre un metodo sicuro per l'integrazione proxy con AD/LDAP attraverso il cloud.
  • Gli utenti finali possono autenticarsi con le credenziali aziendali esistenti.
  • Modulo leggero che richiede una configurazione minima.

CONS

  • Richiede un server Web pubblico o un server Exchange ActiveSync che si colleghi con un server AD/LDAP.
  • Fattibile solo per layout con architettura specifica.
  • Soluzione molto più robusta di VMware Enterprise Systems Connector.
  • Non può essere utilizzato per la registrazione diretta di Workspace ONE.

Questo diagramma mostra un server proxy inverso che funge da intermediario di servizi di directory e modello di Workspace ONE SaaS.

  1. Il dispositivo deve connettersi a Workspace ONE UEM per effettuare la registrazione. L'utente deve inserire il nome utente e la password dei servizi di directory.
    • Il nome utente e la password sono criptati durante la trasmissione.
    • Workspace ONE UEM non memorizza la password dei servizi di directory dell'utente.
  2. Workspace ONE UEM rilascia il nome utente e la password a un endpoint configurato del proxy di autenticazione che richiede l'autenticazione (ad esempio, autenticazione di base).
  3. Le credenziali dell'utente vengono convalidate in base ai servizi di directory aziendale.
  4. Se le credenziali dell'utente sono valide, il server Workspace ONE UEM consente al dispositivo di completare il processo di registrazione.

Autenticazione di Active Directory/LDAP e VMware Enterprise Systems Connector

L'autenticazione di Active Directory con LDAP e VMware Enterprise Systems Connector fornisce le stesse funzionalità dell'autenticazione AD e LDAP tradizionale. Questo modello funziona attraverso il cloud per le distribuzioni SaaS (Software-as-a-Service).

PROS

  • Gli utenti possono autenticarsi con le credenziali aziendali esistenti.
  • Non richiede modifiche del firewall, poiché la comunicazione viene avviata da VMware Enterprise Systems Connector all'interno della rete.
  • La trasmissione delle credenziali è criptata e sicura.
  • Inoltre offre una configurazione sicura per altre infrastrutture come BES, Microsoft ADCS, SCEP e server SMTP.
  • Può essere utilizzato per la registrazione diretta di Workspace ONE ™.

CONS

  • È necessario che VMware Enterprise Systems Connector sia installato dietro il firewall o in un DMZ.
  • Necessita di ulteriore configurazione.

Modello di distribuzione SaaS

Questo diagramma illustra il connettore di VMware Cloud che offre l'accesso a Workspace ONE nel cloud attraverso il firewall, consentendo contemporaneamente accesso alle risorse interne della rete.

Modello di distribuzione locale

Questo diagramma mostra un dispositivo che accede ai servizi dispositivo in una zona demilitarizzata DMZ che viene fornita tramite un firewall dalle risorse interne della rete.

Autenticazione SAML 2.0

L'autenticazione Security Assertion Markup Language (SAML) 2.0 offre il supporto del Single Sign-On e l'autenticazione federata. Workspace ONE UEM non riceve mai credenziali aziendali.

Se un'organizzazione dispone di un server fornitore di identità SAML, si consiglia l'integrazione SAML 2.0. Assicurarsi che il fornitore di identità restituisca l'attributo objectGUID come parte della risposta SAML.

PROS

  • Offre funzionalità Single Sign-On.
  • Autenticazione con le credenziali aziendali esistenti.
  • Workspace ONE UEM non riceve mai le credenziali in formato testo normale.
  • Può essere utilizzata per la registrazione diretta di Workspace ONE quando abbinata a un utente Directory SAML.
  • Gli ambienti multi-dominio sono supportati solo per gli amministratori.

CONS

  • Richiede l'infrastruttura aziendale del fornitore di identità SAML.
  • Non può essere utilizzata per la registrazione diretta di Workspace ONE quando abbinata a un utente di base di SAML.
  • Se si configura SAML con Workspace ONE Access come IDP con la funzionalità Utente di base locale abilitata, l'autenticazione degli utenti di base non è supportata.

    Questo diagramma illustra il server di Workspace ONE SaaS ricevere l'input da un dispositivo tramite Internet e accedere al fornitore di identità SAML attraverso un firewall.

    1. Il dispositivo deve connettersi ad Workspace ONE UEM per effettuare la registrazione. Il server UEM reindirizza quindi il dispositivo al fornitore di identità specificato dal client.
    2. Il dispositivo si connette tramite HTTPS al fornitore di identità fornito dal client e l'utente immette le credenziali.
      • Le credenziali sono criptate durante la trasmissione diretta tra il dispositivo e il terminale SAML.
    3. Le credenziali vengono convalidate in base ai servizi di directory.
    4. Il fornitore di identità restituisce una risposta SAML firmata con il nome utente autenticato.
    5. Il dispositivo risponde al server Workspace ONE UEM e presenta il messaggio SAML firmato. L'utente viene autenticato.

    Per ulteriori informazioni, consultare Configurare i servizi Directory manualmente e scorrere fino alla sezione SAML.

  • Le app SaaS non sono disponibili per gli amministratori SAML che eseguono l'autenticazione tramite Workspace ONE Access.

Funzionalità delle app SaaS per gli amministratori SAML

Le applicazioni SaaS, oltre ad altri criteri e funzioni di Workspace ONE Access, non sono disponibili se si è un amministratore SAML che esegue l'autenticazione utilizzando Workspace ONE Access. Quando si accede alla pagina delle app SaaS, viene visualizzato il messaggio di errore riportato di seguito.

Verifica che l'account dell'amministratore sia presente in entrambi i sistemi UEM e IDM e che il dominio in Workspace ONE UEM corrisponda esattamente al dominio dello stesso account in VMware Identity Manager.

Per ripristinare l'accessibilità all'app SaaS, è necessario accedere a Workspace ONE UEM utilizzando l'autenticazione di base e attivare Workspace ONE Access nel gruppo.

Autenticazione basata su token

L'autenticazione basata su token rappresenta per l'utente il modo più semplice per registrare il proprio dispositivo. Con queste impostazioni di registrazione, Workspace ONE UEM genera un token che viene inserito nell'URL di registrazione.

Per l'autenticazione single-token l'utente accede al collegamento dal dispositivo per completare la registrazione e il server Workspace ONE UEM fa riferimento al token fornito all'utente.

Per una maggiore sicurezza, impostare una scadenza (in ore) per ogni token in modo da ridurre al minimo l'eventualità che un altro utente acceda alle informazioni e alle funzioni disponibili per il dispositivo.

Puoi anche decidere di implementare l'autenticazione a due fattori per portare la verifica dell'identità dell'utente finale ad un livello superiore. Con questa impostazione di autenticazione, l'utente deve inserire il proprio nome utente e password al momento dell'accesso al collegamento di registrazione con il token fornito.

PROS

  • Minimo intervento da parte dell'utente finale per registrare e autenticare il proprio dispositivo.
  • È possibile proteggere l'utilizzo dei token impostando la scadenza.
  • L'utente non ha bisogno di credenziali per l'autenticazione single-token.

CONS

  • Richiede l'integrazione Simple Mail Transfer Protocol (SMTP) o Short Message Service (SMS) per inviare i token al dispositivo.

Questo diagramma mostra l'utente amministratore che fornisce un token monouso a un utente per la registrazione.

  1. L'amministratore deve autorizzare la registrazione del dispositivo dell'utente.
  2. I token monouso sono generati e inviati all'utente da Workspace ONE UEM.
  3. L'utente riceve un token e accede all'URL di registrazione. Viene richiesto il token e, opzionalmente, l'autenticazione a due fattori.
  4. Processo di registrazione del dispositivo.
  5. Workspace ONE UEM contrassegna il token come scaduto.
Nota: SMTP è incluso con le distribuzioni SaaS.

Abilitare i tipi di sicurezza per la registrazione

Una volta integrato Workspace ONE UEM con un tipo di sicurezza utente selezionato e prima della registrazione, abilitare ogni modalità di autenticazione che si prevede di consentire.

  1. Andare su Dispositivi > Impostazioni dispositivo > Dispositivi e utenti > Generale > Registrazione nella scheda Autenticazione.
  2. Selezionare le caselle di controllo appropriate per l'impostazione di Modalità di autenticazione.
    Impostazione Descrizione
    Aggiungi dominio email Questo pulsante è usato per la configurazione del servizio di individuazione automatica per registrare i domini di posta elettronica all'ambiente.
    Modalità di autenticazione

    Selezionare i tipi di autenticazione consentiti, che includono:

    • Base: gli account utente di base (quelli creati manualmente nella console UEM) possono registrarsi.
    • Directory: gli account utente Directory (importati o consentiti tramite l'integrazione col servizio directory) possono registrarsi. Registrazione diretta di Workspace ONE supporta gli utenti della Directory con o senza SAML.
    • Proxy di autenticazione: consente agli utenti di registrarsi utilizzando gli account utente di Proxy di autenticazione. L'autenticazione degli utenti avviene in un endpoint Web.
      • Immettere l'URL di autenticazione Proxy, l'URL di Backup di autenticazione Proxy, e Il tipo di metodo di autenticazione (scegliere tra HTTP base ed Exchange ActiveSync).
    Origine di autenticazione per Intelligent Hub

    Selezionare il servizio Intelligent Hub utilizzato dal sistema come origine per gli utenti e i criteri di autenticazione.

    • Workspace ONE UEM: selezionare questa impostazione se si desidera che i servizi Hub utilizzino Workspace ONE UEM come origine per i criteri utente e di autenticazione.

      Durante la configurazione della pagina Configurazione Hub per i servizi Hub, immettere l'URL del tenant dei Servizi Hub.

    • Workspace ONE Access: selezionare questa impostazione se si desidera che i servizi Hub utilizzino Workspace ONE Access come origine per i criteri utente e di autenticazione.

      Durante la configurazione della pagina Configurazione Hub per i servizi Hub, immettere l'URL del tenant di Workspace ONE Access.

    Per informazioni dettagliate su Workspace ONE Intelligent Hub, consultare la documentazione di VMware Workspace ONE Hub Services.

    Per informazioni dettagliate su Workspace ONE Access, consultare la documentazione di VMware Workspace ONE Access.

    Modalità registrazione dispositivi

    Selezionare la modalità di registrazione preferita del dispositivo. Le opzioni includono:

    • Registrazione aperta: consente sostanzialmente di registrarsi a tutti coloro che soddisfano gli altri criteri di registrazione (modalità di autenticazione, limiti e così via). Registrazione diretta di Workspace ONE supporta la registrazione aperta.
    • Solo dispositivi registrati: solo gli utenti autorizzati alla registrazione con dispositivi registrati da te o da loro. La registrazione del dispositivo è la procedura di aggiunta di dispositivi aziendali alla console UEM prima della loro registrazione. Registrazione diretta di Workspace ONE supporta la registrazione solo di dispositivi registrati ma solo se non sono richiesti i token di registrazione.
    Richiedi token di iscrizione

    Viene visualizzata solo quando è selezionata l'opzione Solo dispositivi registrati .

    Se limiti la registrazione ai soli dispositivi registrati, puoi richiedere un token di registrazione, da usare per la registrazione. Si aumenterà quindi il livello di sicurezza richiedendo se un determinato utente è autorizzato a registrarsi. Puoi inviare una e-mail o un messaggio SMS con il token di registrazione agli utenti che dispongono di account Workspace ONE UEM.

    Richiedi registrazione tramite l'Intelligent Hub per iOS Selezionare questa casella di controllo per richiedere agli utenti con dispositivi iOS di scaricare e installare Workspace ONE Intelligent Hub prima di potersi registrare. Se disabilitato, è disponibile la registrazione Web.
    Richiedi registrazione tramite l'Intelligent Hub per macOS Selezionare questa casella di controllo per richiedere agli utenti con dispositivi macOS di scaricare e installare Workspace ONE Intelligent Hub prima di potersi registrare. Se disabilitato, è disponibile la registrazione Web.
  3. Seleziona Salva.

Autenticazione utente di base

L'autenticazione di base può essere utilizzata da qualsiasi architettura di Workspace ONE UEM, ma non offre alcuna integrazione con gli account utente aziendali esistenti.

PROS

  • Può essere utilizzata per qualsiasi metodo di distribuzione.
  • Non richiede integrazione tecnica.
  • Non richiede alcuna infrastruttura aziendale.

CONS

  • Non può essere utilizzata con il rilevamento automatico.
  • Le credenziali sono valide solo in Workspace ONE UEM e non corrispondono necessariamente alle credenziali aziendali esistenti.
  • Non offre alcuna protezione centralizzata o Single Sign-On.
  • Workspace ONE UEM memorizza tutti i nomi utente e le password.
  • Non può essere utilizzato per la registrazione diretta di Workspace ONE.

  1. L'utente della console accede a Workspace ONE UEM SaaS utilizzando l'account locale per l'autenticazione (autenticazione di base).
    • Le credenziali sono criptate durante la trasmissione.
    • (ad esempio, nome utente: jdoe@air-watch.com, password: Abcd).
  2. L'utente registra il dispositivo utilizzando le credenziali dell'account locale di Workspace ONE UEM (autenticazione di base).
    • Le credenziali sono criptate durante la trasmissione.
    • (ad esempio, nome utente: jdoe2, password 2557).

Autenticazione di Active Directory con LDAP

L'autenticazione di Active Directory con LDAP (Lightweight Directory Access Protocol) viene utilizzata per integrare gli account utente e amministratore di AirWatchWorkspace ONE UEM con account aziendali esistenti.

PROS

  • Gli utenti possono autenticarsi con le credenziali aziendali esistenti.
  • Metodo sicuro per integrare LDAP/AD.
  • Pratica di integrazione standard.
  • Può essere utilizzato per la registrazione diretta di Workspace ONE.

CONS

  • Richiede un server AD o un altro server LDAP.

Questo diagramma mostra un dispositivo che accede alla console UEM tramite Internet passando attraverso un firewall. la console UEM accede ai servizi di directory.

  1. Il dispositivo deve connettersi a Workspace ONE UEM per effettuare la registrazione. L'utente deve inserire il nome utente e la password dei servizi di directory.
    • Il nome utente e la password sono criptati durante la trasmissione.
    • Workspace ONE UEM non memorizza la password dei servizi di directory dell'utente.
  2. Workspace ONE UEM accede a Internet per richiedere i servizi di directory del client tramite LDAP sicuro e utilizza un account di servizio per l'autenticazione.
  3. Le credenziali dell'utente vengono convalidate in base al servizio di directory aziendale.
  4. Se le credenziali dell'utente sono valide, il server Workspace ONE UEM consente al dispositivo di completare il processo di registrazione.