Tipi di autenticazione degli utenti

Prima di registrare i dispositivi, ciascuno dei relativi utenti deve disporre di un account utente autentico riconosciuto da Workspace ONE UEM. La scelta del tipo di autenticazione utente dipende dalle esigenze dell'organizzazione.

Proxy di autenticazione

Il proxy di autenticazione fornisce l'integrazione dei servizi di directory sul cloud o su reti interne a protezione avanzata. In questo modello, il server Workspace ONE UEM comunica con un server Web pubblico o con un server Exchange ActiveSync che può autenticare gli utenti mediante il controller di dominio.

PRO

  • Metodo sicuro per l'integrazione proxy con AD/LDAP attraverso il cloud.
  • Gli utenti finali possono autenticarsi con le credenziali aziendali esistenti.
  • Il modulo leggero richiede una configurazione minima.

CONTRO

  • Richiede un server web pubblico o un server Exchange ActiveSync che si connetta con un server AD/LDAP.
  • Fattibile solo per layout con architettura specifica.
  • Soluzione meno robusta di VMware Enterprise Systems Connector.
  • Non può essere utilizzato per la registrazione diretta di Workspace ONE.

Questo diagramma mostra un server proxy inverso che funge da intermediario tra i servizi Directory e il modello di Workspace ONE SaaS.

  1. Il dispositivo si connette a Workspace ONE UEM per la registrazione. L'utente deve inserire il nome utente e la password dei servizi di directory.
    • Il nome utente e la password vengono crittografati durante la trasmissione.
    • Workspace ONE UEM non memorizza la password dei servizi Directory dell'utente.
  2. Workspace ONE UEM rilascia il nome utente e la password a un endpoint configurato del proxy di autenticazione che richiede l'autenticazione (ad esempio, autenticazione di base).
  3. Le credenziali dell'utente vengono convalidate in base ai servizi Directory aziendali.
  4. Se le credenziali dell'utente sono valide. Il server di Workspace ONE UEM registra il dispositivo.

Autenticazione di Active Directory/LDAP e VMware Enterprise Systems Connector

L'autenticazione di Active Directory con LDAP e VMware Enterprise Systems Connector fornisce le stesse funzionalità dell'autenticazione AD e LDAP tradizionale. Questo modello funziona attraverso il cloud per le distribuzioni SaaS (Software-as-a-Service).

PRO

  • Gli utenti possono autenticarsi con le credenziali aziendali esistenti.
  • Non richiede modifiche del firewall, poiché la comunicazione è avviata da VMware Enterprise Systems Connector all'interno della rete.
  • La trasmissione delle credenziali è crittografa in modo sicuro.
  • Inoltre offre una configurazione sicura per altre infrastrutture come BES, Microsoft ADCS, SCEP e server SMTP.
  • Compatibile con la registrazione diretta di Workspace ONE ™.

CONTRO

  • È necessario che VMware Enterprise Systems Connector sia installato dietro il firewall o in un DMZ.
  • Necessita di ulteriore configurazione.

Modello di distribuzione SaaS

Questo diagramma mostra il connettore di VMware Cloud che offre l'accesso a Workspace ONE nel cloud attraverso il firewall, consentendo contemporaneamente l'accesso alle risorse interne di rete.

Modello di distribuzione locale

Questo diagramma mostra un dispositivo che accede ai servizi dispositivo in una rete perimetrale fornita tramite un firewall dalle risorse interne di rete.

Autenticazione SAML 2.0

L'autenticazione Security Assertion Markup Language (SAML) 2.0 offre il supporto del Single Sign-On e l'autenticazione federata. Workspace ONE UEM non riceve mai credenziali aziendali.

Se un'organizzazione dispone di un server fornitore di identità SAML, si consiglia l'integrazione SAML 2.0. Assicurarsi che il fornitore di identità restituisca l'attributo objectGUID come parte della risposta SAML.

PRO

  • Offre funzionalità Single Sign-On.
  • Autenticazione con le credenziali aziendali esistenti.
  • Workspace ONE UEM non riceve mai credenziali aziendali in formato testo normale.
  • Compatibile con la registrazione diretta di Workspace ONE se abbinata a un utente directory SAML.
  • Solo gli amministratori possono utilizzare ambienti multidominio.

CONTRO

  • Richiede l'infrastruttura aziendale del fornitore di identità SAML.
  • Non compatibile con la registrazione diretta Workspace ONE quando abbinata a un utente di base SAML.

  • Se si configura SAML con Workspace ONE Access come IDP, con la funzionalità Utente di base locale abilitata, l'autenticazione degli utenti di base non è supportata.

    Questo diagramma mostra il server di Workspace ONE SaaS che riceve l'input da un dispositivo tramite Internet e accede al fornitore di identità SAML attraverso un firewall.

    1. Il dispositivo si connette a Workspace ONE UEM per la registrazione. Il server UEM reindirizza quindi il dispositivo al fornitore di identità specificato dal client.
    2. Il dispositivo si connette tramite HTTPS al fornitore di identità fornito dal client e l'utente immette le credenziali.
      • Credenziali crittografate durante la trasmissione diretta tra il dispositivo e l'endpoint SAML.
    3. Le credenziali sono convalidate in base ai servizi directory.
    4. Il fornitore di identità restituisce una risposta SAML firmata con il nome utente autenticato.
    5. Il dispositivo risponde al server Workspace ONE UEM e presenta il messaggio SAML firmato. L'utente esegue l'autenticazione. Per ulteriori informazioni, consultare Configurare i servizi Directory manualmente e scorrere fino alla sezione SAML.

  • Le app SaaS non sono disponibili per gli amministratori SAML che eseguono l'autenticazione tramite Workspace ONE Access.

Funzionalità delle app SaaS per gli amministratori SAML

Le applicazioni SaaS, oltre ad altri criteri e funzioni di Workspace ONE Access, non sono disponibili se si è un amministratore SAML che esegue l'autenticazione utilizzando Workspace ONE Access. Quando si accede alla pagina delle app SaaS, viene visualizzato il messaggio di errore riportato di seguito.

Verificare che l'account dell'amministratore sia presente in entrambi i sistemi UEM e IDM e che il dominio in Workspace ONE UEM corrisponda esattamente al dominio dello stesso account in VMware Identity Manager.

Per ripristinare l'accessibilità all'app SaaS, è necessario accedere a Workspace ONE UEM utilizzando l'autenticazione di base e attivare Workspace ONE Access nel gruppo.

Autenticazione basata su token

L'autenticazione basata su token rappresenta per l'utente il modo più semplice per registrare il proprio dispositivo. Con queste impostazioni di registrazione, Workspace ONE UEM genera un token che viene inserito nell'URL di registrazione.

Per l'autenticazione single-token, l'utente accede al collegamento dal dispositivo per completare la registrazione e il server Workspace ONE UEM fa riferimento al token fornito all'utente.

Per una maggiore sicurezza, impostare una scadenza (in ore) per ogni token in modo da ridurre al minimo l'eventualità che un altro utente acceda alle informazioni e alle funzioni disponibili per il dispositivo.

Puoi anche decidere di implementare l'autenticazione a due fattori per portare la verifica dell'identità dell'utente finale ad un livello superiore. Con questa impostazione di autenticazione, l'utente deve inserire il proprio nome utente e password al momento dell'accesso al collegamento di registrazione con il token fornito.

PRO

  • Minimo intervento da parte dell'utente finale per registrare e autenticare il proprio dispositivo.
  • È possibile proteggere l'utilizzo dei token impostando la scadenza.
  • L'utente non ha bisogno di credenziali per l'autenticazione single-token.

CONTRO

  • Richiede l'integrazione Simple Mail Transfer Protocol (SMTP) o Short Message Service (SMS) per inviare i token al dispositivo.

Questo diagramma mostra l'utente amministratore che fornisce un token monouso a un utente per la registrazione.

  1. L'amministratore deve autorizzare la registrazione del dispositivo dell'utente.
  2. I token monouso sono generati e inviati all'utente da Workspace ONE UEM.
  3. L'utente riceve un token e accede all'URL di registrazione. All'utente viene richiesto il token e, opzionalmente, l'autenticazione a due fattori.
  4. Processo di registrazione del dispositivo.
  5. Workspace ONE UEM contrassegna il token come scaduto.

Nota: Le distribuzioni SaaS includono SMTP.

Abilitare i tipi di sicurezza per la registrazione

Dopo aver integrato Workspace ONE UEM con un tipo di sicurezza utente selezionato e prima della registrazione, abilitare ogni modalità di autenticazione che si prevede di consentire.

  1. Andare su Dispositivi > Impostazioni dispositivi > Dispositivi e utenti > Generale > Registrazione, quindi selezionare la scheda Autenticazione.

  2. Selezionare le caselle di controllo appropriate per l'impostazione di Modalità di autenticazione.

    Impostazione Descrizione
    Aggiungi dominio email Questo pulsante è usato per la configurazione del servizio di individuazione automatica per registrare i domini di posta elettronica all'ambiente.
    Modalità di autenticazione Selezionare i tipi di autenticazione consentiti, che includono:

    * Base: consente di registrare gli account utente di base (quelli creati manualmente nella console UEM).
    * Directory: consente di registrare gli account utente Directory (importati o consentiti tramite l'integrazione con i servizi Directory). Registrazione diretta di Workspace ONE supporta gli utenti della Directory con o senza SAML.
    * Proxy di autenticazione: consente di registrare gli utenti che utilizzano un account utente di Proxy di autenticazione. L'autenticazione degli utenti avviene in un endpoint Web. Immettere l'URL di autenticazione Proxy, l'URL di Backup di autenticazione Proxy, e Il tipo di metodo di autenticazione (scegliere tra HTTP base ed Exchange ActiveSync).
    Origine dell'autenticazione per Intelligent Hub Selezionare il servizio Intelligent Hub utilizzato dal sistema come origine per gli utenti e i criteri di autenticazione.

    * Workspace ONE UEM: selezionare questa impostazione se si desidera che Hub Services utilizzi Workspace ONE UEM come origine per i criteri utente e di autenticazione. Durante la configurazione della pagina Configurazione Hub per i servizi Hub, immettere l'URL del tenant dei Servizi Hub.
    * Workspace ONE Access: selezionare questa impostazione se si desidera che Hub Services utilizzi Workspace ONE Access come origine per i criteri utente e di autenticazione.

    Durante la configurazione della pagina Configurazione Hub per i servizi Hub, immettere l'URL del tenant di Workspace ONE Access.

    Nota: Se si abilita Workspace ONE Access come origine dell'autenticazione per Intelligent Hub e si utilizza una riga di comando per registrarsi a scopo di staging, questa configurazione viene ignorata in base alle credenziali fornite nella riga di comando.

    Per informazioni dettagliate su Workspace ONE Intelligent Hub, vedere la documentazione di VMware Workspace ONE Hub Services.

    Per informazioni dettagliate su Workspace ONE Access, vedere la documentazione di VMware Workspace ONE Access.
    Modalità registrazione dispositivi Selezionare la modalità di registrazione preferita del dispositivo. Le opzioni includono:

    * Registrazione aperta: sostanzialmente, consente la registrazione di tutti gli utenti che soddisfano gli altri criteri di registrazione (modalità di autenticazione, limiti e così via). Registrazione diretta di Workspace ONE supporta la registrazione aperta.
    * Solo dispositivi registrati: consente la registrazione solo agli utenti autorizzati che utilizzano dispositivi registrati da loro stessi o dall'amministratore. La registrazione del dispositivo è la procedura di aggiunta di dispositivi aziendali alla console UEM prima della loro registrazione. Registrazione diretta di Workspace ONE supporta la registrazione solo di dispositivi registrati ma solo se non sono richiesti i token di registrazione.
    Richiedi token di iscrizione Viene visualizzata solo quando è selezionata l'opzione Solo dispositivi registrati .

    Se limiti la registrazione ai soli dispositivi registrati, puoi richiedere un token di registrazione, da usare per la registrazione. Si aumenterà quindi il livello di sicurezza richiedendo se un determinato utente è autorizzato a registrarsi. Puoi inviare una e-mail o un messaggio SMS con il token di registrazione agli utenti che dispongono di account Workspace ONE UEM.
    Richiedi registrazione tramite Intelligent Hub per iOS Selezionare questa casella di controllo per richiedere agli utenti con dispositivi iOS di scaricare e installare Workspace ONE Intelligent Hub prima di eseguire la registrazione. Se l'opzione è disattivata, è disponibile la registrazione Web.
    Richiedi registrazione tramite Intelligent Hub per macOS Selezionare questa casella di controllo per richiedere agli utenti con dispositivi macOS di scaricare e installare Workspace ONE Intelligent Hub prima di eseguire la registrazione. Se l'opzione è disattivata, è disponibile la registrazione Web.

  3. Seleziona Salva.

Autenticazione utente di base

L'autenticazione di base può essere utilizzata da qualsiasi architettura di Workspace ONE UEM, ma non offre alcuna integrazione con gli account utente aziendali esistenti.

PRO

  • Compatibile con qualsiasi metodo di distribuzione.
  • Non richiede integrazione tecnica.
  • Non richiede alcuna infrastruttura aziendale.

CONTRO

  • Non compatibile con il rilevamento automatico.
  • Le credenziali sono valide solo in Workspace ONE UEM e non corrispondono necessariamente alle credenziali aziendali esistenti.
  • Non offre alcuna protezione centralizzata o Single Sign-On.
  • Workspace ONE UEM archivia tutti i nomi utente e le password.
  • Non compatibile con la registrazione diretta di Workspace ONE.

Questo diagramma mostra un dispositivo che accede alla console UEM tramite Internet. L'utente amministratore della console accede a Workspace ONE UEM tramite un firewall.

  1. L'utente console accede a Workspace ONE UEM SaaS tramite un account locale per l'autenticazione (autenticazione di base).
    • Le credenziali vengono crittografate durante la trasmissione.
    • (ad esempio, nome utente: [email protected], password: Abcd).
  2. L'utente registra il dispositivo utilizzando le credenziali dell'account locale di Workspace ONE UEM (autenticazione di base).
    • Le credenziali vengono crittografate durante la trasmissione.
    • (ad esempio, nome utente: jdoe2, password 2557).

Autenticazione di Active Directory con LDAP

L'autenticazione di Active Directory con LDAP (Lightweight Directory Access Protocol) viene utilizzata per integrare gli account utente e amministratore di Workspace ONE UEM con account aziendali esistenti.

PRO

  • Gli utenti possono autenticarsi con le credenziali aziendali esistenti.
  • Metodo sicuro per integrare LDAP/AD.
  • Pratica di integrazione standard.
  • Compatibile con la registrazione diretta di Workspace ONE.

CONTRO

  • È necessario un server AD o un altro server LDAP.

Questo diagramma mostra un dispositivo che accede alla console UEM tramite Internet e attraversa un firewall. La console UEM accede ai servizi Directory.

  1. Il dispositivo si connette a Workspace ONE UEM per la registrazione. L'utente deve inserire il nome utente e la password dei servizi di directory.
    • Il nome utente e la password vengono crittografati durante la trasmissione.
    • Workspace ONE UEM non memorizza la password dei servizi Directory dell'utente.
  2. Workspace ONE UEM accede a Internet per richiedere i servizi Directory tramite un protocollo LDAP sicuro e utilizza un account di servizio per l'autenticazione.
  3. Le credenziali dell'utente vengono convalidate in base ai servizi Directory aziendali.
  4. Se le credenziali dell'utente sono valide. Il server di Workspace ONE UEM registra il dispositivo.
check-circle-line exclamation-circle-line close-line
Scroll to top icon