Workspace ONE UEM utilizza i gruppi di organizzazioni per identificare gli utenti e stabilire autorizzazioni. Quando Workspace ONE UEM è integrato con VMware Identity Manager, le chiavi delle REST API di amministrazione e utente di registrazione sono configurate al tipo di gruppo di organizzazioni di Workspace ONE UEM denominato Cliente.
Quando gli utenti si registrano in Workspace ONE da un dispositivo, all'interno di VMware Identity Manager viene attivato un evento registrazione dispositivo. Viene inviata una richiesta ad Workspace ONE UEM per richiamare tutte le applicazioni per le quali la combinazione utente/dispositivo è autorizzata. La richiesta viene inviata utilizzando le REST API per individuare l'utente all'interno di Workspace ONE UEM e inserire il dispositivo nel gruppo di organizzazioni appropriato.
Per gestire i gruppi di organizzazioni, in VMware Identity Manager è possibile configurare due opzioni.
Abilitare l'Auto Discovery di Workspace ONE UEM.
Mappare gruppi di organizzazioni di Workspace ONE UEM a domini nel servizio di VMware Identity Manager.
Se non è configurata nessuna di queste opzioni, Workspace ONE tenta di individuare l'utente nel gruppo di organizzazione in cui viene creata la chiave delle REST API. Questo è il gruppo Cliente.
Uso dell'Auto Discovery di Workspace ONE UEM
Impostare l'Auto Discovery quando è configurata una singola directory per un gruppo figlio nel gruppo di organizzazioni Cliente, oppure quando sono configurate più directory sotto il gruppo Cliente con domini e-mail univoci.
Nell'esempio 1, per l'Auto Discovery è registrato il dominio e-mail dell'organizzazione. Gli utenti inseriscono solo il proprio indirizzo e-mail nella pagina di registrazione di Workspace ONE.
In questo esempio, quando gli utenti del dominio NorthAmerica si registrano in Workspace ONE, inseriscono l'indirizzo e-mail completo nella forma [email protected]. L'applicazione cerca il dominio e verifica che l'utente sia esistente o che sia possibile crearlo con una chiamata a directory nel gruppo di organizzazioni NorthAmerica. Il dispositivo può essere registrato.
Uso della mappatura dei gruppi di organizzazioni di Workspace ONE UEM ai domini di VMware Identity Manager
Configurare il servizio di VMware Identity Manager per la mappatura dei gruppi di organizzazioni di Workspace ONE UEM quando sono configurate più directory con lo stesso dominio e-mai. Abilitare Mappa domini a più gruppi di organizzazioni nella pagina di configurazione di AirWatch nella console di VMware Identity Manager.
Quando l'opzione Mappa domini a più gruppi di organizzazioni è abilitata, i domini configurati in VMware Identity Manager possono essere mappati agli ID dei gruppi di organizzazioni di Workspace ONE UEM. È richiesta anche la chiave delle REST API di amministrazione.
Nell'esempio 2, due domini sono mappati a gruppi di organizzazioni differenti. È richiesta la chiave delle REST API di amministrazione. La stessa chiave REST API di amministrazione è utilizzata per entrambi gli ID dei gruppi di organizzazioni.
Nella pagina di configurazione di AirWatch nella console di VMware Identity Manager, configurare un ID gruppo di organizzazioni di Workspace ONE UEM specifico per ogni dominio.
Con questa configurazione, quando gli utenti accedono a Workspace ONE dal proprio dispositivo, la richiesta di registrazione del dispositivo tenta di individuare utenti da Domain3 nel gruppo di organizzazioni Europe e utenti da Domain4 nel gruppo di organizzazioni AsiaPacific.
Nell'esempio 3, un dominio è mappato a più gruppi di organizzazioni di Workspace ONE UEM. Entrambe le directory condividono il dominio e-mail. Il dominio punta allo stesso gruppo di organizzazioni di Workspace ONE UEM.
In questa configurazione, quando gli utenti si registrano in Workspace ONE, l'applicazione richiede agli utenti di selezionare in quale gruppo desiderano registrarsi. In questo esempio, gli utenti possono selezionare Engineering o Accounting.
Inserimento dei dispositivi nel gruppo di organizzazioni corretto
Quando il record di un utente viene correttamente individuato, il dispositivo viene aggiunto al gruppo di organizzazioni appropriato. L'impostazione di registrazione di Workspace ONE UEM Modalità di assegnazione ID di gruppo determina in quale gruppo di organizzazioni inserire il dispositivo. Questa impostazione si trova nella pagina Impostazioni di sistema> Dispositivi e utenti > Generale> Registrazione> Raggruppamento della Workspace ONE UEM Console.
Nell'esempio 4, tutti gli utenti sono al livello del gruppo di organizzazioni Corporate.
La collocazione del dispositivo dipende dalla configurazione selezionata per la modalità di assegnazione dell'ID del gruppo al gruppo di organizzazioni Corporate.
Se è selezionata l'opzione Predefinita, il dispositivo viene inserito nello stesso gruppo in cui si trova l'utente. Nell'esempio 4, il dispositivo viene inserito nel gruppo Corporate.
Se è selezionata l'opzione Richiedi all'utente di selezionare l'ID del gruppo, agli utenti viene richiesto di selezionare in quale gruppo registrare il proprio dispositivo. Nell'esempio 4, gli utenti vedono un menu a discesa all'interno dell'app Workspace ONE contenente le opzioni Engineering e Accounting.
Se è selezionata l'opzione Seleziona automaticamente in base al gruppo utente, i dispositivi vengono inseriti in Engineering o in Accounting in base all'assegnazione al rispettivo gruppo di utenti e alla mappatura corrispondente nella console di Workspace ONE UEM.
Cos'è un gruppo nascosto
Nell'esempio 4, quando agli utenti viene richiesto di selezionare il gruppo di organizzazioni da cui registrare, essi possono anche specificare un valore di ID di gruppo non presente nell'elenco presentato dall'app Workspace ONE. Si tratta di un gruppo nascosto.
Nell'esempio 5, nella struttura del gruppo di organizzazioni Corporate, North America e Beta sono configurati come gruppi sotto Corporate.
Nell'esempio 5, gli utenti inseriscono il proprio indirizzo e-mail in Workspace ONE. Dopo l'autenticazione, agli utenti viene mostrato un elenco che mostra Engineering e Accounting e da cui scegliere. Beta non è una delle opzioni visualizzate. Se gli utenti conoscono l'ID del gruppo di organizzazioni, possono specificare Beta manualmente nella casella di testo di selezione del gruppo e registrare correttamente il proprio dispositivo nel gruppo Beta.