Workspace ONE UEM utilizza i gruppi di organizzazioni per identificare gli utenti e stabilire autorizzazioni. Quando Workspace ONE UEM è integrato con Workspace ONE Access, le chiavi delle REST API di amministrazione e utente di registrazione sono configurate al tipo di gruppo di organizzazioni di Workspace ONE UEM denominato Cliente.

Quando gli utenti accedono all'app Intelligent Hub da un dispositivo, in Workspace ONE Access viene attivato un evento di registrazione del dispositivo. Viene inviata una richiesta ad Workspace ONE UEM per richiamare tutte le applicazioni per le quali la combinazione utente/dispositivo è autorizzata. La richiesta viene inviata utilizzando le REST API per individuare l'utente all'interno di Workspace ONE UEM e inserire il dispositivo nel gruppo di organizzazioni appropriato.

Per gestire i gruppi di organizzazioni, in Workspace ONE Access è possibile configurare due opzioni.

  • Abilitare l'Auto Discovery di Workspace ONE UEM.
  • Mappare gruppi di organizzazioni di Workspace ONE UEM a domini nel servizio di Workspace ONE Access.

Se non è configurata alcuna di queste opzioni, Intelligent Hub tenta di individuare l'utente nel gruppo di organizzazioni in cui viene creata la chiave REST API. Questo è il gruppo Cliente.

Uso dell'Auto Discovery di Workspace ONE UEM

Impostare Auto Discovery quando è configurata una singola directory per un gruppo figlio nel gruppo di organizzazioni Cliente, oppure quando sono configurate più directory nel gruppo Cliente con domini e-mail univoci. Vedere Registrazione dei domini e-mail per l'individuazione automatica.

Figura 1. Esempio 1

Nell'esempio 1, per l'Auto Discovery è registrato il dominio e-mail dell'organizzazione. Gli utenti inseriscono solo il proprio indirizzo e-mail nella pagina di accesso a Intelligent Hub.

In questo esempio, quando gli utenti del dominio NorthAmerica accedono a Intelligent Hub, inseriscono l'indirizzo e-mail completo nel formato user1@domain1.com. L'applicazione cerca il dominio e verifica che l'utente sia esistente o che sia possibile crearlo con una chiamata a directory nel gruppo di organizzazioni NorthAmerica. Il dispositivo può essere registrato.

Utilizzo della mappatura del gruppo di organizzazioni di Workspace ONE UEM ai domini di Workspace ONE Access

Configurare il servizio Workspace ONE Access per la mappatura del gruppo di organizzazioni di Workspace ONE UEM quando sono configurate più directory con lo stesso dominio e-mail. Abilitare Mappa domini a più gruppi di organizzazioni nella pagina di configurazione di AirWatch nella console di Workspace ONE Access.

Quando l'opzione Mappa domini a più gruppi di organizzazioni è abilitata, i domini configurati in Workspace ONE Access possono essere mappati agli ID dei gruppi di organizzazioni di Workspace ONE UEM. È richiesta anche la chiave delle REST API di amministrazione.

Nell'esempio 2, due domini sono mappati a gruppi di organizzazioni differenti. È richiesta la chiave delle REST API di amministrazione. La stessa chiave REST API di amministrazione è utilizzata per entrambi gli ID dei gruppi di organizzazioni.

Figura 2. Esempio 2

Nella pagina di configurazione di AirWatch nella console di Workspace ONE Access, configurare un ID gruppo di organizzazioni di Workspace ONE UEM specifico per ogni dominio.

Figura 3. Esempio 2 Configurazione dei gruppi di organizzazioni

Con questa configurazione, quando gli utenti accedono all'app Intelligent Hub dal proprio dispositivo, la richiesta di registrazione del dispositivo tenta di individuare utenti di Domain3 nel gruppo di organizzazioni Europe e utenti di Domain4 nel gruppo di organizzazioni AsiaPacific.

Nell'esempio 3, un dominio è mappato a più gruppi di organizzazioni di Workspace ONE UEM. Entrambe le directory condividono il dominio e-mail. Il dominio punta allo stesso gruppo di organizzazioni di Workspace ONE UEM.

Figura 4. Esempio 3

In questa configurazione, quando gli utenti accedono all'app Intelligent Hub, l'applicazione richiede agli utenti di selezionare in quale gruppo desiderano registrarsi. In questo esempio, gli utenti possono selezionare Engineering o Accounting.

Figura 5. Gruppi di organizzazioni in cui le directory condividono lo stesso dominio

Inserimento dei dispositivi nel gruppo di organizzazioni corretto

Quando il record di un utente viene correttamente individuato, il dispositivo viene aggiunto al gruppo di organizzazioni appropriato. L'impostazione di registrazione di Workspace ONE UEM Modalità di assegnazione ID di gruppo determina in quale gruppo di organizzazioni inserire il dispositivo. Questa impostazione si trova nella pagina Impostazioni di sistema> Dispositivi e utenti > Generale> Registrazione> Raggruppamento della Workspace ONE UEM Console.

Figura 6. Registrazione dei gruppi di Workspace ONE UEM per i dispositivi

Nell'esempio 4, tutti gli utenti sono al livello del gruppo di organizzazioni Corporate.

Figura 7. Esempio 4

La collocazione del dispositivo dipende dalla configurazione selezionata per la modalità di assegnazione dell'ID del gruppo al gruppo di organizzazioni Corporate.

  • Se è selezionata l'opzione Predefinita, il dispositivo viene inserito nello stesso gruppo in cui si trova l'utente. Nell'esempio 4, il dispositivo viene inserito nel gruppo Corporate.
  • Se è selezionata l'opzione Richiedi all'utente di selezionare l'ID del gruppo, agli utenti viene richiesto di selezionare in quale gruppo registrare il proprio dispositivo. Nell'esempio 4, gli utenti vedono nell'app Intelligent Hub un menu a discesa contenente le opzioni Engineering e Accounting.
  • Se è selezionata l'opzione Seleziona automaticamente in base al gruppo utente, i dispositivi vengono inseriti in Engineering o in Accounting in base all'assegnazione al rispettivo gruppo di utenti e alla mappatura corrispondente in Workspace ONE UEM Console.

Cos'è un gruppo nascosto

Nell'esempio 4, quando agli utenti viene richiesto di selezionare il gruppo di organizzazioni da cui eseguire la registrazione, possono anche specificare un valore di ID gruppo non presente nell'elenco disponibile nell'app Intelligent Hub. Si tratta di un gruppo nascosto.

Nell'esempio 5, nella struttura del gruppo di organizzazioni Corporate, North America e Beta sono configurati come gruppi in Corporate.

Figura 8. Esempio 5

Nell'esempio 5, gli utenti immettono il proprio indirizzo e-mail nell'app Intelligent Hub. Dopo l'autenticazione, agli utenti viene mostrato un elenco che consente di scegliere tra Engineering e Accounting. Beta non è una delle opzioni visualizzate. Se gli utenti conoscono l'ID del gruppo di organizzazioni, possono specificare Beta manualmente nella casella di testo di selezione del gruppo e registrare correttamente il proprio dispositivo nel gruppo Beta.