AirWatch maakt gebruik van organisatiegroepen (OG) om gebruikers te identificeren en rechten te verlenen. Wanneer AirWatch is geïntegreerd met VMware Identity Manager, worden de REST API-sleutels voor beheerders en geregistreerde gebruikers geconfigureerd in een AirWatch-organisatiegroep Customer (klant).
Wanneer een gebruiker zich via een apparaat aanmeldt bij Workspace ONE, wordt in VMware Identity Manager een apparaatregistratiegebeurtenis geactiveerd. Er wordt een aanvraag naar AirWatch verzonden om alle applicaties waarop die combinatie van gebruiker en apparaat recht heeft, op te halen. Met deze aanvraag via de REST API wordt de gebruiker in AirWatch opgezocht en het apparaat in de bijbehorende organisatiegroep geplaatst.
Voor het beheer van organisatiegroepen kunt u twee opties configureren in VMware Identity Manager.
U kunt de automatische detectie van AirWatch inschakelen.
U kunt AirWatch-organisatiegroepen toewijzen aan domeinen in de VMware Identity Manager-service.
Als u geen van beide opties instelt, probeert Workspace ONE de gebruiker te zoeken in de organisatiegroep waar de REST API-sleutel is gemaakt. Dat is de groep Customer.
Automatische detectie van AirWatch gebruiken
Stel een automatische detectie in wanneer voor de onderliggende groep van de organisatiegroep Customer een afzonderlijke directory is geconfigureerd, of wanneer er onder de groep Customer meerdere directory's met unieke e-maildomeinen zijn geconfigureerd.
In voorbeeld 1 is automatische detectie ingesteld voor de registratie van het e-maildomein van de organisatie. Gebruikers hoeven alleen hun e-mailadres in te voeren op de aanmeldingspagina van Workspace ONE.
Gebruikers uit het domein NorthAmerica die zich aanmelden bij Workspace ONE, moeten in dat geval hun volledige e-mailadres opgeven in de notatie [email protected]. Vervolgens wordt het domein opgezocht en gecontroleerd of de gebruiker bestaat of kan worden aangemaakt in een directory in de organisatiegroep NorthAmerica. Het apparaat kan worden geregistreerd.
Toewijzing van AirWatch-organisatiegroepen aan VMware Identity Manager-domeinen gebruiken
U kunt VMware Identity Manager instellen op het toewijzen van AirWatch-organisatiegroepen wanneer er meerdere directory's met hetzelfde e-maildomein zijn geconfigureerd. U schakelt Domeinen toewijzen aan meerdere organisatiegroepen in op de AirWatch-configuratiepagina van de VMware Identity Manager-beheerconsole.
Als u de optie Domeinen toewijzen aan meerdere organisatiegroepen inschakelt, kunt u de domeinen die zijn geconfigureerd in VMware Identity Manager toewijzen aan AirWatch-organisatiegroep-id's. Hiervoor is tevens de REST API-beheersleutel vereist.
In voorbeeld 2 zijn twee domeinen aan verschillende organisatiegroepen toegewezen. Er is een REST API-beheersleutel vereist. U kunt dezelfde REST API-beheersleutel gebruiken voor beide organisatiegroep-id's.
Configureer op de AirWatch-configuratiepagina van de VMware Identity Manager-beheerconsole een specifieke AirWatch-organisatiegroep-id voor elk domein.
Wanneer gebruikers zich in deze configuratie met hun apparaat aanmelden bij Workspace ONE, wordt een aanvraag voor een apparaatregistratie verstuurd waarmee gebruikers uit Domain3 worden opgezocht in de organisatiegroep Europe en gebruikers uit Domain4 in de organisatiegroep AsiaPacific.
In voorbeeld 3 is één domein toegewezen aan verschillende AirWatch-organisatiegroepen. Beide directory's hebben hetzelfde e-maildomein. Het domein verwijst naar dezelfde AirWatch-organisatiegroep.
Wanneer gebruikers zich in deze configuratie aanmelden bij Workspace ONE, verschijnt een melding waarin ze wordt gevraagd bij welke groep ze zich willen registreren. In dit voorbeeld hebben de gebruikers de keuze uit de groepen Engineering en Accounting.
Apparaten in de juiste organisatiegroep plaatsen
Wanneer een gebruikersrecord wordt gevonden, wordt het apparaat toegevoegd aan de bijbehorende organisatiegroep. De registratie-instelling Toewijzingsmodus groeps-id van AirWatch bepaalt in welke organisatiegroep het apparaat wordt geplaatst. Deze instelling vindt u op de pagina Systeeminstellingen > Apparaat en gebruikers > Algemeen > Registratie > Groeperen.
In voorbeeld 4 behoren alle gebruikers tot de organisatiegroep Corporate.
De plaatsing van apparaten is afhankelijk van de toewijzingsmodus met groeps-id's die is ingesteld voor de organisatiegroep Corporate.
Als de standaardtoewijzing is ingesteld, wordt het apparaat in dezelfde groep geplaatst als de gebruiker. In voorbeeld 4 wordt het apparaat in de groep Corporate geplaatst.
Als u 'Gebruiker vragen om groeps-id te selecteren' hebt gekozen, wordt gebruikers gevraagd de groep te selecteren waarin ze hun apparaat willen registreren. In voorbeeld 4 krijgen gebruikers dan een vervolgkeuzemenu met de opties Engineering en Accounting te zien in de Workspace ONE-app.
Als u 'Automatisch selecteren op basis van gebruikersgroep' hebt gekozen, bepalen de gebruikersgroep en de bijbehorende toewijzing in de AirWatch-beheerconsole of de apparaten in de groep Engineering dan wel de groep Accounting worden geplaatst.
Een verborgen groep gebruiken
Wanneer gebruikers in voorbeeld 4 moeten aangeven bij welke organisatiegroep ze zich willen registreren, kunnen ze ook een groeps-id opgeven die niet wordt weergegeven in de lijst van de Workspace ONE-app. Dit wordt een verborgen groep genoemd.
In voorbeeld 5 zijn onder de organisatiegroep Corporate de groepen North America en Beta ondergebracht.
In voorbeeld 5 moeten gebruikers hun e-mailadres opgeven in Workspace ONE. Na de verificatie krijgen ze een lijst te zien waarin ze kunnen kiezen uit Engineering en Accounting. De groep Beta wordt niet als optie weergegeven. Als gebruikers de bijbehorende id van deze organisatiegroep kennen, kunnen ze die handmatig invoeren in het tekstvak groepsselectie en hun apparaat zo registreren bij de groep Beta.