Verificatieproxy

De verificatieproxy zorgt voor integratie van directory services, zowel in de cloud als in geharde interne netwerken. In dit model communiceert de Workspace ONE UEM-server met een openbare webserver of een Exchange ActiveSync Server. Deze opstelling verifieert gebruikers bij de domeincontroller.

VOORDELEN

• Biedt een beveiligde methode voor de proxy-integratie met AD/LDAP binnen de cloud.
• Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.
• Een simpele module die een minimale configuratie vereist.

NADELEN

• Hiervoor is een publieke webserver of een Exchange ActiveSync-server nodig die in contact staat met een AD/LDAP-server.
• Alleen uitvoerbaar voor specifieke architectuur-layouts.
• Een veel minder robuuste oplossing dan VMware Enterprise Systems Connector.
• Kan niet worden gebruikt voor Directe inschrijving voor Workspace ONE.

1. Het toestel maakt verbinding met Workspace ONE UEM om het toestel in te schrijven. Gebruikers voeren hun gebruikersnaam en wachtwoord voor hun directoryservice in.
   • Gebruikersnaam en wachtwoord worden versleuteld tijdens gegevensoverdracht.
   • Workspace ONE UEM slaat het wachtwoord van het directoryserviceaccount van de gebruiker niet op.
2. Workspace ONE UEM geeft de gebruikersnaam en het wachtwoord door aan een geconfigureerd eindpunt van de verificatieproxy waarvoor verificatie is vereist (bijvoorbeeld basisverificatie).
3. De inloggegevens van de gebruiker worden vergeleken met de gegevens in de directory services.
4. Als de inloggegevens geldig zijn, wordt het toestel door de Workspace ONE UEM-server ingeschreven.

Active Directory met LDAP-verificatie en VMware Enterprise Systems Connector

Verificatie van Active Directory met LDAP en VMware Enterprise Systems Connector biedt dezelfde functies als traditionele AD- en LDAP-verificatie. Deze methode werkt binnen de cloud voor Software as a Service (SaaS)-implementaties.

VOORDELEN

• Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.
• Vereist geen firewallwijzigingen, omdat communicatie wordt geïnitieerd vanuit de VMware Enterprise Systems Connector in uw netwerk.
• Overdracht van inloggegevens is veilig.
• Biedt beveiligde configuratie voor een andere infrastructuur zoals BES, Microsoft ADCS, SCEP en SMTP-servers.
• Compatibel met Workspace ONE™ directe inschrijving.

NADELEN

• Vereist installatie van VMware Enterprise Systems Connector achter de firewall of in een DMZ.
• Er is aanvullende configuratie nodig.

SaaS-implementatiemodel

Model voor implementaties op locatie

SAML 2.0-verificatie

Security Assertion Markup Language (SAML) 2.0 biedt eenmalige aanmelding (SSO) en federatieve verificatie. Workspace ONE UEM ontvangt nooit zakelijke inloggegevens.

Als een organisatie een server voor de SAML-identiteitsprovider heeft, moet u SAML 2.0-integratie gebruiken. Zorg ervoor dat de Aanbieder van identiteitsbeheer het kenmerk objectGUID retourneert als onderdeel van de SAML-respons.

VOORDELEN

• Biedt mogelijkheden voor eenmalige aanmelding.
• Verificatie met bestaande inloggegevens van het bedrijf.
• Workspace ONE UEM ontvangt nooit inloggegevens van het bedrijf als tekst zonder opmaak.
• Compatibel met Workspace ONE directe inschrijving wanneer gekoppeld met een SAML-directorygebruiker.
• Alleen beheerders kunnen omgevingen met meerdere domeinen gebruiken.

NADELEN

• Vereist een bedrijfsinfrastructuur van SAML-identiteitsprovider.
• Niet compatibel met Workspace ONE directe inschrijving wanneer gekoppeld met een SAML-basisgebruiker.
• Het configureren van SAML met Workspace ONE Access als IDP met de functie Lokale basisgebruiker ingeschakeld, ondersteunt de verificatie van basisgebruikers niet.

  

  1. Toestel maakt verbinding met Workspace ONE UEM om zich in te schrijven. De UEM-server leidt het toestel vervolgens om naar de provider voor identiteitsbeheer zoals gespecificeerd in de client.
  2. Het toestel maakt een veilige HTTPS-verbinding met de provider voor identiteitsbeheer en de gebruiker voert inloggegevens in.
     • De inloggegevens worden versleuteld tijdens de gegevensoverdracht tussen het toestel en het SAML-eindpunt.
  3. Verificatiegegevens worden vergeleken met de gegevens in de directoryservice.
  4. De provider voor identiteitsbeheer stuurt een ondertekende SAML-reactie terug met de geverifieerde gebruikersnaam.
  5. Het toestel stuurt een reactie terug naar de Workspace ONE UEM-server en biedt het ondertekende SAML-bericht aan. De gebruiker verifieert.

  Zie Directory Services handmatig instellen en ga naar de sectie SAML voor meer informatie.

• SaaS-apps zijn niet beschikbaar voor SAML-beheerders die zich verifiëren met Workspace ONE Access.

SaaS-app-functionaliteit voor SAML-beheerders

SaaS-applicaties, evenals andere Workspace ONE Access beleidsregels en functies, zijn niet beschikbaar voor u als u een SAML-beheerder bent die verifieert met behulp van Workspace ONE Access. U ziet het volgende foutbericht wanneer u navigeert naar de pagina SaaS-applicaties.

Controleer of uw beheerdersaccount in het UEM-systeem en het IDM-systeem bestaat en of het domein in Workspace ONE UEM exact overeenkomt met het domein van hetzelfde account in VMware Identity Manager.

Als u de toegankelijkheid van SaaS-Apps wilt herstellen, moet u zich aanmelden bij Workspace ONE UEM via basisverificatie en ook Workspace ONE Access inschakelen in uw organisatiegroep.

Verificatie op basis van tokens

Verificatie op basis van een token biedt een gebruiker de meest eenvoudige manier om een toestel in te schrijven. Met deze inschrijvingsinstelling genereert Workspace ONE UEM een token dat geplaatst wordt binnen de inschrijvings-URL.

Voor Verificatie met één token opent de gebruiker de link op het toestel om de inschrijving te voltooien en de Workspace ONE UEM-server verwijst naar het token dat aan de gebruiker wordt gegeven.

Stel voor extra veiligheid voor elk token een vervaltijd (in uren) in. Door een vervaltijd in te stellen minimaliseert u het risico dat een andere gebruiker toegang kan krijgen tot informatie en functies op dat toestel.

Het is ook mogelijk om tweestapsverificatie te implementeren om de identiteitsverificatie van de eindgebruiker veiliger te maken. Met deze verificatiemethode moeten gebruikers hun gebruikersnaam en toegangscode invoeren wanneer ze op de inschrijvingslink met het token klikken.

VOORDELEN

• Minimaal werk voor een eindgebruiker om in te schrijven en het toestel te verifiëren.
• Beveiligd gebruik van tokens door instellen van vervaldata.
• De gebruiker heeft geen inloggegevens nodig voor verificatie met één token.

NADELEN

• Vereist integratie met Simple Mail Transfer Protocol (SMTP) of SMS om tokens naar het toestel te verzenden.

1. De beheerder geeft toestemming om het toestel te registreren.
2. Een token voor enkel gebruik wordt gegenereerd en vanuit Workspace ONE UEM naar de gebruiker verzonden.
3. De gebruiker ontvangt een token en gaat naar de inschrijvingslink. De gebruiker wordt om het token gevraagd en eventueel om tweestapsverificatie.
4. Het toestel wordt ingeschreven.
5. Workspace ONE UEM markeert het token als verlopen.

Beveiligingstypen voor inschrijving inschakelen

Nadat Workspace ONE UEM integreert met een geselecteerd gebruikersbeveiligingstype en voordat de inschrijving begint, kunt u elke verificatiemethode inschakelen die u wilt toestaan.

1. Ga naar Toestellen > Toestelinstellingen > Toestellen en gebruikers > Algemeen > Inschrijving op het tabblad Verificatie.
2. Selecteer de juiste selectievakjes voor de instelling Verificatiemodus.

   Instelling	Beschrijving
   E-maildomein toevoegen	Deze knop wordt gebruikt voor het instellen van de Auto-Discovery-service om uw e-maildomeinen in uw omgeving te registreren.
   Verificatiemodus	Selecteer de toegestane verificatietypen, waaronder: Basis – Basisgebruikersaccounts (accounts die u handmatig in de UEM console maakt) kunnen worden ingeschreven. Directory – Directorygebruikersaccounts (accounts die u hebt geïmporteerd of met behulp van integratie met directory services hebt toegestaan) kunnen worden ingeschreven. Directe inschrijving voor Workspace ONE ondersteunt directory-gebruikers met of zonder SAML. Verificatieproxy – Hiermee kunnen gebruikers zich kunnen inschrijven met behulp van gebruikersaccounts met verificatieproxy's. Gebruikers worden geverifieerd bij een webeindpunt. Voer Verificatieproxy-URL, back-up van verificatieproxy-URL en methode verificatietype (kies tussen HTTP-basic en Exchange ActiveSync) in.
   Verificatiebron voor Intelligent Hub	Selecteer het systeem dat Intelligent Hub-service gebruikt als bron voor gebruikers- en -verificatiebeleid. Workspace ONE UEM – Selecteer deze instelling als u wilt dat Hub Services Workspace ONE UEM gebruiken als bron voor gebruikers- en verificatiebeleid. Wanneer u de pagina Configuratie van de Hub voor Hub Services configureert, voert u de URL van de tenant Hub Services in. Workspace ONE Access – Selecteer deze instelling als u wilt dat Hub Services Workspace ONE Access gebruiken als bron voor gebruikers- en verificatiebeleid. Wanneer u de pagina Configuratie van de Hub voor Hub Services configureert, voert u de URL van de tenant Workspace ONE Access in. Opmerking: Als u Workspace ONE Access inschakelt als verificatiebron voor Intelligent Hub en u een opdrachtregel gebruikt om zich in te schrijven voor staging-doeleinden, dan wordt deze configuratie genegeerd en vervangen door de verificatiegegevens die zijn opgegeven in de opdrachtregel. Ga voor meer informatie over Workspace ONE Intelligent Hub naar de documentatie van VMware Workspace ONE Hub Services. Ga voor meer informatie over Workspace ONE Access naar de documentatie van VMware Workspace ONE Access.
   Inschrijvingsmodus voor toestellen	Selecteer de gewenste inschrijvingsmodus voor toestellen, waaronder: Open inschrijving – Geeft in principe iedereen die voldoet aan de andere inschrijvingscriteria (verificatiemodus, beperkingen, enzovoort) toestemming om zich in te schrijven. Directe inschrijving voor Workspace ONE ondersteunt open inschrijving. Alleen geregistreerde toestellen – Gebruikers kunnen zich alleen inschrijven met behulp van toestellen die door u of zijzelf zijn geregistreerd. Toestelregistratie is het proces van zakelijke toestellen toevoegen aan de UEM-console voordat ze worden ingeschreven. Directe inschrijving voor Workspace ONE ondersteunt alleen de inschrijving van geregistreerde toestellen, maar alleen als registratietokens niet zijn vereist.
   Registratietoken vereisen	Alleen zichtbaar wanneer Alleen geregistreerde toestellen is geselecteerd. Als u inschrijving alleen voor geregistreerde toestellen openstelt, hebt u ook de optie om een registratietoken te verplichten voor de inschrijving. Dit verhoogt de beveiliging, omdat u daarmee bevestigt dat een bepaalde gebruiker bevoegd is om zich in te schrijven. U kunt een e-mail of SMS-bericht met het inschrijvingstoken naar gebruikers met Workspace ONE UEM-accounts sturen.
   Inschrijving van AirWatch Intelligent Hub voor iOS verplichten	Schakel dit selectievakje in om te vereisen dat gebruikers met iOS-toestellen de Workspace ONE Intelligent Hub downloaden en installeren voordat ze zich kunnen inschrijven. Als dit is gedeactiveerd, is online inschrijven beschikbaar.
   Inschrijving van AirWatch Intelligent Hub voor macOS verplichten	Schakel dit selectievakje in om te vereisen dat gebruikers met macOS-toestellen Workspace ONE Intelligent Hub downloaden en installeren voordat ze zich kunnen inschrijven. Als dit is gedeactiveerd, is online inschrijven beschikbaar.

3. Selecteer Opslaan.

Basisverificatie van gebruikers

U kunt basisverificatie gebruiken om gebruikers in de Workspace ONE UEM-architectuur te identificeren, maar met deze methode kunt u niet integreren met bestaande gebruikersaccounts in uw organisatie.

VOORDELEN

• Compatibel met elke implementatiemethode.
• Vereist geen technische integratie.
• Vereist geen bedrijfsinfrastructuur.

NADELEN

• Incompatibel met automatische detectie.
• Inloggegevens bestaan alleen in Workspace ONE UEM en komen niet per se overeen met bestaande inloggegevens van het bedrijf.
• Het biedt geen federatieve beveiliging of eenmalige aanmelding (Single Sign On).
• Workspace ONE UEM slaat alle gebruikersnamen en wachtwoorden op.
• Incompatibel met Workspace ONE directe inschrijving.

1. Consolegebruikers loggen met hun lokale account in bij Workspace ONE UEM SaaS voor verificatie (basisverificatie).
   • Inloggegevens versleutelen tijdens gegevensoverdracht.
   • (bijvoorbeeld gebruikersnaam: [email protected], wachtwoord: Abcd).
2. Eindgebruikers loggen op hun toestel in met hun lokale Workspace ONE UEM-inloggegevens (basisverificatie).
   • Inloggegevens versleutelen tijdens gegevensoverdracht.
   • (bijvoorbeeld gebruikersnaam: jjansen2, wachtwoord 2557).

Active Directory met LDAP-verificatie

Verificatie door Active Directory (AD) met Lightweight Directory Access Protocol (LDAP) wordt gebruikt om gebruikersaccounts en beheerdersaccounts van Workspace ONE UEM te integreren met bestaande bedrijfsaccounts.

VOORDELEN

• Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.
• Beveiligde methode om te integreren met LDAP/AD.
• Standaardintegratiemethode.
• Compatibel met Workspace ONE directe inschrijving.

NADELEN

• AD- of andere LDAP-server is vereist.

1. Het toestel maakt verbinding met Workspace ONE UEM om het toestel in te schrijven. Gebruikers voeren hun gebruikersnaam en wachtwoord voor hun directoryservice in.
   • Gebruikersnaam en wachtwoord worden versleuteld tijdens gegevensoverdracht.
   • Workspace ONE UEM slaat het wachtwoord van het directoryserviceaccount van de gebruiker niet op.
2. Workspace ONE UEM stuurt met een veilig LDAP-protocol via internet een query naar de directoryservices om het account te verifiëren. Het maakt daarbij gebruik van een serviceaccount.
3. De inloggegevens van de gebruiker worden vergeleken met de gegevens in de directory services.
4. Als de inloggegevens geldig zijn, wordt het toestel door de Workspace ONE UEM-server ingeschreven.