Voordat er toestellen kunnen worden ingeschreven, moet elke toestelgebruiker een legitiem gebruikersaccount hebben dat door Workspace ONE UEM powered by AirWatch wordt erkend. Het type gebruikersverificatie dat u selecteert, hangt af van de behoeften van uw organisatie.

Verificatieproxy

De verificatieproxy zorgt voor integratie van directory services, zowel in de cloud als in geharde interne netwerken. In dit model communiceert de Workspace ONE UEM-server met een openbare webserver of een Exchange ActiveSync Server. Deze opstelling verifieert gebruikers bij de domeincontroller.

VOORDELEN

  • Biedt een beveiligde methode voor de proxy-integratie met AD/LDAP binnen de cloud.
  • Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.
  • Een simpele module die een minimale configuratie vereist.

NADELEN

  • Hiervoor is een publieke webserver of een Exchange ActiveSync-server nodig die in contact staat met een AD/LDAP-server.
  • Alleen uitvoerbaar voor specifieke architectuur-layouts.
  • Een veel minder robuuste oplossing dan VMware Enterprise Systems Connector.
  • Kan niet worden gebruikt voor Directe inschrijving voor Workspace ONE.

Dit diagram toont een reverse proxy-server als tussenstation tussen directoryservices en het Workspace ONE SaaS-model.

  1. Het toestel maakt verbinding met Workspace ONE UEM om het toestel in te schrijven. Gebruikers voeren hun gebruikersnaam en wachtwoord voor hun directoryservice in.
    • Gebruikersnaam en wachtwoord worden geëncrypteerd tijdens gegevensoverdracht.
    • Workspace ONE UEM slaat het wachtwoord van het directoryserviceaccount van de gebruiker niet op.
  2. Workspace ONE UEM geeft de gebruikersnaam en het wachtwoord door aan een geconfigureerd eindpunt van de verificatieproxy waarvoor verificatie is vereist (bijvoorbeeld basisverificatie).
  3. De inloggegevens van de gebruiker worden vergeleken met de gegevens in de directory services.
  4. Als de inloggegevens geldig zijn, krijgt het toestel van de Workspace ONE UEM-server toestemming om inschrijving van het toestel te voltooien.

Active Directory met LDAP-verificatie en VMware Enterprise Systems Connector

Verificatie van Active Directory met LDAP en VMware Enterprise Systems Connector biedt dezelfde functies als traditionele AD- en LDAP-verificatie. Deze methode werkt binnen de cloud voor Software as a Service (SaaS)-implementaties.

VOORDELEN

  • Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.
  • Vereist geen firewallwijzigingen, omdat communicatie wordt geïnitieerd vanuit de VMware Enterprise Systems Connector in uw netwerk.
  • Overdracht van inloggegevens is geëncrypteerd en beveiligd.
  • Biedt beveiligde configuratie voor een andere infrastructuur zoals BES, Microsoft ADCS, SCEP en SMTP-servers.
  • Kan worden gebruikt voor Directe inschrijving voor Workspace ™ ONE.

NADELEN

  • Vereist installatie van VMware Enterprise Systems Connector achter de firewall of in een DMZ.
  • Er is aanvullende configuratie nodig.

SaaS-implementatiemodel

Dit diagram laat zien hoe de VMware cloud connector via de firewall verbinding maakt met Workspace ONE in de cloud en tegelijk toegang heeft tot interne netwerkbronnen.

Model voor implementaties op locatie

Dit diagram laat zien hoe een apparaat toegang krijgt tot apparaatservices in een DMZ die via een firewall wordt bediend door interne netwerkbronnen.

SAML 2.0-verificatie

Security Assertion Markup Language (SAML) 2.0 biedt eenmalige aanmelding (SSO) en federatieve verificatie. Workspace ONE UEM ontvangt nooit zakelijke inloggegevens.

Als een organisatie een server voor de SAML-identiteitsprovider heeft, moet u SAML 2.0-integratie gebruiken. Zorg ervoor dat de Aanbieder van identiteitsbeheer het kenmerk objectGUID retourneert als onderdeel van de SAML-respons.

VOORDELEN

  • Biedt mogelijkheden voor eenmalige aanmelding.
  • Verificatie met bestaande inloggegevens van het bedrijf.
  • Workspace ONE UEM ontvangt nooit inloggegevens van het bedrijf in platte tekst.
  • Kan worden gebruikt voor Directe inschrijving voor Workspace ONE wanneer gekoppeld met een SAML-directorygebruiker.
  • Omgevingen met meerdere domeinen worden alleen ondersteund voor beheerders.

NADELEN

  • Vereist een bedrijfsinfrastructuur van SAML-identiteitsprovider.
  • Kan niet worden gebruikt voor Directe inschrijving voor Workspace ONE wanneer gekoppeld met een SAML-basisgebruiker.

    Dit diagram toont de Workspace ONE SaaS-server die invoer ontvangt van een toestel via het internet en toegang verkrijgt tot de SAML-identiteitsprovider via een firewall.

    1. Toestel maakt verbinding met Workspace ONE UEM om zich in te schrijven. De UEM-server leidt het toestel vervolgens om naar de provider voor identiteitsbeheer zoals gespecificeerd in de client.
    2. Het toestel maakt een veilige HTTPS-verbinding met de provider voor identiteitsbeheer en de gebruiker voert inloggegevens in.
      • De inloggegevens worden geëncrypteerd tijdens de gegevensoverdracht tussen het toestel en het SAML-eindpunt.
    3. De inloggegevens worden vergeleken met de gegevens in de directory servicesdatabase.
    4. De provider voor identiteitsbeheer stuurt een ondertekende SAML-reactie terug met de geverifieerde gebruikersnaam.
    5. Het toestel stuurt een reactie terug naar de Workspace ONE UEM-server en biedt het ondertekende SAML-bericht aan. De gebruiker wordt toegelaten.

    Zie Directory Services handmatig instellen en ga naar de sectie SAML voor meer informatie.

  • SaaS-apps zijn niet beschikbaar voor SAML-beheerders die zich verifiëren met Workspace ONE Access.

SaaS-app-functionaliteit voor SAML-beheerders

SaaS-applicaties, evenals andere Workspace ONE Access beleidsregels en functies, zijn niet beschikbaar voor u als u een SAML-beheerder bent die verifieert met behulp van Workspace ONE Access. U ziet het volgende foutbericht wanneer u navigeert naar de pagina SaaS-applicaties.

Controleer of uw beheerdersaccount in het UEM-systeem en het IDM-systeem bestaat en of het domein in Workspace ONE UEM exact overeenkomt met het domein van hetzelfde account in VMware Identity Manager.

Als u de toegankelijkheid van SaaS-Apps wilt herstellen, moet u zich aanmelden bij Workspace ONE UEM via basisverificatie en ook Workspace ONE Access inschakelen in uw organisatiegroep.

Verificatie op basis van tokens

Verificatie op basis van een token biedt een gebruiker de meest eenvoudige manier om een toestel in te schrijven. Met deze inschrijvingsinstelling genereert Workspace ONE UEM een token dat geplaatst wordt binnen de inschrijvings-URL.

Voor Verificatie met één token opent de gebruiker de link op het toestel om de inschrijving te voltooien en de Workspace ONE UEM-server verwijst naar het token dat aan de gebruiker wordt gegeven.

Stel voor extra veiligheid voor elk token een vervaltijd (in uren) in. Door een vervaltijd in te stellen minimaliseert u het risico dat een andere gebruiker toegang kan krijgen tot informatie en functies op dat toestel.

Het is ook mogelijk om tweestapsverificatie te implementeren om de identiteitsverificatie van de eindgebruiker veiliger te maken. Met deze verificatiemethode moeten gebruikers hun gebruikersnaam en toegangscode invoeren wanneer ze op de inschrijvingslink met het token klikken.

VOORDELEN

  • Minimaal werk voor een eindgebruiker om in te schrijven en het toestel te verifiëren.
  • Beveiligd gebruik van tokens door instellen van vervaldata.
  • De gebruiker heeft geen inloggegevens nodig voor verificatie met één token.

NADELEN

  • Vereist integratie met Simple Mail Transfer Protocol (SMTP) of SMS om tokens naar het toestel te verzenden.

Dit diagram toont hoe de beheerder-gebruiker een eenmalig token verstrekt aan een in te schrijven gebruiker.

  1. De beheerder geeft toestemming om het toestel te registreren.
  2. Een token voor enkel gebruik wordt gegenereerd en vanuit Workspace ONE UEM naar de gebruiker verzonden.
  3. De gebruiker ontvangt een token en gaat naar de inschrijvingslink. De gebruiker wordt om het token gevraagd en eventueel om tweestapsverificatie.
  4. Het toestel wordt ingeschreven.
  5. Workspace ONE UEM markeert het token als verlopen.
Opmerking: SMTP is inbegrepen bij SaaS-implementaties.

Beveiligingstypen voor inschrijving inschakelen

Nadat Workspace ONE UEM met een geselecteerd gebruikersbeveiligingstype is geïntegreerd en voordat de inschrijving begint, kunt u elke verificatiemethode inschakelen die u wilt toestaan.

  1. Navigeer naar Toestellen > Toestelinstellingen > Toestellen en gebruikers > Algemeen > Inschrijving op het tabblad Verificatie.
  2. Selecteer de juiste selectievakjes voor de instelling Verificatiemodus.
    Instelling Beschrijving
    E-maildomein toevoegen Deze knop wordt gebruikt voor het instellen van de Auto-Discovery-service om uw e-maildomeinen in uw omgeving te registreren.
    Verificatiemodus

    Selecteer de toegestane verificatietypen, waaronder:

    • Basis – Basisgebruikersaccounts (accounts die u handmatig in de UEM console maakt) kunnen worden ingeschreven.
    • Directory – Directorygebruikersaccounts (accounts die u hebt geïmporteerd of met behulp van integratie met directory services hebt toegestaan) kunnen worden ingeschreven. Directe inschrijving voor Workspace ONE ondersteunt directory-gebruikers met of zonder SAML.
    • Verificatieproxy – Hiermee kunnen gebruikers zich kunnen inschrijven met behulp van gebruikersaccounts met verificatieproxy's. Gebruikers worden geverifieerd bij een webeindpunt.
      • Voer Verificatieproxy-URL, back-up van verificatieproxy-URL en methode verificatietype (kies tussen HTTP-basic en Exchange ActiveSync) in.
    Verificatiebron voor Intelligent Hub

    Selecteer het systeem dat Intelligent Hub-service gebruikt als bron voor gebruikers- en -verificatiebeleid.

    • Workspace ONE UEM – Selecteer deze instelling als u wilt dat Hub Services Workspace ONE UEM gebruiken als bron voor gebruikers- en verificatiebeleid.

      Wanneer u de pagina Configuratie van de Hub voor Hub Services configureert, voert u de URL van de tenant Hub Services in.

    • Workspace ONE Access – Selecteer deze instelling als u wilt dat Hub Services Workspace ONE Access gebruiken als bron voor gebruikers- en verificatiebeleid.

      Wanneer u de pagina Configuratie van de Hub voor Hub Services configureert, voert u de URL van de tenant Workspace ONE Access in.

    Ga voor meer informatie over Workspace ONE Intelligent Hub naar de documentatie van VMware Workspace ONE Hub Services.

    Ga voor meer informatie over Workspace ONE Access naar de documentatie van VMware Workspace ONE Access.

    Inschrijvingsmodus voor toestellen

    Selecteer de gewenste inschrijvingsmodus voor toestellen, waaronder:

    • Open inschrijving – Geeft in principe iedereen die voldoet aan de andere inschrijvingscriteria (verificatiemodus, beperkingen, enzovoort) toestemming om zich in te schrijven. Directe inschrijving voor Workspace ONE ondersteunt open inschrijving.
    • Alleen geregistreerde toestellen – Gebruikers kunnen zich alleen inschrijven met behulp van toestellen die door u of zijzelf zijn geregistreerd. Toestelregistratie is het proces van zakelijke toestellen toevoegen aan de UEM-console voordat ze worden ingeschreven. Directe inschrijving voor Workspace ONE ondersteunt alleen de inschrijving van geregistreerde toestellen, maar alleen als registratietokens niet zijn vereist.
    Registratietoken vereisen

    Alleen zichtbaar wanneer Alleen geregistreerde toestellen is geselecteerd.

    Als u inschrijving alleen voor geregistreerde toestellen openstelt, hebt u ook de optie om een registratietoken te verplichten voor de inschrijving. Dit verhoogt de beveiliging, omdat u daarmee bevestigt dat een bepaalde gebruiker bevoegd is om zich in te schrijven. U kunt een e-mail of SMS-bericht met het inschrijvingstoken naar gebruikers met Workspace ONE UEM-accounts sturen.

    Inschrijving van AirWatch Intelligent Hub voor iOS verplichten Schakel dit selectievakje in om te vereisen dat gebruikers met iOS-toestellen de Workspace ONE Intelligent Hub downloaden en installeren voordat ze zich kunnen inschrijven. Als u dit niet inschakelt, is online inschrijven beschikbaar.
    Inschrijving van AirWatch Intelligent Hub voor macOS verplichten Schakel dit selectievakje in om te vereisen dat gebruikers met macOS-toestellen Workspace ONE Intelligent Hub downloaden en installeren voordat ze zich kunnen inschrijven. Als u dit niet inschakelt, is online inschrijven beschikbaar.
  3. Selecteer Opslaan.

Basisverificatie van gebruikers

U kunt basisverificatie gebruiken om gebruikers in de Workspace ONE UEM-architectuur te identificeren, maar met deze methode kunt u niet integreren met bestaande gebruikersaccounts in uw organisatie.

VOORDELEN

  • Kan gebruikt worden voor iedere implementatiemethode.
  • Vereist geen technische integratie.
  • Vereist geen bedrijfsinfrastructuur.

NADELEN

  • Kan niet worden gebruikt in combinatie met automatische ontdekking.
  • Inloggegevens bestaan alleen in Workspace ONE UEM en komen niet per se overeen met bestaande inloggegevens van het bedrijf.
  • Het biedt geen federatieve beveiliging of eenmalige aanmelding (Single Sign On).
  • Workspace ONE UEM slaat alle gebruikersnamen en wachtwoorden op.
  • Kan niet worden gebruikt voor Directe inschrijving voor Workspace ONE.

  1. Consolegebruikers loggen met hun lokale account in bij Workspace ONE UEM SaaS voor verificatie (basisverificatie).
    • Inloggegevens worden tijdens de gegevensoverdracht versleuteld.
    • (bijvoorbeeld gebruikersnaam: jjansen@air-watch.com, wachtwoord: Abcd).
  2. Eindgebruikers loggen op hun toestel in met hun lokale Workspace ONE UEM-inloggegevens (basisverificatie).
    • Inloggegevens worden tijdens de gegevensoverdracht versleuteld.
    • (bijvoorbeeld gebruikersnaam: jjansen2, wachtwoord 2557).

Active Directory met LDAP-verificatie

Verificatie door Active Directory (AD) met Lightweight Directory Access Protocol (LDAP) wordt gebruikt om gebruikersaccounts en beheerdersaccounts van Workspace ONE UEM te integreren met bestaande bedrijfsaccounts.

VOORDELEN

  • Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.
  • Beveiligde methode om te integreren met LDAP/AD.
  • Standaardintegratiemethode.
  • Kan worden gebruikt voor Directe inschrijving voor Workspace ONE.

NADELEN

  • Vereist een AD- of andere LDAP-server.

Dit diagram toont een apparaat dat via een firewall online toegang krijgt tot de UEM Console. de UEM Console verkrijgt toegang tot directoryservices.

  1. Het toestel maakt verbinding met Workspace ONE UEM om het toestel in te schrijven. Gebruikers voeren hun gebruikersnaam en wachtwoord voor hun directoryservice in.
    • Gebruikersnaam en wachtwoord worden geëncrypteerd tijdens gegevensoverdracht.
    • Workspace ONE UEM slaat het wachtwoord van het directoryserviceaccount van de gebruiker niet op.
  2. Workspace ONE UEM stuurt met een veilig LDAP-protocol via internet een query naar de directoryservices van de client om het account te verifiëren. Het maakt daarbij gebruik van een serviceaccount.
  3. De inloggegevens van de gebruiker worden vergeleken met de gegevens in de directoryservices.
  4. Als de inloggegevens geldig zijn, krijgt het toestel van de Workspace ONE UEM-server toestemming om inschrijving van het toestel te voltooien.