Workspace ONE UEM maakt gebruik van organisatiegroepen (OG) om gebruikers te identificeren en rechten te verlenen. Wanneer Workspace ONE UEM is geïntegreerd met VMware Identity Manager, worden de REST API-sleutels voor beheerders en geregistreerde gebruikers geconfigureerd in een Workspace ONE UEM-organisatiegroep Customer (klant).

Wanneer een gebruiker zich via een apparaat aanmeldt bij Workspace ONE, wordt in VMware Identity Manager een apparaatregistratiegebeurtenis geactiveerd. Er wordt een aanvraag naar Workspace ONE UEM verzonden om alle applicaties waarop die combinatie van gebruiker en apparaat recht heeft, op te halen. Met deze aanvraag via de REST API wordt de gebruiker in Workspace ONE UEM opgezocht en het apparaat in de bijbehorende organisatiegroep geplaatst.

Voor het beheer van organisatiegroepen kunt u twee opties configureren in VMware Identity Manager.

  • U kunt de automatische detectie van Workspace ONE UEM inschakelen.

  • U kunt Workspace ONE UEM-organisatiegroepen toewijzen aan domeinen in de VMware Identity Manager-service.

Als u geen van beide opties instelt, probeert Workspace ONE de gebruiker te zoeken in de organisatiegroep waar de REST API-sleutel is gemaakt. Dat is de groep Customer.

Automatische detectie van Workspace ONE UEM gebruiken

Stel een automatische detectie in wanneer voor de onderliggende groep van de organisatiegroep Customer een afzonderlijke directory is geconfigureerd, of wanneer er onder de groep Customer meerdere directory's met unieke e-maildomeinen zijn geconfigureerd.

Figuur 1. Voorbeeld 1

In voorbeeld 1 is automatische detectie ingesteld voor de registratie van het e-maildomein van de organisatie. Gebruikers hoeven alleen hun e-mailadres in te voeren op de aanmeldingspagina van Workspace ONE.

Gebruikers uit het domein NorthAmerica die zich aanmelden bij Workspace ONE, moeten in dat geval hun volledige e-mailadres opgeven in de notatie user1@domain1.com. Vervolgens wordt het domein opgezocht en gecontroleerd of de gebruiker bestaat of kan worden aangemaakt in een directory in de organisatiegroep NorthAmerica. Het apparaat kan worden geregistreerd.

Toewijzing van Workspace ONE UEM-organisatiegroepen aan VMware Identity Manager-domeinen gebruiken

Configureer de VMware Identity Manager-service instellen op het toewijzen van de Workspace ONE UEM-organisatiegroep wanneer er meerdere directory's met hetzelfde e-maildomein worden geconfigureerd. U schakelt Domeinen toewijzen aan meerdere organisatiegroepen in op de AirWatch-configuratiepagina van de VMware Identity Manager-console.

Wanneer de optie Domeinen toewijzen aan meerdere organisatiegroepen is ingeschakeld, kunt u domeinen die in VMware Identity Manager zijn geconfigureerd, aan Workspace ONE UEM-organisatiegroeps-ID's toewijzen. Hiervoor is tevens de REST API-beheersleutel vereist.

In voorbeeld 2 zijn twee domeinen aan verschillende organisatiegroepen toegewezen. Er is een REST API-beheersleutel vereist. U kunt dezelfde REST API-beheersleutel gebruiken voor beide organisatiegroep-id's.

Figuur 2. Voorbeeld 2

Configureer op de AirWatch-configuratiepagina van de VMware Identity Manager-console een specifieke Workspace ONE UEM-organisatiegroeps-ID voor elk domein.

Figuur 3. Voorbeeld 2 Configuratie van organisatiegroepen

Wanneer gebruikers zich in deze configuratie met hun apparaat aanmelden bij Workspace ONE, wordt een aanvraag voor een apparaatregistratie verstuurd waarmee gebruikers uit Domain3 worden opgezocht in de organisatiegroep Europe en gebruikers uit Domain4 in de organisatiegroep AsiaPacific.

In voorbeeld 3 is één domein toegewezen aan verschillende Workspace ONE UEM-organisatiegroepen. Beide directory's hebben hetzelfde e-maildomein. Het domein verwijst naar dezelfde Workspace ONE UEM-organisatiegroep.

Figuur 4. Voorbeeld 3

Wanneer gebruikers zich in deze configuratie aanmelden bij Workspace ONE, verschijnt een melding waarin ze wordt gevraagd bij welke groep ze zich willen registreren. In dit voorbeeld hebben de gebruikers de keuze uit de groepen Engineering en Accounting.

Figuur 5. Organisatiegroepen waarin directory's hetzelfde domein delen

Apparaten in de juiste organisatiegroep plaatsen

Wanneer een gebruikersrecord wordt gevonden, wordt het apparaat toegevoegd aan de bijbehorende organisatiegroep. De registratie-instelling Toewijzingsmodus groeps-id van Workspace ONE UEM bepaalt in welke organisatiegroep het apparaat wordt geplaatst. U vindt deze instelling op de pagina Systeeminstellingen> Toestellen en gebruikers > Algemeen> Inschrijving> Groepen in de Workspace ONE UEM Console.

Figuur 6. Workspace ONE UEM-groepsregistratie voor apparaten

In voorbeeld 4 behoren alle gebruikers tot de organisatiegroep Corporate.

Figuur 7. Voorbeeld 4

De plaatsing van apparaten is afhankelijk van de toewijzingsmodus met groeps-id's die is ingesteld voor de organisatiegroep Corporate.

  • Als de standaardtoewijzing is ingesteld, wordt het apparaat in dezelfde groep geplaatst als de gebruiker. In voorbeeld 4 wordt het apparaat in de groep Corporate geplaatst.

  • Als u 'Gebruiker vragen om groeps-id te selecteren' hebt gekozen, wordt gebruikers gevraagd de groep te selecteren waarin ze hun apparaat willen registreren. In voorbeeld 4 krijgen gebruikers dan een vervolgkeuzemenu met de opties Engineering en Accounting te zien in de Workspace ONE-app.

  • Als u 'Automatisch selecteren op basis van gebruikersgroep' hebt gekozen, bepalen de gebruikersgroep en de bijbehorende toewijzing in de Workspace ONE UEM Console of de apparaten in de groep Engineering dan wel de groep Accounting worden geplaatst.

Een verborgen groep gebruiken

Wanneer gebruikers in voorbeeld 4 moeten aangeven bij welke organisatiegroep ze zich willen registreren, kunnen ze ook een groeps-id opgeven die niet wordt weergegeven in de lijst van de Workspace ONE-app. Dit wordt een verborgen groep genoemd.

In voorbeeld 5 zijn onder de organisatiegroep Corporate de groepen North America en Beta ondergebracht.

Figuur 8. Voorbeeld 5

In voorbeeld 5 moeten gebruikers hun e-mailadres opgeven in Workspace ONE. Na de verificatie krijgen ze een lijst te zien waarin ze kunnen kiezen uit Engineering en Accounting. De groep Beta wordt niet als optie weergegeven. Als gebruikers de bijbehorende id van deze organisatiegroep kennen, kunnen ze die handmatig invoeren in het tekstvak groepsselectie en hun apparaat zo registreren bij de groep Beta.