AirWatch использует организационные группы для идентификации пользователей и настройки разрешений. При интеграции AirWatch с VMware Identity Manager ключи REST API администратора и регистрирующегося пользователя настраиваются в организационной группе AirWatch типа «Заказчик».

При входе пользователя в Workspace ONE с устройства в VMware Identity Manager инициируется событие регистрации устройства. В AirWatch отправляется запрос на получение любых приложений, право на использование которых есть как у пользователя, так и у устройства. Чтобы найти пользователя в AirWatch и поместить устройство в подходящую организационную группу, запрос отправляется через REST API.

В VMware Identity Manager можно настроить два варианта управления организационными группами:

  • включение автоматического обнаружения AirWatch;

  • сопоставление организационных групп AirWatch с доменами в службе VMware Identity Manager.

Если не настроить ни один из них, Workspace ONE попытается найти пользователя в организационной группе, где создан ключ REST API. Это группа «Заказчик».

Использование автоматического обнаружения AirWatch

Настройте автоматическое обнаружение, если для одного каталога в дочерней группе настроена организационная группа «Заказчик» или если в одной группе «Заказчик» настроено несколько каталогов с уникальными доменами электронной почты.

Рисунок 1. Пример 1

В примере 1 домен электронной почты организации зарегистрирован для автоматического обнаружения. На странице входа Workspace ONE пользователи вводят только адрес электронной почты.

В данном примере, если пользователи в домене NorthAmerica входят в Workspace ONE, им нужно ввести полный адрес электронной почты в формате «пользователь1@домен1.com». Приложение ищет домен и проверяет, существует ли пользователь или можно ли его создать при вызове каталога в организационной группе NorthAmerica. После этого устройство можно зарегистрировать.

Использование сопоставления организационной группы AirWatch с доменами VMware Identity Manager

Сопоставление VMware Identity Manager с организационной группой AirWatch следует настроить, если в одном домене электронной почты настраивается несколько каталогов. Сопоставление домена с несколькими организационными группами можно включить на странице конфигурации AirWatch в консоли администрирования VMware Identity Manager.

Если оно включено, домены, настроенные в VMware Identity Manager, можно сопоставить с идентификаторами организационных групп AirWatch. Кроме того, вам потребуется ключ REST API администратора.

В примере 2 два домена сопоставляются с разными организационными группами. Вам потребуется ключ REST API администратора. Один ключ REST API администратора используется для обоих идентификаторов организационной группы.

Рисунок 2. Пример 2

На странице конфигурации AirWatch в консоли администрирования VMware Identity Manager настройте определенный идентификатор организационной группы AirWatch для каждого домена.

Рисунок 3. Пример 2. Настройка организационной группы

С этой конфигурацией при входе пользователей в Workspace ONE с устройства в ходе запроса на регистрацию устройства осуществляется попытка найти пользователей из домена Domain3 в организационной группе «Europe» и домена Domain4 в организационной группе «AsiaPacific».

В примере 3 один домен сопоставляется с несколькими организационными группами AirWatch. Оба каталога используют один и тот же домен электронной почты. Домен указывает на одну и ту же организационную группу AirWatch.

Рисунок 4. Пример 3

В этой конфигурации при входе в Workspace ONE приложение предлагает пользователю выбрать группу, в которой он желает зарегистрироваться. В этом примере пользователи могут выбрать только группу «Проектирование» или «Учет».

Рисунок 5. Организационные группы, в которых каталоги используют один и тот же домен

Помещение устройств в соответствующую организационную группу

При обнаружении записи пользователя устройство добавляется в соответствующую организационную группу. Параметр регистрации в AirWatch Режим назначения ID группы определяет организационную группу, в которую будет помещено. Этот параметр находится на странице «Настройки системы > Устройства и пользователи > Общие > Регистрация > Группирование».

Рисунок 6. Регистрация устройств в группах AirWatch

В примере 4 все пользователи находятся на уровне организационной группы «Корпоративная».

Рисунок 7. Пример 4

Размещение устройства зависит от конфигурации, выбранной для режима назначения идентификатора группы в организационной группе «Корпоративная».

  • Если выбрано значение «По умолчанию», устройство помещается в группу, в которой находится пользователь. В примере 4 устройство помещается в группу «Корпоративная».

  • Если выбрано значение «Запросить у пользователя выбор ID группы», пользователям предлагается выбрать группу для регистрации устройства. В примере 4 в приложении Workspace ONE отображается раскрывающееся меню с вариантами «Проектирование» или «Учет».

  • Если выбрано значение «Автовыбор на основе группы пользователей», устройства помещаются в группу «Проектирование» или «Учет» в соответствии с назначенной группой пользователя и сопоставлением в консоли администрирования AirWatch.

Общие сведения о понятии «Скрытая группа»

В примере 4 пользователям предлагается выбрать организационную группу для регистрации. При этом они также могут ввести значение идентификатора группы, не указанной в приложении Workspace ONE. Именно такая группа и называется скрытой.

В примере 5 в структуру организационной группы «Корпоративная» входят группы North America и Beta.

Рисунок 8. Пример 5

В примере 5 пользователи вводят адреса электронной почты в Workspace ONE. После проверки подлинности отображается список с группами «Проектирование» и «Учет» на выбор. Группа «Бета» не отображается. Если идентификатор организационной группы известен, можно вручную ввести группу «Бета» в текстовом поле выбора группы и зарегистрировать в ней устройство.