Workspace ONE UEM использует организационные группы для идентификации пользователей и настройки разрешений. При интеграции Workspace ONE UEM с Workspace ONE Access ключи REST API администратора и регистрирующегося пользователя настраиваются в организационной группе Workspace ONE UEM типа «Заказчик».
При входе пользователя в приложение Workspace ONE Intelligent Hub с устройства в Workspace ONE Access инициируется событие регистрации устройства. В Workspace ONE UEM отправляется запрос на получение любых приложений, право на использование которых есть как у пользователя, так и у устройства. Чтобы найти пользователя в Workspace ONE UEM и поместить устройство в подходящую организационную группу, запрос отправляется через REST API.
Чтобы управлять организационными группами в Workspace ONE Access необходимо сопоставить организационные группы Workspace ONE UEM с доменами в службе Workspace ONE Access.
Если организационные группы Workspace ONE UEM не сопоставляются с доменами в службе Workspace ONE Access, приложение Workspace ONE Intelligent Hub попытается найти пользователя в организационной группе, где создан ключ REST API. Это группа Заказчик.
Использование автоматического обнаружения Workspace ONE UEM
Убедитесь, что в консоли Workspace ONE UEM настроено автоматическое обнаружение. Настройте автоматическое обнаружение, если для одного каталога в дочерней группе настроена организационная группа «Заказчик» или если в одной группе «Заказчик» настроено несколько каталогов с уникальными доменами электронной почты.
В примере 1 домен электронной почты организации зарегистрирован для автоматического обнаружения. На странице входа Workspace ONE Intelligent Hub пользователи вводят только адрес электронной почты.
В данном примере, если пользователи в домене NorthAmerica входят в приложение Workspace ONE Intelligent Hub, им нужно ввести полный адрес электронной почты в формате «пользователь1@домен1.com». Приложение ищет домен и проверяет, существует ли пользователь или можно ли его создать при вызове каталога в организационной группе NorthAmerica. После этого устройство можно зарегистрировать.
Использование сопоставления организационных групп Workspace ONE UEM с доменами Workspace ONE Access
Сопоставление службы Workspace ONE Access с организационной группой Workspace ONE UEM следует настроить, если в одном домене электронной почты настраивается несколько каталогов. Параметр Сопоставление доменов с несколькими организационными группами можно включить на странице «Интеграции > Интеграции UEM» в консоли Workspace ONE Access.
Если этот параметр «Сопоставление доменов с несколькими организационными группами» включен, домены, настроенные в Workspace ONE Access, можно сопоставить с идентификаторами организационных групп Workspace ONE UEM. Кроме того, вам потребуется ключ REST API администратора.
В примере 2 два домена сопоставляются с разными организационными группами. Вам потребуется ключ REST API администратора. Один ключ REST API администратора используется для обоих идентификаторов организационной группы.
На странице конфигурации «Интеграция UEM» в консоли Workspace ONE Access настройте определенный идентификатор организационной группы Workspace ONE UEM для каждого домена.
При такой конфигурации при входе пользователей в приложение Workspace ONE Intelligent Hub с устройства в ходе запроса на регистрацию устройства осуществляется попытка найти пользователей из домена Domain3 в организационной группе Europe и из домена Domain4 — в организационной группе AsiaPacific.
В примере 3 один домен сопоставляется с несколькими организационными группами Workspace ONE UEM. Оба каталога используют один и тот же домен электронной почты. Домен указывает на одну и ту же организационную группу Workspace ONE UEM.
При такой конфигурации при входе в приложение Workspace ONE Intelligent Hub данное приложение предлагает пользователям выбрать группу, в которой они хотят зарегистрироваться. В этом примере пользователи могут выбрать только группу «Проектирование» или «Учет».
Помещение устройств в соответствующую организационную группу
При обнаружении записи пользователя устройство добавляется в соответствующую организационную группу. Параметр регистрации в Workspace ONE UEM Режим назначения ID группы определяет организационную группу, в которую будет помещено устройство. Этот параметр находится на странице «Параметры системы» > «Устройство и пользователи» > «Общие» > «Регистрация» > «Группирование»в консоли Workspace ONE UEM Console.
В примере 4 все пользователи находятся на уровне организационной группы «Корпоративная».
Размещение устройства зависит от конфигурации, выбранной для режима назначения идентификатора группы в организационной группе «Корпоративная».
- Если выбрано значение «По умолчанию», устройство помещается в группу, в которой находится пользователь. В примере 4 устройство помещается в группу «Корпоративная».
- Если выбрано значение «Запросить у пользователя выбор ID группы», пользователям предлагается выбрать группу для регистрации устройства. В примере 4 в приложении Workspace ONE Intelligent Hub отображается раскрывающееся меню с вариантами «Проектирование» или «Учет».
- Если выбрано значение «Автовыбор на основе группы пользователей», устройства помещаются в группу «Проектирование» или «Учет» в соответствии с назначенной группой пользователей и сопоставлением в консоли Workspace ONE UEM.
Общие сведения о понятии «Скрытая группа»
В примере 4 пользователям предлагается выбрать организационную группу для регистрации. При этом они также могут ввести значение идентификатора группы, не указанной в приложении Workspace ONE Intelligent Hub. Именно такая группа и называется скрытой.
В примере 5 в структуру организационной группы «Корпоративная» входят группы North America и Beta.
В примере 5 пользователи вводят свой адрес электронной почты в приложение Workspace ONE Intelligent Hub. После проверки подлинности отображается список с группами «Проектирование» и «Учет» на выбор. Группа «Бета» не отображается. Если идентификатор организационной группы известен, можно вручную ввести «Бета» в текстовом поле выбора группы и зарегистрировать в ней устройство.
