Использование локальных каталогов в Workspace ONE Access

Локальный каталог — это один из типов каталогов, которые можно создать в службе Workspace ONE Access. С помощью локального каталога можно инициализировать локальных пользователей в службе и предоставить им доступ к определенным приложениям, не добавляя локальных пользователей в корпоративный каталог. Локальный каталог не подключен к корпоративному каталогу. Кроме того, пользователи и группы корпоративного каталога не синхронизируются с локальным. Локальные пользователи создаются непосредственно в локальном каталоге.

Системный каталог

Системный каталог представляет собой локальный каталог, который автоматически создается в службе Workspace ONE Access при первом запуске Workspace ONE Access. В этом каталоге используется домен с именем «Домен системы». Невозможно изменить каталог или имя домена либо добавить новые домены в системный каталог. а также удалить системный каталог или системный домен.

Создается локальный администратор в системном домене системного каталога. Локальному администратору назначается роль привилегированного администратора, и он может управлять всеми компонентами и функциями в службе Workspace ONE Access. Можно добавлять дополнительных локальных администраторов с ролью привилегированного администратора в локальный системный каталог.

Для облачных развертываний Workspace ONE Access при первой настройке учетной записи арендатора в системном домене системного каталога создается локальный администратор. Учетные данные, предоставляемые при получении нового арендатора, принадлежат этому локальному администратору.

Для локальных развертываний локальный администратор создается в системном домене системного каталога при первой настройке устройства Workspace ONE Access.

Для предоставления конечных пользователей и добавления администраторов, которым назначены другие роли администратора, создайте новый локальный каталог.

Локальные каталоги

Помимо системного каталога, можно создать и другие локальные каталоги. У каждого локального каталога может быть один или несколько доменов. При создании локальных пользователей для них необходимо указать каталог и домен.

Можно выбрать атрибуты пользователя, которые требуются для локальных пользователей. В службе Workspace ONE Access атрибуты пользователя, например userName, lastName и firstName, необходимы и указываются на глобальном уровне. Глобальные атрибуты пользователя применяются ко всем каталогам службы. На уровне локального каталога можно выбрать другие обязательные атрибуты. Выбор других атрибутов позволяет создавать пользовательские наборы атрибутов для каждого локального каталога.

Локальные каталоги с настраиваемыми сопоставленными атрибутами пригодятся в следующих ситуациях.

Можно создать локальный каталог для пользователей определенного типа, которые не входят в корпоративный каталог. Например, можно создать локальный каталог для партнеров и предоставить им доступ только к определенным необходимым приложениям.
Если необходимо использовать разные атрибуты пользователя или методы проверки подлинности для разных наборов пользователей, можно создать разные локальные каталоги. Например, можно создать один локальный каталог для дистрибьюторов, которым назначены такие атрибуты пользователя, как регион и размер рынка, а другой — для поставщиков, которым назначены такие атрибуты пользователя, как категория продукта и тип поставщика.

Поставщик удостоверений для системного каталога и локальных каталогов

По умолчанию системный каталог связан с поставщиком удостоверений с именем Поставщик системных удостоверений. В этом поставщике удостоверений включен метод проверки подлинности «Пароль (локальный каталог)». Правило политики default_access_policy_set устанавливает для проверки подлинности с помощью пароля сетевой диапазон ВСЕ ДИАПАЗОНЫ для типа устройства «Веб-браузер». Для правил политики можно настроить дополнительные методы проверки подлинности.

При создании нового локального каталога он не связывается с каким-либо определенным поставщиком удостоверений. После создания локального каталога создайте нового встроенного поставщика удостоверений типа Внедренный. Свяжите локальный каталог с поставщиком удостоверений и включите метод проверки подлинности «Пароль (локальный каталог)». С одним поставщиком удостоверений можно связать несколько локальных каталогов.

Соединитель Workspace ONE Access Connector не требуется ни для системного каталога, ни для создаваемых локальных каталогов.

Управление паролями для пользователей локального каталога

По умолчанию все пользователи, настроенные в локальных каталогах, могут изменить свой пароль на пользовательском портале или в приложении VMware Workspace ONE Intelligent Hub. Для локальных пользователей можно настроить политику паролей. При необходимости администратор также может сбросить пароли локальных пользователей.

Пользователи могут щелкнуть свое имя в правом верхнем углу, чтобы изменить пароль, если выполнен вход на пользовательский портал. Необходимо выбрать пункт Учетная запись в раскрывающемся меню и щелкнуть ссылку Изменить пароль. Пользователи приложения Workspace ONE Intelligent Hub могут изменять пароли в своих профилях, выбрав параметр Изменить пароль.

Дополнительные сведения о настройке политик паролей и сбросе паролей локальных пользователей см. в разделе Управление политикой паролей для локальных пользователей в Workspace ONE Access.