Аутентификация SAML 2.0 поддерживает единый вход и федеративную аутентификацию. Workspace ONE UEM никогда не получает корпоративные учетные данные.

Если организация использует сервер поставщика удостоверений SAML, рекомендуем интегрировать SAML 2.0. Убедитесь, что поставщик удостоверений возвращает атрибут objectGUID в ответе SAML.

Преимущества

  • Возможности единого входа.
  • Аутентификация с помощью существующих корпоративных данных.
  • Workspace ONE UEM никогда не получает корпоративные учетные данные в виде простого текста.
  • Может использоваться для прямой регистрации Workspace ONE в сочетании с пользователем каталога SAML.
  • Среда с несколькими доменами поддерживается только для администраторов.

Недостатки

  • Необходима корпоративная инфраструктура поставщика удостоверений SAML.
  • Может использоваться для прямой регистрации Workspace ONE в сочетании с базовым пользователем SAML.
  • Приложения SaaS недоступны администраторам SAML, которые выполняют аутентификацию с помощью Workspace ONE Access. Подробная информация приведена ниже.

На этой схеме показан сервер Workspace ONE SaaS, получающий входные данные от устройства через Интернет и осуществляющий доступ к поставщику удостоверений SAML через брандмауэр.

  1. Устройство подключается к Workspace ONE UEM для регистрации. Сервер UEM перенаправляет устройство на клиент, указанный поставщиком удостоверений.
  2. Устройство безопасно подключается по HTTPS к клиенту, указанному поставщиком удостоверений, а затем пользователь вводит учетные данные.
    • При прямой передаче с устройства в конечную точку SAML учетные данные шифруются.
  3. Учетные данные проверяются в службах каталогов.
  4. Поставщик удостоверений возвращает подписанный ответ SAML с аутентифицированным именем пользователя.
  5. Устройство отвечает серверу Workspace ONE UEM и передает подписанное сообщение SAML. Пользователь аутентифицирован.

    Подробнее см. в руководстве по интеграции SAML VMware AirWatch.

Функции приложений SaaS для администраторов SAML

Приложения SaaS, а также другие политики и функции Workspace ONE Access, недоступны, если вы администратор с правами SAML и выполняете проверку подлинности с помощью Workspace ONE Access. При переходе на страницу приложений SaaS отображается следующее сообщение об ошибке.

Убедитесь, что ваша учетная запись администратора существует в системах UEM и IDM и что домен в Workspace ONE UEM точно соответствует домену той же учетной записи в VMware Identity Manager.

Чтобы восстановить доступность приложений SaaS, необходимо войти в Workspace ONE UEM, используя базовую проверку подлинности, а также включить Workspace ONE Access в организационной группе.