Прежде чем можно будет регистрировать устройства каждый пользователь должен получить аутентифицируемый аккаунт, который распознает Workspace ONE UEM. Выбираемый тип аутентификации пользователей зависит от потребностей организации.

Прокси-сервер аутентификации

Прокси-сервер аутентификации обеспечивает интеграцию служб каталогов в облаке или во внутренних сетях с усиленной защитой. В такой модели сервер Workspace ONE UEM связывается с общедоступным веб-сервером или с сервером Exchange ActiveSync. При аутентификации пользователей используется контроллер домена.

ПРЕИМУЩЕСТВА

  • Безопасный способ интеграции прокси-сервера с AD или LDAP в облаке.
  • Пользователи могут пройти аутентификацию используя существующие корпоративные данные.
  • Компактный модуль с минимальной настройкой.

НЕДОСТАТКИ

  • Необходим общедоступный сервер или веб-сервер Exchange ActiveSync, связанный с сервером AD или LDAP.
  • Работает только с определенными архитектурами.
  • Решение значительно уступает VMware Enterprise Systems Connector в надежности.
  • Не может использоваться для прямой регистрации Workspace ONE.

На этой схеме показан обратный прокси-сервер, служащий посредником между службами каталогов и моделью Workspace ONE SaaS.

  1. Устройство подключается к Workspace ONE UEM для регистрации. Пользователь вводит свое имя и пароль для служб каталогов.
    • Имя пользователя и пароль шифруются при передаче.
    • Workspace ONE UEM не сохраняет пароли пользователей от служб каталогов.
  2. Workspace ONE UEM передает имя пользователя и пароль на настроенный прокси-сервер аутентификации (например, для стандартной аутентификации).
  3. Учетные данные пользователя проверяются в корпоративных службах каталогов.
  4. Если учетные данные пользователя действительны, сервер Workspace ONE UEM разрешает устройству выполнить регистрацию.

Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector

Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector работает аналогично стандартной аутентификации на основе AD и LDAP. Эта модель применима ко всем облачным развертываниям, осуществляемым по концепции «программное обеспечение как услуга» (SaaS).

ПРЕИМУЩЕСТВА

  • Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.
  • Нет необходимости настраивать брандмауэр, поскольку связь устанавливается из VMware Enterprise Systems Connector в вашей сети.
  • Учетные данные безопасно передаются в зашифрованном виде.
  • Возможность безопасной настройки других инфраструктур, например серверов BES, Microsoft ADCS, SCEP и SMTP.
  • Может использоваться для прямой регистрации Workspace ™ ONE.

НЕДОСТАТКИ

  • Необходимо установить VMware Enterprise Systems Connector в зоне DMZ или защитить брандмауэром.
  • Необходимы дополнительные настройки.

Модель развертывания SaaS

На этой схеме показан VMware Cloud Connector, обслуживающий Workspace ONE в облаке через брандмауэр, одновременно получая доступ к внутренним сетевым ресурсам.

Локальная модель развертывания

На этой схеме показано устройство, получающее доступ к службам устройства в DMZ, которое обслуживается внутренними сетевыми ресурсами через брандмауэр.

Аутентификация SAML 2.0

Аутентификация SAML 2.0 поддерживает единый вход и федеративную аутентификацию. Workspace ONE UEM никогда не получает корпоративные учетные данные.

Если организация использует сервер поставщика удостоверений SAML, рекомендуем интегрировать SAML 2.0. Убедитесь, что поставщик удостоверений возвращает атрибут objectGUID в ответе SAML.

ПРЕИМУЩЕСТВА

  • Возможности единого входа.
  • Аутентификация с помощью существующих корпоративных данных.
  • Workspace ONE UEM никогда не получает корпоративные учетные данные в виде простого текста.
  • Может использоваться для прямой регистрации Workspace ONE в сочетании с пользователем каталога SAML.
  • Среда с несколькими доменами поддерживается только для администраторов.

НЕДОСТАТКИ

  • Необходима корпоративная инфраструктура поставщика удостоверений SAML.
  • Может использоваться для прямой регистрации Workspace ONE в сочетании с базовым пользователем SAML.
  • Настройка SAML с Workspace ONE Access в качестве поставщика удостоверений с включенной функцией «Локальный базовый пользователь» не поддерживает проверку подлинности базовых пользователей.

    На этой схеме показан сервер Workspace ONE SaaS, получающий входные данные от устройства через Интернет и осуществляющий доступ к поставщику удостоверений SAML через брандмауэр.

    1. Устройство подключается к Workspace ONE UEM для регистрации. Сервер UEM перенаправляет устройство на клиент, указанный поставщиком удостоверений.
    2. Устройство безопасно подключается по HTTPS к клиенту, указанному поставщиком удостоверений, а затем пользователь вводит учетные данные.
      • При прямой передаче с устройства в конечную точку SAML учетные данные шифруются.
    3. Учетные данные проверяются в службах каталогов.
    4. Поставщик удостоверений возвращает подписанный ответ SAML с аутентифицированным именем пользователя.
    5. Устройство отвечает серверу Workspace ONE UEM и передает подписанное сообщение SAML. Пользователь аутентифицирован.

    Для получения дополнительных сведений см. перейдите в раздел Ручная настройка служб каталогов и прокрутите вниз до раздела SAML.

  • Приложения SaaS недоступны администраторам SAML, которые выполняют аутентификацию с помощью Workspace ONE Access.

Функции приложений SaaS для администраторов SAML

Приложения SaaS, а также другие политики и функции Workspace ONE Access, недоступны, если вы администратор с правами SAML и выполняете проверку подлинности с помощью Workspace ONE Access. При переходе на страницу приложений SaaS отображается следующее сообщение об ошибке.

Убедитесь, что ваша учетная запись администратора существует в системах UEM и IDM и что домен в Workspace ONE UEM точно соответствует домену той же учетной записи в VMware Identity Manager.

Чтобы восстановить доступность приложений SaaS, необходимо войти в Workspace ONE UEM, используя базовую проверку подлинности, а также включить Workspace ONE Access в организационной группе.

Аутентификация на основе маркеров

Аутентификация на основе маркеров — это самый простой для пользователя способ регистрации устройств. С такими настройками регистрации Workspace ONE UEM создает маркер, который помещается в URL-адрес регистрации.

При проверке подлинности только по маркеру пользователь переходит по ссылке с устройства, чтобы выполнить регистрацию, и сервер Workspace ONE UEM ссылается на выданный пользователю маркер.

Чтобы повысить безопасность, можно ограничить время действия каждого маркера (в часах). Это сведет к минимуму возможность того, что другой пользователь получит доступ к сведениям или функциям, доступным для этого устройства.

Кроме того, можно реализовать двухфакторную аутентификацию, добавив еще один шаг для проверки подлинности пользователя. При такой настройке аутентификации пользователь должен ввести свои учетные данные, чтобы получить ссылку с маркером для регистрации.

ПРЕИМУЩЕСТВА

  • Минимальная нагрузка на пользователя при регистрации и аутентификации устройства.
  • Надежные маркеры с истекающим сроком действия.
  • Пользователю не нужны учетные данные при аутентификации по только по маркеру.

НЕДОСТАТКИ

  • Чтобы отправлять маркеры на устройства, необходима интеграция со службами SMTP или SMS.

На этой схеме показан администратор, предоставляющий одноразовый маркер для пользователя регистрации.

  1. Администратор авторизует запись устройства пользователя.
  2. Создается одноразовый маркер и отправляется пользователю из Workspace ONE UEM.
  3. Пользователь получает одноразовый маркер и переходит по URL-адресу регистрации. У пользователя запрашивают маркер и предлагают пройти двухфакторную аутентификацию (необязательно).
  4. Процесс регистрации устройства.
  5. Workspace ONE UEM помечает маркер как просроченный.
Примечание: Протокол SMTP включен в развертывания SaaS.

Включение типов безопасности для регистрации

После интеграции Workspace ONE UEM с выбранным типом безопасности пользователя и перед регистрацией включите все режимы проверки подлинности, которые планируете разрешить.

  1. Перейдите в раздел Устройства > Настройки устройств > Устройства и пользователи > Общие > Регистрация на вкладке Проверка подлинности.
  2. Установите соответствующие флажки, чтобы настроить Режим проверки подлинности.
    Настройка Описание
    Добавить домен эл. почты Эта кнопка используется для настройки службы автоматического обнаружения, если необходимо зарегистрировать домены электронной почты в среде.
    Режимы аутентификации

    Выберите разрешенные типы аутентификации, к которым относятся следующие:

    • Базовая: можно регистрировать базовые учетные записи пользователей (те, которые создаются вручную в UEM console).
    • Каталог: можно регистрировать учетные записи пользователей каталога (те, которые импортированы или разрешены с помощью интеграции службы каталогов). Прямая регистрация Workspace ONE поддерживает пользователей каталогов с использованием SAML или без него.
    • Прокси аутентификации: разрешает пользователям регистрироваться, используя учетные записи пользователей прокси-сервера аутентификации. Пользователи проходят проверку подлинности на конечной точке.
      • Введите URL-адрес прокси-сервера проверки подлинности, URL-адрес резервной копии прокси-сервера проверки подлинности и тип метода проверки подлинности (выберите между HTTP Basic и Exchange ActiveSync).
    Источник проверки подлинности для Intelligent Hub

    Выберите систему, которую служба Intelligent Hub будет использовать в качестве источника политик проверки подлинности и пользователей.

    • Workspace ONE UEM: выберите этот параметр, чтобы службы Hub использовали Workspace ONE UEM в качестве источника политик для пользователей и проверки подлинности.

      При настройке страницы Конфигурация Hub для служб Hub укажите URL-адрес клиента служб Hub.

    • Workspace ONE Access: выберите этот параметр, чтобы службы Hub использовали Workspace ONE Access в качестве источника политик для пользователей и проверки подлинности.

      При настройке страницы Конфигурация Hub для служб Hub укажите URL-адрес арендатора Workspace ONE Access.

    Дополнительные сведения о Workspace ONE Intelligent Hub см. в документации служб VMware Workspace ONE Hub.

    Дополнительные сведения о Workspace ONE Access см. в документации по VMware Workspace ONE Access.

    Режим регистрации устройств

    Выберите режим регистрации:

    • Открытая регистрация: регистрация доступна для всех пользователей, соответствующих критериям (режим аутентификации, ограничения и т. д.). Прямая регистрация Workspace ONE поддерживает открытую регистрацию.
    • Только зарегистрированные устройства: пользователям разрешалось регистрироваться только с помощью устройств, которые были зарегистрированы (вами или самим пользователем). Регистрация устройства — это процесс добавления корпоративных устройств в консоль UEM до их регистрации. Прямая регистрация Workspace ONE позволяет разрешать регистрацию только записанных устройств, но только если не требуется маркер записи.
    Необходим маркер регистрации

    Отображается, только если выбран параметр Только зарегистрированные устройства.

    Ограничив регистрацию только зарегистрированными устройствами, вы также можете запрашивать маркер регистрации. Он повышает безопасность, подтверждая, что конкретный пользователь авторизован для регистрации. Маркер регистрации, который закрепляется за пользователями по аккаунтам Workspace ONE UEM, можно отправить в электронном сообщении или в SMS.

    Необходима регистрация в Intelligent Hub для iOS Установите этот флажок, чтобы пользователи устройств iOS должны были загружать и устанавливать Workspace ONE Intelligent Hub перед регистрацией. Если деактивировано, становится доступной веб-регистрация.
    Необходима регистрация в Intelligent Hub для macOS Установите этот флажок, чтобы пользователи устройств macOS должны были загружать и устанавливать Workspace ONE Intelligent Hub перед регистрацией. Если деактивировано, становится доступной веб-регистрация.
  3. Нажмите Сохранить.

Стандартная аутентификация пользователей

Можно использовать базовую аутентификацию для идентификации пользователей в архитектуре Workspace ONE UEM, однако этот метод не обеспечивает интеграцию с существующими учетными записями корпоративных пользователей.

ПРЕИМУЩЕСТВА

  • Работает с любым способом развертывания.
  • Не требует технической интеграции.
  • Не требует корпоративной инфраструктуры.

НЕДОСТАТКИ

  • Не используется при автоматическом обнаружении.
  • Учетные данные присутствуют только в Workspace ONE UEM и не всегда совпадают с существующими корпоративными учетными данными.
  • Не предоставляет федеративную безопасность или возможность единого входа.
  • Workspace ONE UEM хранит все имена пользователей и пароли.
  • Не может использоваться для прямой регистрации Workspace ONE.

  1. Пользователь консоли входит в Workspace ONE UEM SaaS с помощью локальной учетной записи для аутентификации (базовая аутентификация).
    • Учетные данные шифруются при передаче
    • (например, имя пользователя: jdoe@air-watch.com, пароль: Abcd).
  2. Пользователь устройства регистрирует устройство, используя учетные данные локальной учетной записи Workspace ONE UEM (базовая аутентификация).
    • Учетные данные шифруются при передаче
    • (например, имя пользователя — jdoe2, пароль — 2557).

Аутентификация на основе Active Directory с использованием LDAP

Аутентификация на основе Active Directory (AD) с использованием Lightweight Directory Access Protocol (LDAP) используется для интеграции учетных записей пользователей и администраторов Workspace ONE UEM с существующими корпоративными учетными записями.

ПРЕИМУЩЕСТВА

  • Пользователи могут выполнять аутентификацию, используя существующие корпоративные учетные данные.
  • Безопасный способ интеграции с LDAP или AD.
  • Стандартная интеграция.
  • Может использоваться для прямой регистрации Workspace ONE.

НЕДОСТАТКИ

  • Необходим сервер AD или другой сервер LDAP.

На этой схеме показано устройство, которое получает доступ к консоли UEM через Интернет через брандмауэр. консоль UEM получает доступ к службам каталогов.

  1. Устройство подключается к Workspace ONE UEM для регистрации. Пользователь вводит свое имя и пароль для служб каталогов.
    • Имя пользователя и пароль шифруются при передаче.
    • Workspace ONE UEM не сохраняет пароли пользователей от служб каталогов.
  2. Workspace ONE UEM запрашивает службы каталогов клиента через Интернет с помощью безопасного протокола LDAP и учетной записи службы для проверки подлинности.
  3. Учетные данные пользователя проверяются в корпоративной службе каталогов.
  4. Если учетные данные пользователя действительны, сервер Workspace ONE UEM разрешает устройству выполнить регистрацию.