Типы аутентификации пользователей

Прежде чем регистрировать устройства, у каждого пользователя должен быть аутентифицированный аккаунт, распознаваемый Workspace ONE UEM. Выбираемый тип аутентификации пользователей зависит от потребностей организации.

Прокси-сервер аутентификации

Прокси-сервер аутентификации обеспечивает интеграцию служб каталогов в облаке или во внутренних сетях с усиленной защитой. В такой модели сервер Workspace ONE UEM связывается с общедоступным веб-сервером или с сервером Exchange ActiveSync. При аутентификации пользователей используется контроллер домена.

ПРЕИМУЩЕСТВА

  • безопасный способ интеграции прокси-сервера с AD или LDAP в облаке.
  • Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.
  • компактный модуль с минимальной настройкой.

НЕДОСТАТКИ

  • необходим общедоступный сервер или веб-сервер Exchange ActiveSync, связанный с сервером AD или LDAP.
  • работает только с определенными архитектурами.
  • решение значительно уступает VMware Enterprise Systems Connector в надежности.
  • не может использоваться для прямой регистрации Workspace ONE.

На этой схеме показан обратный прокси-сервер, служащий посредником между службами каталогов и моделью Workspace ONE SaaS.

  1. Устройство подключается к Workspace ONE UEM для выполнения регистрации. Пользователь вводит свое имя и пароль для служб каталогов.
    • Имя пользователя и пароль шифруются при передаче.
    • Workspace ONE UEM не сохраняет пароли пользователей служб каталогов.
  2. Workspace ONE UEM передает имя пользователя и пароль на настроенный прокси-сервер аутентификации (например, для стандартной аутентификации).
  3. Учетные данные пользователя проверяются в корпоративных службах каталогов.
  4. Если учетные данные пользователя действительны, сервер Workspace ONE UEM регистрирует устройство.

Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector

Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector работает аналогично стандартной аутентификации на основе AD и LDAP. Эта модель применима ко всем облачным развертываниям, осуществляемым по концепции «программное обеспечение как услуга» (SaaS).

ПРЕИМУЩЕСТВА

  • Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.
  • Нет необходимости настраивать брандмауэр, поскольку связь устанавливается из VMware Enterprise Systems Connector в вашей сети.
  • Передача учетных данных шифруется в защищенном режиме.
  • Возможность безопасной настройки других инфраструктур, например серверов BES, Microsoft ADCS, SCEP и SMTP.
  • Совместимость с Workspace ONE ® Direct Enrollment.

НЕДОСТАТКИ

  • Необходимо установить VMware Enterprise Systems Connector в зоне DMZ или защитить брандмауэром.
  • Необходимы дополнительные настройки.

Модель развертывания «программное обеспечение как услуга»

На этой схеме показан VMware Cloud Connector, обслуживающий Workspace ONE в облаке через брандмауэр, одновременно получая доступ к внутренним сетевым ресурсам.

Модель развертывания на базе локальных ресурсов

На этой схеме показано устройство, получающее доступ к службам устройства в DMZ, которое обслуживается внутренними сетевыми ресурсами через брандмауэр.

Аутентификация SAML 2.0

Аутентификация SAML 2.0 поддерживает единый вход и федеративную аутентификацию. Workspace ONE UEM никогда не получает корпоративные учетные данные.

Если организация использует сервер поставщика удостоверений SAML, рекомендуем интегрировать SAML 2.0. Убедитесь, что поставщик удостоверений возвращает атрибут objectGUID в ответе SAML.

ПРЕИМУЩЕСТВА

  • Возможности единого входа.
  • Аутентификация с помощью существующих корпоративных данных.
  • Workspace ONE UEM никогда не получает корпоративные учетные данные в виде простого текста.
  • Совместимость с прямой регистрацией Workspace ONE при использовании в сочетании с пользователем каталога SAML.
  • Только администраторы могут использовать среды с несколькими доменами.

НЕДОСТАТКИ

  • Необходима корпоративная инфраструктура поставщика удостоверений SAML.
  • Несовместимость с прямой регистрацией Workspace ONE при использовании в сочетании с базовым пользователем SAML.
  • Настройка SAML с Workspace ONE Access в качестве поставщика удостоверений с включенной функцией «Локальный базовый пользователь» не поддерживает проверку подлинности базовых пользователей.

    На этой схеме показан сервер Workspace ONE SaaS, получающий входные данные от устройства через Интернет и осуществляющий доступ к поставщику удостоверений SAML через брандмауэр.

    1. Устройство подключается к Workspace ONE UEM для регистрации. Сервер UEM перенаправляет устройство на клиент, указанный поставщиком удостоверений.
    2. Устройство безопасно подключается по HTTPS к клиенту, указанному поставщиком удостоверений, а затем пользователь вводит учетные данные.
      • При прямой передаче с устройства в конечную точку SAML учетные данные шифруются.
    3. Проверка учетных данных по службе каталогов.
    4. Поставщик удостоверений возвращает подписанный ответ SAML с аутентифицированным именем пользователя.
    5. Устройство отвечает серверу Workspace ONE UEM и передает подписанное сообщение SAML. Пользователь выполняет аутентификацию. Для получения дополнительных сведений см. перейдите в раздел Ручная настройка служб каталогов и прокрутите вниз до раздела SAML.
  • Приложения SaaS недоступны администраторам SAML, которые выполняют аутентификацию с помощью Workspace ONE Access.

Функции приложений SaaS для администраторов SAML

Приложения SaaS, а также другие политики и функции Workspace ONE Access недоступны, если вы администратор с правами SAML и выполняете проверку подлинности с помощью Workspace ONE Access. При переходе на страницу приложений SaaS отображается следующее сообщение об ошибке.

Убедитесь, что ваша учетная запись администратора существует в системах UEM и IDM и что домен в Workspace ONE UEM точно соответствует домену той же учетной записи в VMware Identity Manager.

Чтобы восстановить доступность приложений SaaS, необходимо войти в Workspace ONE UEM, используя базовую проверку подлинности, а также включить Workspace ONE Access в организационной группе.

Аутентификация на основе маркеров

Аутентификация на основе маркеров — это самый простой для пользователя способ регистрации устройств. В этом случае Workspace ONE UEM создает маркер, который помещается в URL-адрес регистрации.

При аутентификации только по маркеру пользователь переходит по ссылке с устройства, чтобы выполнить регистрацию, и сервер Workspace ONE UEM принимает выданный пользователю маркер.

Чтобы повысить безопасность, можно ограничить время действия каждого маркера (в часах). Это сведет к минимуму возможность того, что другой пользователь получит доступ к сведениям или функциям, доступным для этого устройства.

Кроме того, можно реализовать двухфакторную аутентификацию, добавив еще один шаг для проверки подлинности пользователя. При такой настройке аутентификации пользователь должен ввести свои учетные данные, чтобы получить ссылку с маркером для регистрации.

ПРЕИМУЩЕСТВА

  • Минимальная нагрузка на пользователя при регистрации и аутентификации устройства.
  • Надежные маркеры с истекающим сроком действия.
  • Пользователю не нужны учетные данные при аутентификации по только по маркеру.

НЕДОСТАТКИ

  • Чтобы отправлять маркеры на устройства, необходима интеграция со службами SMTP или SMS.

На этой схеме показан администратор, предоставляющий одноразовый маркер для пользователя регистрации.

  1. Администратор авторизует запись устройства пользователя.
  2. Создается одноразовый маркер и отправляется пользователю из Workspace ONE UEM.
  3. Пользователь получает одноразовый маркер и переходит по URL-адресу регистрации. У пользователя запрашивают маркер и предлагают пройти двухфакторную проверку подлинности.
  4. Процесс регистрации устройства.
  5. Workspace ONE UEM помечает маркер как просроченный.

Примечание. Развертывания SaaS содержат SMTP.

Включение типов безопасности для регистрации

После интеграции Workspace ONE UEM с выбранным типом безопасности пользователя и перед регистрацией включите все режимы аутентификации, которые планируете разрешить.

  1. Откройте раздел Устройства > Настройки устройства > Устройства и пользователи > Общее > Регистрация и выберите вкладку Проверка подлинности.
  2. Установите соответствующие флажки, чтобы настроить Режим проверки подлинности.

    Настройка Описание
    Добавить домен эл. почты Эта кнопка используется для настройки службы автоматического обнаружения, если необходимо зарегистрировать домены электронной почты в среде.
    Режимы аутентификации Выберите разрешенные типы аутентификации, к которым относятся следующие:

    * Базовая: можно регистрировать базовые учетные записи пользователей (те, которые вы создаете вручную в UEM Console).
    * Каталог: можно регистрировать учетные записи пользователей каталога (те, которые импортированы или разрешены с помощью интеграции службы каталогов). Прямая регистрация Workspace ONE поддерживает пользователей каталогов с использованием SAML или без него.
    * Прокси проверки подлинности: разрешает пользователям регистрироваться, используя учетные записи пользователей прокси-сервера проверки подлинности. Пользователи проходят проверку подлинности на конечной точке. Введите URL-адрес прокси-сервера проверки подлинности, URL-адрес резервной копии прокси-сервера проверки подлинности и тип метода проверки подлинности (выберите между HTTP Basic и Exchange ActiveSync).
    Источник проверки подлинности для Intelligent Hub Выберите систему, которую служба Intelligent Hub будет использовать в качестве источника политик проверки подлинности и пользователей.

    * Workspace ONE UEM: выберите этот параметр, чтобы службы Hub использовали Workspace ONE Access в качестве источника политик для пользователей и проверки подлинности. При настройке страницы Конфигурация Hub для служб Hub укажите URL-адрес клиента служб Hub.
    * Workspace ONE Access: выберите этот параметр, чтобы службы Hub использовали Workspace ONE Access в качестве источника политик для пользователей и проверки подлинности.

    При настройке страницы Конфигурация Hub для служб Hub укажите URL-адрес арендатора Workspace ONE Access.

    Примечание. Если вы включили Workspace ONE Access в качестве источника проверки подлинности для Intelligent Hub и используете командную строку для регистрации в целях промежуточного хранения, то эта конфигурация будет обойдена, и вместо нее будут использованы учетные данные, указанные в командной строке.

    Дополнительные сведения о Workspace ONE Intelligent Hub см. в документации по услугам VMware Workspace ONE Hub.

    Дополнительные сведения о Workspace ONE Access см. в документации по VMware Workspace ONE Access.
    Режим регистрации устройств Выберите режим регистрации:

    * Открытая регистрация: регистрация доступна для всех пользователей, соответствующих критериям (режим проверки подлинности, ограничения и т. д.). Прямая регистрация Workspace ONE поддерживает открытую регистрацию.
    * Только зарегистрированные устройства: регистрация доступна только для разрешенных пользователей с помощью устройств, которые были зарегистрированы (вами или самими пользователями). Регистрация устройства — это процесс добавления корпоративных устройств в консоль UEM до их регистрации. Прямая регистрация Workspace ONE позволяет разрешать регистрацию только записанных устройств, но только если не требуется маркер записи.
    Необходим маркер регистрации Отображается, только если выбран параметр Только зарегистрированные устройства.

    Ограничив регистрацию только зарегистрированными устройствами, вы также можете запрашивать маркер регистрации. Он повышает безопасность, подтверждая, что конкретный пользователь авторизован для регистрации. Маркер регистрации, который закрепляется за пользователями по аккаунтам Workspace ONE UEM, можно отправить в сообщении электронной почты или в SMS.
    Необходима регистрация в Intelligent Hub для iOS Установите этот флажок, чтобы перед регистрацией пользователи устройств iOS могли загрузить и установить Workspace ONE Intelligent Hub. В случае деактивации становится доступной веб-регистрация.
    Необходима регистрация в Intelligent Hub для macOS Установите этот флажок, чтобы перед регистрацией пользователи устройств macOS могли загрузить и установить Workspace ONE Intelligent Hub. В случае деактивации становится доступной веб-регистрация.
  3. Нажмите Сохранить.

Стандартная аутентификация пользователей

Стандартную аутентификацию можно использовать для идентификации пользователей в архитектуре Workspace ONE UEM, однако этот способ не обеспечивает интеграцию с существующими аккаунтами пользователей.

ПРЕИМУЩЕСТВА

  • Совместимость с любым методом развертывания.
  • Не требует технической интеграции.
  • Не требует корпоративной инфраструктуры.

НЕДОСТАТКИ

  • Несовместимость с автоматическим обнаружением.
  • Учетные данные присутствуют только в Workspace ONE UEM и не всегда совпадают с существующими корпоративными учетными данными.
  • Не предоставляет федеративную безопасность или возможность единого входа.
  • Workspace ONE UEM хранит все имена пользователей и пароли.
  • Несовместимость с прямой регистрацией Workspace ONE.

На этой схеме показано устройство, которое получает доступ к консоли UEM через интернет. Пользователь консоли администратора имеет доступ Workspace ONE UEM через брандмауэр.

  1. Пользователь консоли входит в Workspace ONE UEM SaaS, используя локальный аккаунт для аутентификации (стандартная аутентификация).
    • Учетные данные шифруются при передаче.
    • (например, имя пользователя: [email protected], пароль: Abcd).
  2. Пользователь регистрирует устройство с помощью учетных данных локального аккаунта Workspace ONE UEM (стандартная аутентификация)
    • Учетные данные шифруются при передаче.
    • (например, имя пользователя — jdoe2, пароль — 2557).

Аутентификация на основе Active Directory с использованием LDAP

Аутентификация на основе Active Directory (AD) с использованием протокола LDAP применяется, чтобы интегрировать аккаунты пользователей и администраторов Workspace ONE UEM в существующие корпоративные аккаунты.

ПРЕИМУЩЕСТВА

  • Пользователи могут выполнять аутентификацию, используя существующие корпоративные учетные данные.
  • Безопасный способ интеграции с LDAP или AD.
  • Стандартная интеграция.
  • Совместимость с прямой регистрацией Workspace ONE.

НЕДОСТАТКИ

  • Требуется AD или другой сервер LDAP.

На этой схеме показано устройство, которое получает доступ к консоли UEM через интернет через брандмауэр. В консоли UEM доступна служба каталогов.

  1. Устройство подключается к Workspace ONE UEM для выполнения регистрации. Пользователь вводит свое имя и пароль для служб каталогов.
    • Имя пользователя и пароль шифруются при передаче.
    • Workspace ONE UEM не сохраняет пароли пользователей служб каталогов.
  2. Workspace ONE UEM запрашивает через Интернет службы каталогов по защищенному протоколу LDAP, используя учетную запись службы для аутентификации.
  3. Учетные данные пользователя проверяются в корпоративной службе каталогов.
  4. Если учетные данные пользователя действительны, сервер Workspace ONE UEM регистрирует устройство.
check-circle-line exclamation-circle-line close-line
Scroll to top icon