Прежде чем регистрировать устройства, у каждого пользователя должен быть аутентифицированный аккаунт, распознаваемый Workspace ONE UEM. Выбираемый тип аутентификации пользователей зависит от потребностей организации.
Прокси-сервер аутентификации обеспечивает интеграцию служб каталогов в облаке или во внутренних сетях с усиленной защитой. В такой модели сервер Workspace ONE UEM связывается с общедоступным веб-сервером или с сервером Exchange ActiveSync. При аутентификации пользователей используется контроллер домена.
ПРЕИМУЩЕСТВА
НЕДОСТАТКИ
Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector работает аналогично стандартной аутентификации на основе AD и LDAP. Эта модель применима ко всем облачным развертываниям, осуществляемым по концепции «программное обеспечение как услуга» (SaaS).
ПРЕИМУЩЕСТВА
НЕДОСТАТКИ
Модель развертывания «программное обеспечение как услуга»
Модель развертывания на базе локальных ресурсов
Аутентификация SAML 2.0 поддерживает единый вход и федеративную аутентификацию. Workspace ONE UEM никогда не получает корпоративные учетные данные.
Если организация использует сервер поставщика удостоверений SAML, рекомендуем интегрировать SAML 2.0. Убедитесь, что поставщик удостоверений возвращает атрибут objectGUID
в ответе SAML.
ПРЕИМУЩЕСТВА
НЕДОСТАТКИ
Настройка SAML с Workspace ONE Access в качестве поставщика удостоверений с включенной функцией «Локальный базовый пользователь» не поддерживает проверку подлинности базовых пользователей.
Приложения SaaS недоступны администраторам SAML, которые выполняют аутентификацию с помощью Workspace ONE Access.
Приложения SaaS, а также другие политики и функции Workspace ONE Access недоступны, если вы администратор с правами SAML и выполняете проверку подлинности с помощью Workspace ONE Access. При переходе на страницу приложений SaaS отображается следующее сообщение об ошибке.
Убедитесь, что ваша учетная запись администратора существует в системах UEM и IDM и что домен в Workspace ONE UEM точно соответствует домену той же учетной записи в VMware Identity Manager.
Чтобы восстановить доступность приложений SaaS, необходимо войти в Workspace ONE UEM, используя базовую проверку подлинности, а также включить Workspace ONE Access в организационной группе.
Аутентификация на основе маркеров — это самый простой для пользователя способ регистрации устройств. В этом случае Workspace ONE UEM создает маркер, который помещается в URL-адрес регистрации.
При аутентификации только по маркеру пользователь переходит по ссылке с устройства, чтобы выполнить регистрацию, и сервер Workspace ONE UEM принимает выданный пользователю маркер.
Чтобы повысить безопасность, можно ограничить время действия каждого маркера (в часах). Это сведет к минимуму возможность того, что другой пользователь получит доступ к сведениям или функциям, доступным для этого устройства.
Кроме того, можно реализовать двухфакторную аутентификацию, добавив еще один шаг для проверки подлинности пользователя. При такой настройке аутентификации пользователь должен ввести свои учетные данные, чтобы получить ссылку с маркером для регистрации.
ПРЕИМУЩЕСТВА
НЕДОСТАТКИ
Примечание. Развертывания SaaS содержат SMTP.
После интеграции Workspace ONE UEM с выбранным типом безопасности пользователя и перед регистрацией включите все режимы аутентификации, которые планируете разрешить.
Установите соответствующие флажки, чтобы настроить Режим проверки подлинности.
Настройка | Описание |
---|---|
Добавить домен эл. почты | Эта кнопка используется для настройки службы автоматического обнаружения, если необходимо зарегистрировать домены электронной почты в среде. |
Режимы аутентификации | Выберите разрешенные типы аутентификации, к которым относятся следующие: * Базовая: можно регистрировать базовые учетные записи пользователей (те, которые вы создаете вручную в UEM Console). * Каталог: можно регистрировать учетные записи пользователей каталога (те, которые импортированы или разрешены с помощью интеграции службы каталогов). Прямая регистрация Workspace ONE поддерживает пользователей каталогов с использованием SAML или без него. * Прокси проверки подлинности: разрешает пользователям регистрироваться, используя учетные записи пользователей прокси-сервера проверки подлинности. Пользователи проходят проверку подлинности на конечной точке. Введите URL-адрес прокси-сервера проверки подлинности, URL-адрес резервной копии прокси-сервера проверки подлинности и тип метода проверки подлинности (выберите между HTTP Basic и Exchange ActiveSync). |
Источник проверки подлинности для Intelligent Hub | Выберите систему, которую служба Intelligent Hub будет использовать в качестве источника политик проверки подлинности и пользователей. * Workspace ONE UEM: выберите этот параметр, чтобы службы Hub использовали Workspace ONE Access в качестве источника политик для пользователей и проверки подлинности. При настройке страницы Конфигурация Hub для служб Hub укажите URL-адрес клиента служб Hub. * Workspace ONE Access: выберите этот параметр, чтобы службы Hub использовали Workspace ONE Access в качестве источника политик для пользователей и проверки подлинности. При настройке страницы Конфигурация Hub для служб Hub укажите URL-адрес арендатора Workspace ONE Access. Примечание. Если вы включили Workspace ONE Access в качестве источника проверки подлинности для Intelligent Hub и используете командную строку для регистрации в целях промежуточного хранения, то эта конфигурация будет обойдена, и вместо нее будут использованы учетные данные, указанные в командной строке. Дополнительные сведения о Workspace ONE Intelligent Hub см. в документации по услугам VMware Workspace ONE Hub. Дополнительные сведения о Workspace ONE Access см. в документации по VMware Workspace ONE Access. |
Режим регистрации устройств | Выберите режим регистрации: * Открытая регистрация: регистрация доступна для всех пользователей, соответствующих критериям (режим проверки подлинности, ограничения и т. д.). Прямая регистрация Workspace ONE поддерживает открытую регистрацию. * Только зарегистрированные устройства: регистрация доступна только для разрешенных пользователей с помощью устройств, которые были зарегистрированы (вами или самими пользователями). Регистрация устройства — это процесс добавления корпоративных устройств в консоль UEM до их регистрации. Прямая регистрация Workspace ONE позволяет разрешать регистрацию только записанных устройств, но только если не требуется маркер записи. |
Необходим маркер регистрации | Отображается, только если выбран параметр Только зарегистрированные устройства. Ограничив регистрацию только зарегистрированными устройствами, вы также можете запрашивать маркер регистрации. Он повышает безопасность, подтверждая, что конкретный пользователь авторизован для регистрации. Маркер регистрации, который закрепляется за пользователями по аккаунтам Workspace ONE UEM, можно отправить в сообщении электронной почты или в SMS. |
Необходима регистрация в Intelligent Hub для iOS | Установите этот флажок, чтобы перед регистрацией пользователи устройств iOS могли загрузить и установить Workspace ONE Intelligent Hub. В случае деактивации становится доступной веб-регистрация. |
Необходима регистрация в Intelligent Hub для macOS | Установите этот флажок, чтобы перед регистрацией пользователи устройств macOS могли загрузить и установить Workspace ONE Intelligent Hub. В случае деактивации становится доступной веб-регистрация. |
Нажмите Сохранить.
Стандартную аутентификацию можно использовать для идентификации пользователей в архитектуре Workspace ONE UEM, однако этот способ не обеспечивает интеграцию с существующими аккаунтами пользователей.
ПРЕИМУЩЕСТВА
НЕДОСТАТКИ
Аутентификация на основе Active Directory (AD) с использованием протокола LDAP применяется, чтобы интегрировать аккаунты пользователей и администраторов Workspace ONE UEM в существующие корпоративные аккаунты.
ПРЕИМУЩЕСТВА
НЕДОСТАТКИ