VMware Identity Services — это новая облачная служба для интеграции продуктов VMware со сторонними облачными поставщиками удостоверений, такими как Microsoft Entra ID и Okta, с целью предоставления пользователей и федерации удостоверений. В этом документе рассматривается VMware Identity Services для VMware Workspace ONE®, который обеспечивает централизованное управление пользователями в службах Workspace ONE.
Основные возможности VMware Identity Services:
- Подготовка пользователей в SCIM 2.0
VMware Identity Services основан на протоколе SCIM 2.0 (Система междоменного управления идентификацией), который является стандартным для управления удостоверениями пользователей в облачных приложениях и службах. VMware Identity Services поддерживает любые облачные службы поставщиков удостоверений на базе SCIM 2.0.
- Федерация удостоверений с помощью OpenID Connect или SAML 2.0
Можно настроить федеративную проверку подлинности с помощью стороннего поставщика удостоверений, используя OpenID Connect или SAML 2.0.
- Централизованное управление пользователями в службах Workspace ONE
С помощью VMware Identity Services можно создать единый предоставленный каталог в консоли Workspace ONE Cloud. Пользователи и группы предоставляются из поставщика удостоверений для VMware Identity Services, а затем предоставляются автоматически из VMware Identity Services в выбранные службы Workspace ONE. В настоящий момент VMware Identity Services поддерживает VMware Workspace ONE® Access™ и VMware Workspace ONE® UEM.
Каталог управляется из консоли Workspace ONE Cloud. Каталог, пользователи, группы пользователей, атрибуты пользователей и параметры поставщика удостоверений в Workspace ONE Access и Workspace ONE UEM доступны только для чтения.
- Соединитель не требуется
Развертывание соединителя VMware Workspace ONE Access или VMware AirWatch Cloud Connector локально для интеграции VMware Identity Services с облачными поставщиками удостоверений не требуется.
Настройку и управление VMware Identity Services можно выполнять из консоли Workspace ONE Cloud. В консоли Workspace ONE Access и Workspace ONE UEM не требуется вносить какие-либо настройки.
Поддерживаемые поставщики удостоверений
VMware Identity Services поддерживает таких облачных поставщиков удостоверений:
- Microsoft Entra ID (прежнее название — Azure Active Directory или Azure AD)
- Okta
- Любой универсальный источник удостоверений SCIM 2.0
Поддерживаемые службы Workspace ONE
VMware Identity Services можно настроить для таких облачных служб Workspace ONE:
- Облачная служба Workspace ONE Access
- Workspace ONE UEM 2212 и более поздних версий
Ключевые факторы
- VMware Identity Services доступен только для новых арендаторов Workspace ONE.
- В настоящее время VMware Identity Services поддерживает Workspace ONE Access и Workspace ONE UEM.
- Для доступа к VMware Identity Services вы должны иметь право на использование Workspace ONE Cloud Admin Hub, веб-платформу администрирования, которая подключает службы Workspace ONE для предоставления цифровой рабочей области и управления ею.
- VMware Identity Services централизует управление каталогами в Workspace ONE Cloud. После включения VMware Identity Services каталогом можно управлять только из Workspace ONE Cloud Admin Hub. Настройки служб каталогов и поставщиков удостоверений в Workspace ONE UEM и Workspace ONE Access становятся доступными только для чтения.
- С VMware Identity Services можно интегрировать только один каталог.
- Можно настроить только один домен.
- Подготовку и проверку подлинности нужно настроить с помощью одного и того же поставщика удостоверений. Интеграция с несколькими поставщиками удостоверений не поддерживается.
- VMware Identity Services не поддерживает локальных администраторов и пользователей, а также своевременное предоставление пользователей.
Все пользователи в каталоге либо предоставлены из поставщика удостоверений, либо это администраторы служб Workspace ONE, предоставленные из служб VMware Cloud Services.
- VMware Identity Services не поддерживает прямую интеграцию с Active Directory и другими каталогами LDAP.
- Для настройки VMware Identity Services требуется учетная запись администратора в службе Workspace ONE Cloud.
Неподдерживаемые функции Workspace ONE
VMware Identity Services не поддерживает следующие функции служб Workspace ONE.
Workspace ONE UEM
Если для арендатора включена VMware Identity Services, то не поддерживаются:
- Прямая интеграция с локальными службами Active Directory
- Процессы проверки подлинности на основе имени пользователя и пароля
- Взятие и возврат (для общих устройств)
- Потоки DEP
- Настройка типа проверки подлинности имени пользователя/пароля
- Регистрация PPKG
- Администраторы каталога
Доступны только администраторы служб VMware Cloud Services.
- Переопределение дочерней ОГ, если для верхних ОГ настроен VMware Identity Services
- Своевременная регистрация пользователей (JIT)
Пользователи могут быть добавлены только из облачного поставщика удостоверений.
- Процессы регистрации, связанные с локальной проверкой подлинности Active Directory
Локальные Active Directory без Microsoft Entra ID не поддерживаются. Следовательно, процессы, подобные приведенному ниже, не поддерживаются.
- Dropship Online (базовая учетная запись пользователя для промежуточного хранения) с локальным Active Directory
- Автоматическая регистрация (базовая учетная запись пользователя для промежуточного хранения) с локальным Active Directory
- Регистрация агента (учетная запись каталога) с локальным Active Directory
Workspace ONE Access
Если для арендатора включена VMware Identity Services, то не поддерживаются:
- Прямая интеграция с локальными службами Active Directory
- Создание локальных пользователей, локальных администраторов или своевременное предоставление пользователей
Все пользователи предоставляются из поставщика удостоверений VMware Identity Services или являются администраторами, предоставленными из служб VMware Cloud Services.
- People Search
- Интеграция с Horizon Cloud
- Интеграция с Horizon Enterprise
- При интеграции Workspace ONE Access с Office 365 нельзя использовать федеративную проверку подлинности для поставщика удостоверений Microsoft Entra ID. Будут доступны только специфичные для Workspace ONE Access методы проверки подлинности, такие как RSA SecurID, многофакторная проверка подлинности Hub, единый вход для мобильных устройств и проверка подлинности с помощью сертификата. Проверка подлинности Office 365 Active Flow в настоящее время не поддерживается.
Службы Hub
Если для арендатора включена VMware Identity Services, то не поддерживаются:
- Настройки вкладки «Люди»
- Настройки «Адаптация новых сотрудников», включая «Шаблоны адаптации»
- Digital Badge и опыт возврата к работе
- Интеграция с Horizon Cloud Service в Microsoft Azure с помощью Universal Broker
Workspace ONE Intelligent Hub
Если включен VMware Identity Services, эти функции будут недоступны для пользователей в приложении VMware Workspace ONE® Intelligent Hub или веб-браузере:
- Вкладка «Люди»
- Digital Badge и опыт возврата к работе
- Адаптация новых сотрудников
- Изменить пароль для пользователей Workspace ONE Access (не пользователей Okta)
- Приложения и настольные компьютеры из Horizon Cloud Service в Microsoft Azure с Universal Broker
Дополнительные сведения
Для ознакомления с преимуществами использования VMware Identity Services посмотрите видеоролик VMware Знакомство с централизованным управлением пользователями.