本主題涵蓋有關使用 VMware Cloud services 對公司網域進行企業聯盟的常見問題集 (FAQ)。

問:針對我的公司網域設定企業聯盟後,是否仍可以使用 VMware 識別碼 (My VMware) 帳戶存取 my.vmware.com?

答:是。如果您的網域已聯盟,則只能使用企業帳戶存取 VMware Cloud services,但是可以繼續使用 My VMware 帳戶存取 my.vmware.com

問:如果我的企業帳戶已聯盟,是否仍需要透過 VMware 建立帳戶?

答:身為聯盟帳戶的使用者,只有當您想要提出支援票證或執行計費和訂閱相關作業時,才需要建立 My VMware 帳戶。

問:為企業設定聯盟後,是否可以繼續使用 VMware 識別碼帳戶登入 VMware Cloud Services 入口網站?

答:否。使用企業身分識別提供者設定企業聯盟後,必須將企業認證用於 VMware Cloud services 的所有後續登入。

問:將 VMware 識別碼帳戶連結至企業帳戶是否會導致企業帳戶發生變更?

答:您的企業帳戶不會因為連結至 My VMware 帳戶而發生變更。連結會建立一個內部對應,不會變更企業帳戶的任何屬性。

問:設定企業聯盟後,是否可以強制執行多重要素驗證 (MFA) 以存取 VMware Cloud Services?

答:這取決於您的企業設定。如果企業使用的身分識別提供者已設定為執行 MFA,則回答為肯定。系統會提示您在登入時使用 MFA 以存取 VMware Cloud services

問:企業聯盟是否繫結至 VMware Cloud Services 中的特定組織或服務?

答:否。企業聯盟涵蓋整個網域。已登錄且已驗證網域中的所有使用者都可以存取任何 VMware Cloud services 組織以及該組織訂閱的服務。

此外,如果從 VMware 訂閱其他雲端服務,您將繼續使用企業認證存取新服務。

問:企業聯盟啟用後是否可以復原?

答:是。若要復原網域的聯盟設定,請在 Cloud Services Console 中提出支援票證。如果 VMware 支援還原了企業聯盟設定,則聯盟設定後新增的任何權利、使用者和群組都可能會遺失。

問:使用企業帳戶登入後,為何看不到組織中的服務?

為企業設定企業聯盟之前,已使用 My VMware 帳戶向 VMware Cloud services 進行驗證。啟用聯盟後,將使用企業帳戶登入 VMware Cloud services,並直接針對企業身分識別提供者進行驗證。若要使用 My VMware 帳戶存取您先前使用的服務,則必須將企業帳戶與 VMware 識別碼相連結。只有在兩個帳戶相連結後,服務才會對您可見且可供您存取,具體取決於您在組織中擁有的組織和服務角色存取權。

問:啟用企業聯盟後,為何在 [身分識別與存取管理] 索引標籤下看到了兩個帳戶?

您最初是使用 My VMware 帳戶存取 VMware Cloud services。假設您已使用 joe@acme.com 建立 My VMware 帳戶,然後使用該帳戶登入 VMware Cloud services。聯盟後,可以使用聯盟帳戶存取 VMware Cloud services 並連結 My VMware 識別碼帳戶。初始 joe@acme.com 顯示為灰色,並標記有「VMware 識別碼」標籤以指示您不再使用的 My VMware 帳戶,但它仍顯示為「陰影帳戶」。

無法根據組織角色或服務角色指派修改陰影帳戶。最佳做法是在啟用聯盟設定後將這些項目至少保留數個月,以防您決定復原企業聯盟設定。

問:支援哪種第三方身分識別提供者?

答:任何符合 SAML 2.0 標準的第三方身分識別提供者均支援使用 VMware Cloud services 進行企業聯盟。

問:我沒有符合 SAML 2.0 標準的第三方身分識別提供者,並且想要直接針對我的企業 Active Directory (AD) 進行驗證。是否支援此操作?

是。可以使用內部部署 Workspace ONE Access Connector 的內建驗證方法來直接針對企業 AD 驗證使用者。

問:我可以使用透過 VMware 技術建立的 Windows 虛擬機器來安裝內部部署 Workspace ONE Access Connector 嗎?

答:是。可以使用 VMware 技術建立 Windows 虛擬機器,從而用來安裝 Workspace ONE Access Windows Connector。

問:Workspace ONE Access Connector 是否必須採用內部部署安裝?

答:Workspace ONE Access Windows Connector 是一個內部部署元件,通常安裝在企業的內部網路或綠色區域中。但是,客戶可以在雲端上安裝連接器,只要它可以在連接埠 389、636 上透過 LDAP/LDAPS 通訊協定與企業 Active Directory 進行通訊。

我的企業已將 Workspace ONE Access 承租人設定為透過 VMware 購買的其他產品的一部分。可以對自助服務聯盟設定使用現有的承租人執行個體,而不是建立一個新的承租人執行個體嗎?

否,不能使用任何現有的 Workspace ONE Access (先前稱為 VMware Identity Manager) 承租人。將在自助服務聯盟設定過程中使用新的 Workspace ONE Access 承租人。它將以獨佔方式用於 VMware Cloud Services。使用新的 Workspace ONE Access 承租人存取 VMware Cloud Services 沒有任何成本或授權需求。

使用現有的 Workspace ONE Access Connector 也同樣如此。聯盟設定需要一個新的連接器。

我的企業已有內部部署 Workspace ONE Access Connector。可以對自助服務聯盟設定使用現有的連接器,而不是建立一個新的連接器嗎?

否。自助服務聯盟設定要求企業安裝並設定專用的 Workspace ONE Access Connector,且該連接器僅用於使用 VMware Cloud Services 進行聯盟。

使用現有的 Workspace ONE Access 承租人也同樣如此。聯盟設定需要一個新的承租人。

問:是否必須為 Workspace ONE Access Connector 開啟任何防火牆連接埠,才能與 Workspace ONE Access 服務執行個體建立信任?

答:Workspace ONE Access Connector 會透過輸出 HTTPS/443 通道與充當身分識別代理的 Workspace ONE Access 服務執行個體進行通訊。如果防火牆封鎖了外部網域存取權,則必須為某些 VMware 網域授與存取權。

問:將由內部部署 Workspace ONE Access Connector 同步哪些資料?

答:內部部署 Workspace ONE Access Connector 可用於將使用者和群組同步至客戶身分識別提供者的 Workspace ONE Access 服務執行個體 (身分識別代理)。僅同步自助服務設定期間設定的使用者和群組 DN,而非同步整個 AD。僅同步一組所需的屬性:名字、姓氏、電子郵件、使用者名稱和網域。如果您的企業使用使用者主體名稱 (UPN) 驗證使用者,則此屬性還必須具有用於同步的值。
重要: 永遠不會同步使用者密碼。

問:將在哪些區域主控 Workspace ONE Access 服務執行個體 (身分識別代理)?

答:Workspace ONE Access 服務執行個體將主控於美國區域的 AWS 上。

問:是否可以針對我的身分識別提供者驗證我擁有的不同網域 (例如 acme.com、ext.acme.com、company.com) 中的使用者?

答:是。如果可以驗證您擁有的所有公用網域,則這些網域的使用者可以使用其企業認證向 VMware Cloud services 進行驗證。所有這些網域的使用者首先必須同步至 Workspace ONE Access 服務執行個體 (身分識別代理)。

問:是否可以新增服務至企業聯盟組織?

答:否。無法且不應新增服務至企業聯盟組織。存取企業聯盟組織的唯一目的是執行影響指定網域之所有服務和組織的作業。

如果無法使用企業認證登入,是否有緊急帳戶可用來存取 VMware Cloud Services?

可以向具有未聯盟網域的組織新增 My VMware 帳戶。例如,如果 acme.com 網域已聯盟,則非 acme.com 網域中的任何 My VMware 帳戶都可以用來登入 VMware Cloud services。具有 My VMware 帳戶的使用者必須作為組織擁有者或組織成員新增至組織。

在 Workspace ONE Access 服務執行個體和 AWS 上的 VMware Cloud Services 中保存從企業 Active Directory 同步的屬性時,是否會對其進行加密?

否。由 AWS 上的 VMware Cloud services 保存使用者屬性 (名字、姓氏、電子郵件、使用者名稱、網域和 UPN) 時,不會對這些屬性進行加密。

如果連接器伺服器關閉,對存取 Cloud Services Console 的使用者將造成哪些影響?是否可以設定 HA 模式下的連接器?

如果企業使用的是第三方身分識別提供者驗證,而非以連接器為基礎的驗證方法,則所有使用者驗證會直接針對您的身分識別提供者進行。在這種情況下,如果連接器關閉,則已同步使用者的使用者登入將不會受到影響。由於連接器僅用於使用者和群組同步,因此可能不需要 HA 模式下的連接器。