在註冊裝置之前,每個裝置使用者都必須擁有 Workspace ONE UEM 認可的身份驗證使用者帳戶。選擇的使用者驗證類型視企業需求而定。
驗證代理伺服器
驗證代理伺服器可跨雲端或固化的內部網路來提供目錄服務整合的功能。在此模型中,Workspace ONE UEM 伺服器會與公用端的 Web 伺服器或 Exchange ActiveSync 伺服器進行通訊。這種安排可針對網域控制站驗證使用者。
優點
- 提供一種安全的方法在整個雲端代理與 AD/LDAP 的整合。
- 終端使用者可以利用現有的企業憑證來進行驗證。
- 只需極少配置的輕量型模組。
缺點
- 需要一個連到 AD/LDAP 伺服器的公開 Web 伺服器或 Exchange ActiveSync 伺服器。
- 僅可用於特定架構的配置。
- 與 VMware Enterprise Systems Connector 相比,此解決方案的功能少。
- 無法用於 Workspace ONE 直接註冊。
- 裝置會連線至 Workspace ONE UEM 以註冊裝置。使用者輸入其目錄服務使用者名稱與密碼。
- 使用者名稱與密碼會在傳輸過程中加密。
- Workspace ONE UEM 不會儲存使用者的目錄服務密碼。
- Workspace ONE UEM 會將使用者名稱和密碼轉送至已配置但需要驗證 (例如基本驗證) 的驗證代理伺服器端點。
- 針對企業的目錄服務來驗證使用者憑證。
- 如果使用者憑證有效,Workspace ONE UEM 伺服器將註冊裝置。
具有 LDAP 驗證及 VMware Enterprise Systems Connector 的 Active Directory
具有 LDAP 驗證和 VMware Enterprise Systems Connector 的 Active Directory 能提供與傳統 AD 及 LDAP 驗證相同的功能。此模式可在軟體即服務 (SaaS) 部署的雲端上運作。
優點
- 終端使用者可以利用現有的企業憑證來進行驗證。
- 因為通訊是經由您網路中的 VMware Enterprise Systems Connector 所啟動的,所以不需再變更任何防火牆設定。
- 憑證傳輸會安全加密。
- 為其他的基礎結構 (比如 BES、Microsoft ADCS、SCEP 和 SMTP 伺服器) 提供安全的配置。
- 與 Workspace ONE ™ 直接註冊相容。
缺點
- VMware Enterprise Systems Connector 必須安裝在防火牆後方或 DMZ 之中。
- 並且需要進行額外配置。
SaaS 部署模式
內部部署模式
SAML 2.0 驗證
安全性聲明標記語言 (SAML) 2.0 驗證,支持單一登入與聯合驗證。Workspace ONE UEM 絕不會接收任何企業認證。
如果企業擁有 SAML 身份識別提供者伺服器,請採用 SAML 2.0 整合。確保身分識別提供者在提供 SAML 回應時,傳回 objectGUID
屬性。
優點
- 提供單一登入功能。
- 使用現有的企業認證來驗證。
- Workspace ONE UEM 永遠不會收到純文字格式的企業憑證。
- 與 SAML 目錄使用者配對時與 Workspace ONE 直接註冊相容。
- 只有管理員才能使用多域環境。
缺點
- 需要有企業 SAML 身份識別提供者的基礎結構。
- 與 SAML 基本使用者配對時與 Workspace ONE 直接註冊不相容。
- 使用已啟用本機基本使用者功能,且做為 IDP 的 Workspace ONE Access 來設定 SAML 時,不支援基本使用者的驗證。
- 裝置連線到 Workspace ONE UEM 進行註冊。接著,UEM 伺服器會將裝置重新導向至用戶端指定的身份識別提供者。
- 裝置可透過 HTTPS 與客戶端所提供的身份識別提供者安全連線,接著使用者則可輸入憑證。
- 系統會在裝置與 SAML 端點間直接傳送憑證的過程中將其加密。
- 憑證根據目錄服務進行驗證。
- 身份識別提供者傳回已簽署的 SAML 回應以及已驗證的使用者名稱。
- 裝置會回應 Workspace ONE UEM 伺服器,並顯示已簽署的 SAML 訊息。使用者身份驗證。
如需詳細資訊,請參閱手動設定目錄服務然後向下捲動至 SAML 一節。
- SaaS 應用程式無法供使用 Workspace ONE Access 進行驗證的 SAML 管理員使用。
SAML 管理員的 SaaS 應用程式功能
如果您是使用 Workspace ONE Access 進行驗證的 SAML 管理員,則無法使用 SaaS 應用程式以及其他 Workspace ONE Access 原則和功能。當您導覽至「SaaS APP」頁面時,您會看到下列錯誤訊息。
確認您的管理員帳戶同時存在於 UEM 和 IDM 系統,且 Workspace ONE UEM 中的網域與 VMware Identity Manager 相同帳戶的網域完全相符。
若要還原 SaaS 應用程式協助工具,您必須使用基本驗證來登入 Workspace ONE UEM,您也必須在企業群組中啟用 Workspace ONE Access。
Token 型的驗證
Token 型的驗證提供使用者最簡易的裝置註冊方式。透過此註冊設定,Workspace ONE UEM 會產生一個 Token 並置於註冊 URL 中。
若為單一 Token 驗證,使用者會從裝置存取連結以完成註冊,然後 Workspace ONE UEM 伺服器會參照已提供給使用者的 Token。
為了提高安全性,請為每個 Token 設定到期時間 (以小時為單位)。設定有效期限可減低其他使用者因獲得裝置存取權而存取資訊和功能的可能性。
您也可酌情實行雙重要素驗證,更進一步地驗證終端使用者的身分。使用此驗證設定時,使用者必須利用所提供的 Token 來存取註冊的連結,並且輸入使用者名稱和密碼。
優點
- 裝置的註冊和驗證程序對終端使用者十分簡便。
- 設定有效期限來確保安全使用 Token。
- 使用者不需憑證就可使用單一 Token 驗證。
缺點
- 需要整合「簡易郵件傳輸通訊協定」(SMTP) 或是簡訊服務 (SMS) 才能將 Token 傳送到裝置上。
- 系統管理員授權使用者登記裝置。
- 已產生單次使用的 Token 並已從 Workspace ONE UEM 傳送給使用者。
- 使用者接收 Token 並瀏覽至註冊 URL。提示使用者提供 Token 以及選用的雙因素驗證。
- 裝置註冊程序。
- Workspace ONE UEM 將 Token 標記為過期。
啟用註冊的安全性類型
Workspace ONE UEM 與所選的使用者安全性類型整合完成後,就會啟用您打算在註冊前允許使用的驗證模式。
- 在驗證索引標籤中,導覽至 。
- 選取適當的驗證模式設定核取方塊。
設定 描述 新增電子郵件網域 此按鈕用來設定自動探索服務,向您的環境註冊 Email 網域。 驗證模式 選取允許的驗證類型,包括:
- 基本 – 基本使用者帳戶 (您在 UEM 主控台中手動建立的帳戶) 可進行註冊。
- 目錄 – 目錄使用者帳戶 (您已匯入或允許使用目錄服務整合的帳戶) 可進行註冊。Workspace ONE 直接註冊支援具有或不具 SAML 的目錄使用者。
- Authentication Proxy – 可讓使用者使用 Authentication Proxy 使用者帳戶進行註冊。使用者會向 Web 端點進行驗證。
- 輸入 Authentication Proxy URL、Authentication Proxy URL 備份和驗證方法類型 (從 HTTP Basic 和 Exchange ActiveSync 之間加以選擇)。
Intelligent Hub 的驗證來源 選擇使用 Intelligent Hub 服務做為其使用者和驗證原則來源的系統。
- Workspace ONE UEM – 如果您想要讓 Hub 服務使用 Workspace ONE UEM 作為使用者和驗證原則的來源,請選取此設定。
設定 Hub 服務適用的 Hub 組態頁面時,請輸入 Hub 服務租用戶 URL。
- Workspace ONE Access – 如果您想要讓 Hub 服務使用 Workspace ONE Access 作為使用者和驗證原則的來源,請選取此設定。
設定 Hub 服務適用的 Hub 組態頁面時,請輸入 Workspace ONE Access 租用戶 URL。
備註: 如果啟用 Workspace ONE Access 做為 Intelligent Hub 驗證來源,並使用命令行進行註冊以用於註冊預備目的,則會繞過此組態以支持命令行中提供的認證。
如需 Workspace ONE Intelligent Hub 的相關詳細資訊,請參閱 VMware Workspace ONE Hub 服務說明文件。
如需 Workspace ONE Access 的相關詳細資訊,請參閱 VMware Workspace ONE Access 說明文件。
裝置註冊模式 選取偏好的裝置註冊模式,其中包括:
- 開放式註冊 – 基本上允許符合其他註冊準則 (驗證模式、限制等) 的任何人進行註冊。Workspace ONE 直接至冊支援開放式註冊。
- 僅限已登錄的裝置 – 僅允許使用者使用已由您或他們登錄的裝置進行註冊。裝置登錄是在公司裝置註冊之前新增至 UEM 主控台的程序。Workspace ONE 直接註冊支援僅允許已登錄裝置進行註冊,但前提是此情況不需要提供登錄 Token。
需要註冊 Token 只有在已選取僅限已登錄的裝置時,才會顯示。
若您僅限已登錄的裝置進行註冊,則您還可以選擇要求使用登錄 Token 進行註冊。此選項可藉由確認特定使用者有權進行註冊,而提升安全性。您可以透過 Workspace ONE UEM 帳戶,將附加了註冊 Token 的 Email 或 SMS 訊息傳送給使用者。
要求 iOS 使用 Intelligent Hub 註冊 選取此核取方塊,會要求 iOS 裝置使用者必須先下載並安裝 Workspace ONE Intelligent Hub,才可以註冊。若停用,則可以使用 Web 註冊。 要求 macOS 使用 Intelligent Hub 註冊 選取此核取方塊,會要求 macOS 裝置使用者必須先下載並安裝 Workspace ONE Intelligent Hub,才可以註冊。若停用,則可以使用 Web 註冊。 - 選取儲存。
基本使用者驗證
您可以使用基本驗證來識別 Workspace ONE UEM 結構中的使用者,但這個方法並不會整合現有的公司使用者帳戶。
優點
- 與任何部署方法相容。
- 不需任何技術整合。
- 不需任何企業基礎結構。
缺點
- 與自動發現不相容。
- 認證僅存在於 Workspace ONE UEM,而且未必符合現有的企業認證。
- 不提供聯合安全性或單一登入功能。
- Workspace ONE UEM 會儲存所有使用者名稱和密碼。
- 與 Workspace ONE 直接註冊不相容。
- 主控台使用者會透過驗證 (基本驗證) 用的本機帳戶登入 Workspace ONE UEM SaaS。
- 在傳輸期間加密憑證。
- (例如:使用者名稱:[email protected],密碼:Abcd)。
- 裝置使用者使用本機 Workspace ONE UEM 帳戶 (基本驗證) 認證來註冊裝置。
- 在傳輸期間加密憑證。
- (例如:使用者名稱:jdoe2,密碼 2557)。
具有 LDAP 驗證 的 Active Directory
透過具有輕量型目錄存取通訊協定 (LDAP) 驗證的 Active Directory (AD),可用來整合現有的企業帳戶及 Workspace ONE UEM 使用者和管理員帳戶。
優點
- 終端使用者如今可以使用現有的企業憑證進行驗證。
- 具有 LDAP/AD 的安全整合方式。
- 標準的整合作法。
- 與 Workspace ONE 直接註冊相容。
缺點
- 需要 AD 或其他 LDAP 伺服器。
- 裝置會連線至 Workspace ONE UEM 以註冊裝置。使用者輸入其目錄服務使用者名稱與密碼。
- 使用者名稱與密碼會在傳輸過程中加密。
- Workspace ONE UEM 不會儲存使用者的目錄服務密碼。
- Workspace ONE UEM 會使用服務帳戶進行驗證,以在網際網路上透過安全的 LDAP 通訊協定來查詢目錄服務。
- 針對企業的目錄服務來驗證使用者憑證。
- 如果使用者憑證有效,Workspace ONE UEM 伺服器將註冊裝置。