VMware Identity Services 是新推出的雲端服務,用來將 VMware 產品與第三方雲端式身分識別提供者 (如 Microsoft Entra ID 和 Okta) 整合,以用於使用者佈建和身分識別聯盟。本文件說明用於 VMware Workspace ONE® 的 VMware Identity Services,以便跨 Workspace ONE 服務來集中管理使用者。
VMware Identity Services 的主要功能包括:
- SCIM 2.0 使用者佈建
VMware Identity Services 是以跨網域身分識別管理的系統 (SCIM) 2.0 通訊協定為基礎,該通訊協定是管理雲端式應用程式和服務中的使用者身分識別時的一套標準。VMware Identity Services 支援任何以 SCIM 2.0 為基礎雲端身分識別提供者。
- 使用 OpenID Connect 或 SAML 2.0 的身分識別聯盟
您可以使用 OpenID Connect 或 SAML 2.0,透過第三方身分識別提供者來設定聯盟驗證。
- 跨 Workspace ONE 服務集中管理使用者
借助 VMware Identity Services,您可以在 Workspace ONE Cloud 主控台中建立已佈建的目錄。使用者和群組將從身分識別提供者佈建到 VMware Identity Services,然後再自動從 VMware Identity Services 佈建到您選取的 Workspace ONE 服務。VMware Identity Services 目前支援 VMware Workspace ONE® Access™ 和 VMware Workspace ONE® UEM。
您可以從 Workspace ONE Cloud 主控台來管理目錄。Workspace ONE Access 和 Workspace ONE UEM 中的目錄、使用者、使用者群組、使用者屬性和身分識別提供者設定都是唯讀的。
- 無需連接器
無需將 VMware Workspace ONE Access Connector 或 VMware AirWatch Cloud Connector 部署在內部部署,即可將 VMware Identity Services 與雲端身分識別提供者整合。
您可以從 Workspace ONE Cloud 主控台來設定和管理 VMware Identity Services。不需要在 Workspace ONE Access 和 Workspace ONE UEM 主控台中提供任何組態。
支援的身分識別提供者
VMware Identity Services 支援以下雲端式身分識別提供者:
- Microsoft Entra ID (舊稱為 Azure Active Directory 或 Azure AD)
- Okta
- 任何一般 SCIM 2.0 身分識別來源
支援的 Workspace ONE 服務
您可以為以下 Workspace ONE 雲端服務設定 VMware Identity Services:
- Workspace ONE Access 雲端服務
- Workspace ONE UEM 2212 或更新版本
重要注意事項
- VMware Identity Services 僅適用於新的 Workspace ONE 承租人。
- VMware Identity Services 目前支援 Workspace ONE Access 和 Workspace ONE UEM。
- 若要存取 VMware Identity Services,您的權利必須包含 Workspace ONE Cloud Admin Hub,這是一個 Web 型管理平台,可連接 Workspace ONE 服務以管理和提供數位工作區。
- VMware Identity Services 將目錄管理集中到 Workspace ONE Cloud。啟用 VMware Identity Services 後,您只能從 Workspace ONE Cloud Admin Hub 管理目錄。Workspace ONE UEM 和 Workspace ONE Access 中的目錄服務和身分識別提供者設定將變為唯讀。
- 您只能將一個目錄與 VMware Identity Services 整合。
- 您只能設定一個網域。
- 您必須使用相同的身分識別提供者來設定佈建和驗證。不支援與多個身分識別提供者整合。
- VMware Identity Services 不支援本機管理員、本機使用者或即時使用者。
目錄中的所有使用者都是從身分識別提供者佈建的使用者,或是從 VMware Cloud Services 佈建的 Workspace ONE 服務管理員。
- VMware Identity Services 不支援與 Active Directory 或其他 LDAP 目錄直接整合。
- 您必須在 Workspace ONE Cloud 服務中具有管理員帳戶,才能設定 VMware Identity Services。
不支援的 Workspace ONE 功能
VMware Identity Services 不支援 Workspace ONE 服務中的以下功能。
Workspace ONE UEM
如果為承租人啟用了 VMware Identity Services,則不支援以下功能:
- 與內部部署 Active Directory 直接整合
- 使用者名稱和密碼型驗證流程
- 簽入和簽出流程 (對於共用裝置)
- DEP 流程
- 使用者名稱/密碼驗證類型設定流程
- PPKG 註冊流程
- 目錄管理員使用者
只有 VMware Cloud Services 管理員使用者可用。
- 子 OG 覆寫 (如果為最上層 OG 設定了 VMware Identity Services)
- 即時 (JIT) 使用者
只能從雲端身分識別提供者來新增使用者。
- 與內部部署 Active Directory 驗證相關的註冊流程
不支援不含 Microsoft Entra ID 的內部部署 Active Directory。因此,不支援以下流程:
- 具有內部部署 Active Directory 的 Dropship Online (基本使用者預備帳戶)
- 具有內部部署 Active Directory 的無訊息註冊 (基本使用者預備帳戶)
- 具有內部部署 Active Directory 的代理程式註冊 (目錄帳戶)
Workspace ONE Access
如果為承租人啟用了 VMware Identity Services,則不支援以下功能:
- 與內部部署 Active Directory 直接整合
- 建立本機使用者、本機管理員或即時 (JIT) 使用者
所有使用者都是 VMware Identity Services 從您的身分識別提供者所佈建的使用者,或者是從 VMware Cloud Services 所佈建的管理員。
- People Search
- 與 Horizon Cloud 整合
- 與 Horizon Enterprise 整合
- 如果將 Workspace ONE Access 與 Office 365 整合,則無法對 Microsoft Entra ID 身分識別提供者使用聯盟驗證。僅有特定於 Workspace ONE Access 的驗證方法 (例如 RSA SecurID、Hub MFA、行動 SSO 和憑證驗證) 可用。目前不支援 Office 365 作用中流量驗證。
Hub 服務
如果為承租人啟用了 VMware Identity Services,則不支援以下功能:
- [人員] 索引標籤組態
- [新員工上線] 組態,包括上線範本
- [數位徽章] 和 [返回工作] 體驗
- 與具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 整合
Workspace ONE Intelligent Hub
如果啟用了 VMware Identity Services,則在 VMware Workspace ONE® Intelligent Hub 應用程式或 Web 瀏覽器入口網站中,使用者將無法使用以下功能:
- 人員索引標籤
- [數位徽章] 和 [返回工作] 體驗
- 新員工上線
- 變更 Workspace ONE Access 使用者 (非 Okta 使用者) 的密碼選項
- 來自具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 的應用程式和桌面平台
相關資訊
有關使用 VMware Identity Services 的好處的影片概觀,請觀看 VMware 影片集中管理使用者簡介。