O Active Directory com autenticação Lightweight Directory Access Protocol (LDAP) e VMware Enterprise Systems Connector fornece a mesma funcionalidade que a autenticação tradicional de AD e LDAP. Esse modelo funciona na nuvem para implementações de Software como serviço (SaaS).
Prós
n Os usuários podem se autenticar utilizando credenciais corporativas existentes.
n Não requer modificações no firewall, já que a comunicação é iniciada no VMware Enterprise Systems
Connector dentro da sua rede.
n A transmissão de credenciais é criptografada e segura.
n Oferece configuração segura para outras infraestruturas, como servidores BES, Microsoft ADCS,
SCEP e SMTP.
n Pode ser usada para a inscrição direta do Workspace ONE ™. Contras
n Requer a instalação do VMware Enterprise Systems Connector atrás do firewall ou em uma zona
n Exige configuração extra.
Modelo de implementação de SaaS
Modelo de implementação no local
Para obter mais informações, consulte Inscrição direta do Workspace ONE.
Proxy de autenticação
O proxy de autenticação entrega integração dos serviços de diretório na nuvem ou em redes internas físicas. Nesse modelo, o servidor de Workspace ONE UEM comunica-se com um servidor Web público ou com um servidor Exchange ActiveSync. Essa configuração autentica os usuários contra o controlador do domínio.
Prós
n Oferece um método seguro para integração do proxy com o AD/LDAP por meio da nuvem. n Os usuários podem se autenticar utilizando credenciais corporativas existentes.
n É um módulo leve, que requer configuração mínima.
Contras
n Exige um servidor Web que faz interface direta com o público ou um servidor Exchange ActiveSync
com conexões com um servidor AD/LDAP.
n Só é viável para layouts de arquitetura específicos.
n Solução muito menos robusta do que o VMware Enterprise Systems Connector. n Não pode ser usada para a inscrição direta do Workspace ONE.
1 O dispositivo conecta-se à Workspace ONE UEM para inscrever-se. O usuário digita seu nome de usuário e senha dos serviços de diretório.
n O nome de usuário e a senha são criptografados durante o transporte.
n Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário.
2 Workspace ONE UEM depende do nome de usuário e senha para um endpoint de proxy de autenticação configurado que exige autenticação (por exemplo, autenticação básica). 3 As credenciais do usuário são validadas em relação aos serviços de diretório corporativo. 4 Se as credenciais do usuário forem válidas, o servidor da Workspace ONE UEM permite que um
dispositivo conclua a inscrição.
Para obter mais informações, consulte Inscrição direta do Workspace ONE.
Autenticação SAML 2.0
A autenticação Security Assertion Markup Language (SAML) 2.0 é compatível com Single Sign-On e autenticação federada. O Workspace ONE UEM nunca recebe credenciais corporativas.
Se uma organização tiver um servidor de provedor de identidade SAML, use a integração SAML 2.0.
Prós
n Oferece recursos de Single Sign-On.
n Autenticação com credenciais corporativas existentes.
n O Workspace ONE UEM nunca recebe credenciais corporativas em texto sem formatação.
n Pode ser usado para inscrição direta do Workspace ONE quando emparelhado com um usuário de
diretório SAML.
Contras
n Não pode ser usada para inscrição direta do Workspace ONE quando emparelhada com um usuário
básico do SAML.
1 O dispositivo se conecta ao Workspace ONE UEM para inscrição. O servidor do UEM redireciona o dispositivo para o provedor de identidade especificado pelo cliente.
2 O dispositivo conecta-se em segurança por HTTPS ao provedor de identidade fornecido pelo cliente e o usuário digita as credenciais.
n As credenciais são criptografadas durante o transporte diretamente entre o dispositivo e o
endpoint SAML.
3 As credenciais são validadas contra os serviços de diretório.
4 O provedor de identidade retorna uma resposta SAML assinada com o nome de usuário autenticado. 5 O dispositivo responde de volta ao servidor do Workspace ONE UEM e apresenta a mensagem
SAML assinada. O usuário é autenticado. .
Para obter mais informações, consulte Inscrição direta do Workspace ONE.
Autenticação baseada em token
A autenticação baseada em token é a maneira mais fácil que o usuário tem para inscrever seu
dispositivo. Com essa configuração de inscrição, o Workspace ONE UEM gera um token que é colocado dentro da URL de inscrição.
Para uma autenticação com token único, o usuário acessa o link no dispositivo para finalizar a inscrição e o servidor do Workspace ONE UEM usa o token fornecido ao usuário como referência. Para ter mais segurança, defina um prazo de validade (em horas) para cada token. Definir um prazo de validade minimiza o potencial de outro usuário obter acesso a quaisquer informações e recursos disponíveis para o dispositivo.
Você também pode decidir implementar uma autenticação de dois fatores para incluir um passo adicional na verificação da identidade do usuário. Com essa configuração de autenticação, o usuário deve digitar seu nome de usuário e senha quando acessar o link de inscrição com o token fornecido.
Prós
n Um esforço mínimo para inscrição e autenticação do dispositivo por um usuário. n Proteja o uso do token definindo um prazo de validade.
n O usuário não precisa de credenciais para autenticação de token único. Contras
n Requer SMTP (e-mail) ou integração SMS para enviar tokens para o dispositivo.
1 O administrador autoriza o registro do dispositivo do usuário.
2 O token de uso único é gerado e enviado ao usuário do Workspace ONE UEM.
3 O usuário recebe um token e vai para a URL de inscrição. O usuário deve informar o token e, opcionalmente, a autenticação de dois fatores.
4 Processo de inscrição do dispositivo.
5 O Workspace ONE UEM marca o token como expirado.
Observação O SMTP é incluído nas implementações SaaS.
Ativar tipos de segurança para inscrição
Quando a Workspace ONE UEM for integrada com um tipo de segurança de usuário selecionado e antes da inscrição, ative cada modo de autenticação que pretende permitir.
Procedimentos
1 Vá até Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral >
2 Marque as caixas de seleção apropriadas para a configuração Modo de autenticação.
Configuração Descrição
Adicionar domínio de e-mail
Este botão é usado para configurar o serviço de detecção automática para registrar domínios de e- mail no seu ambiente.
Modo(s) de autenticação
Selecione os tipos de autenticação permitida, que incluem:
n Básico – Contas de usuários básicas (aquelas que você criar manualmente no console do
UEM) podem se inscrever.
n Diretório – Contas de usuário do diretório (aquelas que você importou ou permitiu usando a
integração do serviço de diretório) podem se inscrever. A Inscrição direta do Workspace ONE é compatível somente para usuários de diretório com ou sem SAML.
n Proxy de autenticação – Permite que os usuários se inscrevam utilizando contas de usuário
do Proxy de autenticação. Os usuários se autenticam a um endpoint da web.
n Digite URL do Proxy de autenticação, URL do Proxy de autenticação backup e Tipo de
método de autenticação (escolha entre básica HTTP e ActiveSync do Exchange). Fonte da
autenticação para o Intelligent Hub
Selecione o sistema que o serviço do Intelligent Hub usará como fonte para os usuários e políticas de autenticação.
n Workspace ONE UEM - Selecione esta configuração se desejar que os Serviços do Hub usem
Workspace ONE UEM como a fonte.
Quando você configurou a página Configuração do Hub para os Serviços do Hub, você inseriu a URL tenant dos Serviços do Hub.
n Identity Manager - Selecione esta configuração se desejar que os Serviços do Hub usem o
VMware Identity Manager como a fonte.
Quando você configurou a página Configuração de hub para os Serviços do Hub, você inseriu a URL tenant do VMware Identity Manager.
Modo de inscrição do dispositivo
Selecione o modo de inscrição do dispositivo preferencial, que inclui:
n Inscrição aberta – Essencialmente, permite que qualquer pessoa que cumpra com outros
critérios de inscrição (modo de autenticação, restrições, entre outros) se inscreva. A Inscrição direta do Workspace ONE é compatível somente com inscrição aberta.
n Somente dispositivos registrados – Somente usuários permitidos podem se inscrever usando
dispositivos registrados por você ou por eles. O registro do dispositivo é o processo de adicionar dispositivos corporativos ao console do UEM antes que eles sejam inscritos. Para obter mais informações sobre como registrar dispositivos, consulte a seção "Inscrição" do
Manual de gerenciamento de dispositivos móveis do VMware Workspace ONE UEM. A
Inscrição direta do Workspace ONE é compatível, permitindo que apenas dispositivos registrados se inscrevam, mas somente se tokens de registro não forem exigidos.
Exigir token de registro
Visível apenas quando Somente dispositivos registrados está selecionado.
Se você restringir a inscrição somente aos dispositivos registrados, você também terá a opção de exigir um token de registro a ser usado na inscrição. Isso aumenta a segurança confirmando que um usuário em particular está autorizado para se inscrever. Você pode enviar um e-mail ou mensagem SMS com um token de inscrição anexo para usuários com contas da
Workspace ONE UEM.
Exigir inscrição do Intelligent Hub para iOS
Marque esta caixa de seleção para exigir que os usuários de dispositivos iOS façam download e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível.
Exigir inscrição do Intelligent Hub para macOS
Marque esta caixa de seleção para exigir que os usuários de dispositivos macOS baixem e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível.
3 Selecione Salvar.