Handleiding voor het implementeren van VMware Workspace ONE … · 2018-02-07 · Inhoud Over het implementeren van VMware Workspace ONE 6 1 Inleiding in Workspace ONE 7 Overzicht

Handleiding voor hetimplementeren vanVMware Workspace ONEDecember 2017VMware Identity Manager 3.1VMware AirWatch 9.2

Handleiding voor het implementeren van VMware Workspace ONE

VMware, Inc. 2

U vindt de recentste technische documentatie op de website van VMware:

https://docs.vmware.com/nl/

Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar:

[email protected]

Copyright © 2017 VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/nl/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Inhoud

Over het implementeren van VMware Workspace ONE 6

1 Inleiding in Workspace ONE 7

Overzicht van de architectuur voor Workspace ONE 7

Vereisten 8

Details over Workspace ONE -functies 9

De wizard Aan de slag met Workspace ONE 10

2 AirWatch integreren met VMware Identity Manager 11

Integratie instellen in de AirWatch-beheerconsole 11

AirWatch-instantie instellen in VMware Identity Manager 14

Workspace ONE-catalogus inschakelen voor AirWatch 17

Compliancecontrole inschakelen voor door AirWatch beheerde apparaten 18

Verificatie van gebruikerswachtwoord via AirWatch inschakelen 18

Toegangsbeleidsregels configureren 19

VMware Identity Manager bijwerken nadat AirWatch is bijgewerkt 20

3 Verificatie implementeren met AirWatch Cloud Connector 21

Toewijzing van gebruikerskenmerken beheren 22

Gebruikers en groepen van AirWatch-directory synchroniseren met VMware Identity-directory 22

Configuratie van wachtwoordverificatie voor AirWatch beheren 24

Ingebouwde identiteitsproviders configureren 25

4 Mobiele Single Sign-in-verificatie implementeren voor door AirWatch beheerde

iOS-apparaten 26Implementatieoverzicht voor het configureren van mobiele SSO voor iOS 26

Active Directory-certificaatautoriteit configureren in AirWatch 27

De AirWatch-certificaatautoriteit gebruiken voor Kerberos-verificatie 30

Een Key Distribution Center gebruiken voor verificatie van iOS-apparaten 31

Mobiele SSO-verificatie voor iOS configureren 32

Ingebouwde identiteitsprovider configureren voor Mobiele SSO-verificatie voor iOS 34

Apple iOS-profiel in AirWatch configureren met een Active Directory-certificaatautoriteit en

certificaatsjabloon 35

Apple iOS-profiel in AirWatch configureren met een AirWatch-certificaatautoriteit 37

Een AirWatch -apparaatprofiel toewijzen 38

VMware, Inc. 3

5 Mobiele Single Sign-On-verificatie implementeren voor door AirWatch beheerdeAndroid-apparaten 40Single Sign-On voor Android-apparaten configureren in de AirWatch-beheerconsole 42

VMware Tunnel VPN-toegangsinstellingen configureren via de AirWatch -beheerconsole 43

Per App Tunnelprofiel configureren voor Android 44

VPN per app voor Android-apps inschakelen 45

Verkeersregels configureren in AirWatch 46

Mobiele SSO voor Android configureren in de ingebouwde identiteitsprovider 48

6 Directe inschrijving in AirWatch via Workspace ONE 51

Workspace ONE voor automatische inschrijving inschakelen 51

Gebruikerservaring tijdens directe inschrijving in AirWatch via Workspace ONE 54

7 Gebruikmaken van Workspace ONE om de integratie van het Apple Device

Enrollment Program te ondersteunen 62

8 Enabling the Out of Box Experience for Workspace ONE on Dell Windows 10

Devices 64Enable External Access Token in AirWatch 64

Activate External Access Token as an Authentication Method 65

Associate External Access Token Authentication Method to the Built-in Identity Provider 66

Create Access Policy for Workspace ONE Out-of-Box Experience Process 67

Workspace ONE for Windows 10 Custom Out-of-Box Branding 68

9 De mobiele VMware Workspace ONE -applicatie implementeren 69

Apparaatbeheeropties van AirWatch voor openbare en interne apps voor Workspace ONE 69

Toegang tot applicaties beheren 71

Gebruiksvoorwaarden vereisen voor toegang tot de Workspace ONE-catalogus 72

De Workspace ONE -applicatie ophalen en distribueren 74

E-maildomeinen registreren voor automatische detectie 76

Sessieverificatie instellen 78

Implementatiestrategieën voor het instellen van meerdere AirWatch -organisatiegroepen 79

10 Werken in de Workspace ONE -portal 83

Wachtwoordcodes instellen voor de Workspace ONE -app 83

Werken met applicaties in Workspace ONE 84

Systeemeigen applicaties toevoegen 88

VMware Verify gebruiken voor gebruikersverificatie 88

Meldingen sturen naar Workspace ONE -gebruikers 89

Werken met Workspace ONE voor Android-apparaten 89


VMware, Inc. 4

11 De Workspace ONE -catalogus gebruiken 92Bronnen in de catalogus 92

12 Aangepaste merkvermelding voor services van VMware Identity Manager 95

Aangepaste merkinformatie voor de service van VMware Identity Manager 95

Aangepaste merkinformatie voor het gebruikersportal 96

13 Toegang tot andere documenten 99


VMware, Inc. 5

Over het implementeren van VMwareWorkspace ONE

De handleiding voor het implementeren van VMware Workspace™ ONE™ biedt informatie over hetintegreren van VMware Identity Manager™ en VMware AirWatch® ten behoeve van het gebruik vanSingle Sign-On voor Workspace ONE, apparaatbeheer in AirWatch en VMware Workspace ONE alsapplicatiecatalogus.

Wanneer AirWatch en VMware Identity Manager zijn geïntegreerd, kunnen gebruikers van apparaten diebij AirWatch zijn geregistreerd zich op een veilige manier, zonder allerlei wachtwoorden aanmelden bij deapplicaties die voor hun zijn ingeschakeld.

DoelgroepDeze informatie is bedoeld voor beheerders die bekend zijn met zowel AirWatch- alsVMware Identity Manager-services.

VMware, Inc. 6

Inleiding in Workspace ONE 1VMware Workspace® ONE® is een beveiligd bedrijfsplatform waarmee applicaties op iOS-, Android- enWindows 10-apparaten worden geleverd en beheerd. Het Workspace ONE-platform beschikt over eengeïntegreerd beheer voor identiteit, applicaties en zakelijke mobiliteit.

Dankzij de integratie van VMware AirWatch® en VMware Identity Manager™ kunt u gebruikmaken van deWorkspace ONE-applicatiecatalogus en beheerservices voor mobiele toegang.

VMware Identity Manager-services leveren de onderdelen voor identiteitsbeheer, inclusief verificatie vangebruikers die zich via Single Sign-On aanmelden bij hun bronnen. U maakt een reeks beleidsregels voornetwerkgebruik en verificatie om de toegang tot deze bronnen te controleren.

AirWatch-services bieden de tools voor apparaatregistratie, applicatiedistributie en compliancecontroledie garanderen dat de apparaten die externe toegang zoeken voldoen aan de beveiligingsnormen van hetbedrijf. Gebruikers van apparaten die bij AirWatch zijn geregistreerd kunnen zich op een veilige manier,zonder allerlei wachtwoorden aanmelden bij de applicaties die voor hun zijn ingeschakeld.

Dit hoofdstuk omvat de volgende onderwerpen:

n Overzicht van de architectuur voor Workspace ONE

n Vereisten

n Details over Workspace ONE-functies

n De wizard Aan de slag met Workspace ONE

Overzicht van de architectuur voor Workspace ONEWorkspace ONE geeft gebruikers een beveiligde toegang tot mobiele, cloud- en Windows-applicaties dieworden beheerd in een uniforme catalogus. De applicaties kunnen op een apparaat worden geopend metbehulp van de systeemeigen Workspace ONE-applicatie die beschikbaar is voor iOS-, Android- enWindows 10-apparaten.

Om Workspace ONE te kunnen gebruiken moeten de volgende VMware Identity Manager- en AirWatch-services worden geïmplementeerd.

n Een geïnstalleerd en geconfigureerd exemplaar van VMware Enterprise Systems Connector. U kuntofwel het onderdeel VMware Identity Manager Connector of het onderdeel AirWatch Cloud Connector(ACC) configureren.

VMware, Inc. 7

n De integratie van de Active Directory van uw bedrijf met VMware Identity Manager of met AirWatchCloud Connector zodat gebruikers en groepen uit Active Directory kunnen worden gesynchroniseerdmet de Workspace ONE-service.

n Configureer VMware Identity Manager met AirWatch API-sleutels en het basiscertificaat van debeheerder en schakel de uniforme catalogus, compliancecontrole en verificatie van hetgebruikerswachtwoord in via AirWatch.

Figuur 1‑1. Overzicht van de architectuur voor Workspace ONE

VMware Identity Manager

Eindgebruikersportal

Gebruikersdirectory

Toegangsbeleid

Basisinfrastructuur

VMware IdentityManager Connectorof AirWatch Cloud

Connector

Horizon-apps

Horizon-desktops

Active Directory

Web-/virtuele appcatalogus

Verificatiemethoden

Horizonintegratie

VMware AirWatch

Apparaatprofielen

E-mailintegratie

Contentintegratie

Preventiegegevensverlies

Bedrijfsdirectory integratie

Mobiele appcatalogus

Workspace ONE-app

Openbare app stores

Op SaaS gebaseerde apps

Gebruikers en apparaten

VereistenHieronder worden de systeemvereisten voor Workspace ONE weergegeven.

Tabel 1‑1. Workspace ONE-systeemvereisten

Workspace ONE-vereisten Details

Active Directory Windows Server 2008 en 2008 R2

Windows Server 2012 en 2012 R2

Webbrowser voor de toegang tot de VMware Identity Manager-en AirWatch-beheerconsole

Internet Explorer 11 voor Windows

Google Chrome 4.0 en hoger

Mozilla Firefox 40 en hoger

Safari 6.2.8 en hoger

VMware Enterprise Connector, met de VMware Identity ManagerConnector of de AirWatch Cloud Connector geïnstalleerd.

Windows Server 2008 R2

Windows Server 2012 of 2012 R2

.NET framework 4.6.2

Zie de handleiding VMware Enterprise Systems Connectorinstalleren en configureren voor de implementatie vanconnectoren.


VMware, Inc. 8

Details over Workspace ONE -functiesHieronder worden de belangrijkste functies van Workspace ONE beschreven.

Systeemeigen mobiele Workspace ONE -applicatiesGebruikers kunnen de Workspace ONE-applicatie installeren op een mobiel apparaat enverificatiegegevens van het bedrijf gebruiken voor een SSO-aanmelding (Single Sign-On) om toegang tekrijgen tot bedrijfs-, cloud- en mobiele applicaties.

Selfservice app-catalogus voor Web-, Horizon- en Citrix-bronnenWorkspace ONE geeft gebruikers toegang tot mobiele, cloud- en Windows-applicaties die beschikbaarworden gesteld in een uniforme catalogus. Deze catalogus bevat applicaties die zijn gepubliceerd naarVMware Identity Manager en VMware AirWatch. Er is ondersteuning voor applicatietypen zoals interneweb-apps, SaaS-apps, systeemeigen mobiele apps, intern ontwikkelde mobiele apps, oude en nieuweapps van Windows, Horizon 7, VMware Horizon Cloud Service™, door gepubliceerde Citrix apps enThinApp-pakketten. De app store bevat ook gevirtualiseerde desktops.

Web- en virtuele apps starten via single sign-onWorkspace ONE biedt mobiele single sign-on (SSO), waarmee mobiele applicaties beschikbaar wordenvia een eenmalige aanmelding. Mobiele SSO is beschikbaar voor Android-, iOS- en Windows 10-apparaten.

Voorwaardelijke toegang met apparaatcomplianceU kunt met Workspace ONE een voorwaardelijke toegang afdwingen op basis van het netwerkbereik,platform en applicatiespecifieke criteria voor verificatie. Voordat toegang tot een applicatie wordtgegeven, moet het apparaat aantoonbaar voldoen aan naleving van de beveiligingsregels.VMware Identity Manager bevat een optie voor toegangsbeleid die kan worden geconfigureerd om destatus van de apparaatcompliance op de AirWatch-server te controleren wanneer gebruikers zich via hetapparaat aanmelden.

Meervoudige verificatieWorkspace ONE biedt een meervoudige verificatie via de applicatie VMware Verify. Wanneer eengebruiker de Workspace ONE-catalogus of een andere applicatie met een hoog verificatieniveau wilopenen, stuurt VMware Verify een melding naar de telefoon van de gebruiker. Om de toegang totWorkspace ONE te controleren moet de gebruiker met de vingertop over Accepteren vegen om deapplicatie te openen.


VMware, Inc. 9

Adaptief beheerVoor het gebruik van applicaties met niet meer dan een basisbeveiliging hoeven gebruikers hun apparaatniet te registreren bij AirWatch Mobile Device Management™. De gebruiker kan de mobieleWorkspace ONE-applicatie dan downloaden en de gewenste applicaties selecteren en installeren.Wanneer applicaties een hoger beveiligingsniveau hebben, kunnen gebruikers hun apparaat direct via demobiele Workspace ONE-applicatie registreren bij AirWatch.

De wizard Aan de slag met Workspace ONEDe wizard Aan de slag met Workspace ONE leidt u door een groot aantal van de configuratiestappen dienodig zijn om de AirWatch- en VMware Identity Manager-services te integreren en de Workspace ONE-omgeving te maken.

De wizard Aan de slag dient niet ter vervanging van de mogelijkheid om afzonderlijke instellingen teconfigureren of wijzigen, maar biedt een manier om de eerste instellingen voor klanten grotendeels teautomatiseren.

Met de wizard Aan de slag met Workspace ONE kunt u het volgende instellen.

n Enterprise Connector & Directory. De wizard leidt u door de stappen om de VMware EnterpriseSystem Connector in te stellen en de Active Directory-verbinding met de AirWatch Cloud Connectorte configureren om gebruikers en groepen uit de directory van het bedrijf te importeren. Zie dehandleiding Snelle configuratie van VMware Workspace ONE voor meer informatie over het instellenvan de Enterprise Connector.

n Automatische detectie. U kunt de wizard gebruiken om uw e-maildomein te registreren in deautomatische detectieservice, zodat eindgebruikers van de Workspace ONE-app gemakkelijkertoegang krijgen tot hun app-portal. Eindgebruikers kunnen dan in plaats van de URL van deorganisatie hun e-mailadres invoeren.

n Workspace ONE-catalogus. De wizard Workspace ONE-catalogus leidt u door de stappen om deWorkspace ONE-catalogus in te stellen. U kunt ook de aangepaste merkvermelding vanWorkspace ONE gebruiken om de merkgegevens van uw bedrijf toe te voegen aan deWorkspace ONE-catalogus en applicatie. Zie de handleiding Snelle configuratie van VMwareWorkspace ONE voor meer informatie over het instellen van de Workspace ONE-catalogus.

n Adaptief beheer. Stel een adaptief beheer in om het gebruik van bepaalde applicaties te beperkendoor te vereisen dat de gebruiker een profiel op zijn apparaat installeert. Het profiel zorgt ervoor datbedrijfsapplicaties en -gegevens indien gewenst weer kunnen worden verwijderd. Bij openbareapplicaties hebt u ook de mogelijkheid om ze verplicht te laten beheren of onafhankelijk te gebruikendoor ze handmatig te downloaden uit de App Store.

De wizard Aan de slag waarschuwt u eventueel als er potentiële conflicten ontstaan met bestaandeconfiguraties in AirWatch of de VMware Identity Manager-services. In dat geval kunt u deze stappenalleen gedeeltelijk door de wizard laten uitvoeren of de functies handmatig configureren. Gebruik dezehandleiding voor het handmatig configureren van de AirWatch- en VMware Identity Manager-servicesvoor Workspace ONE.


VMware, Inc. 10

AirWatch integreren metVMware Identity Manager 2Als u mobiele beheerservices van AirWatch voor apparaten met VMware Identity Manager-services wiltinstellen voor Single Sign-On en identiteitsbeheer voor gebruikers, moet u de services integreren.

Wanneer AirWatch en VMware Identity Manager zijn geïntegreerd, kunnen gebruikers van apparaten diebij AirWatch zijn geregistreerd zich op een veilige manier, zonder allerlei wachtwoorden aanmelden bijWorkspace ONE om gebruik te maken van de applicaties die voor hun zijn ingeschakeld.

De wizard Aan de slag met Workspace ONE leidt u door een groot aantal van de configuratiestappen dienodig zijn om AirWatch en VMware Identity Manager te integreren. Zie de handleiding Snelle configuratievan VMware Workspace ONE om de Workspace ONE-wizards uit te voeren.


n Integratie instellen in de AirWatch-beheerconsole

n AirWatch-instantie instellen in VMware Identity Manager

n Workspace ONE-catalogus inschakelen voor AirWatch

n Compliancecontrole inschakelen voor door AirWatch beheerde apparaten

n Verificatie van gebruikerswachtwoord via AirWatch inschakelen

n Toegangsbeleidsregels configureren

n VMware Identity Manager bijwerken nadat AirWatch is bijgewerkt

Integratie instellen in de AirWatch-beheerconsoleVoor integratie met VMware Identity Manager-services configureert u deze instellingen in de AirWatch-beheerconsole.

n Rest API-beheersleutel voor communicatie met de VMware Identity Manager-service

n REST API-sleutel van ingeschreven gebruiker voor AirWatch Cloud Connector-wachtwoordverificatiegemaakt in dezelfde organisatiegroep waar ook VMware Identity Manager is geconfigureerd.

n API-beheerdersaccount voor VMware Identity Manager en het verificatiecertificaat van de beheerderdat uit AirWatch wordt geëxporteerd en wordt toegevoegd aan de AirWatch-instellingen in de VMwareIdentity Manager-beheerconsole.

VMware, Inc. 11

REST API-sleutels maken in AirWatchAPI-toegang tot REST-beheer en toegang van geregistreerde gebruikers moeten zijn ingeschakeld in deAirWatch-beheerconsole om VMware Identity Manager te integreren met AirWatch. Wanneer u API-toegang inschakelt, wordt een API-sleutel gegenereerd.

Procedure

1 Selecteer in de AirWatch-beheerconsole de organisatiegroep via Algemeen >Klantniveau en navigeernaar Groepen en instellingen > Alle instellingen > Systeem > Geavanceerd > API > Rest API.

2 Klik op het tabblad Algemeen op Toevoegen om de API-sleutel te genereren die moet wordengebruikt in de VMware Identity Manager-service. Het accounttype moet Beheerder zijn.

Geef een unieke servicenaam op. Voeg een omschrijving toe, zoals AirWatchAPI voor IDM.

3 Klik opnieuw op Toevoegen om de API-sleutel voor de geregistreerde gebruiker te genereren.

4 Selecteer Aanmelding gebruiker in het vervolgkeuzemenu Accounttype.

Geef een unieke servicenaam op. Voeg een omschrijving toe, zoals GebruikerAPI voor IDM.

5 Kopieer de twee API-sleutels en sla de sleutels op in een bestand.

U kunt deze sleutels toevoegen wanneer u AirWatch instelt in de VMware Identity Manager-beheerconsole.

6 Klik op Opslaan.

Rootcertificaat voor VMware AirWatch-beheerder exporterenWanneer de beheer-API-sleutel is gemaakt, voegt u het beheerdersaccount toe en stelt ucertificaatverificatie in de AirWatch-beheerconsole in.


VMware, Inc. 12

Voor verificatie op basis van een REST API-certificaat, wordt een certificaat op gebruikersniveaugegenereerd via de AirWatch-beheerconsole. Het gebruikte certificaat is een automatisch ondertekendAirWatch-certificaat dat via het AirWatch-beheerbroncertificaat is gegenereerd.

Vereisten

De AirWatch REST-beheer-API-sleutel wordt gemaakt.

Procedure

1 Selecteer in de AirWatch-beheerconsole de organisatiegroep via Algemeen > Klantniveau ennavigeer naar Accounts > Beheerders > Lijstweergave.

2 Klik op Toevoegen > Beheerder toevoegen.

3 Voer op het tabblad Basis de gebruikersnaam en het wachtwoord van de certificaatbeheerder in devereiste tekstvakken in.

4 Selecteer het tabblad Rollen en kies de huidige organisatiegroep, klik op het tweede tekstvak enselecteer AirWatch-beheerder.

5 Selecteer het tabblad API en selecteer Certificaten in het tekstvak Verificatie.

6 Voer het certificaatwachtwoord in. Het wachtwoord is hetzelfde wachtwoord dat voor de beheerder ophet tabblad Basic is ingevoerd.

7 Klik op Opslaan.

Het nieuwe beheerdersaccount en het clientcertificaat worden aangemaakt.


VMware, Inc. 13

8 Op de pagina Lijstweergave selecteert u de beheerder die u heeft gemaakt en opent u opnieuw hettabblad API.

De certificatenpagina toont informatie over het certificaat.

9 Voer het wachtwoord in dat u heeft ingesteld in het tekstvak Certificaatwachtwoord, klik opClientcertificaat exporteren en sla het bestand op.

Het clientcertificaat wordt als een .p12-bestandstype opgeslagen.

Wat nu te doen

Configureer uw URL-instellingen van AirWatch in de VMware Identity Manager-beheerconsole.

AirWatch-instantie instellen in VMware Identity ManagerNadat u de instellingen hebt geconfigureerd in de AirWatch-beheerconsole, voert u op de paginaIdentiteits- en toegangsbeheer van de VMware Identity Manager-beheerconsole de AirWatch-URL, deAPI-sleutelwaarden en het certificaat in. Nadat de AirWatch-instellingen zijn geconfigureerd, kunt ufunctieopties inschakelen die beschikbaar zijn voor Workspace ONE.

AirWatch-instellingen toevoegen in de VMware Identity Manager-beheerconsoleConfigureer de AirWatch-instellingen in de VMware Identity Manager-beheerconsole om AirWatch teintegreren met VMware Identity Manager.

U kunt domeinen die zijn geconfigureerd in VMware Identity Manager, koppelen aan specifiekeorganisatiegroepen in AirWatch om apparaatregistratie in AirWatch mogelijk te maken. Zie VMwareIdentity Manager-domeinen toewijzen aan meerdere organisatiegroepen.

Vereisten

n AirWatch-server-URL die de beheerder gebruikt om zich aan te melden op de AirWatch-beheerconsole.

n De API-sleutel van AirWatch-beheer die wordt gebruikt om API-aanvragen van VMware IdentityManager in te dienen bij de AirWatch-server om integratie in te stellen.


VMware, Inc. 14

n AirWatch-certificaatbestand dat wordt gebruikt om API-oproepen te doen en hetcertificaatwachtwoord te maken. Het certificaatbestand moet de bestandsindeling .p12 hebben.

n API-sleutel van in AirWatch ingeschreven gebruiker.

n AirWatch-groeps-id voor uw tenant die de tenant-id in AirWatch is.

Procedure

1 Klik in de VMware Identity Manager-beheerconsole op het tabblad Identiteits- en toegangsbeheer, opInstellen > AirWatch.

2 Voer de AirWatch-integratie-instellingen in de volgende velden in.

Veld Beschrijving

AirWatch API-URL Voer de AirWatch-URL in. Bijvoorbeeld: https://myco.airwatch.com.

AirWatch API-certificaat Upload het certificaatbestand dat wordt gebruikt om API-oproepen te doen.

Certificaatwachtwoord Voer het certificaatwachtwoord in.

API-sleutel van AirWatch-beheer Voer de beheer-API-sleutelwaarde in. Voorbeeld van een API-sleutelwaardeFPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

API-sleutel van in AirWatchingeschreven gebruiker

Voer de API-sleutelwaarde in van de ingeschreven gebruiker.

Groeps-id AirWatch. Voer de groeps-id van AirWatch in voor de organisatiegroep waarin de API-sleutelen het beheeraccount zijn aangemaakt.

3 Als u domeinen wilt toewijzen aan meerdere organisatiegroepen, schakelt u het selectievakje

Domeinen toewijzen aan meerdere organisatiegroepen in.

a Selecteer in het vervolgkeuzemenu het domein dat u wilt toewijzen. Voer vervolgens de id van deorganisatiegroep en de API-sleutel van beheer voor die groep in de tekstvakken in.

b Klik op + om extra organisatiegroepen toe te wijzen aan het domein.

c Als u een ander domein wilt toewijzen, klikt u op + naast het vervolgkeuzemenu.


VMware, Inc. 15

4 Klik op Opslaan.

Wat nu te doen

n Schakel Uniforme catalogus in om de applicatiesconfiguratie in de AirWatch-catalogus samen tevoegen met de uniforme catalogus.

n Schakel Compliancecontrole in om te controleren of door AirWatch beheerde apparaten voldoen aanhet compliancebeleid van AirWatch.

VMware Identity Manager-domeinen toewijzen aan meerdereorganisatiegroepen in AirWatchBij het instellen van gebruikers en apparaten in AirWatch, maakt AirWatch gebruik vanorganisatiegroepen (OG) om gebruikers te ordenen en groeperen en machtigingen te bepalen. WanneerAirWatch is geïntegreerd met VMware Identity Manager, worden de REST API-sleutels voor beheerdersen geregistreerde gebruikers geconfigureerd in een AirWatch-organisatiegroep genaamd Customer.

In AirWatch-omgevingen die zijn geconfigureerd voor multi-tenancy, worden doorgaans veelorganisatiegroepen voor gebruikers en apparaten gemaakt. Apparaten worden geregistreerd ofaangemeld bij een organisatiegroep. In een multi-tenancy-omgeving kunt u unieke configuraties instellenvoor organisatiegroepen. U kunt bijvoorbeeld organisatiegroepen maken voor afzonderlijke regio's,afdelingen of gebruikssituaties.


VMware, Inc. 16

U kunt domeinen die zijn geconfigureerd in VMware Identity Manager, koppelen aan specifiekeorganisatiegroepen in AirWatch om apparaatregistratie in Workspace ONE te beheren. Wanneergebruikers zich aanmelden bij Workspace ONE, wordt een apparaatregistratiegebeurtenis geactiveerd inVMware Identity Manager. Tijdens de apparaatregistratie wordt een aanvraag naar AirWatch verzondenom alle applicaties waarop die combinatie van gebruiker en apparaat recht heeft, op te halen.

De organisatiegroepen voor apparaten moet worden geïdentificeerd wanneer AirWatch wordtgeïntegreerd met VMware Identity Manager zodat het identiteitsbeheer de gebruiker kan opzoeken en hetapparaat in de bijbehorende organisatiegroep kan registreren.

Wanneer u de AirWatch-instellingen configureert in de VMware Identity Manager-service, kunt u id'sinvoeren voor de organisatiegroepen met apparaten en bepalen met welke API-sleutels meerdere OG'saan een domein worden toegewezen. Wanneer gebruikers zich met hun apparaten aanmelden bijWorkspace ONE, worden de gebruikersrecords geverifieerd en wordt het apparaat geregistreerd bij debetreffende organisatiegroep in AirWatch.

Zie Implementatiestrategieën voor het instellen van meerdere AirWatch-organisatiegroepen voor meerinformatie over het configureren van meerdere organisatiegroepen.

Opmerking Wanneer AirWatch is geïntegreerd met VMware Identity Manager en u meerdere AirWatch-organisatiegroepen configureert, kunt u de optie voor de algemene catalogus van Active Directory nietinstellen voor de VMware Identity Manager-service.

Workspace ONE-catalogus inschakelen voor AirWatchWanneer u VMware Identity Manager configureert met uw AirWatch-instantie, kunt u de Workspace ONE-catalogus inschakelen. Eindgebruikers zien alle applicaties waarvoor ze rechten hebben, in hunWorkspace ONE-portal.

Procedure

1 Klik in de beheerconsole, in tabblad Identiteits- en toegangsbeheer op Installatie > AirWatch.

2 Selecteer Inschakelen in het gedeelte Uniforme catalogus op deze pagina.

3 Klik op Opslaan.

Wat nu te doen

Informeer eindgebruikers van AirWatch over hoe zij toegang kunnen krijgen tot de uniforme catalogus enhoe zij hun Workspace ONE-portal kunnen bekijken.


VMware, Inc. 17

Compliancecontrole inschakelen voor door AirWatchbeheerde apparatenWanneer gebruikers hun apparaten registreren, worden regelmatig voorbeelden verzonden metgegevens die worden gebruikt om de compliance te evalueren. De evaluatie van dezevoorbeeldgegevens zorgen ervoor dat het apparaat voldoet aan de complianceregels die door debeheerder zijn ingesteld in de AirWatch-console. Als een apparaat niet meer aan de compliance voldoet,worden de acties uitgevoerd die in de AirWatch-console zijn geconfigureerd.

De VMware Identity Manager-service bevat een optie voor toegangsbeleid die kan wordengeconfigureerd om de AirWatch-server te controleren op de status van de apparaatcompliance wanneergebruikers zich via het apparaat aanmelden. De compliancecontrole zorgt ervoor dat gebruikers zich nietkunnen aanmelden bij een applicatie en geen Single Sign-On in de Workspace ONE-portal kunnengebruiken wanneer de compliancestatus van het apparaat niet in orde is. Wanneer het apparaat weer aancompliance voldoet, wordt de mogelijkheid om zich aan te melden weer hersteld.

De applicatie Workspace ONE meldt zich automatisch af en blokkeert de toegang tot de applicatieswanneer het apparaat wordt gehackt. Als het apparaat is geregistreerd via adaptief beheer, verwijdert eenwisopdracht op bedrijfsniveau die wordt gegeven via de AirWatch-console, de registratie en de beheerdeapplicaties van het apparaat. Niet beheerde applicaties worden niet verwijderd.

Zie de gids VMware AirWatch Mobile Device Management die beschikbaar is op de website AirWatchResources voor meer informatie over het compliancebeleid van AirWatch.

Verificatie van gebruikerswachtwoord via AirWatchinschakelenAls u verificatie met de AirWatch Cloud Connector wilt implementeren, moet u de functie Verificatie vangebruikerswachtwoord via AirWatch inschakelen.

Vereisten

n AirWatch is geconfigureerd in VMware Identity Manager.

n AirWatch Cloud Connector geïnstalleerd en geactiveerd.

n AirWatch-directoryservices geïntegreerd met Active Directory.

Procedure

1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer op Instellen > AirWatch.

2 Selecteer Inschakelen in het gedeelte Verificatie van gebruikerswachtwoord via AirWatch.

3 Klik op Opslaan.

Wat nu te doen

Zie Hoofdstuk 3 Verificatie implementeren met AirWatch Cloud Connector als u AirWatch CloudConnector-verificatie wilt gebruiken.


VMware, Inc. 18

Toegangsbeleidsregels configurerenOm veilige toegang tot de Workspace ONE app-portal voor gebruikers te verlenen en om web- endesktopapplicaties te starten, configureert u toegangsbeleid. Toegangsbeleid bevat regels die criteriavastleggen waaraan moet worden voldaan om aan te melden en gebruik te maken van de bronnen.

U moet de standaardbeleidsregels bewerken om de verificatiemethoden te selecteren die u hebtgeconfigureerd. Een beleidsregel kan worden geconfigureerd om acties te ondernemen zoals blokkeren,toestaan van verificatie van gebruikers op basis van omstandigheden, zoals netwerk, apparaattype,aanmelding en compliance van het AirWatch-apparaat, of op de applicatie waartoe toegang wordtverkregen. U kunt groepen toevoegen aan een beleid om de verificatie te beheren op basis vanspecifieke groepen.

Wanneer compliancecontrole is ingeschakeld, maakt u een toegangsbeleidsregel die bepaalt dat er eenverificatie en een verificatie van apparaatcompliance is vereist voor apparaten die worden beheerd doorAirWatch.

De beleidsregel voor compliancecontrole werkt als een verificatieketen met Mobiele SSO voor iOS,Mobiele SSO voor Android en Certificaat cloudimplementatie. De verificatiemethode die wordt gebruikt,moet vooraf gaan aan de optie apparaatcompliance in de beleidsregelconfiguratie.

Vereisten

Verificatiemethoden geconfigureerd en gekoppeld aan een ingebouwde identiteitsprovider.

Compliancecontrole ingeschakeld op de AirWatch-pagina van VMware Identity Manager.

Procedure

1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Beleid.

2 Selecteer het toegangsbeleid dat u wilt bewerken.

3 Selecteer de beleidsregel die u wilt bewerken in het gedeelte Beleidsregels.

4 In het vervolgkeuzemenu dan moet de gebruiker verifiëren met behulp van de volgendemethode klikt u op + en selecteert u de verificatiemethode die moet worden gebruikt.

5 In het tweede vervolgkeuzemenu voor dan moet de gebruiker verifiëren met behulp van devolgende methode selecteert u Compliance van apparaat (met AirWatch).

6 (Optioneel) Voer in het tekstvak Berichttekst van Aangepaste fout een aangepaste tekst in die wordtweergegeven wanneer de gebruikersverificatie mislukt omdat het apparaat niet voldoet aan decompliance. In het tekstvak Koppeling aangepaste fout kunt u een koppeling aan het berichttoevoegen.


VMware, Inc. 19

7 Klik op Opslaan.

VMware Identity Manager bijwerken nadat AirWatch isbijgewerktWanneer u AirWatch bijwerkt naar een nieuwe versie, moet u de opties Uniforme catalogus enGebruikerswachtwoordverificatie op de AirWatch-configuratiepagina bijwerken in de VMware IdentityManager-beheerconsole.

Wanneer u deze opties opslaat nadat u AirWatch hebt geüpgraded, worden de AirWatch-instellingen inde VMware Identity Manager-service bijgewerkt met de nieuwe versie van AirWatch.

Procedure

1 Meld u aan op de beheerconsole van VMware Identity Manager nadat u AirWatch hebt bijgewerkt.

2 Klik op het tabblad Identiteits- en toegangsbeheer op Installatie > AirWatch.

3 Blader op de pagina omlaag naar het gedeelte Uniforme catalogus en klik op Opslaan.

4 Blader op de pagina omlaag naar het gedeelte Gebruikerswachtwoordverificatie via AirWatch enklik op Opslaan.

De AirWatch-configuratie wordt bijgewerkt met de nieuwe versie in de VMware Identity Manager-service.


VMware, Inc. 20

Verificatie implementeren metAirWatch Cloud Connector 3Het onderdeel AirWatch Cloud Connector (ACC) van VMware Enterprise Systems Connector isgeïntegreerd met VMware Identity Manager voor de verificatie van gebruikerswachtwoorden inWorkspace ONE.

Opmerking U installeert ACC en configureert het ACC-onderdeel in AirWatch. Zie de gids Installatie enconfiguratie van VMware Enterprise Systems Connector voor informatie over het installeren enconfigureren van de AirWatch Cloud Connector. Nadat de ACC is geïnstalleerd en geconfigureerd,integreert u de AirWatch-directoryservices met Active Directory. Zie de gids VMware AirWatch DirectoryServices voor meer informatie over het inschakelen van de directoryservices.

Als u AirWatch Cloud Connector-verificatie wilt implementeren voor Workspace ONE, moet deverificatiemethode Wachtwoord (AirWatch Connector) in de VMware Identity Manager-beheerconsoleworden gekoppeld aan een ingebouwde identiteitsprovider.

U kunt Just-In-Time-ondersteuning in AirWatch inschakelen om nieuwe gebruikers toe te voegen aan deVMware Identity Manager-directory wanneer gebruikers zich voor een eerste keer aanmelden. WanneerJust-In-Time-ondersteuning is ingeschakeld, hoeven gebruikers niet te wachten op de volgende geplandesynchronisatie van de AirWatch-server om toegang te krijgen tot Workspace ONEE. In plaats daarvanmelden nieuwe gebruikers zich aan op hun Workspace ONE-portal via een iOS- of Android-apparaat ofvia hun desktopcomputer en voeren hun gebruikersnaam en wachtwoord van Active Directory in. DeVMware Identity Manager-service verifieert de gegevens van de Active Directory via de AirWatch CloudConnector en voegt het gebruikersprofiel toe aan de map.

Nadat u de verificatiemethoden hebt gekoppeld in de ingebouwde identiteitsprovider, moet utoegangsbeleid maken en toepassen op deze verificatiemethode.

Opmerking Verificatie via een gebruikersnaam en een wachtwoord zijn geïntegreerd in deimplementatie van de AirWatch Cloud Connector. Om de verificatie van gebruikers uit te voeren met eenandere door VMware Identity Manager ondersteunde verificatiemethode, moet u deVMware Identity Manager-connector configureren.


n Toewijzing van gebruikerskenmerken beheren

n Gebruikers en groepen van AirWatch-directory synchroniseren met VMware Identity-directory

VMware, Inc. 21

n Configuratie van wachtwoordverificatie voor AirWatch beheren

n Ingebouwde identiteitsproviders configureren

Toewijzing van gebruikerskenmerken beherenU kunt de toewijzing van gebruikerskenmerken configureren tussen de AirWatch-directory en deVMware Identity Manager-directory.

Op de pagina Gebruikerskenmerken van VMware Identity Manager, op het tabblad Identiteits- entoegangsbeheer worden de standaard directorykenmerken vermeld die zijn toegewezen aan de juisteAirWatch Directory-kenmerken. Kenmerken die zijn vereist, zijn gemarkeerd met een asterisk. Gebruikersbij wie een vereist kenmerk in het profiel ontbreekt, worden niet met de VMware Identity Manager-servicegesynchroniseerd.

Tabel 3‑1. Standaardtoewijzing van AirWatch-directorykenmerken

Gebruikerskenmerknaam van de VMware IdentityManager Standaardtoewijzing aan AirWatch-gebruikerskenmerk

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

domain Domein

disabled (externe gebruiker uitgeschakeld) uitgeschakeld

phone telephoneNumber

lastName achternaam*

firstName voornaam*

email E-mail*

userName gebruikersnaam*

Gebruikers en groepen van AirWatch-directorysynchroniseren met VMware Identity-directoryU configureert de instellingen voor VMware Identity Manager in de AirWatch-beheerconsole om eenverbinding tussen uw organisatiegroepinstantie van de AirWatch-directory en de VMware IdentityManager tot stand te brengen. Deze verbinding wordt gebruikt om gebruikers en groepen tesynchroniseren met een directory in de VMware Identity Manager-service.

Gebruikers en groepen kunnen aanvankelijk handmatig worden gesynchroniseerd met de VMwareIdentity Manager-directory. De AirWatch-synchronisatieplanning bepaalt wanneer gebruikers en groepenworden gesynchroniseerd met de VMware Identity Manager-directory.

Wanneer een gebruiker of een groep wordt toegevoegd aan of verwijderd van de AirWatch-server, wordtde wijziging meteen weergegeven in de VMware Identity Manager-service.


VMware, Inc. 22

Vereisten

n Lokale beheerdersnaam en wachtwoord van VMware Identity Manager.

n Identificeer kenmerkwaarden om toe te wijzen vanuit de AirWatch-directory. Zie Toewijzing vangebruikerskenmerken beheren.

Procedure

1 Ga naar de pagina Alle instellingen onder Groepen en instellingen in de AirWatch-beheerconsole,selecteer Algemeen > Organisatiegroep op klantniveau en navigeer naar Systeem >Bedrijfsintegratie >VMware Identity Manager.

2 Klik in het servergedeelte op Configureer.

Opmerking De configuratieknop is alleen beschikbaar wanneer de directoryservice ook isgeconfigureerd voor dezelfde organisatiegroep. Als de knop Configureren niet zichtbaar is, bevindt uzich niet in de juiste organisatiegroep. U kunt de organisatiegroep wijzigen in vervolgkeuzemenuAlgemeen.

3 Voer de VMware Identity Manager-instellingen in.

Optie Beschrijving

URL Voer de VMware-URL van uw tenant in. Bijvoorbeeld,https://myco.identitymanager.com.

Gebruikersnaam beheerder Voer de naam van de beheerdersgebruiker van VMware Identity Manager in.

Wachtwoord beheerder Voer het wachtwoord van de beheerdersgebruiker van VMware Identity Managerin.

4 Klik op Volgende.

5 Schakel aangepaste toewijzing in om de toewijzing van gebruikerskenmerken van AirWatch teconfigureren voor de VMware Identity Manager-service.

6 Klik op Verbinding testen om te verifiëren of de instellingen goed zijn.

7 Klik op Nu synchroniseren om alle gebruikers en groepen handmatig met de VMware IdentityManager-service te synchroniseren.

Opmerking Als u de systeembelasting wilt bedienen, kunt u handmatige synchronisatie uitsluitendvier uur na een eerdere synchronisatie uitvoeren.

U kunt een AirWatch-directory maken in de VMware Identity Manager-service en de gebruikers engroepen synchroniseren met een directory in VMware Identity Manager.

Wat nu te doen

Raadpleeg het tabblad Gebruikers en groepen in de VMware Identity Manager-beheerconsole om tecontroleren of de gebruikers- en groepsnamen zijn gesynchroniseerd.


VMware, Inc. 23

Configuratie van wachtwoordverificatie voor AirWatchbeherenU kunt de configuratie van de verificatiemethode Wachtwoord (AirWatch Connector) controleren enbeheren, die u hebt ingesteld bij het installeren van AirWatch en het toevoegen van de VMware IdentityManager-service.

De verificatiemethode Wachtwoord (AirWatch Connector) wordt beheerd via de paginaVerificatiemethoden in Identiteits- en toegangsbeheer en is gekoppeld aan de ingebouwdeidentiteitsprovider op de pagina Identiteitsproviders.

Belangrijk Wanneer de AirWatch Cloud Connector-software wordt geüpgraded, moet u ook de VMwareIdentity Manager AirWatch-configuratie op de AirWatch-pagina in de VMware Identity Manager-beheerconsole bijwerken.

Procedure

1 Als u de configuratie wilt controleren en beheren, selecteert u Verificatiemethoden op het tabbladIdentiteits- en toegangsbeheer.

2 Klik op het potloodpictogram in de configuratiekolom voor Wachtwoord (AirWatch Connector).

3 Controleer de configuratie.

Optie Beschrijving

Verificatie AirWatch-wachtwoordinschakelen

Met dit selectievakje wordt wachtwoordverificatie voor AirWatch ingeschakeld.

URL voor AirWatch-beheerconsole Vooraf ingevuld met de URL voor AirWatch.

AirWatch API-sleutel Vooraf ingevuld met de API-sleutel van AirWatch-beheer.

Het voor verificatie gebruiktecertificaat

Vooraf ingevuld met het certificaat AirWatch Cloud Connector.

Wachtwoord voor certificaat Vooraf ingevuld met het wachtwoord van het certificaat AirWatch CloudConnector.

Groeps-id AirWatch Vooraf ingevuld met de organisatiegroep-id.

Aantal toegestane verificatiepogingen Het maximale aantal mislukte aanmeldpogingen wanneer AirWatch-wachtwoordverificatie wordt gebruikt. Wanneer het maximale aantal misluktepogingen is bereikt, mogen er geen aanmeldingen meer plaatsvinden. De serviceVMware Identity Manager probeert een alternatieve verificatiemethode als deze isgeconfigureerd. De standaardwaarde is vijf pogingen.

Geschikt voor JIT Als JIT niet is ingeschakeld, schakelt u dit selectievakje in om just-in-timeinrichting van gebruikers in de VMware Identity Manager-service dynamisch in teschakelen wanneer zij zich voor de eerste keer aanmelden.

4 Klik op Opslaan.


VMware, Inc. 24

Ingebouwde identiteitsproviders configurerenU kunt meerdere ingebouwde identiteitsproviders configureren en verificatiemethoden koppelen die zijngeconfigureerd op de pagina Verificatiemethoden (via Identiteits- en toegangsbeheer > Beheren).

Procedure

1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Identiteitsproviders.

2 Klik op Identiteitsprovider toevoegen en selecteer Ingebouwde IdP maken.

Optie Beschrijving

Naam van identiteitsprovider Voer de naam in van deze ingebouwde identiteitsproviderinstantie.

Gebruikers Selecteer welke gebruikers u wilt verifiëren. De geconfigureerde directory'sworden weergegeven.

Netwerk De bestaande netwerkbereiken die zijn geconfigureerd in de service wordenweergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis vanhun IP-adressen, die u voor verificatie wilt omleiden naar dezeidentiteitsproviderinstantie.

Verificatiemethoden De verificatiemethoden die zijn geconfigureerd voor de service wordenweergegeven. Schakel het selectievakje in voor de verificatiemethoden die u wiltkoppelen aan deze ingebouwde identiteitsprovider.

Zorg voor Compliance van apparaat (met AirWatch) en Wachtwoord (AirWatchConnector) dat de optie is ingeschakeld op de pagina AirWatch-configuratie.

3 Klik op Toevoegen.

Wat nu te doen

Configureer de standaard toegangsbeleidsregel om het verificatiebeleid toe te voegen aan de regel. Zie Toegangsbeleidsregels configureren.


VMware, Inc. 25

Mobiele Single Sign-in-verificatie implementeren voordoor AirWatch beheerde iOS-apparaten 4Voor iOS-apparaatverificatie gebruikt VMware Identity Manager een identiteitsprovider die is ingebouwdin de VMware Identity Manager-service om toegang te bieden tot Mobiele SSO-verificatie.

Deze verificatiemethode voor iOS-apparaten gebruikt een Key Distribution Center (KDC) zonderconnector of systeem van derden. Kerberos-verificatie biedt gebruikers die zijn aangemeld bij hun domeintoegang tot hun Workspace ONE-applicatieportal zonder dat ze om aanvullende verificatiegegevensworden gevraagd.


n Implementatieoverzicht voor het configureren van mobiele SSO voor iOS

n Active Directory-certificaatautoriteit configureren in AirWatch

n De AirWatch-certificaatautoriteit gebruiken voor Kerberos-verificatie

n Een Key Distribution Center gebruiken voor verificatie van iOS-apparaten

n Mobiele SSO-verificatie voor iOS configureren

n Ingebouwde identiteitsprovider configureren voor Mobiele SSO-verificatie voor iOS

n Apple iOS-profiel in AirWatch configureren met een Active Directory-certificaatautoriteit encertificaatsjabloon

n Apple iOS-profiel in AirWatch configureren met een AirWatch-certificaatautoriteit

n Een AirWatch-apparaatprofiel toewijzen

Implementatieoverzicht voor het configureren vanmobiele SSO voor iOSVoor het implementeren van de verificatiemethode Mobiele SSO voor door AirWatch beheerde iOS-apparaten versie 9 of hoger zijn de volgende configuratiestappen vereist.

n Download het certificaat van de uitgever om Mobiele SSO voor iOS te configureren.

n Wanneer u Active Directory-certificaatservices gebruikt, configureert u eencertificaatautoriteitsjabloon voor de distributie van het Kerberos-certificaat in de Active Directory-certificaatservices. Vervolgens configureert u AirWatch om de Active Directory-certificaatautoriteitte gebruiken. Voeg het certificaatsjabloon toe in de AirWatch-beheerconsole. Download hetuitgevercertificaat om Mobiele SSO voor iOS te configureren.

VMware, Inc. 26

n Als u een AirWatch-certificaatautoriteit gebruikt, schakelt u Certificaten in op de paginaVMware Identity Manager-integraties. Download het uitgevercertificaat om Mobiele SSO voor iOSte configureren.

n Bepaal welk Key Distribution Center (KDC) u wilt gebruiken.

n Configureer het iOS-apparaatprofiel en schakel Single Sign-On via de AirWatch-beheerconsole in.

n Configureer de verificatiemethode Mobiele SSO voor iOS.

n Configureer de ingebouwde identiteitsprovider en koppel de verificatiemethode Mobiele SSO vooriOS in de VMware Identity Manager-beheerconsole.

Active Directory-certificaatautoriteit configureren inAirWatchOm Single Sign-On-verificatie op door AirWatch beheerde iOS 9-mobiele apparaten in te stellen, kunt ueen vertrouwensrelatie instellen tussen de Active Directory en AirWatch, en de mobiele SSO voor iOS-verificatiemethode in VMware Identity Manager inschakelen.

Wanneer u de certificaatautoriteit en het certificaatsjabloon voor de certificaatdistributie van Kerberoshebt geconfigureerd in de Active Directory-certificaatservices, schakelt u AirWatch in om het voorcertificatie gebruikte certificaat aan te vragen en voegt u de certificaatautoriteit toe aan de beheerconsolevan AirWatch.

Procedure

1 Navigeer in het hoofdmenu van de beheerconsole van AirWatch naar Apparaten > Certificaten >Certificaatautoriteiten.


3 Configureer het volgende op de pagina Certificaatautoriteit.

Opmerking Controleer of Microsoft AD CS is geselecteerd als het Autoriteittype voordat u begintmet het voltooien van dit formulier.

Optie Beschrijving

Naam Voer een naam in voor de nieuwe Certificaatautoriteit.

Autoriteittype Controleer of Microsoft ADCS is geselecteerd.

Protocol Selecteer ADCS als het protocol.

Hostnaam van de server Voer de URL van de server in. Voer de hostnaam in met de notatiehttps://{servername.com}/certsrv.adcs/. De site kan http of https zijn,afhankelijk van hoe de site is ingesteld. De URL moet aan het einde een /bevatten.

Opmerking Als de verbinding mislukt wanneer u de URL test, verwijdert u http://of https:// uit het adres en test u de verbinding opnieuw.

Autoriteitnaam Voer de naam van de certificaatautoriteit in waarmee het ADCS-eindpunt mee isverbonden. Deze naam kunt u vinden door de applicatie Certificatieautoriteit opde certificaatautoriteitserver te starten.


VMware, Inc. 27

Optie Beschrijving

Verificatie Controleer of Serviceaccount is geselecteerd.

Gebruikersnaam en wachtwoord Voer de gebruikersnaam en het wachtwoord van het beheeraccount van AD CSin en zorg dat AirWatch toegang heeft om certificaten aan te vragen en uit tegeven.

4 Klik op Opslaan.

Wat nu te doen

Configureer het certificaatsjabloon in AirWatch.

AirWatch configureren om de Active Directory-certificaatautoriteit te gebruikenU moet uw certificaatautoriteitssjabloon goed configureren voor distributie van Kerberos-certificaten. In deActive Directory-certificaatservices (AD CS) kunt u het bestaande Kerberos-verificatiesjabloon duplicerenom een nieuw certificaatautoriteitssjabloon te configureren voor de iOS Kerberos-verificatie.

Wanneer u het Kerberos-verificatiesjabloon via de AD CS dupliceert, moet u de volgende informatieconfigureren in het dialoogvenster Eigenschappen van nieuw sjabloon.

Figuur 4‑1. Dialoogvenster Eigenschappen van nieuw sjabloon voor Active Directory-certificaatsservices

n Tabblad Algemeen. Voer de weergavenaam van het sjabloon en de sjabloonnaam in. Bijvoorbeeld:iOSKerberos. Dit is de weergavenaam die wordt weergegeven in de snap-ins Certificaatsjablonen,Certificaten en Certificaatautoriteit.

n Tabblad Request Handling (Afhandeling van aanvragen). Schakel Allow private key to beexported (Toestaan dat persoonlijke sleutel wordt geëxporteerd) in.

n Tabblad Onderwerpnaam. Selecteer het keuzerondje Levering in de aanvraag. De onderwerpnaamwordt geleverd door AirWatch wanneer AirWatch het certificaat aanvraagt.

n Tabblad Extensies. Definieer de applicatiesbeleidsregels.

n Selecteer Beleidsregels voor applicaties en klik op Bewerken om een nieuw applicatiesbeleid toete voegen. Geef dit beleid de naam Kerberos-clientverificatie.

n Voeg het object-id (OID) als volgt toe: 1.3.6.1.5.2.3.4. Wijzig dit id niet.


VMware, Inc. 28

n Verwijder in de lijst Beschrijving van beleidsregels voor applicatie alle beleidsregels die wordengenoemd, met uitzondering van het Kerberos-clientverificatiebeleid en het SmartCard-verificatiebeleid.

n Tabblad Beveiliging. Voeg het AirWatch-account toe aan de lijst met gebruikers die het certificaatmogen gebruiken. Stel de machtigingen in voor het account. Stel Volledige controle zo in dat debeveiligingsprincipal alle kenmerken van een certificaatsjabloon kan aanpassen, inclusief demachtigingen voor het certificaatsjabloon. Stel de machtigingen anders in volgens de vereisten vanuw organisatie.

Sla de wijzigingen op. Voeg het sjabloon toe aan de lijst met sjablonen die door de Active Directory-certificaatautoriteit worden gebruikt.

Configureer in AirWatch de certificaatautoriteit en voeg het certificaatsjabloon toe.

Certificaatsjabloon toevoegen in AirWatchU kunt het certificaatsjabloon toevoegen dat de certificaatautoriteit koppelt die wordt gebruikt om eengebruikerscertificaat te genereren.

Vereisten

Certificaatautoriteit in AirWatch configureren

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Systeem > Bedrijfsintegratie >Certificaatautoriteiten.

2 Selecteer het tabblad Sjabloon aanvragen en klik op Toevoegen.

3 Configureer het volgende op de pagina met het certificaatsjabloon.

Optie Beschrijving

Naam Voer de naam in voor het nieuwe aanvraagsjabloon in AirWatch.

Certificaatautoriteit Selecteer in het vervolgkeuzemenu de aangemaakte certificaatautoriteit.

Sjabloon uitgeven Voer de sjabloonnaam van het Microsoft CA-certificaat precies zo in als u in ADCS hebt gemaakt. Bijvoorbeeld iOSKerberos.

Onderwerpnaam Na CN= voert u {Aanmelding gebruiker} in waarbij {} het tekstvak is met deAirWatch-zoekwaarde. De hier ingevoerde tekst is het onderwerp van hetcertificaat, dat kan worden gebruikt om te bepalen wie het certificaat heeftontvangen.

Lengte privésleutel De lengte van de privésleutel komt overeen met de instelling op hetcertificaatsjabloon dat wordt gebruikt door AD CS. Gewoonlijk is deze 2048.

Type privésleutel Selecteer het selectievakje voor Ondertekenen en versleutelen.

Type San Voor de Alternatieve naam voor onderwerp (SAN) selecteert u Primaire naamgebruiker. De waarde moet {Aanmelding gebruiker} zijn. Als decompliancecontrole voor het apparaat met Kerberos-verificatie is geconfigureerd,moet u een tweede type SAN instellen om de UDID in te sluiten. Selecteer hettype San DNS. De waarde moet UDID={ApparaatUid} zijn.


VMware, Inc. 29

Optie Beschrijving

Certificaat automatisch vernieuwen Selecteer het selectievakje om certificaten met dit sjabloon automatisch tevernieuwen voordat deze verlopen.

Automatische vernieuwingsperiode(dagen)

Geef het automatisch vernieuwen in dagen op.

Certificaat-intrekking inschakelen Selecteer het selectievakje om certificaten automatisch in te trekken wanneer debetreffende apparaten niet meer worden gebruikt of zijn verwijderd, of wanneerhet betreffende profiel wordt verwijderd.

Persoonlijke sleutel publiceren Selecteer dit selectievakje om de persoonlijke sleutel te publiceren.

Bestemming persoonlijke sleutel Directoryservice of Aangepaste webservice

4 Klik op Opslaan.

Wat nu te doen

Configureer de ingebouwde identiteitsprovider met de mobiele SSO voor de methode iOS-verificatie in debeheerconsole van de identiteitsprovider.

De AirWatch-certificaatautoriteit gebruiken voorKerberos-verificatieU kunt de AirWatch-certificaatautoriteit in plaats van de Active Directory-certificaatautoriteit gebruiken omsingle sign-on in te stellen met ingebouwde Kerberos-verificatie voor via AirWatch beheerde mobiele iOS9-apparaten. U kunt de AirWatch-certificaatautoriteit inschakelen in de AirWatch-beheerconsole en hetcertificaat van de CA-uitgever exporteren voor gebruik in de VMware Identity Manager-service.


VMware, Inc. 30

De AirWatch-certificaatautoriteit is ontworpen om SCEP (Simple Certificate Enrollment Protocol) te volgenen wordt gebruikt voor via AirWatch beheerde apparaten die SCEP ondersteunen. Voor VMware IdentityManager-integratie met AirWatch wordt de AirWatch-certificaatautoriteit gebruikt om certificaten uit tegeven voor mobiele iOS 9-apparaten, als onderdeel van het profiel.

Het rootcertificaat van de uitgever van de AirWatch-certificaatautoriteit is ook het OCSP-certificaat voorondertekening.

De AirWatch-certificaatautoriteit inschakelen en exporterenWanneer VMware Identity Manager is ingeschakeld in AirWatch, kunt u het uitgever-rootcertificaat vanAirWatch genereren en het certificaat exporteren zodat het kan worden gebruikt voor iOS-verificatie vande Mobiele SSO op beheerde iOS 9-mobiele apparaten.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Systeem > Enterprise-integratie > VMware IdentityManager.

2 Het type organisatiegroep moet Klant zijn om de AirWatch-certificaatautoriteit in te schakelen.

Tip Navigeer naar Groepen en instellingen, Groepen > Organisatiegroepen> Details over deorganisatiegroep om het type groep te bekijken of te wijzigen.

3 Klik op Inschakelen in het gedeelte CERTIFICAAT.

Op de pagina wordt informatie over het uitgever-rootcertificaat weergegeven.

4 Klik op Exporteren en sla het bestand op.

Wat nu te doen

Configureer Kerberos-verificatie in de ingebouwde identiteitsprovider en voeg het uitgevercertificaat vande certificaatautoriteit toe in de VMware Identity Manager-beheerconsole.

Een Key Distribution Center gebruiken voor verificatie vaniOS-apparatenVoor iOS-apparaten integreert u de service met Kerberos. Kerberos-verificatie biedt gebruikers die zijnaangemeld bij hun domein toegang tot hun applicatieportal zonder dat ze om aanvullendeverificatiegegevens worden gevraagd. Deze verificatiemethode voor iOS-apparaten gebruikt een KeyDistribution Center (KDC) zonder connector of systeem van derden.

Voor VMware Identity Manager-cloudtenants hoeft u het KDC niet te beheren of te configureren.

Voor implementaties op locatie zijn twee KDC-serviceopties beschikbaar.

n Ingebouwde KDC. Voor het ingebouwde KDC moet het KDC op de appliance worden geïnitialiseerden moeten openbare DNS-vermeldingen worden gemaakt zodat de Kerberos-clients het KDC kunnenvinden. Zie de VMware Identity Manager-beheerhandleiding voor meer informatie over hetinschakelen van het ingebouwde KDC.


VMware, Inc. 31

n KDC als een in de cloud gehoste VMware Identity Manager-service. Voor het gebruik van KDC in decloud moet de betreffende realmnaam worden geselecteerd op de pagina voor de iOS-verificatieadapter.

Opmerking Wanneer u VMware Identity Manager samen met AirWatch installeert en configureert in eenWindows-omgeving, moet u de mobiele iOS-verificatiemethode configureren voor gebruik met de in decloud gehoste KDC-service van VMware Identity Manager.

In de cloud gehoste KDC-service gebruikenOm het gebruik van Kerberos-verificatie voor Mobiele SSO voor iOS te ondersteunen, biedt VMwareIdentity Manager een in de cloud gehoste KDC-service.

Deze service moet worden gebruikt wanneer de VMware Identity Manager-service is geïmplementeerdmet AirWatch in een Windows-omgeving.

Als u wilt gebruikmaken van het KDC dat wordt beheerd in de VMware Identity Manager-appliance,raadpleegt u 'Het gebruik van Kerberos-verificatie op iOS-apparaten voorbereiden' in de gids Installatieen configuratie van VMware Identity Manager.

Wanneer u de verificatiemethode Mobiele SSO voor iOS configureert, configureert u de realmnaam voorde in de cloud gehoste KDC-service. De realmnaam is de naam van een administratieve entiteit dieverificatiegegevens bewaart. Wanneer u op Opslaan klikt, wordt de VMware Identity Manager-servicegeregistreerd bij de in de cloud gehoste KDC-service. De gegevens die worden bewaard in de KDC-service, zijn afhankelijk van uw configuratie van de verificatiemethode Mobiele SSO voor iOS en kunnenbestaan uit het CA-certificaat, het OCSP-ondertekeningscertificaat en de configuratiegegevens van deOCSP-aanvraag. Er wordt geen andere gebruikersspecifieke informatie bewaard in de cloudservice.

De aanmeldrecords worden bewaard in de cloudservice. De persoonsgegevens (Personally IdentifiableInformation - PII) in de aanmeldrecords bevatten de Principal-naam van Kerberos uit het profiel van degebruiker, de onderwerp-DN en -UPN en EMAIL SAN-waarden, de apparaat-ID uit het certificaat van degebruiker en de FQDN van de IDM-service waartoe de gebruiker toegang heeft.

Voor het gebruik van de in de cloud gehoste KDC-service moet VMware Identity Manager als volgtworden geconfigureerd.

n De FQDN van de VMware Identity Manager-service moet bereikbaar zijn via internet. Het SSL/TLS-certificaat dat wordt gebruikt door VMware Identity Manager, moet openbaar zijn ondertekend.

n Poorten 88 (UDP) en 443 (HTTPS/TCP) voor uitgaande aanvragen/antwoorden moeten toegankelijkzijn vanuit de VMware Identity Manager-service.

n Als u OCSP inschakelt, moet de OCSP-responder bereikbaar zijn via internet.

Mobiele SSO-verificatie voor iOS configurerenU configureert de verificatiemethode Mobiele SSO voor iOS op de pagina Verificatiemethoden van debeheerconsole. Selecteer de verificatiemethode Mobiele SSO (voor iOS) in de ingebouwdeidentiteitsprovider.


VMware, Inc. 32

Vereisten

n Een PEM- of DER-bestand van de certificaatautoriteit wordt gebruikt om certificaten aan gebruikersuit te geven in de AirWatch-tenant.

n Het ondertekeningscertificaat van OCSP-responder voor intrekkingscontrole.

n Voor de geselecteerde KDC-service de realmnaam van de KDC-service. Als de ingebouwde KDC-service wordt gebruikt, moet het KDC worden geïnitialiseerd. Zie VMware Identity Managerinstalleren en configureren voor meer informatie over de ingebouwde KDC-service.

Procedure

1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Verificatiemethoden.

2 Klik op het pictogram in de configuratiekolom voor Mobiele SSO (voor iOS).

3 Configureer de Kerberos-verificatiemethode.

Optie Beschrijving

KDC-verificatie inschakelen Selecteer dit selectievakje zodat gebruikers zich kunnen aanmelden via iOS-apparaten die Kerberos-verificatie ondersteunen.

Realm Als u het in de cloud gehoste KDC gebruikt, voert u de vooraf gedefinieerdeondersteunde realmnaam in die u hebt ontvangen. Gebruik hoofdletters voor detekst in deze parameter. Bijvoorbeeld: OP.VMWAREIDENTITY.COM

Als u het ingebouwde KDC gebruikt, wordt de realmnaam weergegeven die uhebt geconfigureerd toen u de KDC-weergaven hebt geïnitialiseerd.

De realmwaarde is alleen-lezen. De realm die hier is ingevoerd, is de realmnaamvan de Identity Manager voor uw tenant.

CA-certificaten op basis- entussenniveau

Upload het certificaatbestand van de certificaatautoriteituitgever. Debestandsindeling kan PEM of DER zijn.

Onderwerp-DN's van CA-certificaatgeüpload

De inhoud van het geüploade certificaatbestand wordt hier weergegeven. Erkunnen meerdere bestanden worden geüpload en alle certificaten die zijninbegrepen, worden toegevoegd aan de lijst.

OCSP inschakelen Schakel het selectievakje in om het certificaatvalidatieprotocol (Online CertificateStatus Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaatop te halen.

OCSP Nonce verzenden Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag inhet antwoord wordt verzonden.

Ondertekeningscertificaat van OCSP-responder

Upload het OCSP-certificaat voor de responder.

Wanneer u de AirWatch-certificaatautoriteit gebruikt, wordt het certificaat van deuitgever gebruikt als het OCSP-certificaat. Upload hier ook het AirWatch-certificaat.

Onderwerp-DN vanondertekeningscertificaat van OCSP-responder

Hier wordt het geüploade OCSP-certificaatbestand ondergebracht.

Bericht annuleren Maak een aangepast aanmeldingsbericht dat wordt weergegeven wanneer deverificatie te lang duurt. Wanneer u geen aangepast bericht maakt, is hetstandaardbericht Attempting to authenticate your credentials.


VMware, Inc. 33

Optie Beschrijving

Koppeling annuleren inschakelen Wanneer de verificatie te lang duurt, geeft u gebruikers de mogelijkheid om opAnnuleren te klikken om de verificatiepoging te stoppen en het aanmelden teannuleren.

Wanneer de koppeling Annuleren is ingeschakeld, wordt Annuleren weergegevenaan het einde van het bericht met de verificatiefout.

URL van Enterprise DeviceManagement-server

Voer de URL in van de Mobile Device Management-server (MDM) waarnaar ugebruikers wilt omleiden wanneer toegang is geweigerd omdat het apparaat nietin AirWatch voor MDM-beheer is ingeschreven. Deze URL wordt weergegeven inhet bericht met de verificatiefout. Als u hier geen URL opgeeft, wordt hetalgemene bericht voor geweigerde toegang weergegeven.

4 Klik op Opslaan.

Wat nu te doen

n Koppel de verificatiemethode Mobiele SSO (voor iOS) in de ingebouwde identiteitsprovider.

n Configureer de standaardbeleidsregel voor Kerberos-verificatie voor iOS-apparaten. Zorg ervoor datdeze verificatiemethode de eerste methode is die is ingesteld in de regel.

n Ga naar de AirWatch-beheerconsole, configureer het iOS-apparaatprofiel in AirWatch en voeg hetuitgevercertificaat van het KDC-servercertificaat van VMware Identity Manager toe.

Ingebouwde identiteitsprovider configureren voorMobiele SSO-verificatie voor iOSU kunt de ingebouwde identiteitsprovider configureren en een koppeling maken naar deverificatiemethode Mobiele SSO voor iOS die is geconfigureerd op de pagina Verificatiemethoden (viaIdentiteits- en toegangsbeheer > Beheren).

Vereisten

Configuratie van Mobiele SSO-verificatie (voor iOS) op de pagina Verificatiemethoden.

Procedure

1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Identiteitsproviders.

2 Klik op Identiteitsprovider toevoegen en selecteer Ingebouwde IdP maken.

Optie Beschrijving

Naam van identiteitsprovider Voer de naam in van deze ingebouwde identiteitsproviderinstantie.

Gebruikers Selecteer welke gebruikers u wilt verifiëren. De geconfigureerde directory'sworden weergegeven.


VMware, Inc. 34

Optie Beschrijving

Netwerk De bestaande netwerkbereiken die zijn geconfigureerd in de service wordenweergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis vanhun IP-adressen, die u voor verificatie wilt omleiden naar dezeidentiteitsproviderinstantie.

Verificatiemethoden De verificatiemethoden die zijn geconfigureerd voor de service wordenweergegeven. Schakel het selectievakje in voor de iOS-verificatiemethode die uwilt koppelen aan deze ingebouwde identiteitsprovider. Voeg andere gewensteverificatiemethoden toe.

Zorg voor Compliance van apparaat (met AirWatch) en Wachtwoord (AirWatchConnector) dat de optie is ingeschakeld op de pagina AirWatch-configuratie.

3 Klik op Certificaat downloaden in het gedeelte KDC-certificaat exporteren. Sla dit certificaat als een

bestand op dat kan worden geopend via de AirWatch-beheerconsole.

U uploadt dit certificaat wanneer u het iOS-apparaatprofiel in AirWatch configureert.


Wat nu te doen

n Configureer de standaardbeleidsregel voor Kerberos-verificatie voor iOS-apparaten. Zorg ervoor datdeze verificatiemethode de eerste methode is die is ingesteld in de regel.

n Ga naar de AirWatch-beheerconsole, configureer het iOS-apparaatprofiel in AirWatch en voeg hetuitgevercertificaat van het KDC-servercertificaat van VMware Identity Manager toe.

Apple iOS-profiel in AirWatch configureren met eenActive Directory-certificaatautoriteit encertificaatsjabloonMaak het Apple iOS-apparaatprofiel aan in AirWatch en implementeer het om de instellingen van deidentiteitsprovider naar het apparaat te pushen. Dit profiel bevat de benodigde informatie om het apparaatverbinding te laten maken met de VMware-identiteitsprovider en het certificaat dat het apparaat gebruiktom te verifiëren. Schakel Single Sign-On in voor een naadloze toegang tot elke app zonder dat verificatieis vereist.

Vereisten

n Mobiele SSO voor iOS wordt geconfigureerd in VMware Identity Manager.

n iOS Kerberos-certificaatautoriteitbestand is opgeslagen op een computer die toegankelijk is via deAirWatch-beheerconsole.

n Uw certificaatautoriteit en de certificaatsjabloon zijn goed geconfigureerd in AirWatch.

n Lijst met URL's en id's van de applicatiesbundel die Mobiele SSO gebruiken voor iOS-verificatie opiOS-apparaten.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Apparaten >Profielen en bronnen > Profielen.


VMware, Inc. 35

2 Selecteer Toevoegen > Profiel toevoegen en selecteer vervolgens Apple iOS.

3 Voer de naam in als iOSKerberos en configureer de instellingen Algemeen.

4 Selecteer in het linkernavigatievenster Verificatiegegevens > Configureren om deverificatiegegevens te configureren.

Optie Beschrijving

Bron verificatiegegevens Selecteer Gedefinieerde certificaatautoriteit in het vervolgkeuzemenu.

Certificaatautoriteit Selecteer de certificaatautoriteit in de lijst in het vervolgkeuzemenu.

Certificaatsjabloon Selecteer in het vervolgkeuzemenu de verzoeksjabloon die verwijst naar decertificaatautoriteit. Dit is de certificaatsjabloon die is gemaakt inCertificaatsjabloon in AirWatch toevoegen.

5 Klik op + in de hoek rechtsonder op de pagina en maak een tweede verificatiegegeven aan.

6 Selecteer Uploaden in het vervolgkeuzemenu Bron verificatiegegevens.

7 Voer een naam voor de verificatiegegevens in.

8 Klik op Uploaden om het basiscertifcaat van de KDC-server te uploaden dat is gedownload via depagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders > IngebouwdeIdentiteitsprovider.

9 Selecteer in het linker navigatiedeelvenster Single Sign-On en klik op Configureren.

10 Voer de verbindingsinformatie in.

Optie Beschrijving

Accountnaam Voer Kerberos in.

Primaire naam Kerberos Klik op + en selecteer {Registratie gebruiker}.

Gebied Voer de realm-naam van de Identity Manager in voor uw tenant. Gebruikhoofdletters voor de tekst in deze parameter. Opties voor realm-namen zijn:VMWAREIDENTITY.COM, VMWAREIDENTITY.EU en VMWAREIDENTITY.ASIA.

Voer de realm-naam in die u hebt gebruikt toen u KDC in het VMware IdentityManager-apparaat initialiseerde. Bijvoorbeeld: EXAMPLE.COM.

Certificaat vernieuwen Selecteer Certificaat #1 in het vervolgkeuzemenu. Dit is het CA-certificaat voorActive Directory dat oorspronkelijk is geconfigureerd met de verificatiegegevens.

URL-voorvoegsels Voer de voorvoegsels van de URL in die overeen moeten komen om dit accountte gebruiken voor Kerberos-verificatie over HTTP.

Voer de URL van de VMware Identity Manager-server in alshttps://myco.example.com.

Voer de URL van de VMware Identity Manager-server in alshttps://<tenant>.vmwareidentity.<region>.

applicaties Voer de lijst in met applicatiesidentiteiten die deze sign-on mogen gebruiken. Voerde eerste id van de applicatiesbundel in als com.apple.mobilesafari omSingle Sign-On uit te voeren met een iOS ingebouwde Safari-browser. Ga doormet het invoeren van id's voor de applicatiesbundel. De opgegeven applicatiesmoeten SAML-verificatie ondersteunen.

11 Klik op Opslaan en publiceren.


VMware, Inc. 36

Wat nu te doen

Wijs het apparaatprofiel toe aan een slimme groep. Slimme groepen zijn aanpasbare groepen diebepalen voor welke platforms, apparaten en gebruikers toegewezen applicaties, boeken,compliancebeleid, apparaatprofielen of inrichtingen beschikbaar komen.

Apple iOS-profiel in AirWatch configureren met eenAirWatch-certificaatautoriteitMaak het Apple iOS-apparaatprofiel aan in AirWatch en implementeer het om de instellingen van deidentiteitsprovider naar het apparaat te pushen. Dit profiel bevat de benodigde informatie om het apparaatverbinding te laten maken met de VMware-identiteitsprovider en het certificaat dat het apparaat gebruiktom te verifiëren.

Vereisten

n Configuratie van ingebouwde Kerberos in VMware Identity Manager.

n Basiscertificaatbestand van VMware Identity Manager KDC-server opgeslagen op een computer dietoegankelijk is via de beheerconsole van AirWatch.

n Ingeschakeld, gedownload certificaat van de AirWatch-beheerconsole (pagina Systeem >Bedrijfsintegratie > VMware Identity Manager).

n Lijst met URL's en id's van de applicatiesbundel die ingebouwde Kerberos-verificatie op iOS-apparaten gebruiken.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Apparaten > Profielen en bronnen > Profiel > Profieltoevoegen en selecteer Apple iOS.

2 Configureer de instellingen Algemeen van het profiel en voer de naam van het apparaat in alsiOSKerberos.

3 Selecteer in het linkernavigatievenster SCEP > Configureren om de verificatiegegevens teconfigureren.

Optie Beschrijving

Bron verificatiegegevens Selecteer AirWatch-certificaatautoriteit in het vervolgkeuzemenu.

Certificaatautoriteit Selecteer de AirWatch-certificaatautoriteit in het vervolgkeuzemenu.

Certificaatsjabloon Selecteer Single Sign-On om het type certificaat dat is uitgegeven door deAirWatch-certificaatautoriteit in te stellen.

4 Klik op Verificatiegegevens > Configureren en maak een tweede verificatiegegeven aan.

5 Selecteer Uploaden in het vervolgkeuzemenu Bron verificatiegegevens.

6 Voer de naam van de verificatiegegevens van iOS Kerberos in.


VMware, Inc. 37

7 Klik op Uploaden om het basiscertifcaat van de VMware Identity Manager KDC-server dat isgedownload via Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders > paginaIngebouwde Identiteitsprovider te uploaden.

8 Selecteer Single Sign-On in het linkernavigatievenster.

9 Voer de verbindingsinformatie in.

Optie Beschrijving

Accountnaam Voer Kerberos in.

Primaire naam Kerberos Klik op + en selecteer {Registratie gebruiker}.

Gebied Voer de realm-naam van de Identity Manager in voor uw tenant. Gebruikhoofdletters voor de tekst in deze parameter. Opties voor realm-namen zijn:VMWAREIDENTITY.COM, VMWAREIDENTITY.EU en VMWAREIDENTITY.ASIA.

Voer de realm-naam in die u hebt gebruikt toen u KDC in het VMware IdentityManager-apparaat initialiseerde. Bijvoorbeeld: EXAMPLE.COM.

Certificaat vernieuwen Selecteer op apparaten met iOS 8 en later het certificaat dat wordt gebruikt om degebruiker automatisch opnieuw te verifiëren zonder dat de gebruiker actie hoeft teondernemen wanneer de Single Sign-On-sessie van de gebruiker verloopt.

URL-voorvoegsels Voer de voorvoegsels van de URL in die overeen moeten komen om dit accountte gebruiken voor Kerberos-verificatie over HTTP.

Voer de VMware Identity Manager server-URL in volgens de notatiehttps://myco.example.com.

Voer de VMware Identity Manager server-URL in volgens de notatiehttps://<tenant>.vmwareidentity.<regio>.

applicaties Voer de lijst in met applicatiesidentiteiten die deze sign-in mogen gebruiken. Voerde eerste id van de applicatiesbundel in als com.apple.mobilesafari omSingle Sign-On uit te voeren met een iOS ingebouwde Safari-browser. Ga doormet het invoeren van id's voor de applicatiesbundel. De opgegeven applicatiesmoeten SAML-verificatie ondersteunen.


Nadat het iOS-profiel naar de apparaten van gebruikers is gepusht, kunnen gebruikers zich aanmeldenbij VMware Identity Manager met behulp van de ingebouwde Kerberos-verificatiemethode zonder dat zehun verificatiegegevens hoeven in te voeren.

Wat nu te doen

Wijs het apparaatprofiel toe aan een slimme groep. Slimme groepen zijn aanpasbare groepen diebepalen voor welke platforms, apparaten en gebruikers toegewezen applicaties, boeken,compliancebeleid, apparaatprofielen of inrichtingen beschikbaar komen.

Een AirWatch -apparaatprofiel toewijzenAls u een apparaatprofiel hebt gemaakt, wijst u dit toe aan een slimme groep.


VMware, Inc. 38

Slimme groepen zijn aanpasbare groepen die bepalen voor welke platforms, apparaten en gebruikerstoegewezen applicaties, compliancebeleid, apparaatprofielen of inrichtingen beschikbaar komen. Zie degids AirWatch Mobile Device Management.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Apparaten > Profielen en bronnenProfielen.

2 Selecteer het apparaatprofiel dat u wilt toewijzen aan de slimme groep.

3 Klik op het tabblad Algemeen op het tekstvak Toegewezen groepen en selecteer Toewijzingsgroepmaken.

4 Voer op de pagina Nieuwe slimme groep maken de naam van de slimme groep in.

5 Selecteer Platform en besturingssysteem en selecteer het juiste besturingssysteem enbijbehorende versie in de vervolgkeuzelijst.


Als u een slimme groep hebt toegewezen aan de apparaatoptie, kunnen gebruikers zich aanmelden bijWorkspace ONE en applicaties in de catalogus selecteren.


VMware, Inc. 39

Mobiele Single Sign-On-verificatie implementeren voordoor AirWatch beheerdeAndroid-apparaten 5Mobiele SSO voor Android is een implementatie van de verificatiemethode voor certificaten voor Android-apparaten die worden beheerd door AirWatch.

De mobiele VMware Tunnel-app is op het Android-apparaat geïnstalleerd. De VMware Tunnel-clientwordt geconfigureerd om de VMware Identity Manager-service te benaderen voor verificatie. DeTunnelclient gebruikt het clientcertificaat om een wederzijds geverifieerde SSL-sessie tot stand tebrengen en de VMware Identity Manager-service haalt het clientcertificaat op voor verificatie.

Opmerking Mobiele SSO-verificatie voor Android wordt ondersteund op Android-apparaten 4.4 en later.

Mobiele Single Sign-On zonder VPN-toegangMobiele Single Sign-On-verificatie voor Android-apparaten kan worden geconfigureerd om de Tunnel-server te negeren wanneer geen VPN-toegang nodig is. Om mobiele SSO voor Android-verificatie zondereen VPN te implementeren gebruikt u dezelfde configuratiepagina's als voor het configureren vanVMware Tunnel. Omdat u geen Tunnel-server installeert, hoeft u de hostnaam en de poort van deVMware Tunnel-server niet op te geven. U stelt wel een profiel in met het profielformulier voor VMwareTunnel, maar het verkeer wordt niet naar de Tunnel-server geleid. De Tunnelclient wordt alleen gebruiktvoor Single Sign-On.

In de AirWatch-beheerconsole kunt u de volgende instellingen configureren.

n Het onderdeel Applicatietunnel in de VMware Tunnel. Deze configuratie zorgt ervoor dat Android-apparaten via de VMware Tunnel-client voor mobiele apps toegang hebben tot interne en beheerdeopenbare apps.

n Het Per App Tunnel-profiel. Dit profiel wordt gebruikt om de opties voor tunneling per app in teschakelen voor Android.

n Omdat de Tunnelserver niet wordt geconfigureerd, selecteert u Bypass op de pagina met regels voornetwerkverkeer, zodat geen verkeer naar een Tunnelserver wordt geleid.

VMware, Inc. 40

Mobiele Single Sign-On met VPN-toegangWanneer de app die is geconfigureerd voor Single Sign-On ook wordt gebruikt voor toegang totintranetbronnen achter de firewall, configureert u VPN-toegang en stelt u de Tunnelserver in. WanneerSingle Sign-On wordt geconfigureerd met VPN, kan de Tunnelclient appverkeer en aanmeldaanvragenoptioneel via de Tunnelserver leiden. In plaats van de standaardconfiguratie die in de console voor deTunnelclient wordt gebruikt in de Single Sign-On-modus, moet de configuratie verwijzen naar deTunnelserver.

Om mobiele SSO voor Android-verificatie te implementeren voor door AirWatch beheerde Android-apparaten, moet VMware Tunnel in de AirWatch-beheerconsole worden geconfigureerd en moet deVMware Tunnel-server worden geïnstalleerd voordat u mobiele SSO voor Android configureert in deVMware Identity Manager-beheerconsole. De VMware Tunnel-service biedt VPN per app-toegang totdoor AirWatch beheerde apps. Met VMware Tunnel kunt u ook verkeer via een proxy van een mobieleapp naar VMware Identity Manager leiden voor Single Sign-On.

In de AirWatch-beheerconsole kunt u de volgende instellingen configureren.

n Het onderdeel Applicatietunnel in de VMware Tunnel. Deze configuratie zorgt ervoor dat Android-apparaten via de VMware Tunnel-client voor mobiele apps toegang hebben tot interne en beheerdeopenbare apps.

Nadat de instellingen voor de Tunnel zijn geconfigureerd in de beheerconsole, downloadt u hetinstallatieprogramma van VMware Tunnel en gaat u verder met het installeren van de VMwareTunnel-server.

n Android VPN-profiel. Dit profiel wordt gebruikt om de per-app tunnelingopties voor Android in teschakelen.

n Schakel VPN in voor elke app die de functionaliteit gebruikt van de applicatiestunnel via debeheerconsole.

n Maak regels voor netwerkverkeer met een lijst van alle apps die zijn geconfigureerd voor VPN perapp, de gegevens van de proxyserver en de URL van VMware Identity Manager.

Zie de gids VMware Tunnel op de website AirWatch Resources voor gedetailleerde informatie over hetinstalleren en configureren van VMware Tunnel.


n Single Sign-On voor Android-apparaten configureren in de AirWatch-beheerconsole

n VMware Tunnel VPN-toegangsinstellingen configureren via de AirWatch-beheerconsole

n Per App Tunnelprofiel configureren voor Android

n VPN per app voor Android-apps inschakelen

n Verkeersregels configureren in AirWatch

n Mobiele SSO voor Android configureren in de ingebouwde identiteitsprovider


VMware, Inc. 41

Single Sign-On voor Android-apparaten configureren inde AirWatch-beheerconsoleConfigureer Single Sign-On voor Android-apparaten zodat gebruikers zich veilig kunnen aanmelden bijbedrijfsapps, zonder dat ze hun wachtwoord hoeven in te voeren.

Wanneer u Single Sign-On voor Android-apparaten configureert, hoeft u VMware Tunnel niet teconfigureren, maar u gebruikt wel veel dezelfde velden om Single Sign-On te configureren.

Vereisten

n Android 4.4 of later

n Apps moeten SAML of een andere ondersteunde federatiestandaard ondersteunen

Procedure

1 Navigeer in de AirWatch Beheerdersconsole naar Systeem > Bedrijfsintegratie > VMware Tunnel.

2 Wanneer u VMware Tunnel voor de eerste keer configureert, selecteert u Configureren en volgt u destappen in de configuratiewizard. In andere gevallen selecteert u Overschrijven en schakelt u hetselectievakje VMware Tunnel inschakelen in. Klik vervolgens op Configureren.

3 Schakel op de pagina Configuratietype Per-App Tunnel (alleen Linux) in. Klik op Volgende.

Laat Basic staan als het implementatiemodel.

4 Voer op de pagina Gegevens een willekeurige waarde in in het tekstvak, aangezien dit veld niet isvereist voor de configuratie van Single Sign-On. Klik op Volgende.

5 Configureer op de SSL-pagina het SSL-certificaat van Per-App Tunneling. Selecteer het selectievakjeOpenbaar SSL-certificaat gebruiken om een openbare SSL te gebruiken. Klik op Volgende.

Het basiscertificaat van het Tunnelapparaat wordt automatisch gegenereerd.

Opmerking SAN-certificaten worden niet ondersteund. Controleer of uw certificaat is uitgegevenvoor de betreffende serverhostnaam, of een geldig jokercertificaat is voor het betreffende domein.

6 Selecteer op de pagina Verificatie het type certificaatverificatie dat moet worden gebruikt. Klik opVolgende.

Optie Beschrijving

Standaard Selecteer Standaard om de door AirWatch uitgegeven certificaten te gebruiken.

Enterprise-certificatieautoriteit Er wordt een vervolgkeuzemenu weergegeven met de certificaatautoriteit en hetcertificaatsjabloon dat u in AirWatch hebt geconfigureerd. U kunt ook hetbasiscertificaat van uw certificatieautoriteit uploaden.

Controleer, wanneer u Enterprise-certificatieautoriteit selecteert, of het sjabloon van decertificatieautoriteit de naam van het onderwerp CN=UDID bevat. U kunt de certificaten van decertificatieautoriteit downloaden via de configuratiepagina van VMware Tunnel.

7 Klik op Volgende.


VMware, Inc. 42

8 Op de pagina Profielkoppeling koppelt u een bestaand VPN-profiel voor VMware Tunnel voor Androidof maakt u een nieuw profiel.

Wanneer u in deze stap het profiel aanmaakt, moet u het profiel nog steeds publiceren. Zie Android-profiel in AirWatch configureren.

9 Controleer de samenvatting van uw configuratie en klik op Opslaan.

U wordt doorverwezen naar de configuratiepagina voor de systeeminstellingen.

VMware Tunnel VPN-toegangsinstellingen configurerenvia de AirWatch -beheerconsoleU schakelt het onderdeel Applicatietunnel in de instellingen van VMware Tunnel in om tunneling per appin te stellen voor Android-apparaten. Met tunneling per app staat u uw interne en beheerde openbareapps toe om op individuele basis toegang te krijgen tot uw bedrijfsbronnen.

De VPN kan automatisch een verbinding tot stand brengen wanneer een opgegeven app wordt gestart.

Procedure

1 Navigeer in de AirWatch Beheerdersconsole naar Systeem > Bedrijfsintegratie > VMware Tunnel.

2 Wanneer u VMware Tunnel voor de eerste keer configureert, selecteert u Configuratie en volgt u destappen in de configuratiewizard. Selecteer anders Negeren en vervolgens Inschakelen. Klikvervolgens op Configureren.

3 Schakel op de pagina Configuratietype Per-App Tunnel (alleen Linux) in. Klik op Volgende.

Laat Basic staan als het implementatiemodel.

4 Voer op de pagina Details voor de configuratie van de tunneling per app de hostnaam en de poortvan de VMware Tunnel in. Voer deze bijvoorbeeld in als tunnel.example.com. Klik op Volgende.

5 Configureer op de SSL-pagina het SSL-certificaat van Per-App Tunneling. Selecteer het selectievakjeOpenbaar SSL-certificaat gebruiken om een openbare SSL te gebruiken. Klik op Volgende.

Het basiscertificaat van het Tunnelapparaat wordt automatisch gegenereerd.

Opmerking SAN-certificaten worden niet ondersteund. Controleer of uw certificaat is uitgegevenvoor de betreffende serverhostnaam, of een geldig jokercertificaat is voor het betreffende domein.


VMware, Inc. 43

6 Selecteer op de pagina Verificatie het type certificaatverificatie dat moet worden gebruikt. Klik opVolgende.

Optie Beschrijving

Standaard Selecteer Standaard om de door AirWatch uitgegeven certificaten te gebruiken.

Enterprise-certificatieautoriteit Er wordt een vervolgkeuzemenu weergegeven met de certificaatautoriteit en hetcertificaatsjabloon dat u in AirWatch hebt geconfigureerd. U kunt ook hetbasiscertificaat van uw certificatieautoriteit uploaden.

Controleer, wanneer u Enterprise-certificatieautoriteit selecteert, of het sjabloon van decertificatieautoriteit de naam van het onderwerp CN=UDID bevat. U kunt de certificaten van decertificatieautoriteit downloaden via de configuratiepagina van VMware Tunnel.

Als de compliancecontrole voor apparaten is geconfigureerd voor Android, zorgt u dat de CA-sjabloonde onderwerpnaam CN=UDID bevat of stelt u een SAN-type in om de UDID toe te voegen. Selecteerhet SAN-type DNS. De waarde moet UDID={DeviceUid} zijn.

7 Klik op Volgende.

8 Op de pagina Profielkoppeling koppelt u een bestaand VPN-profiel voor VMware Tunnel voor Androidof maakt u een nieuw profiel.

Wanneer u in deze stap het profiel aanmaakt, moet u het profiel nog steeds publiceren. Zie Android-profiel in AirWatch configureren.

9 (Optioneel) Schakel op de pagina Diversen de toegangslogboeken voor de Per-AppTunnelonderdelen in. Klik op Volgende.

U moet deze logboeken inschakelen voordat u de VMware Tunnel-server installeert.

10 Controleer de samenvatting van uw configuratie en klik op Opslaan.

U wordt doorverwezen naar de configuratiepagina voor de systeeminstellingen.

11 Selecteer het tabblad Algemeen en download de Tunnel virtual appliance.

U kunt VMware Unified Access Gateway gebruiken om de Tunnel-server te implementeren.

Wat nu te doen

Installeer de VMware Tunnel-server. Zie de gids VMware Tunnel op de website AirWatch Resources voorinstructies.

Per App Tunnelprofiel configureren voor AndroidWanneer u het Per App Tunnelonderdeel van VMware Tunnel hebt geconfigureerd en geïnstalleerd, kuntu het VPN-profiel voor Android configureren en een versie aan het profiel toevoegen.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Apparaten > Profielen > Profiel toevoegen enselecteer Android of Android for Work.

2 Configureer de algemene instellingen voor Android als dit nog niet is gebeurd.


VMware, Inc. 44

3 Selecteer in de linkerkolom VPN en klik op Configureren.

4 Vul alle VPN-verbindingsinformatie in.

Optie Beschrijving

Verbindingstype Selecteer VMware Tunnel.

Naam verbinding Voer een naam voor deze verbinding in. Bijvoorbeeld:AndroidSSO Configuratie.

Server De URL van de VMware Tunnelserver wordt automatisch ingevoerd.

Regels VPN per app Selecteer het selectievakje Regels voor VPN per app.

5 Klik op Versie toevoegen.


Wat nu te doen

Schakel VPN per app in voor de Android-apps die toegankelijk zijn via Mobiele SSO voor Android. Zie VPN per app voor Android-apps inschakelen.

Wijs het apparaatprofiel toe aan een slimme groep. Slimme groepen zijn aanpasbare groepen diebepalen voor welke platforms, apparaten en gebruikers toegewezen applicaties, boeken,compliancebeleid, apparaatprofielen of inrichtingen beschikbaar komen. Zie Een AirWatch-apparaatprofiel toewijzen.

VPN per app voor Android-apps inschakelenDe instelling VPN per app-profiel is ingeschakeld voor Android-apps die toegankelijk zijn via de VMwareIdentity Manager Mobiele SSO voor Android.

Vereisten

n De VMware Tunnel is geconfigureerd en het onderdeel per-app tunnel is geïnstalleerd.

n Het Android VPN-profiel is aangemaakt.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Apps en boeken > Applicaties > Lijstweergave.

2 Selecteer het tabblad Intern.

3 Selecteer Applicatie toevoegen en voeg een app toe.

4 Klik op Opslaan en toewijzen.

5 Selecteer op de pagina Toewijzing Toewijzing toevoegen en selecteer in het gedeelte Geavanceerdin het vervolgkeuzemenu VPN per app-profiel het Android VPN-profiel dat u hebt gemaakt.


VMware, Inc. 45


Schakel VPN per app in voor iedere Android-app die toegankelijk is via Mobiele SSO voor Android.Zie de gids VMware AirWatch Mobile Application Management beschikbaar op de website AirWatchResources voor meer informatie over het toevoegen of bewerken van apps.

Wat nu te doen

Maak de netwerkverkeerregels aan. Zie Verkeersregels configureren in AirWatch.

Verkeersregels configureren in AirWatchConfigureer de netwerkverkeersregels zodat de VMware Tunnel-client het verkeer naar de HTTPS-proxyvoor Android-apparaten leidt. U maakt een lijst van de Android-apps die zijn geconfigureerd met de optieVPN per app in de verkeersregels, en vervolgens configureert u het adres van de proxyserver en denaam van de doelhost.

Configureer de verkeersregels voor apparaten om te bepalen hoe apparaten verkeer van specifieketoepassingen verwerken. Verkeersregels voor apparaten dwingen bij de VMware Tunnel-app af dat dezeverkeer via de tunnel verzendt, alle verkeer naar opgegeven domeinen blokkeert, het interne netwerkomzeilt en rechtstreeks naar internet gaat of verkeer naar een HTTPS-proxysite verzendt.

Zie de Gids VMware Tunnel op de website AirWatch Resources voor gedetailleerde informatie over hetaanmaken van netwerkverkeersregels.

Vereisten

n De VMware Tunnel-optie is geconfigureerd met het onderdeel applicatietunnel geïnstalleerd.

n Het Android VPN-profiel is aangemaakt.

n VPN per app is ingeschakeld voor elke Android App die is toegevoegd aan denetwerkverkeersregels.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Systeem > Enterprise-integratie > VMware Tunnel >Netwerkverkeersregels.


VMware, Inc. 46

2 Configureer op het tabblad Verkeersregels voor apparaten de instellingen voor verkeersregels voorapparaten zoals is beschreven in de gids VMware Tunnel. Configureer de volgende instellingenspecifiek voor de configuratie Mobiele SSO voor Android.

a Selecteer de standaardactie.

Optie Beschrijving

Tunnel Selecteer Tunnel als standaardactie voor de VPN-configuratie met Single Sign-On bij Android. Alle apps op hetapparaat geconfigureerd voor VPN per app verzenden netwerkverkeer via de tunnel.

Bypass Selecteer Bypass als standaardactie voor Single Sign-On bij Android.

Belangrijk Met Bypass als standaardactie omzeilen alle apps die zijn geconfigureerd voor VPN per app ophet apparaat de tunnel en maken ze rechtstreeks verbinding met internet. Met deze implementatie wordt ergeen verkeer naar de Tunnel-server verzonden wanneer de Tunnel-client alleen wordt gebruikt voor SingleSign-On.

Selecteer Bypass als standaardactie voor Single Sign-On bij Android met VPN.

Belangrijk Met Bypass als standaardactie omzeilen alle apps die zijn geconfigureerd voor VPNper app op het apparaat de tunnel en maken ze rechtstreeks verbinding met internet. Met dezeimplementatie wordt er geen verkeer naar de Tunnel-server verzonden wanneer de Tunnel-clientalleen wordt gebruikt voor Single Sign-On.

b Voeg in de kolom Applicatie de Android-apps toe die zijn geconfigureerd met het per-app VPN-profiel.

c Selecteer voor tenants die worden gehost in de cloud, Proxy in de kolom Actie en specificeer deinformatie van de HTTPS-proxy. Voer certproxy.vmwareidentity.com:5262 in.

In de kolom Hostnaam bestemming voert u uw bestemmings-VMware Identity Manager-hostnaam in. Voer deze in als <tenant>.vmwareidentitymanager.<regio>. U kunt kiezen uitde adresopties: vmwareidentity.com, vmwareidentity.eu of vmwareidentity.asia. De VMwareTunnel-client leidt het verkeer naar de HTTPS-proxy via de VMware Identity Manager-hostnaam.

d Selecteer bij gebruik op locatie Proxy in de kolom Actie en specificeer de informatie van deHTTPS-proxy. Voer de hostnaam en de poort van de VMware Identity Manager in. Bijvoorbeeld:login.example.com:5262.

Opmerking Wanneer u bij gebruik op locatie wilt zorgen voor een externe toegang tot de hostVMware Identity Manager, moet u poort 5262 van de firewall openen of moet het verkeer vanpoort 5262 via een omgekeerde proxy in de DMZ lopen.

In de kolom Hostnaam bestemming voert u uw bestemmings-VMware Identity Manager-hostnaam in. Bijvoorbeeld: myco.example.com. De VMware Tunnel-client leidt het verkeer naarde HTTPS-proxy via de VMware Identity Manager-hostnaam.


VMware, Inc. 47

3 Klik op Opslaan.

Wat nu te doen

Publiceer deze regels. Wanneer de regels zijn gepubliceerd, ontvangt het apparaat een bijgewerkt VPN-profiel en is de VMware Tunnel-applicatie geconfigureerd voor het inschakelen van SSO.

Ga naar de VMware Identity Manager-beheerconsole en configureer Mobiele SSO voor Android op depagina Ingebouwde identiteitsprovider.

Mobiele SSO voor Android configureren in deingebouwde identiteitsproviderOm Single Sign-On op door AirWatch beheerde Android-apparaten beschikbaar te stellen, configureert uMobiele SSO voor Android-verificatie in de ingebouwde identiteitsprovider van VMware Identity Manager.

Vereisten

n Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten diedoor uw gebruikers worden voorgesteld, heeft ondertekend.

n (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie.

n Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server.

n (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.

Procedure

1 Selecteer in de beheerconsole op het tabblad Identiteits- en toegangsbeheer Beheren >Identiteitsproviders.

2 Klik op de identiteitsprovider met de naam Ingebouwd.


VMware, Inc. 48

3 Controleer of de configuratie van de gebruikers en het netwerk in de ingebouwde identiteitsproviderjuist is.

Bewerk de gedeelten Gebruikers en Netwerk zoals nodig indien dit niet het geval is.

Opmerking Het netwerkbereik dat u gebruikt in de beleidsregel voor Mobiele SSO voor Androidmag alleen de IP-adressen bevatten die worden gebruikt voor het ontvangen van verzoeken van deproxyserver van VMware Tunnel.

4 Klik in het gedeelte Verificatiemethoden op het tandwielpictogram Mobiele SSO (voor Android-apparaten).

5 Configureer de verificatiemethode op de pagina CertProxyAuthAdapter.

Optie Beschrijving

Certificaatadapter inschakelen Selecteer dit selectievakje om Mobiele SSO voor Android in te schakelen.

CA-certificaten op basis- entussenniveau

Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerderebasis-CA-certificaten en tussen-CA-certificaten selecteren. De bestandsindelingkan PEM of DER zijn.

Onderwerp-DN's van CA-certificaatgeüpload

De inhoud van het geüploade certificaatbestand wordt hier weergegeven.

E-mail gebruiken indien certificaatgeen UPN bevat

Als de primaire naam van de gebruiker (User Principal Name, UPN) niet bestaatin het certificaat, selecteert u dit selectievakje om het kenmerk e-mailadres tegebruiken als de extensie van Alternatieve naam voor onderwerp omgebruikersaccounts te valideren.

Certificaatbeleid geaccepteerd Maak een lijst met object-id's die worden geaccepteerd in decertificaatbeleidextensies. Voer het object-id-nummer (object ID number, OID) invoor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen omaanvullende OID's toe te voegen.

Intrekken certificaat inschakelen Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Zowordt voorkomen dat gebruikers waarvan de gebruikerscertificaten zijningetrokken, verificatie kunnen uitvoeren.

CRL van certificaten gebruiken Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocationlist, CRL) te gebruiken die is gepubliceerd door de certificatieautoriteit die decertificaten heeft uitgegeven, om de status van een certificaat (ingetrokken ofniet-ingetrokken) te valideren.

CRL-locatie Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moetworden opgehaald.

Intrekken OCSP inschakelen Schakel dit selectievakje in om het certificaatvalidatieprotocol (Online CertificateStatus Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaatop te halen.

CRL gebruiken bij OCSP-fout Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug tevallen op CRL als de OCSP-controle niet beschikbaar is.

OCSP Nonce verzenden Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag inhet antwoord wordt verzonden.

OCSP-URL Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voorintrekkingscontrole in.

Ondertekeningscertificaat van OCSP-responder

Voer het pad in naar het OCSP-certificaat voor de responder. Voer het inals /path/to/file.cer


VMware, Inc. 49

Optie Beschrijving

Koppeling annuleren inschakelen Als de verificatie te lang duurt en deze link is ingeschakeld, kunnen gebruikers opAnnuleren klikken om de verificatiepoging te stoppen en het aanmelden teannuleren.

Bericht annuleren Maak een aangepast bericht dat wordt weergegeven wanneer de verificatie telang duurt. Wanneer u geen aangepast bericht maakt, is het standaardberichtAttempting to authenticate your credentials.

6 Klik op Opslaan.

7 Klik op Opslaan op de pagina van de ingebouwde identiteitsprovider.

Wat nu te doen

Configureer de standaard toegangsbeleidregel voor de Mobiele SSO voor Android.


VMware, Inc. 50

Directe inschrijving in AirWatchvia Workspace ONE 6Directe inschrijving via Workspace ONE vereist gebruikers om hun toestellen in te schrijven voordat zetoegang krijgen tot bronnen in de Workspace ONE-app.

Als directe inschrijving via de Workspace ONE-app wordt uitgevoerd, kunt u alle gebruikers instructiesgeven om naar de betreffende app store te gaan, Workspace ONE te downloaden, hun e-mailadres in tevoeren en de prompts te volgen om te beginnen met het gebruik van Workspace ONE op hun toestellen.

Ondersteunde toestellenn Apple iOS 9.0 en later

n Android Enterprise (voorheen Android for Work) 4.1 en hoger

n Android Legacy 4.1 en hoger

Een Android Legacy-toestel is elk Android-toestel dat niet geschikt is voor Android Enterprise, of eentoestel dat geschikt is voor Android Enterprise en verbinding maakt met een AirWatch-instantiewaarop Android Enterprise niet is ingeschakeld.


n Workspace ONE voor automatische inschrijving inschakelen

n Gebruikerservaring tijdens directe inschrijving in AirWatch via Workspace ONE

Workspace ONE voor automatische inschrijvinginschakelenU schakelt direct toestelinschrijving via Workspace ONE in via de pagina Inschrijving > Beperking vooruw organisatiegroep (OG) in de AirWatch Beheerdersconsole.

Wanneer Workspace ONE voor directe inschrijving is ingeschakeld, worden geschikte toestellen die zichvoor de eerste keer aanmelden, rechtstreeks ingeschreven. Toestellen die niet in aanmerking komen voordirecte inschrijving, wordt alleen toegang voor mobiel applicatiebeheer verleend in de status WorkspaceONE - geregistreerd.

Procedure

1 Selecteer in de AirWatch Beheerdersconsole de organisatiegroep om directe inschrijving in teschakelen voor Workspace ONE.

VMware, Inc. 51

2 Navigeer naar Groepen en instellingen > Alle instellingen > Toestel en gebruikers > Algemeen >Inschrijving en selecteer het tabblad Beperkingen.

3 Voor de huidige instellingen selecteert u Overschrijven indien nodig.

4 Schuif naar beneden naar de beheervereisten voor Workspace ONE en selecteer deconfiguratieopties.

Instelling Beschrijving

MDM verplichten voorWorkspace ONE

Wanneer deze optie is ingeschakeld, wordt geschikte toestellen en gebruikers gevraagd zichonmiddellijk in te schrijven na aanmelding bij Workspace ONE.

Toegewezengebruikersgroep

Alle gebruikers is de standaardgebruikersgroep. U kunt een bepaalde gebruikersgroepselecteren om deze op te nemen in het proces voor directe inschrijving.

iOS Schakel dit in om iOS-toestellen toe te voegen. iOS-toestellen komen niet in aanmerking voordirecte inschrijving als dit is uitgeschakeld. Als dit is uitgeschakeld, kunnen toestellen nogsteeds in AirWatch worden geregistreerd in een onbeheerde staat.

Android Legacy Schakel dit in om Android Legacy-toestellen toe te voegen. Android Legacy-toestellen komenniet in aanmerking voor directe inschrijving als dit is uitgeschakeld. Als dit is uitgeschakeld,kunnen toestellen nog steeds in AirWatch worden geregistreerd in een onbeheerde staat.

Android Enterprise Schakel dit in om Android Enterprise-toestellen toe te voegen. Android Enterprise-toestellenkomen niet in aanmerking voor directe inschrijving als dit is uitgeschakeld. Als dit isuitgeschakeld, kunnen toestellen nog steeds in AirWatch worden geregistreerd in eenonbeheerde staat.

5 Klik op Opslaan.

6 Ga door met de configuratie van de inschrijvingstabbladen met de inschrijvingsopties die wordenondersteund voor Workspace ONE. Zie Configuratieopties voor directe inschrijving via WorkspaceONE.

Zie het hoofdstuk Device Enrollment (Toestelinschrijving) in de handleiding VMware AirWatch MobileDevice Management Guide voor meer informatie over het configureren van directe inschrijving viaWorkspace ONE.

Configuratieopties voor directe inschrijving via Workspace ONEConfigureer directe inschrijving via Workspace ONE in de AirWatch-beheerconsole. Ga naar Groepen eninstellingen > Alle instellingen > Toestellen en gebruikers/Algemeen/Inschrijving. De tabel metopties voor toestelinschrijving met Workspace ONE bevat de menu-items die kunnen wordengeconfigureerd.

Zie de handleiding VMware AirWatch Mobile Device Management voor gedetailleerde informatie over hetconfigureren van de inschrijving van toestellen.


VMware, Inc. 52

https://resources.air-watch.com/view/chy4qmz7s82wp39823wb

https://resources.air-watch.com/view/chy4qmz7s82wp39823wb

Figuur 6‑1. Pagina Inschrijving van de AirWatch-console

Tabel 6‑1. Configureerbare menu-items voor directe inschrijving met Workspace ONE

Tabblad InschrijvingConfigureerbare menu-items voor directe inschrijving bijWorkspace ONE

Verificatie Directorygebruikers worden ondersteund.

Bovendien worden gebruikers van SAML plus Active Directory directondersteund. Gebruikers van SAML zonder LDAP worden ondersteundals de gebruikersrecord bestaat in AirWatch op het moment van deeerste aanmelding.

Open inschrijving wordt ondersteund.

Gebruiksvoorwaarden Gebruiksvoorwaarden kunnen worden gemaakt als u wilt vereisen datgebruikers de gebruiksvoorwaarden accepteren voordat u doorgaat methet proces voor directe inschrijving.

Groepen Alle menuopties voor groepen zijn compatibel met directe inschrijvingvia Workspace ONE. Raadpleeg het gedeelte Placing Devices in theCorrect Organization Group (Toestellen in de juiste organisatiegroepplaatsen) in Implementatiestrategieën voor het instellen van meerdereAirWatch-organisatiegroepen.

Beperkingen n In Toegangscontrole voor gebruikers kunt u 'Beperk inschrijvingtot bekende gebruikers' en 'Beperk inschrijving tot geconfigureerdegroepen' selecteren.

n Maximale toestellimiet wordt ondersteund.n Beleidsinstelling wordt gedeeltelijk ondersteund.

n Toegestane eigendomstypen. Workspace ONE geeft alleen'Persoonlijk' en 'Bedrijf - individueel' weer.

Opmerking Het type Inschrijving toestaan voor Containerwordt niet ondersteund.

Optionele prompt De twee optionele prompts die kunnen worden ingeschakeld, zijn Vraagnaar eigendomstype voor het toestel en Vragen naartoestelactivanummer inschakelen. De aanvraag om hetactivanummer in te voeren, wordt alleen weergegeven voor heteigendomstype Bedrijfseigen.

Aanpassing Menuopties voor aanpassing worden ondersteund.n Bestemmings-URL na inschrijving (alleen iOS)n MDM-profielbericht (alleen iOS)n Aangepaste MDM-applicaties gebruiken

'Gebruik een specifiek berichtsjabloon voor elk platform' kan wordeningeschakeld, maar specifieke Workspace ONE-berichtsjablonen zijnniet beschikbaar voor Workspace ONE 3.2.


VMware, Inc. 53

Gebruikerservaring tijdens directe inschrijving inAirWatch via Workspace ONEWanneer mobiel toestelbeheer is geïmplementeerd via Workspace ONE, downloaden gebruikers deWorkspace ONE-app, verifiëren ze zich met AirWatch en schrijven ze hun toestel in. Nadat het toestel isingeschreven, kunnen gebruikers Workspace ONE gebruiken om hun bronnen waarvoor rechten zijnverleend, onmiddellijk toe te voegen en te gebruiken.

De gebruikerservaring bij het gebruik van Workspace ONE om hun toestellen in te schrijven isvergelijkbaar voor iOS- en Android Enterprise-toestellen. Android Legacy-inschrijving wordt omgeleidnaar AirWatch Agent voor inschrijving. AirWatch Agent geeft de controle automatisch terug aanWorkspace ONE wanneer de inschrijving is voltooid. Gebruikers hebben toegang tot Workspace ONE inelk van deze variaties.

Directe inschrijving via Workspace ONE op iOS-toestellenVraag gebruikers de Workspace ONE-app vanuit de Apple App Store te downloaden, te installeren en uitte voeren.

Procedure

1 Gebruikers openen de app, voeren hun server-URL en e-mailadres in en verifiëren zich volgens deconfiguratie voor hun omgeving.

2 Het scherm Additional setup is required by your company (Aanvullende instellingen zijn vereistvoor uw bedrijf) wordt weergegeven.

Figuur 6‑2. Kennisgeving van het instellen van toestelinschrijving


VMware, Inc. 54

3 Als gebruiksvoorwaarden zijn geconfigureerd, wordt gebruikers gevraagd de gebruiksvoorwaarden teaccepteren voordat ze doorgaan.

4 Als u de optionele instructies instelt om het type toesteleigendom weer te geven en het activanummervan het toestel aan te vragen, wordt deze informatie weergegeven.

Figuur 6‑3. Selectie van toesteleigendom

5 Safari wordt geopend en gebruikers klikken op Toestaan om de pagina Instellingen te openen.

Figuur 6‑4. Instellingen voor configuratieprofiel toestaan

Workspace Services en het configuratieprofiel worden geconfigureerd op het toestel.

Het toestel is nu ingeschreven in AirWatch en Workspace ONE wordt gestart. Het schermRecommended for You (Aanbevolen voor u) wordt weergegeven.


VMware, Inc. 55

Figuur 6‑5. Scherm Recommended Applications (Aanbevolen applicaties)

6 Gebruikers kunnen de applicaties selecteren die ze willen installeren of ze kunnen deze stap nuoverslaan.

Het toestel wordt voortaan beheerd door AirWatch MDM. Als aanbevolen applicaties zijn geselecteerd omte worden geïnstalleerd, beginnen gebruikers pushberichten te ontvangen voor deze applicaties.

Directe inschrijving via de Workspace ONE op toestellen metAndroid EnterpriseVraag gebruikers de Workspace ONE-app vanuit de Google App Store of de opslagplaats te downloaden,te installeren en uit te voeren.

Procedure

1 Gebruikers voeren hun server-URL en e-mailadres in en verifiëren zich volgens de configuratie voorhun omgeving.


VMware, Inc. 56

2 Het scherm Additional setup is required by your company (Aanvullende instellingen zijn vereistvoor uw bedrijf) wordt weergegeven. De gebruiker klikt op Doorgaan.

Figuur 6‑6. Kennisgeving van het instellen van toestelinschrijving

3 Als gebruiksvoorwaarden zijn geconfigureerd, wordt gebruikers gevraagd de gebruiksvoorwaarden teaccepteren voordat ze doorgaan.

4 Als u de optionele instructies instelt om het type toesteleigendom weer te geven en het activanummervan het toestel aan te vragen, wordt deze informatie weergegeven.

5 Workspace Services en het werkprofiel worden geconfigureerd op het toestel.

Figuur 6‑7. Melding voor werkprofiel instellen

Gebruikers zien een bericht met een beschrijving van de toestelbeheerfunctie met dit werkprofiel enklikken op OK.

De Workspace ONE-app wordt geïnstalleerd en het Android-account wordt geregistreerd.


VMware, Inc. 57

6 Het toestel is nu ingeschreven in AirWatch en Workspace ONE wordt gestart. Het schermRecommended for You (Aanbevolen voor u) wordt weergegeven.


7 Gebruikers kunnen selecteren welke apps ze willen installeren of deze stap nu overslaan.

Het toestel wordt voortaan beheerd door AirWatch MDM. Als aanbevolen applicaties zijn geïnstalleerd omte worden geïnstalleerd, begint de installatie met een Android Enterprise-aktetaspictogram als badge.

Toestelinschrijving voor Android Legacy-apparatenBij toestelinschrijving voor Android Legacy-toestellen wordt u omgeleid naar AirWatch Agent voorinschrijving. AirWatch Agent geeft de controle automatisch terug aan Workspace ONE wanneer deinschrijving is voltooid.

Vraag gebruikers om naar de app store te gaan en Workspace ONE te downloaden.

Procedure

1 Gebruikers openen de app, voeren de server-URL of het e-mailadres in en voeren hungebruikersnaam en wachtwoord in om zich aan te melden.

De Workspace ONE-app kan op dit moment detecteren of het toestel niet is ingeschakeld voorAndroid Enterprise en of het toestel directe inschrijving vereist voordat bronnen op Workspace ONEkunnen worden geopend.


VMware, Inc. 58

2 Het scherm Additional setup is required by your company (Aanvullende instellingen zijn vereistvoor uw bedrijf) wordt weergegeven en wanneer gebruikers op Doorgaan klikken, worden zeomgeleid naar de AirWatch Agent-app in de Google Play Store.

Figuur 6‑9. Downloadaanvraag voor AirWatch Agent-app

3 Gebruikers downloaden de AirWatch Agent-app.

Opmerking Als de AirWatch Agent-app al is geïnstalleerd op het toestel, start Workspace ONEautomatisch de app. Ze worden niet omgeleid naar de app store.

De verificatiegegevens die zijn ingevoerd voor Workspace ONE, worden doorgegeven aan deAirWatch Agent-app, zodat gebruikers deze informatie niet opnieuw hoeven in te voeren.

De AirWatch Agent-app wordt gestart. Tijdens de inschrijving van het toestel met AirWatch Agent,kunnen gebruikers het type eigendom selecteren en het activanummer van het toestel invoeren,indien geconfigureerd.

4 Wanneer Allow Agent to make and manage phone calls (Agent toestaan om telefoongesprekkente voeren en te beheren) wordt weergegeven, klikken gebruikers op Toestaan.

AirWatch Agent valideert de inschrijving, verifieert de gebruiker en verleent rechten aan AirWatch opdit toestel.


VMware, Inc. 59

5 Wanneer het scherm Activate device admin app? (Apparaatbeheerapp activeren?) wordtweergegeven, klikken gebruikers op Activate this device admin app (Deze apparaatbeheerappactiveren).

Figuur 6‑10. Apparaatbeheerapp activeren

6 Gebruikers wordt gevraagd toestemming te verlenen voor toegang tot diverse toestelfuncties.

Het toestel is nu ingeschreven in AirWatch en Workspace ONE wordt gestart. Het schermRecommended applications (Aanbevolen applicaties) wordt weergegeven.


7 Gebruikers kunnen de applicaties selecteren die ze willen installeren of ze kunnen deze stap nuoverslaan.


VMware, Inc. 60

Het toestel wordt voortaan beheerd door AirWatch MDM. Als aanbevolen applicaties zijn geselecteerd omte worden geïnstalleerd, beginnen gebruikers meldingen te ontvangen voor die applicaties.


VMware, Inc. 61

Gebruikmaken van WorkspaceONE om de integratie van hetApple Device EnrollmentProgram te ondersteunen 7Het Apple Device Enrollment Program (DEP) biedt geen ondersteuning voor scenario's waarbij een klantSAML gebruikt voor verificatie van gebruikers. Workspace ONE heeft echter een unieke manier om dezegebruikerssituatie te ondersteunen.

Via voorbereide inrichting van AirWatch-toestellen kunnen beheerders toestellen toewijzen aan ééngebruiker voor de voorbereide inrichting van meerdere toestellen en Workspace ONE toestaan om hettoestel opnieuw toe te wijzen aan de geschikte gebruiker wanneer deze zich aanmeldt bij de WorkspaceONE-app.

De Workspace ONE-app moet op het toestel worden geïnstalleerd als onderdeel van de inschrijving doorde voorbereidende gebruiker. Wanneer gebruikers zich de eerste keer aanmelden bij Workspace ONE,verifieert Workspace ONE de gebruikers via de geconfigureerde SAML-provider. Nadat de gebruiker isgeverifieerd, wordt het eigendom van het toestel gewijzigd van de gebruiker die de voorbereide inrichtingvoor meerdere toestellen uitvoert, in de geverifieerde directorygebruiker.

VereistenDe directorygebruiker moet in AirWatch bestaan wanneer de gebruiker zich bij de Workspace ONE-appaanmeldt. U kunt gebruikers vooraf in bulk laden via CSV of de volgende API toepassen om gebruikers tegenereren op basis van behoefte.

Opmerking De waarde Beveiligingstype moet gelijk zijn aan directory.

https://<API_SERVER_ADDRESS>/api/help/#!/apis/10006?!/User/User_AddUser

Procedure voor Workspace ONE-ondersteuning van DEP-integratieDe volgende taken moeten worden voltooid om ondersteuning van het Apple Device Enrollment Programvia Workspace ONE te implementeren:

n Installeer de Workspace ONE-app op iOS-toestellen.

VMware, Inc. 62

n Zorg ervoor dat de gebruiker voor voorbereide inrichting bestaat met de volgende configuratie voorvoorbereide inrichting.

a Navigeer naar Accounts > Gebruikers > Lijstweergave en selecteer het gebruikersaccountwaarvoor u voorbereide toestelinrichting wilt inschakelen om te worden bewerkt.

b Selecteer het tabblad Geavanceerd op de pagina Gebruiker toevoegen/bewerken. Schuifomlaag naar het gedeelte Voorbereide inrichting en schakel Voorbereide inrichting vantoestellen en Toestellen voor meerdere gebruikers in.

Figuur 7‑1. Toestellen voor meerdere gebruikers instellen in AirWatch

n Wijs het toestel in het Apple DEP-portal toe aan de gebruiker voor voorbereide inrichting in het DEPApple-portaal en lever het toestel aan de eindgebruiker.

Zie de VMware AirWatch Guide for Apple Device Enrollment Program voor meer informatie over hetApple Device Enrollment Program.

Hoe integratie werktWanneer de gebruiker het toestel de eerste keer inschakelt, wordt het toestel ingeschreven entoegewezen aan de gebruiker voor voorbereide inrichting van meerdere toestellen. De gebruiker start deWorkspace ONE-app die beschikbaar is op het startscherm en meldt zich aan. Workspace ONE verifieertde gebruiker via de geconfigureerde SAML-provider.

Nadat de gebruiker is geverifieerd, wordt het eigendom van het toestel gewijzigd van de gebruiker die devoorbereide inrichting voor meerdere toestellen uitvoert, in de geverifieerde directorygebruiker. Apps,profielen en bronnen die zijn toegewezen aan de geverifieerde gebruiker, worden naar het toestelgepusht.


VMware, Inc. 63

https://resources.air-watch.com/view/xtg6zrvtz687jczhv2js/en

Enabling the Out of BoxExperience for Workspace ONEon Dell Windows 10 Devices 8When users receive a new Dell® Windows 10 device with out-of-box (OOBE) provisioning enabled in theAirWatch Windows 10 Provisioning Service, the Workspace ONE application can be configured to openautomatically and deliver applications to the device.

To deliver this OOBE with the Workspace ONE application, you must enable the External Access Tokenauthentication method as part of the AirWatch integration. Then the authentication method is enabled inthe built-in provider and you create an access policy rule to use the External Access Token authenticationmethod.

The Workspace ONE OOBE runs the Workspace ONE application without requiring users to enter theirsign-in credentials a second time. If this authentication method is not enabled, users must sign in toWorkspace ONE in addition to signing in to the device during the Windows registration process.

Note Other services that must be set up for the OOBE in Dell Windows 10 devices include the AirWatchProvisioning Service for Windows 10 and federation to Microsoft Azure Active Directory. See Windows 10Provisioning Service and Windows Desktop Enrollment Overview and Windows in the AirWatch WindowsDesktop Platform Guide for provisioning service configuration details.

This chapter includes the following topics:

n Enable External Access Token in AirWatch

n Activate External Access Token as an Authentication Method

n Associate External Access Token Authentication Method to the Built-in Identity Provider

n Create Access Policy for Workspace ONE Out-of-Box Experience Process

n Workspace ONE for Windows 10 Custom Out-of-Box Branding

Enable External Access Token in AirWatchTo enable the out of box experience for Workspace ONE on Dell Windows 10 devices, you must firstenable the External Access Token authentication method on the AirWatch configuration page.

Procedure

1 In the administration console, Identity & Access Management tab, click Setup > AirWatch.

VMware, Inc. 64

2 In the User External Access Token Authentication through AirWatch section, select Enable.

3 Click Save.

What to do next

Activate the external access token as an authentication method.

Activate External Access Token as an AuthenticationMethodIn VMware Identity Manager, the External Access Token authentication method is unique to the AirWatchintegration and is required for both single sign-on (SSO) and triggering the out-of-box experience (OOBE)in Workspace ONE on Windows 10 devices.

Prerequisites

When using AirWatch External Access Token authentication, the AirWatch Cloud Connector componentof VMware Enterprise Systems Connector must be deployed and configured.

n External Access Token Authentication enabled on the AirWatch page in the Identity & AccessManagement tab.

n Microsoft Azure Active Directory service configured.

n AirWatch Provisioning Service for Windows 10 devices configured.

The configuration of External Access Token is read-only and is based off the AirWatch configuration inVMware Identity Manager. The exception is the token lifetime field.

Procedure

1 To review and manage the configuration, in the Identity & Access Management tab, selectAuthentication Methods.

2 In the Airwatch External Access Token Configure column, click the pencil icon.

3 Review the configuration.

Option Description

Enable AirWatch External AccessToken

This check box is enabled on the AirWatch page.

AirWatch Admin Console URL Pre-populated with the AirWatch URL.

AirWatch API Key Pre-populated with the AirWatch Admin API key.

Certificate Used for Authentication Pre-populated with the AirWatch Cloud Connector certificate.


VMware, Inc. 65

Option Description

Password for Certificate Pre-populated with the password for the AirWatch Cloud Connector certificate.

AirWatch External Access TokenLifetime in Seconds

The access token is used to validate the authentication with VMware IdentityManager. Access tokens have a limited lifetime. The time configured is themaximum time that the access token is valid. The token life is editable anddefaulted to 600 seconds, which is 10 minutes.

If the access token expires, users are prompted to authenticate again in theWorkspace ONE application.

4 Click Save.

What to do next

Associate the AirWatch External Access Token authentication method in the built-in identity provider. See Ingebouwde identiteitsproviders configureren

After the AirWatch External Access Token is associated to the built-in identity provider, create an accesspolicy rule to use this auth method. See Create Access Policy for Workspace ONE Out-of-Box ExperienceProcess.

Associate External Access Token Authentication Methodto the Built-in Identity ProviderWhen External Access Token is configured as an authentication method, the authentication method isavailable in the built-in identity provider. You must associate this authentication method with a userdirectory in the built-in identity provider.

Prerequisites

External Access Token enabled in the AirWatch configuration page.

External Access Token activated as an authentication method.

Procedure

1 In the Identity & Access Management tab, go to Manage > Identity Providers.

2 Click the Built-in from the list view.

Option Description

Users The configured directories are listed. Select the users directories to use theexternal access token authentication method.

Network The existing network ranges configured in the service are listed. Select thenetwork ranges for the users based on the IP addresses that you want to direct tothis identity provider instance for authentication.

Authentication Methods The authentication methods that are configured on the service are displayed.Select the AirWatch External Access Token check box.

3 Click Save.


VMware, Inc. 66

What to do next

Configure the default access policy rule to list the External Access Token authentication method as thelast fallback method in the rule. See Create Access Policy for Workspace ONE Out-of-Box ExperienceProcess.

Go to the Catalog Settings page to create a custom branded welcome page and message for users whosign in to Workspace ONE as part of the Windows 10 out-of-box experience. See Workspace ONE forWindows 10 Custom Out-of-Box Branding.

Create Access Policy for Workspace ONE Out-of-BoxExperience ProcessTo establish the Workspace ONE out-of-box experience (OOBE) after the External Access Token isenabled and added to the built-in identity provider, you must add the External Access Tokenauthentication method to the default access policy set.

Procedure

1 In the administration console Identity & Access Management > Manage page, select Policies.

2 Select default_access_policy_set, click Edit, and then click Configuration.

3 Select the row that lists the Workspace ONE App in the Device Type column.

If the Workspace ONE App rule is not listed, click Add Policy Rule.

4 Select the authentication methods to use to access content from the Workspace ONE application.

List the External Access Token authentication method as the last fallback method in the rule. Whenthe External Access Token is detected in the authentication request, the authentication method ishonored. Any other authentication methods listed after the External Access Token are not detected.

5 Click Next to review the configuration.

6 Click Save.

Figure 8‑1. Access Policy Rule with External Access Token Authentication


VMware, Inc. 67

7 On the Configuration page, review the order of the rules in the rules list. If the Workspace ONE apprule is not the first rule in the default access policy list, drag the rule to be the first row in the list.

Workspace ONE App must be the first rule in the default access policy rules list.

8 Click Next.

9 Review the Summary page and click Save.

Workspace ONE for Windows 10 Custom Out-of-BoxBrandingWhen the Windows 10 Provisioning Service by VMware AirWatch is used for new Windows 10 deviceprovisioning, custom branding and a welcome message can be set up in the Workspace ONE application.

As users power on their new computers and sign in with their credentials for the first time, the AirWatchprovisioning agent ensures that the Workspace ONE application is available. Workspace ONE islaunched after Windows is fully prepared. Users see a custom welcome message with the company'sbranding before the Workspace ONE application catalog opens. During this time, if Show recommendedapps in Bookmarks tab is enabled in the Catalog > Settings >User Portal Configuration page,recommended applications are downloaded by Workspace ONE.

Note See the Windows Desktop Platform Guide for information about the Windows 10 provisioningservice by AirWatch.

Procedure

1 In the administration console Catalogs tab, select Settings > User Portal Branding.

2 In the Desktop Out-of-Box-Experience section, edit the settings to customize the Workspace ONEregistration pages.

Form Item Description

Welcome Screen Logo Add a logo to be centered at the top of the Welcome screen.

The maximum size of the image is 250 x 250 px. The format is PNG.

Welcome ScreenBackground Color

The color that displays for the background of the Start and Welcome screens.

Enter a six-digit hexadecimal color code over the existing one to change the background color.The preview screen is updated with the new color.

Welcome Screen NextButton Color

Enter a six-digit hexadecimal color code to change the background color for the Next button thatdisplays on the Welcome screen.

Welcome Screen FontColor

Enter a six-digit hexadecimal color code to change the font color for the Next button.

Welcome Message Create a welcome message about using Workspace ONE that displays on the Welcome page.

3 Click Save.


VMware, Inc. 68

De mobiele VMwareWorkspace ONE -applicatieimplementeren 9Wanneer de VMware Workspace ONE-app op mobiele apparaten is geïnstalleerd, hebben gebruikerstoegang tot de bronnen waarvoor u de toegang voor deze gebruikers hebt geautoriseerd.

Wanneer u de identiteit van de gebruikers beheert met VMware Identity Manager, kunnen ze de huntoegewezen applicaties openen via Single Sign-On. Daarnaast hebben ze toegang tot een app-cataloguswaaraan ze ook andere applicaties kunnen toevoegen.

De interface van de Workspace ONE-app biedt een gelijksoortige ervaring en opties op elke smartphone,tablet of desktop.

Wanneer het apparaat is aangemeld bij Mobile Device Management (MDM) kunt u de Workspace ONE-app pushen als een openbare applicatie.

Dit hoofdstuk omvat de volgende onderwerpen:n Apparaatbeheeropties van AirWatch voor openbare en interne apps voor Workspace ONE

n Toegang tot applicaties beheren

n Gebruiksvoorwaarden vereisen voor toegang tot de Workspace ONE-catalogus

n De Workspace ONE-applicatie ophalen en distribueren

n E-maildomeinen registreren voor automatische detectie

n Sessieverificatie instellen

n Implementatiestrategieën voor het instellen van meerdere AirWatch-organisatiegroepen

Apparaatbeheeropties van AirWatch voor openbare eninterne apps voor Workspace ONEU kunt bepalen hoe openbare en interne apps worden geïmplementeerd op basis vanapparaatbeheerstatus. Applicaties die een open toegang hebben, kunnen op elk apparaat wordengeopend. Applicaties die een beheerde toegang hebben, kunnen alleen worden gebruikt op apparatenmet de juiste machtigingen, die verleend zijn via Workspace-services of agentregistraties.

In deze tabel ziet u de mogelijkheden voor zowel beheerde als onbeheerde scenario's.

VMware, Inc. 69

Toegangstype Onderdelen Beschrijving Voorgesteld gebruik

Open toegang(onbeheerd)

n Selfservice app-catalogusvoor Web-, Horizon- enCitrix-bronnen

n Web/virtueel starten metSingle Sign-On (SSO)

n Touch ID / PIN alstoepassingsbeveiliging

n Apparaten metjailbreakdetectie

n Ondersteuning voorvoorwaardelijke toegangvan VMware IdentityManager, inclusiefverificatiebeleid enblokkeerinrichting.

n Toegang tot systeemeigenapplicaties.

n Distributie van interne appsen SDK-apps.

Gebruikers kunnen de bronnen ophun apparaat gebruiken zonder datze beheerders toegangsrechten tothun apparaat hoeven te verlenen.

Applicaties met open toegangkunnen ongeacht hun beheerdestatus op elk apparaat wordengebruikt. Beheerders kunnensysteemeigen applicaties met eenopen toegang niet systematischverwijderen.

n Geef eindgebruikers direct na deaanmelding toegang tot de applicatiezonder verhoogdebeveiligingsmachtigingen.

n Aanbevelen dat de applicatie wordtgebruikt zonder dat deze moetworden geïnstalleerd. Gebruikerskunnen de applicatie op elk gewenstmoment op hun apparaat installeren.

n Applicaties bevatten geen gevoeligebedrijfsgegevens en hebben geentoegang tot beveiligdebedrijfsbronnen.

n Distributie van applicaties aanondersteunend personeel zonderAirWatch MDM-profiel.

Beheerdetoegang

n Selfservice app-catalogusvoor Web-, Horizon- enCitrix-bronnen

n Web/virtueel starten metSingle Sign-On (SSO)

n Touch ID / PIN alstoepassingsbeveiliging

n Apparaten metjailbreakdetectie

n Ondersteuning voorvoorwaardelijke toegangvan VMware IdentityManager, inclusiefverificatiebeleid enblokkeerinrichting.

n Beheerde en directeinstallatie van systeemeigenapps

n Beheer van interne apps enSDK-apps

n Ondersteuning voor app-configuratie

n VPN per appn SSO-aanmelding met één

druk voor systeemeigenapps met SAML

n Apparaatprofielenn AirWatch-compliance-

engine

Gebruikers installeren eenbeheerprofiel op hun apparaat ombeheerders toegang tot hetapparaat te geven.

Applicaties met beheerde toegangzijn beschikbaar op apparaten diedoor AirWatch worden beheerd.

Als het apparaat niet doorAirWatch wordt beheerd, vraagtWorkspace ONE de gebruiker hetapparaat te registreren bijAirWatch. Als het apparaat isgeregistreerd, kan de gebruiker hetapparaat gebruiken om deapplicatie via Workspace ONE teopenen.

n Verwijderen van gevoeligebedrijfsgegevens van de apparatenwanneer gebruikers niet meer bij deorganisatie werken of het apparaatkwijt zijn.

n Verplicht stellen van tunneling perapp om verificatie en een veiligecommunicatie met interne back-endbronnen mogelijk te makenwanneer applicaties toegang hebbentot het intranet.

n Single Sign-On inschakelen voor deapplicaties.

n De acceptatie door gebruikers eninstallatiestatus van de applicatiesvolgen.

n De applicatie automatischimplementeren na de registratie.


VMware, Inc. 70

Zie de gids AirWatch Mobile Application Management voor informatie over de plek waar u opties voor debeheerde toegang van interne applicaties kunt instellen en het toevoegen van openbare apps die wordengeïmplementeerd via Workspace ONE.

Ondersteunde platforms voor open en beheerde toegangConfigureer het toegangstype voor interne en openbare applicaties op basis van het platform.

Beheerde toegang Open toegang

INTERNE APPLICATIES

Android X X

iOS X X

Windows 10 Desktop X -

Windows 10 Phone X -

OPENBARE APPLICATIES

Android X X

iOS X X

Windows 10 Desktop - X

Windows 10 Phone - X

Toegang tot applicaties beherenEen afzonderlijke gebruiker kan gerechtigd zijn om een combinatie van open en beheerde toegang tekrijgen tot systeemeigen apps. Door een adaptief beheer toe te passen, kunnen eindgebruikersapplicaties met open toegang zonder beheer gebruiken. Wanneer een gebruiker een systeemeigen appaanvraagt die moet worden beheerd, biedt adaptief beheer de vereiste extra beveiliging en controle omdie systeemeigen app te beheren.

Wanneer applicaties worden beheerd, moeten gebruikers Workspace-services inschakelen om debeheerde applicaties te installeren en te gebruiken. Wanneer u een applicatie uploadt in de AirWatch-beheerconsole, heeft deze, afhankelijk van de configuratie van die applicatie, een toegangsstatus vanopen of beheerd. Als u bijvoorbeeld de optie App-configuratie verzenden inschakelt, is beheer voor dieapplicatie vereist.

Applicaties waarvoor beheer vereist is, worden aangeduid met een sterpictogram wanneer deze in eenonbeheerde staat in de catalogus worden bekeken. Gebruikers moeten ervoor kiezen om Workspace-services in te schakelen via het proces voor adaptief beheer om de applicatie te kunnen gebruiken.Wanneer gebruikers een applicatie met een sterpictogram proberen te downloaden, krijgen ze eenmelding te zien waarin ze worden gevraagd Workspace-services in te schakelen. Gebruikers kunnen opde koppeling voor een privacyverklaring klikken om de gevolgen voor de geheimhouding van hunpersoonlijke informatie te bekijken voordat zij de keuze hebben om door te gaan met het proces adaptiefbeheer. Via de privacyverklaring worden automatisch instellingen opgehaald uit de AirWatch-omgeving


VMware, Inc. 71

waarvoor zij zich willen registreren. Gebruikers kunnen na het lezen van de informatie over de privacy-instellingen doorgaan met het inschakelen van Workspace-services, of teruggaan en de applicatieWorkspace ONE onbeheerd op hun apparaat blijven gebruiken. Wanneer gebruikers Workspace-servicesinschakelen, verdwijnt het sterpictogram voor alle beheerde applicaties.

Toegang tot beheerde apparaten verwijderenMet de optie Account verwijderen kunnen gebruikers de Workspace ONE-app op hun beheerde apparaatuitschakelen. Door de account te verwijderen wordt het apparaat op bedrijfsniveau gewist en wordt debedrijfstoegang opgeheven. Vervolgens krijgt de gebruiker het aanmeldingsscherm te zien. Beheerderskunnen Workspace ONE-services uitschakelen door een wisopdracht op bedrijfsniveau uit te voerenvanuit de AirWatch-beheerconsole.

Als de actie Account verwijderen wordt uitgevoerd op beheerde apparaten, wordt de verleende toegangtot de Workspace ONE-applicatie opgeheven en het apparaat uitgeschreven uit AirWatch. Apps diemoeten worden beheerd, worden van het apparaat verwijderd en de toegang tot AirWatch-productiviteitsapps zoals Boxer, Browser en Content Locker wordt ingetrokken.

Gebruiksvoorwaarden vereisen voor toegang tot deWorkspace ONE-catalogusU kunt de gebruiksvoorwaarden van uw bedrijf voor Workspace ONE schrijven en ervoor zorgen dateindgebruikers deze gebruiksvoorwaarden accepteren voordat ze Workspace ONE gebruiken.

De gebruiksvoorwaarden worden weergegeven nadat de gebruiker zich heeft aangemeld bij WorkspaceONE. Gebruikers moeten de gebruiksvoorwaarden accepteren voordat ze kunnen doorgaan naar hunWorkspace ONE-catalogus.

De functie Gebruiksvoorwaarden biedt de volgende configuratieopties.

n Versies van bestaande gebruiksvoorwaarden maken.

n Gebruiksvoorwaarden bewerken.

n Meerdere gebruiksvoorwaarden maken die kunnen worden weergegeven op basis van hetapparaattype.

n Taalspecifieke exemplaren van de gebruiksvoorwaarden maken.

Het gebruiksvoorwaardenbeleid dat u instelt, wordt weergegeven op het tabblad Identiteits- entoegangsbeheer. U kunt het gebruiksvoorwaardenbeleid bewerken om correcties aan te brengen in hetbestaande beleid of om een nieuwe versie van het beleid te maken. Als u een nieuwe versie van degebruiksvoorwaarden toevoegt, worden de bestaande gebruiksvoorwaarden vervangen. Als u een beleidbewerkt, wordt niet automatisch een nieuwe versie van de gebruiksvoorwaarden gemaakt.

U kunt bekijken hoeveel gebruikers de gebruiksvoorwaarden hebben geaccepteerd of geweigerd op depagina met de gebruiksvoorwaarden. Klik op het aantal acceptaties of weigeringen om een lijst metgebruikers en hun status weer te geven.


VMware, Inc. 72

Gebruiksvoorwaarden instellen en inschakelenOp de pagina Gebruiksvoorwaarden voegt u het gebruiksvoorwaardenbeleid toe en configureert u degebruiksparameters. Nadat de gebruiksvoorwaarden zijn toegevoegd, schakelt u de optieGebruiksvoorwaarden in. Wanneer gebruikers zich aanmelden bij Workspace ONE, moeten ze degebruiksvoorwaarden accepteren om toegang te krijgen tot hun catalogus.

Vereisten

De tekst van het gebruiksvoorwaardenbeleid in HTML-indeling die u kunt kopiëren en plakken in hettekstvak Inhoud van gebruiksvoorwaarden. U kunt gebruiksvoorwaarden toevoegen in het Engels, Duits,Spaans, Frans, Italiaans en Nederlands.

Procedure

1 Selecteer Instellen > Gebruiksvoorwaarden op het tabblad Identiteits- en toegangsbeheer van debeheerconsole.

2 Klik op Gebruiksvoorwaarden toevoegen.

3 Voer een beschrijvende naam in voor de gebruiksvoorwaarden.

4 Selecteer Elke, als de gebruiksvoorwaarden voor alle gebruikers gelden. Als u gebruiksvoorwaardenper apparaattype wilt gebruiken, selecteert u Geselecteerde apparaatplatforms en selecteert u deapparaattypen waarop dit gebruiksvoorwaardenbeleid moet worden weergegeven.

5 De taal waarin de gebruiksvoorwaarden eerst worden weergegeven, wordt standaard bepaald doorde ingestelde taalvoorkeur in de browser. Voer de inhoud van de gebruiksvoorwaarden voor destandaardtaal in het tekstvak in.

6 Klik op Opslaan.

Als u gebruiksvoorwaardenbeleid in een andere taal wilt toevoegen, klikt u op Taal toevoegen enselecteert u een andere taal. Het tekstvak Inhoud van gebruiksvoorwaarden wordt vernieuwd en ukunt de tekst invoeren in het tekstvak.

U kunt de naam van de taal slepen om de volgorde te bepalen waarin de gebruiksvoorwaardenworden weergegeven.

7 Klik op Gebruiksvoorwaarden inschakelen op de geopende pagina om de gebruiksvoorwaardentoe te passen.

Wat nu te doen

Als u een specifiek apparaattype hebt geselecteerd voor de gebruiksvoorwaarden, kunt u extragebruiksvoorwaarden maken voor andere apparaattypen.

Acceptatiestatus van gebruikersvoorwaarden bekijkenBij het gebruiksvoorwaardenbeleid op de pagina Identiteits- en toegangsbeheer > Gebruiksvoorwaardenwordt aangegeven hoeveel gebruikers het beleid hebben geaccepteerd en geweigerd.


VMware, Inc. 73

Procedure

1 Selecteer Instellen > Gebruiksvoorwaarden op het tabblad Identiteits- en toegangsbeheer van debeheerconsole.

2 Klik in de kolom Geaccepteerd/Geweigerd op het aantal acceptaties links of het aantal weigeringenrechts.

Vervolgens wordt een statuspagina geopend met de betreffende actie (geaccepteerd of geweigerd),samen met de gebruikersnaam, de apparaat-ID, de versie van het weergegeven beleid, het gebruikteplatform en de datum.

3 Klik op Annuleren om de weergave te sluiten.

De Workspace ONE -applicatie ophalen en distribuerenGebruikers kunnen de VMware Workspace ONE-app downloaden vanaf de App Store op hun apparaat ofbeheerders kunnen AirWatch zodanig configureren dat de Workspace ONE-app als openbare applicatienaar apparaten wordt gepusht.

U implementeert de Workspace ONE-app via de AirWatch-beheerconsole voor specifieke groepen engebruikers binnen uw organisatie. Nadat gebruikers zich hebben aangemeld bij de Workspace ONE-appop hun apparaten, hebben ze toegang tot web- en SaaS-apps waarvoor zij rechten hebben.

Vervolgens moet u de mobiele Workspace ONE-app als openbare applicatie pushen via de AirWatch-beheerconsole. U kunt ook de wizard Aan de slag met Workspace ONE gebruiken om de applicatie tepushen.

Opmerking Voor gedetailleerde informatie over het configureren van beheerde applicaties in AirWatchraadpleegt u de VMware AirWatch Mobile Application Management (MAM) Guide, beschikbaar via debronnenportal op https://resources.air-watch.com.

Vereisten

Als u van plan bent om de mobiele Workspace ONE-app via de AirWatch-beheerconsole te pushen, moetu Slimme groepen of eindgebruikers die rechten hebben voor de applicatie voorbereiden.

Procedure

1 Navigeer in de AirWatch-beheerconsole naar Apps en boeken > Applicaties > Lijstweergave >Openbaar en selecteer Applicatie toevoegen.

2 Selecteer het platform (iOS, Android of Windows).

3 Selecteer Zoeken in App Store en voer in het tekstvak Naam Workspace ONE in als trefwoord omVMware Workspace ONE in de App Store te vinden.

4 Kies Volgende en gebruik Selecteren om de Workspace ONE-app te uploaden via de paginaResultaten App Store.


VMware, Inc. 74

5 Configureer de toewijzings- en implementatieopties voor Workspace ONE-gebruikers in de volgendetabbladinstellingen.

Tabblad Beschrijving

Informatie Hier kunt u informatie over ondersteunde apparaatmodellen, ratings encategorieën invoeren en weergeven.

Toewijzing Wijs de mobiele Workspace ONE-app toe aan slimme groepen of eindgebruikersdie de applicatie op hun apparaat kunnen gebruiken.

Implementatie Configureer functies voor beschikbaarheid en geavanceerde EMM-functies(zakelijk mobiliteitsbeheer), indien van toepassing.

Als u beheerde applicaties automatisch wilt configureren, moet uApplicatieconfiguratie verzenden inschakelen en de ACE-sleutelwaardeparen(zakelijke appconfiguratie) invoeren. Zie AirWatch-applicatie configureren voorsleutelwaardeparen voor Enterprise.

Gebruiksvoorwaarden (Optioneel) Schakel Gebruiksvoorwaarden in als voorwaarde voor het gebruikvan de Workspace ONE-applicatie.

6 Selecteer Opslaan en publiceren om de applicatie beschikbaar te maken voor gebruikers.

Voltooi deze stappen voor elk ondersteunde platform.

AirWatch-applicatie configureren voor sleutelwaardeparen voorEnterpriseWanneer u de Workspace ONE-app als beheerde app in AirWatch implementeert en uToepassingsconfiguraties voor verzenden inschakelt wanneer u de Workspace ONE-app vanaf deAirWatch-console pusht, kunt u vooraf de instellingen voor Workspace ONE configureren die wordentoegepast wanneer gebruikers de Workspace ONE-app installeren en starten.

Wanneer de Workspace ONE-app als beheerde mobiele app wordt geüpload naar de AirWatch-beheerconsole, kunt u de VMware Workspace ONE Server-URL, de apparaat-UID-waarde en devereisten voor certificaatverificatie op Android-apparaten configureren.


VMware, Inc. 75

Tabel 9‑1. Met Workspace One beheerde configuratieopties voor apparaten in de AirWatch-beheerconsole

Platform Configuratiesleutel Waardetype Configuratiewaarde Uitleg

Alles AppServiceHost String <VMware WorkspaceONE Server URL>

Configureert de server-URL voor VMwareWorkspace ONE opapparaten.

iOS deviceUDID String {ApparaatUid} Voerde UID-waarde van hetapparaat in.

Gebruik de functieZoekwaarde invoegenniet.

Traceert de apparatendie worden gebruikt omte verifiëren naar deVMware IdentityManager-omgeving.

iOS SkipDiscoveryScre

en

Booleaans Waar U kunt deconfiguratiesleutelSkipDiscoveryScreenconfigureren vanafversie 3.1 van deWorkspace ONE-applicatie.

Als u deze sleutel insteltop Waar, probeertWorkspace ONE hetscherm met een e-mailadres/server-URLover te slaan. Als u dezesleutel gebruikt incombinatie met deconfiguratiesleutelAppServiceHost,worden de gebruikersdirect doorgeleid naarhet verificatiescherm. Alsu tevens gebruikmaaktvan mobiele SSO,kunnen beheerderseindgebruikers op hunwenken bedienendoordat ze hunWorkspace ONE-appdirect kunnen ladenwanneer ze WorkspaceONE starten.

E-maildomeinen registreren voor automatische detectieU kunt uw e-maildomein registreren in de automatische detectieservice, zodat eindgebruikersgemakkelijker toegang krijgen tot hun app-portal via de Workspace ONE-app. Eindgebruikers voeren inplaats van de URL van de organisatie hun e-mailadres in.


VMware, Inc. 76

Wanneer het e-maildomein van de organisatie is geregistreerd voor automatische detectie, hoeveneindgebruikers op de aanmeldingspagina alleen hun e-mailadres in te voeren voor toegang tot hun app-portal. Ze voeren bijvoorbeeld [email protected] in.

Wanneer automatische detectie niet wordt gebruikt, moeten eindgebruikers, wanneer zij de WorkspaceONE-app voor het eerst openen, de volledige URL van de organisatie invoeren. Ze voeren bijvoorbeeldmyco.vmwareidentity.com in.

Automatische detectie in VMware Identity Manager instellenAls u een domein registreert, voert u uw e-maildomein en e-mailadres in op de pagina Automatischedetectie van de beheerconsole voor Identity Manager.

Er wordt een e-mailbericht met een activeringstoken naar uw e-mailadres in het domein verzonden. Als ude domeinregistratie activeert, voert u de token in op de pagina Automatische detectie en verifieert u ofhet domein dat u hebt geregistreerd uw domein is.

Opmerking Als u automatische detectie wilt instellen voor VMware Identity Manager-implementaties oplocatie, moet u zich aanmelden bij de beheerconsole als lokale beheerder. Geef de AirWatch-id en hetwachtwoord op dat u op de AirWatch-website hebt gemaakt, https://secure.air-watch.com/register.

Procedure

1 Klik in de beheerconsole, in tabblad Identiteits- en toegangsbeheer op Instellen > Automatischedetectie.

2 (Alleen implementaties op locatie). Configureer de AirWatch-URL voor automatische detectie.

Optie Beschrijving

URL voor automatischedetectie

Geef de URL op als: https://discovery.awmdm.com.

AirWatch-id Geef het e-mailadres op waarmee u zich hebt geregistreerd bij AirWatch om u aan te meldenop de website.

Wachtwoord Geef het wachtwoord op dat aan het AirWatch-account is gekoppeld.

3 Voer in het tekstvak E-maildomein het e-maildomein van uw organisatie in om dit te registreren.

4 Voer in het tekstvak E-mailadres voor bevestiging een e-mailadres binnen dat e-maildomein in omde verificatietoken te ontvangen.

5 Klik op OK.

De status van deze e-maildomeinregistratie wordt als In behandeling gemarkeerd. U kunt slechts ééne-maildomein per keer in behandeling nemen.

6 Navigeer naar de e-mail en kopieer de activeringstoken in het bericht.

7 Ga terug naar de pagina Identiteits- en toegangsbeheer > Automatische detectie en plak detoken in het tekstvak Activeringstoken

8 Klik op Verifiëren om het domein te registreren.


VMware, Inc. 77

Het e-maildomein wordt geregistreerd en toegevoegd aan de lijst met geregistreerde e-maildomeinen opde pagina Automatische detectie.

Eindgebruikers kunnen nu hun e-mailadres in de Workspace ONE-app invoeren voor toegang tot hunapp-portal.

Wat nu te doen

Als u meer dan één e-maildomein hebt, voegt u nog een e-maildomein toe om te registreren.

Sessieverificatie instellenDe VMware Identity Manager-service omvat een standaardtoegangsbeleid waarmee degebruikerstoegang tot VMware Identity Manager-bronnen wordt bepaald.

De lengte van de verificatiesessie die u in de beleidsregels hebt geconfigureerd, bepaalt de maximale tijddie gebruikers na hun laatste verificatiegebeurtenis hebben om de startpagina van hun apps te openen ofom een specifieke webapplicatie te starten. De standaardwaarde is acht uur. Nadat gebruikers zijngeverifieerd, hebben ze acht uur om een webapplicatie te starten, tenzij ze een andereverificatiegebeurtenis initiëren zodat ze meer tijd hebben.

U kunt het standaardbeleid bewerken om de sessielengte te wijzigen via de VMware Identity Manager-beheerconsole, via het tabblad Identiteits- en toegangsbeheer > Beleidsregels. Raadpleeg het hoofdstukToegangsbeleid beheren in de VMware Identity Manager-beheerhandleiding.

Compliancecontrole inschakelen voor door AirWatch beheerdeapparatenWanneer gebruikers hun apparaten registreren, worden regelmatig voorbeelden verzonden metgegevens die worden gebruikt om de compliance te evalueren. De evaluatie van dezevoorbeeldgegevens zorgen ervoor dat het apparaat voldoet aan de complianceregels die door debeheerder zijn ingesteld in de AirWatch-console. Als een apparaat niet meer aan de compliance voldoet,worden de acties uitgevoerd die in de AirWatch-console zijn geconfigureerd.

De VMware Identity Manager-service bevat een optie voor toegangsbeleid die kan wordengeconfigureerd om de AirWatch-server te controleren op de status van de apparaatcompliance wanneergebruikers zich via het apparaat aanmelden. De compliancecontrole zorgt ervoor dat gebruikers zich nietkunnen aanmelden bij een applicatie en geen Single Sign-On in de Workspace ONE-portal kunnengebruiken wanneer de compliancestatus van het apparaat niet in orde is. Wanneer het apparaat weer aancompliance voldoet, wordt de mogelijkheid om zich aan te melden weer hersteld.

De applicatie Workspace ONE meldt zich automatisch af en blokkeert de toegang tot de applicatieswanneer het apparaat wordt gehackt. Als het apparaat is geregistreerd via adaptief beheer, verwijdert eenwisopdracht op bedrijfsniveau die wordt gegeven via de AirWatch-console, de registratie en de beheerdeapplicaties van het apparaat. Niet beheerde applicaties worden niet verwijderd.

Zie de gids VMware AirWatch Mobile Device Management die beschikbaar is op de website AirWatchResources voor meer informatie over het compliancebeleid van AirWatch.


VMware, Inc. 78

Implementatiestrategieën voor het instellen van meerdereAirWatch -organisatiegroepenAirWatch maakt gebruik van organisatiegroepen (OG) om gebruikers te identificeren en rechten teverlenen. Wanneer AirWatch is geïntegreerd met VMware Identity Manager, worden de REST API-sleutels voor beheerders en geregistreerde gebruikers geconfigureerd in een AirWatch-organisatiegroepCustomer (klant).

Wanneer een gebruiker zich via een apparaat aanmeldt bij Workspace ONE, wordt inVMware Identity Manager een apparaatregistratiegebeurtenis geactiveerd. Er wordt een aanvraag naarAirWatch verzonden om alle applicaties waarop die combinatie van gebruiker en apparaat recht heeft, opte halen. Met deze aanvraag via de REST API wordt de gebruiker in AirWatch opgezocht en het apparaatin de bijbehorende organisatiegroep geplaatst.

Voor het beheer van organisatiegroepen kunt u twee opties configureren in VMware Identity Manager.

n U kunt de automatische detectie van AirWatch inschakelen.

n U kunt AirWatch-organisatiegroepen toewijzen aan domeinen in de VMware Identity Manager-service.

Als u geen van beide opties instelt, probeert Workspace ONE de gebruiker te zoeken in deorganisatiegroep waar de REST API-sleutel is gemaakt. Dat is de groep Customer.

Automatische detectie van AirWatch gebruikenStel een automatische detectie in wanneer voor de onderliggende groep van de organisatiegroepCustomer een afzonderlijke directory is geconfigureerd, of wanneer er onder de groep Customermeerdere directory's met unieke e-maildomeinen zijn geconfigureerd.

Figuur 9‑1. Voorbeeld 1

In voorbeeld 1 is automatische detectie ingesteld voor de registratie van het e-maildomein van deorganisatie. Gebruikers hoeven alleen hun e-mailadres in te voeren op de aanmeldingspagina vanWorkspace ONE.

Gebruikers uit het domein NorthAmerica die zich aanmelden bij Workspace ONE, moeten in dat gevalhun volledige e-mailadres opgeven in de notatie [email protected]. Vervolgens wordt het domeinopgezocht en gecontroleerd of de gebruiker bestaat of kan worden aangemaakt in een directory in deorganisatiegroep NorthAmerica. Het apparaat kan worden geregistreerd.


VMware, Inc. 79

Toewijzing van AirWatch -organisatiegroepen aan VMwareIdentity Manager-domeinen gebruikenU kunt VMware Identity Manager instellen op het toewijzen van AirWatch-organisatiegroepen wanneer ermeerdere directory's met hetzelfde e-maildomein zijn geconfigureerd. U schakelt Domeinen toewijzenaan meerdere organisatiegroepen in op de AirWatch-configuratiepagina van deVMware Identity Manager-beheerconsole.

Als u de optie Domeinen toewijzen aan meerdere organisatiegroepen inschakelt, kunt u de domeinen diezijn geconfigureerd in VMware Identity Manager toewijzen aan AirWatch-organisatiegroep-id's. Hiervoor istevens de REST API-beheersleutel vereist.

In voorbeeld 2 zijn twee domeinen aan verschillende organisatiegroepen toegewezen. Er is een RESTAPI-beheersleutel vereist. U kunt dezelfde REST API-beheersleutel gebruiken voor beideorganisatiegroep-id's.


Configureer op de AirWatch-configuratiepagina van de VMware Identity Manager-beheerconsole eenspecifieke AirWatch-organisatiegroep-id voor elk domein.

Figuur 9‑3. Voorbeeld 2 Configuratie van organisatiegroepen

Wanneer gebruikers zich in deze configuratie met hun apparaat aanmelden bij Workspace ONE, wordteen aanvraag voor een apparaatregistratie verstuurd waarmee gebruikers uit Domain3 worden opgezochtin de organisatiegroep Europe en gebruikers uit Domain4 in de organisatiegroep AsiaPacific.

In voorbeeld 3 is één domein toegewezen aan verschillende AirWatch-organisatiegroepen. Beidedirectory's hebben hetzelfde e-maildomein. Het domein verwijst naar dezelfde AirWatch-organisatiegroep.


VMware, Inc. 80


Wanneer gebruikers zich in deze configuratie aanmelden bij Workspace ONE, verschijnt een meldingwaarin ze wordt gevraagd bij welke groep ze zich willen registreren. In dit voorbeeld hebben degebruikers de keuze uit de groepen Engineering en Accounting.

Figuur 9‑5. Organisatiegroepen waarin directory's hetzelfde domein delen

Apparaten in de juiste organisatiegroep plaatsenWanneer een gebruikersrecord wordt gevonden, wordt het apparaat toegevoegd aan de bijbehorendeorganisatiegroep. De registratie-instelling Toewijzingsmodus groeps-id van AirWatch bepaalt in welkeorganisatiegroep het apparaat wordt geplaatst. Deze instelling vindt u op de pagina Systeeminstellingen >Apparaat en gebruikers > Algemeen > Registratie > Groeperen.

Figuur 9‑6. AirWatch-groepregistratie voor apparaten

In voorbeeld 4 behoren alle gebruikers tot de organisatiegroep Corporate.


VMware, Inc. 81


De plaatsing van apparaten is afhankelijk van de toewijzingsmodus met groeps-id's die is ingesteld voorde organisatiegroep Corporate.

n Als de standaardtoewijzing is ingesteld, wordt het apparaat in dezelfde groep geplaatst als degebruiker. In voorbeeld 4 wordt het apparaat in de groep Corporate geplaatst.

n Als u 'Gebruiker vragen om groeps-id te selecteren' hebt gekozen, wordt gebruikers gevraagd degroep te selecteren waarin ze hun apparaat willen registreren. In voorbeeld 4 krijgen gebruikers daneen vervolgkeuzemenu met de opties Engineering en Accounting te zien in de Workspace ONE-app.

n Als u 'Automatisch selecteren op basis van gebruikersgroep' hebt gekozen, bepalen degebruikersgroep en de bijbehorende toewijzing in de AirWatch-beheerconsole of de apparaten in degroep Engineering dan wel de groep Accounting worden geplaatst.

Een verborgen groep gebruikenWanneer gebruikers in voorbeeld 4 moeten aangeven bij welke organisatiegroep ze zich willenregistreren, kunnen ze ook een groeps-id opgeven die niet wordt weergegeven in de lijst van deWorkspace ONE-app. Dit wordt een verborgen groep genoemd.

In voorbeeld 5 zijn onder de organisatiegroep Corporate de groepen North America en Betaondergebracht.


In voorbeeld 5 moeten gebruikers hun e-mailadres opgeven in Workspace ONE. Na de verificatie krijgenze een lijst te zien waarin ze kunnen kiezen uit Engineering en Accounting. De groep Beta wordt niet alsoptie weergegeven. Als gebruikers de bijbehorende id van deze organisatiegroep kennen, kunnen ze diehandmatig invoeren in het tekstvak groepsselectie en hun apparaat zo registreren bij de groep Beta.


VMware, Inc. 82

Werken in de Workspace ONE -portal 10Wanneer de Workspace ONE-app op apparaten is geïnstalleerd, kunnen gebruikers zich aanmelden bijWorkspace ONE voor veilige toegang tot een catalogus of applicaties die door uw organisatie voor henzijn ingeschakeld. Wanneer de applicatie is geconfigureerd met single sign-on, hoeven gebruikers nietsteeds hun aanmeldgegevens in te voeren wanneer ze de app starten.

De Workspace ONE-gebruikersinterface werkt vrijwel hetzelfde op telefoons, tablets en desktops. Op decataloguspagina van Workspace ONE worden bronnen weergegeven die naar Workspace ONE zijngepusht. Gebruikers kunnen tikken of klikken om applicaties te zoeken, toe te voegen, als favoriet toe tevoegen en bij te werken. Ze kunnen rechtsklikken op een app om deze uit de pagina met favorieten teverwijderen en naar de cataloguspagina te gaan om beschikbare bronnen toe te voegen.

Dit hoofdstuk omvat de volgende onderwerpen:n Wachtwoordcodes instellen voor de Workspace ONE-app

n Werken met applicaties in Workspace ONE

n Systeemeigen applicaties toevoegen

n VMware Verify gebruiken voor gebruikersverificatie

n Meldingen sturen naar Workspace ONE-gebruikers

n Werken met Workspace ONE voor Android-apparaten

Wachtwoordcodes instellen voor de Workspace ONE -appGebruikers moeten de functie voor vergrendeling van de wachtwoordcode op hun apparaten hebbeningeschakeld. Als deze functie niet is ingeschakeld, wordt gebruikers gevraagd een wachtwoordcode temaken zodra ze de Workspace ONE-app voor het eerst starten. Deze wachtwoordcode moet wordeningevoerd wanneer gebruikers Workspace ONE vanaf hun apparaat openen.

VMware, Inc. 83

Als de wachtwoordcodefunctie niet wordt gebruikt, wordt gebruikers gevraagd een wachtwoordcode in testellen voordat ze toegang kunnen krijgen tot de Workspace ONE-app. Waar de wachtwoordcode wordtingesteld, hangt af van het platform. Voor Android-apparaten wordt de wachtwoordcode ingesteld opappniveau. Voor iOS-apparaten en Windows-desktopapparaten wordt de wachtwoordcode ingesteld opapparaatniveau.

Opmerking iOS- en Android-apparaten ondersteunen ook de Touch ID-functionaliteit voor detectie vanvingerafdrukken.

Workspace ONE kan mogelijke beveiligingsproblemen op apparaten detecteren. Als gebruikers dewachtwoordcode op het apparaat uitschakelen en ze daarna de Workspace ONE-app weer openen,wordt hen gevraagd een wachtwoordcode in te stellen voordat ze toegang krijgen tot Workspace ONE.

Werken met applicaties in Workspace ONEDe Workspace ONE-gebruikersportal bestaat uit de tabbladen Catalogus en Bladwijzers. Wanneergebruikers zich voor de eerste keer aanmelden bij hun Workspace ONE-portal, verschijnt een lege paginaBladwijzers.

Na de eerste aanmelding, krijgen gebruikers bij elk volgend bezoek standaard het laatst weergegeventabblad te zien. Als gebruikers in het vervolg liever willen starten vanuit het tabblad Catalogus, kunnen zedesgewenst de catalogusweergave instellen.

Figuur 10‑1. Eerste weergave van de pagina Bladwijzers

Vanuit de catalogus kunnen gebruikers mobiele, virtuele en webapplicaties waarvoor ze rechten hebben,openen en installeren. Om een bladwijzer aan de applicatie toe te voegen, kunnen ze het lintpictogramselecteren. U kunt bronnen indelen in logische categorieën om het voor gebruikers gemakkelijker temaken de benodigde bron te vinden in de werkruimte van hun Workspace ONE-portal.

Opmerking Er zijn vanuit een desktopbrowser geen mobiele applicaties beschikbaar.


VMware, Inc. 84

Figuur 10‑2. De pagina Catalogus in Workspace ONE

De gebruiker kan zijn webapplicaties als volgt starten.

n Vanuit het tabblad Bladwijzers. Klik op het applicatiepictogram om de applicatie te starten.

n Vanuit het tabblad Catalogus. Klik op het vakje met het pijlpictogram om de applicatie te openen.

n Vanuit Spotlight zoeken of een zoekactie uitvoeren in Workspace ONE. Selecteer op het iOS-apparaat het applicatiepictogram uit de lijst van Spotlight zoeken. Klik in het Workspace ONE-zoekresultaat op het vakje met het pijlpictogram om de applicatie te openen.

Klik op het applicatiepictogram in het iOS-springboard om een systeemeigen applicatie te starten.

Gebruikers kunnen op de vervolgkeuzepijl naast hun naam klikken om de Workspace ONE-instellingenweer te geven.

n Account. De profielgegevens van de gebruiker, inclusief naam, gebruikersnaam en e-mailadres.

n Apparaten. De lijst met apparaten die zich hebben aangemeld bij de Workspace ONE-applicatie,inclusief de laatste aanmeldingsdatum en -tijd.

n App-tips. Tips voor het navigeren door Workspace ONE met behulp van het apparaat van degebruiker.

n Info. Copyright-, patent- en licentiegegevens voor Workspace ONE.

n Voorkeuren. De standaard opstartinstelling voor het openen van externe Horizon-applicaties, waarbijde applicatie wordt weergegeven in de Horizon Client of een browser.

Om zich aan te melden bij de applicatieportal, tikt de gebruiker op het pictogram van de Workspace ONE-app op zijn apparaat. Als er applicaties met een bladwijzer zijn, wordt de pagina Bladwijzersweergegeven. Er zijn voor de Workspace ONE-applicatie op het apparaat koppelingen beschikbaar voortechnische ondersteuning en instellingen.


VMware, Inc. 85

Figuur 10‑3. Weergave van Workspace ONE-portal op een apparaat

n De pagina Ondersteuning bevat een koppeling naar Apparaten en Rapport verzenden. Op de paginaApparaten is te zien wanneer de gebruiker zich voor het laatst heeft aangemeld met het apparaat.Met de optie Rapport verzenden kan de gebruiker u diagnostische gegevens en andere feedbacksturen. Gebruikers kunnen deze functie in- of uitschakelen in de instellingen van hun apparaat.

n De pagina Instellingen toont de versie van de Workspace ONE-app en het privacybeleid van VMwareWorkspace. Als gebruikers zich willen afmelden voor de Workspace ONE-applicatie kunnen ze deaccount op de pagina Instellingen verwijderen.

Zoeken in Workspace ONEGebruikers kunnen zoekopdrachten uitvoeren in Workspace ONE om applicaties op naam of op categoriete zoeken.

Wanneer een gebruiker in het zoekvak typt, worden applicaties die overeenkomen met de invoer,weergegeven.


VMware, Inc. 86

Figuur 10‑4. Zoekactie met resultaten

Gebruikers kunnen vanuit de zoekresultaten een web-app starten of een systeemeigen app downloaden.

Op iOS-apparaten kunnen gebruikers Spotlight gebruiken om applicaties op de Workspace ONE-portal tezoeken. Gebruikers kunnen het zoekveld Spotlight in het startscherm van het iOS-apparaat weergevendoor met hun vingertop omlaag te swipen. Als ze de naam van de app in hun Workspace ONE-portalinvoeren, wordt Workspace ONE geopend en de applicatie gestart.

Gebruikers van iOS-apparaten helpen om problemen te meldenOp iOS-apparaten kan de functie Rage shake worden gebruikt om logboeken te verzenden naarontwikkelaars van iOS-apps.

Wanneer gebruikers met hun apparaat schudden, wordt de huidige status van het apparaat in eenlogboek opgeslagen en standaard een e-mail met details naar de ontwikkelaars van de Workspace ONE-applicatie verzonden. Als gebruikers de gegevens naar een ander mailadres willen sturen, kunnen ze hete-mailadres handmatig wijzigen.

Gebruikers kunnen de functie Feedback bij schudden inschakelen op de pagina Instellingen > Workspacevan hun apparaat. Gebruikers kunnen met Rage shake vanuit elk scherm in de Workspace ONE-portaleen rapport verzenden.


VMware, Inc. 87

Figuur 10‑5. De functie Feedback bij schudden

Wanneer op een iOS-apparaat een foutmelding verschijnt van de volgende strekking dit apparaat isgeregistreerd door een andere gebruiker of andere omgeving, kunt u de optie App handmatigresetten gebruiken om alle lokaal opgeslagen app-gegevens op het apparaat te wissen.

Systeemeigen applicaties toevoegenSysteemeigen applicaties zijn programma's die zijn ontwikkeld voor een specifiek mobiel apparaat.Gebruikers kunnen de systeemeigen applicaties met AirWatch-rechten bekijken via de cataloguspaginaWorkspace ONE. Wanneer bijvoorbeeld een gebruiker de catalogus bekijkt op een iOS-apparaat, wordenalleen de iOS-applicaties waarvoor de gebruiker rechten heeft, weergegeven.

Gebruikers tikken op Installeren op de pagina Catalogus om de app op hun apparaat te installeren.Wanneer op Installeren wordt getikt, wordt een pop-up weergegeven om de gebruikers te informeren overde volgende stap. De weergegeven informatie wordt gebaseerd op het type app en het platform. Voorapplicaties met een pictogram van een slotje moet het apparaat worden beheerd door AirWatch. Wanneereen eindgebruiker een app met een pictogram van een slotje probeert te downloaden, wordt de volgendemelding weergegeven: Installation of this app requires enablement of WorkspaceServices.

VMware Verify gebruiken voor gebruikersverificatieWanneer u de VMware Verify-service inschakelt als tweede verificatiemethode voor tweeledige verificatiebij de aanmelding bij Workspace ONE vanaf een apparaat, moeten gebruikers de app VMware Verify uitde App Store downloaden op hun apparaat.

Wanneer gebruikers zich voor de eerste keer aanmelden bij de Workspace ONE-applicatie, moeten zehun gebruikersnaam en wachtwoord invoeren. Wanneer de gebruikersnaam en het wachtwoord wordengeverifieerd, worden gebruikers gevraagd het telefoonnummer van hun apparaat in te voeren om zich inte schrijven bij de VMware Verify-service.


VMware, Inc. 88

Wanneer ze op Registreren klikken, wordt het telefoonnummer van het apparaat geregistreerd met deVMware Verify-service. Als ze de app VMware Verify nog niet hebben gedownload, worden ze verzochtdat alsnog te doen.

Wanneer de applicatie is geïnstalleerd, worden gebruikers gevraagd om hetzelfde telefoonnummer in tevoeren dat eerder is ingevoerd, en een meldingsmethode te selecteren om een eenmalige registratiecodete ontvangen. De registratiecode wordt ingevoerd op de pagina voor de registratiepincode.

Nadat het telefoonnummer van het apparaat is geregistreerd, kunnen gebruikers een Time-Based One-Time-wachtwoordcode gebruiken die in de VMware Verify-applicatie wordt weergegeven, om zich aan temelden bij Workspace ONE. De wachtwoordcode is een uniek nummer dat wordt gegenereerd op hetapparaat en dat voortdurend verandert.

Gebruikers kunnen meer dan één apparaat registreren. De VMware Verify-wachtwoordcode wordtautomatisch gesynchroniseerd naar elk van de geregistreerde apparaten.

Meldingen sturen naar Workspace ONE -gebruikersBeheerders kunnen Workspace ONE-gebruikers op de hoogte houden van aanstaandeonbeschikbaarheid van het systeem of de nalevingsstatus, acties aanvragen of waarschuwingen sturen.Een melding kan worden verstuurd via de AirWatch-beheerconsole. Kan worden weergegeven alsapparaatmelding of melding in de app.

Werken met Workspace ONE voor Android-apparatenU kunt de volgende typen applicaties inschakelen via de applicatie Android Workspace ONE.

n Webapplicaties

n Externe applicaties die worden ingeschakeld in de VMware Identity Manager-service. Bijvoorbeeldvirtuele Horizon-applicaties, Citrix XenApp en ThinApp.

n Systeemeigen applicaties, zowel beheerd als onbeheerd. Systeemeigen applicaties zijn Android-appsdie zijn ontwikkeld voor een Android-platform. Er zijn twee typen applicaties beschikbaar.

n Openbare apps die worden verspreid via de Google Play Store.

n Interne apps die particulier worden verspreid via AirWatch en niet beschikbaar zijn in de GooglePlay Store.

Webapplicaties worden in een browser geopend. Om toegang te krijgen tot virtuele applicatieskunnen gebruikers VMware Horizon Client of Citrix Receiver gebruiken.

Workspace ONE registrerenGebruikers die zich via een geldige server-URL en met behulp van geldige verificatiegegevensaanmelden bij Workspace ONE krijgen toegang tot de uniforme catalogus van Workspace ONE. In dezeuniforme catalogus kunnen ze alle applicaties bekijken die aan hen zijn toegewezen.


VMware, Inc. 89

Om toegang te krijgen tot deze applicaties moeten de gebruikers Workspace ONE registreren. AlsWorkspace ONE is geregistreerd, kunnen gebruikers werken met web- en virtuele applicaties die wordeningeschakeld via VMware Identity Manager, AirWatch-productiviteitsapps en onbeheerde SDK-apps.

Opmerking SDK-apps bevinden zich in een container en worden beheerd via de AirWatch SDKwaardoor er geen apparaatbeheer nodig is.

Gebruikers kunnen een adaptief beheer in gang zetten om Android for Work op het apparaat in teschakelen en het te voorzien van profielen, beleidsregels en betere app-distributie.

Android for Work beheren met Workspace ONEAls u Android for Work op apparaten inschakelt, worden persoonlijke en zakelijke gegevens van elkaargescheiden op het niveau van het besturingssysteem. Android for Work maakt een helder onderscheidtussen zakelijke en persoonlijke apps. Android for Work geeft de zakelijke apps een afzonderlijkeAndroid-badge.

Figuur 10‑6. De content van Android for Work

De beheerders bepalen voor welke applicaties in de catalogus apparaatbeheer is vereist om de apptoegankelijk te maken. De applicaties in de catalogus waarvoor beheer is vereist worden aangeduid meteen speciaal stersymbool naast de downloadknop.

Wanneer gebruikers een van deze applicaties proberen te downloaden, krijgen ze de melding dat hunapparaat voor die applicatie moet worden beheerd. Er verschijnt een scherm waarin de functies envoordelen van apparaatbeheer worden beschreven.


VMware, Inc. 90

Figuur 10‑7. Introductiepagina van Workspace-services

Wanneer gebruikers toestemming geven voor het inschakelen van Android for Work-beheer, worden zedoor het installatieproces van het beheer geleid. Zodra het apparaatbeheer actief is, wordt de Android forWork-container op het apparaat gemaakt.


VMware, Inc. 91

De Workspace ONE -catalogusgebruiken 11Wanneer AirWatch en VMware Identity Manager zijn geïntegreerd, is de Workspace ONE-app-catalogusde opslagplaats voor alle bronnen waarvoor u gebruikers rechten kunt verlenen. Gebruikers kunnen dedoor u beheerde bedrijfsapplicaties in de Workspace ONE-catalogus openen op basis van de instellingendie u voor die applicatie hebt vastgelegd.

De catalogus kan cloud-, mobiele en Windows-applicaties bevatten. Systeemeigen applicaties die internzijn ontwikkeld of openbaar beschikbaar zijn in app stores, kunnen op de Workspace ONE-portalbeschikbaar worden gemaakt voor uw eindgebruikers.

Op de pagina Workspace ONE-catalogus kunt u de volgende taken uitvoeren:

n Nieuwe bronnen toevoegen aan uw catalogus

n De bronnen bekijken waarvoor u op dat moment gebruikers rechten kunt verlenen

n Informatie openen over elke bron in uw catalogus

U kunt via de cataloguspagina's rechtstreeks bepaalde webapplicaties toevoegen aan uw catalogus. Voorandere brontypen moet u actie buiten de beheerconsole ondernemen. Zie de handleiding Bronneninstellen in VMware Identity Manager voor het instellen van bronnen.

Bronnen in de catalogusVoordat u uw gebruikers rechten kunt verlenen voor een specifieke bron, moet u uw catalogus met diebron vullen. De methode die u gebruikt om uw catalogus met een bron te vullen, hangt af van welk typebron wordt gebruikt.

De typen bronnen die u in uw catalogus voor rechten en distributie naar gebruikers kunt definiëren, zijnwebapplicaties, Windows-applicaties die als VMware ThinApp-pakketten zijn vastgelegd, Horizon Client-desktoppools en virtuele Horizon-applicaties of op Citrix gebaseerde applicaties.

Als u pools van Horizon Client-desktops en -applicaties, gepubliceerde Citrix-bronnen of applicaties ineen ThinApp-pakket wilt integreren en inschakelen, gebruikt u het menu Bureaubladtoepassingenbeheren op het tabblad Catalogus.

Zie Bronnen instellen in VMware Identity Manager voor informatie, vereisten, installatie en configuratievan deze bronnen.

VMware, Inc. 92

Webapplicaties toevoegen aan de catalogus van uw organisatieU kunt webapplicaties van uw organisatie toevoegen aan uw catalogus en deze applicaties toegankelijkmaken voor uw gebruikers en groepen.

U vult uw catalogus met webapplicaties rechtstreeks op de pagina Catalogus van de beheerconsole.Wanneer u op een webapplicatie klikt die op de pagina Catalogus wordt weergegeven, wordt informatieover die applicatie weergegeven. Vanaf de weergegeven pagina kunt u de webapplicatie configureren,bijvoorbeeld door de van applicatie zijnde SAML-kenmerken op te geven voor de configuratie van singlesign-on tussen VMware Identity Manager en de beoogde webapplicatie. Wanneer de webapplicatie wordtgeconfigureerd, kunt u op dat moment gebruikers en groepen rechten verlenen voor die webapplicatie.

Wanneer u een vermelding voor een webapplicatie toevoegt aan de catalogus, maakt u eenapplicatierapport en configureert u het adres van de webapplicatie. De VMware Identity Manager-servicegebruikt de applicatierecord als een sjabloon om een veilige verbinding te maken met de webapplicatie.

De volgende methoden kunnen worden gebruikt om de applicatierecords van webapplicaties toe tevoegen aan uw catalogus vanuit het tabblad Catalogus.

Methode Beschrijving

Uit de catalogus metcloudapplicaties

Webapplicatietypes van populaire bedrijven worden in de catalogus met cloudapplicaties vermeld.Deze federatieve applicaties zijn deels geconfigureerd. U moet de rest van hetapplicatierecordformulier invullen.

Een nieuweapplicatierecord maken

U kunt webapplicaties toevoegen die niet zijn vermeld in de catalogus van de cloudapplicatie. Niet-federatieve applicaties worden gemaakt als nieuwe applicaties. De applicatierecords voor dezewebapplicaties zijn algemener dan die van de applicaties in de catalogus met cloudapplicaties. Uopent de beschrijving en configuratiegegevens van de applicatie om de applicatierecord te maken.

Importeer een ZIP- ofJAR-bestand

U kunt een webapplicatie importeren die u eerder in de service hebt geconfigureerd. Misschien wilt udeze methode gebruiken om een implementatie van inrichting naar productie te verplaatsen. In eendergelijke situatie exporteert u een webapplicatie uit de inrichting als een ZIP-bestand. Vervolgensimporteert u het ZIP-bestand naar de productie-implementatie.

Nadat u webapplicaties hebt toegevoegd aan de catalogus, kunt u rechten, toegangsbeleid, licenties enprovisioning-gegevens configureren.

Bronnen in categorieën indelenU kunt bronnen indelen in logische categorieën om het voor gebruikers gemakkelijker te maken debenodigde bron te vinden in de werkruimte van hun Workspace ONE-portal.

Wanneer u categorieën maakt, overweegt u de structuur van uw organisatie, de taakfunctie van debronnen en het type bron. U kunt meerdere categorieën aan een bron toewijzen. U kunt bijvoorbeeld eencategorie met de naam Verkoopmedewerker en een andere categorie met de naam Personeleverkoopmiddelen maken. Wijs Verkoopmedewerker toe aan alle verkoopmiddelen in uw catalogus. Enwijs Personele verkoopmiddelen toe aan de specifieke verkoopmiddelen die alleen metverkoopmedewerkers worden gedeeld.


VMware, Inc. 93

Wanneer u een categorie hebt aangemaakt, kunt u die categorie toepassen op een willekeurige bron inde catalogus. U kunt meerdere categorieën toepassen op dezelfde bron.

Als gebruikers zich aanmelden bij de Workspace ONE-portal, krijgen ze de categorieën te zien die ubeschikbaar hebt gesteld voor hun weergave.

Raadpleeg het hoofdstuk Catalogus beheren in de VMware Identity Manager-beheerhandleiding.


VMware, Inc. 94

Aangepaste merkvermeldingvoor services vanVMware Identity Manager 12U kunt de logo's, lettertypen en de achtergrond aanpassen die worden weergegeven in debeheerconsole, de aanmeldschermen voor gebruikers en beheerders, de webweergave van de portal metWorkspace ONE-applicaties en de webweergave van de Workspace ONE-apps op mobiele apparaten.

U kunt het hulpprogramma voor aanpassing gebruiken om het uiterlijk en de uitstraling van uwbedrijfskleuren, -logo's en -ontwerp af te stemmen.

Dit hoofdstuk omvat de volgende onderwerpen:n Aangepaste merkinformatie voor de service van VMware Identity Manager

n Aangepaste merkinformatie voor het gebruikersportal

Aangepaste merkinformatie voor de service vanVMware Identity ManagerU kunt uw bedrijfsnaam, productnaam en favicon toevoegen aan de adresbalk voor de beheerconsole ende gebruikersportal. U kunt ook de aanmeldingspagina aanpassen om achtergrondkleuren in te stellendie overeenkomen met de kleuren en het logo-ontwerp van uw bedrijf.

Procedure

1 Selecteer Installatie > Aangepaste merkinformatie op het tabblad Identiteits- en toegangsbeheervan de beheerconsole.

2 Bewerk de volgende instellingen op het formulier naar wens.

Formulierveld Beschrijving

Tabblad Namen en logo's

Bedrijfsnaam Bedrijfsnaam kan worden gebruikt voor desktops en voor mobiele apparaten. U kunt uwbedrijfsnaam toevoegen zodat deze als titel wordt weergegeven op het tabblad van de browser.

Voer een nieuwe bedrijfsnaam in over de bestaande bedrijfsnaam om de naam te wijzigen.

Productnaam Productnaam kan worden gebruikt voor desktops en voor mobiele apparaten. De productnaamwordt na de bedrijfsnaam weergegeven op het tabblad van de browser.

VMware, Inc. 95

Formulierveld Beschrijving

Favicon Een favicon is een pictogram dat bij een URL hoort die wordt weergegeven in de adresbalk van debrowser.

De afbeelding van de favicon mag maximaal 16 x 16 px groot zijn. De indeling kan JPEG, PNG,GIF of ICO zijn.

Klik op Uploaden om een nieuwe afbeelding te uploaden om de huidige favicon te vervangen. Uwordt verzocht om de wijziging te bevestigen. De wijziging wordt direct doorgevoerd.

Tabblad Aanmeldingsscherm

Logo Klik op Uploaden om een nieuw logo te uploaden om het huidige logo op de aanmeldschermen tevervangen. De wijziging wordt direct doorgevoerd wanneer u op Bevestigen klikt.

Het aanbevolen maximale formaat van de afbeelding is 350 x 100 px. Wanneer u afbeeldingenuploadt die groter zijn dan 350 x 100 px, wordt de afbeelding aangepast zodat de grootte 350 x100 px is. De indeling kan JPEG, PNG of GIF zijn.

Achtergrondkleur De kleur die wordt weergegeven voor de achtergrond van het aanmeldscherm.

Voer de hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode omachtergrondkleur te wijzigen.

Achtergrondkleur vakje De vakkleur van het aanmeldscherm kan worden aangepast.

Voer de hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode.

Achtergrondkleuraanmeldingsknop

De kleur van de aanmeldingsknop kan worden aangepast.


Tekstkleuraanmeldingsknop

De kleur van de tekst die op de aanmeldingsknop wordt weergegeven kan worden aangepast.


Wanneer u het aanmeldscherm aanpast, kunt u via het voorbeeldvenster eerst uw wijzigingenbekijken voordat u deze opslaat.

3 Klik op Opslaan.

Wanneer u op Opslaan klikt, worden updates van aangepaste merkinformatie in de beheerconsole en opaanmeldingspagina's binnen vijf minuten doorgevoerd.

Wat nu te doen

Controleer hoe de gewijzigde merkvermelding wordt weergegeven in de verschillende interfaces.

Werk de weergave bij van de Workspace ONE-portal voor de eindgebruiker en de weergave op mobieleapparaten en tablets. Zie Aangepaste merkinformatie voor het gebruikersportal.

Aangepaste merkinformatie voor het gebruikersportalU kunt een logo toevoegen, de achtergrondkleuren wijzigen en afbeeldingen toevoegen om deWorkspace ONE-portal aan te passen.

Procedure

1 Selecteer Instellingen > Merkvermelding in gebruikersportal op het tabblad Catalogi in debeheerconsole.


VMware, Inc. 96

2 Bewerk de instellingen op het formulier naar wens.

Formulieritem Beschrijving

Logo Voeg een impressumlogo toe dat als banner gaat dienen aan de bovenzijde van debeheerconsole en op de webpagina's van de Workspace ONE-portal.

De afbeelding mag maximaal 220 x 40 px groot zijn. De indeling kan JPEG, PNG of GIF zijn.

Portal

Achtergrondkleur voorimpressum

Voer een hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode om deachtergrondkleur van het impressum te wijzigen. De achtergrondkleur in het voorbeeldscherm vande toepassingen-portal wijzigt wanneer u een nieuwe kleurcode invoert.

Tekstkleur voorimpressum

Voer een hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode om de tekstkleurin het impressum te wijzigen.

Achtergrondkleur De kleur die wordt weergegeven voor de achtergrond van het scherm Webportal.

Voer een nieuwe hexadecimale kleurcode van zes cijfers in om de bestaande achtergrondkleur tewijzigen in de nieuwe achtergrondkleur. De achtergrondkleur in het voorbeeldscherm van detoepassingen-portal wijzigt wanneer u een nieuwe kleurcode invoert.

Selecteer Achtergrondmarkering om de achtergrondkleur te accentueren. WanneerAchtergrondmarkering is ingeschakeld, geven browsers die meerdere achtergrondafbeeldingenondersteunen, de overlay weer in de starten cataloguspagina's.

Selecteer Achtergrondpatroon om het kant-en-klare driehoekpatroon in de achtergrondkleur in testellen.

Achtergrondkleurpictogram

Voer een hexadecimale kleurcode van zes cijfers in om de achtergrondkleur van het vak rond detoepassingspictogrammen te wijzigen.

Ondoorzichtigheid vanpictogramachtergrond

Als u transparantie wilt instellen, verplaatst u de schuifknop op de balk.

Kleur van naam enpictogram

U kunt de tekstkleur selecteren voor namen die worden weergegeven onder de pictogrammen opde app-portalpagina's.

Voer een hexadecimale kleurcode in over de bestaande kleurcode om de kleur van de lettertypente wijzigen.

Lettereffect Selecteer het lettertype dat moet worden gebruikt voor de tekst op de schermen van deWorkspace ONE-portal.

Achtergrondmarkering Indien ingeschakeld, wordt de achtergrondoverlay op de pagina's Bladwijzers en Catalogusweergegeven voor browsers die meerdere achtergrondafbeeldingen ondersteunen.

Achtergrondpatroon Indien ingeschakeld, worden de achtergrondoverlays op de pagina's Bladwijzers en Catalogusweergegeven voor browsers die meerdere achtergrondafbeeldingen ondersteunen.

Afbeelding (optioneel) Upload een afbeelding om deze toe te voegen aan de achtergrond van het app-portalscherm inplaats van een kleur.

3 Klik op Opslaan.

Updates van aangepaste merkinformatie voor de gebruikersportal worden iedere 24 uur vernieuwd. Omde wijzigingen eerder door te voeren, kunt u als de beheerder een nieuw tabblad openen en deze URLinvoeren, waarbij u uw domeinnaam vervangt door myco.example.com.https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true


VMware, Inc. 97

Wat nu te doen

Controleer hoe de gewijzigde merkvermelding wordt weergegeven in de verschillende interfaces.


VMware, Inc. 98

Toegang tot anderedocumenten 13Wanneer u Workspace ONE instelt, moet u mogelijk documentatie voor zowel VMware Identity Managerals VMware AirWatch raadplegen.

Voor een complete lijst met documentatie voor de AirWatch 9.2-release, navigeert u naar https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm.

Voor algemene AirWatch-documentatie gaat u naar AirWatch Resources op my AirWatch, waar u andereversies van de documentatie kunt zoeken.

Voor algemene documentatie over VMware Identity Manager gaat u naar https://docs.vmware.com/nl/VMware-AirWatch/index.html.

VMware, Inc. 99

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://resources.air-watch.com

https://docs.vmware.com/nl/VMware-AirWatch/index.html

Documents

Handleiding voor het implementeren van VMware Workspace ONE … · 2018-02-07 · Inhoud Over het implementeren van VMware Workspace ONE 6 1 Inleiding in Workspace ONE 7 Overzicht