administration de vmware identity manager - vmware ... · 1 utilisation de la console...

Administration deVMware Identity ManagerDécembre 2017VMware Identity Manager 3.1VMware AirWatch 9.2

Administration de VMware Identity Manager

VMware, Inc. 2

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

https://docs.vmware.com/fr/

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

[email protected]

Copyright © 2017 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.100-101 Quartier Boieldieu92042 Paris La DéfenseFrancewww.vmware.com/fr

https://docs.vmware.com/fr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Table des matières

À propos de l'administration de VMware Identity Manager 5

1 Utilisation de la console d'administration de VMware Identity Manager 6

Navigation dans la console d'administration 6

Présentation des paramètres de gestion des identités et des accès 8

2 Utilisation de répertoires locaux 11

Création d'un répertoire local 13

Modification des paramètres du répertoire local 18

Suppression d'un répertoire local 19

Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système 20

3 Provisionnement d'utilisateurs juste-à-temps 21

À propos du provisionnement d'utilisateurs juste-à-temps 21

Préparation du provisionnement juste-à-temps 22

Configuration du provisionnement d'utilisateurs juste-à-temps 24

Exigences des assertions SAML 25

Désactivation du provisionnement d'utilisateurs juste-à-temps 26

Suppression d'un répertoire juste-à-temps 26

Messages d'erreur 27

4 Gestion de l’expérience de connexion utilisateur 29

Sélection d'un domaine lors de la connexion 29

Expérience de connexion à l’aide d’un identifiant unique 30

Configurer la connexion basée sur un identificateur unique 30

Conditions d'utilisation pour accéder au catalogue Workspace ONE 31

5 Configuration de l'authentification des utilisateurs dans

VMware Identity Manager 34Configuration de Kerberos pour VMware Identity Manager 36

Configuration de SecurID pour VMware Identity Manager 40

Configuration de RADIUS pour VMware Identity Manager 43

Configuration de RSA Adaptive Authentication dans VMware Identity Manager 46

Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager 49

Configuration de VMware Verify pour l'authentification à deux facteurs 53

Utilisation de fournisseurs d'identité intégrés 55

Configurer des fournisseurs d'identité Workspace supplémentaires 68

Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs 69

VMware, Inc. 3

Gestion des méthodes d'authentification à appliquer aux utilisateurs 71

6 Gestion des stratégies d'accès 75

Configuration de paramètres de stratégie d'accès 75

Gestion des stratégies spécifiques à une application Web et de poste de travail 77

Ajouter une stratégie spécifique à une application Web ou de poste de travail 79

Configurer le message d'erreur d'accès refusé personnalisé 80

Modifier la stratégie d’accès par défaut 81

Activation de la vérification de la conformité pour les périphériques gérés par AirWatch 82

Activation du cookie persistant sur des périphériques mobiles 84

7 Gestion des utilisateurs et des groupes 86

Gestion des utilisateurs 87

Gestion des groupes 89

Créer des utilisateurs locaux 94

Gestion des mots de passe 97

Synchroniser l'annuaire pour corriger des informations de domaine 98

8 Gestion du catalogue 99

Gestion des ressources dans le catalogue 99

Groupement des ressources en catégories 104

Gestion des paramètres du catalogue 106

9 Utiliser le tableau de bord de la console d'administration 119

Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord 119

Surveiller les informations système et la santé 120

Consultation des rapports 121

10 Informations de marque personnalisées pour les services

VMware Identity Manager 124Personnaliser les informations de marque dans Service VMware Identity Manager 124

Personnaliser les informations de marque pour le portail de l'utilisateur 125

Informations de marque personnalisées prêtes à l'emploi Workspace ONE pour Windows 10 127

Personnaliser des informations de marque pour l'application VMware Verify 128


VMware, Inc. 4

À propos de l'administration de VMwareIdentity Manager

Administration de VMware Identity Manager fournit des informations et des instructions sur l'utilisation etla maintenance des services VMware Identity Manager. Avec VMware Identity Manager™, vous pouvezconfigurer et gérer des méthodes d'authentification et des stratégies d'accès, personnaliser un cataloguede ressources pour les applications de votre entreprise et fournir un accès sécurisé, multi-périphériquegéré par l'utilisateur à ces ressources. Ces ressources comprennent des applications Web, lesapplications Citrix et des pools de postes de travail et d'applications Horizon.

Public concernéCes informations sont destinées à toute personne souhaitant configurer et administrerVMware Identity Manager. Ces informations sont écrites à l'intention des administrateurs Windows ouLinux expérimentés et familiers avec la technologie des machines virtuelles, de la gestion d'identité, deKerberos et des services de dossiers. La connaissance d'autres technologies, telles que VMware Horizon® 7, Horizon® Cloud, la virtualisation de l'application Citrix et les méthodes d'authentification, telles queRSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités.

VMware, Inc. 5

Utilisation de la consoled'administration deVMware Identity Manager 1La console d'administration de VMware Identity Manager™ fournit une console de gestion centraliséeavec laquelle vous pouvez gérer des utilisateurs et des groupes, ajouter des ressources au catalogue,gérer des droits pour des ressources dans le catalogue, configurer l'intégration AirWatch et configurer etgérer des stratégies d'authentification et d'accès.

Les tâches importantes que vous réalisez depuis la console d'administration sont la gestion desstratégies d'authentification et d'accès et l'octroi de ressources à des utilisateurs. D'autres tâchessoutiennent cette tâche principale en vous fournissant un contrôle plus précis sur les utilisateurs ougroupes qui sont attribués à certaines ressources sous certaines conditions.

Les utilisateurs finaux peuvent se connecter à leur portail VMware Workspace™ ONE™ à partir de leurspériphériques de poste de travail ou mobiles pour accéder à des ressources de travail, notamment despostes de travail, des navigateurs, des documents d'entreprise partagés et divers types d'applicationsque vous leur octroyez.

Ce chapitre aborde les rubriques suivantes :

n Navigation dans la console d'administration

n Présentation des paramètres de gestion des identités et des accès

Navigation dans la console d'administrationLes tâches de la console d'administration sont organisées par onglets.

Onglet Description

Tableau de bord Le tableau de bord Engagement de l'utilisateur permet de surveiller les utilisateurs et les ressources utilisées.Ce tableau de bord affiche des informations sur les utilisateurs connectés, les applications utilisées et leurfréquence d'utilisation.

Le tableau de bord Diagnostics du système affiche une présentation détaillée du service dans votreenvironnement et d'autres informations sur les services.

Vous pouvez créer des rapports pour suivre les activités des utilisateurs et des groupes, l'utilisation desressources et des dispositifs, et les événements d'audit par utilisateur.

Utilisateurs etgroupes

Dans l'onglet Utilisateurs et groupes, vous pouvez gérer et surveiller les utilisateurs et les groupes importésdepuis votre annuaire Active Directory ou LDAP, créer des utilisateurs et des groupes et autoriser desutilisateurs et des groupes à utiliser des ressources. Vous pouvez configurer la stratégie de mot de passe pourdes utilisateurs locaux.

VMware, Inc. 6

Onglet Description

Catalogue Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Dansl'onglet Catalogue, vous pouvez ajouter des applications Web et gérer des ressources existantes. Dans la pageCollection d'applications virtuelles, vous pouvez gérer des intégrations de postes de travail et d'applicationsHorizon, Citrix, Horizon Cloud et ThinApp. Vous pouvez créer une application, regrouper des applications encatégories et accéder à des informations sur chaque ressource. Sur la page Paramètres du catalogue, vouspouvez télécharger des certificats SAML, gérer des configurations de ressource et personnaliser l'apparence duportail utilisateur.

Gestion desidentités et desaccès

Dans l'onglet Identité et gestion de l'accès, vous pouvez configurer le service de connecteur, configurerl'intégration AirWatch, configurer des méthodes d'authentification et appliquer des informations de marquepersonnalisées à la page de connexion et à la console d'administration. Vous pouvez gérer des paramètres derépertoire, des fournisseurs d'identité et des stratégies d'accès. Vous pouvez également configurer desfournisseurs d'identité tiers.

Paramètres dudispositif

Dans l'onglet Paramètres du dispositif, vous pouvez gérer la configuration du dispositif, notamment laconfiguration des certificats SSL du dispositif, modifier les mots de passe d'administrateur et système desservices et gérer d'autres fonctions d'infrastructure. Vous pouvez également mettre à jour les paramètres delicence et configurer des paramètres SMTP.

Navigateurs pris en charge pour accéder à la consoled'administrationLa console d'administration VMware Identity Manager est une application Web qui vous permet de gérervotre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants.

n Internet Explorer 11 pour systèmes Windows

n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac

n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac

n Safari 6.2.8 et version ultérieure pour les systèmes Mac

Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pours'authentifier via VMware Identity Manager.

VMware Identity Manager Workspace ONE pour les utilisateursfinauxLes utilisateurs finaux peuvent accéder aux ressources auxquelles ils ont droit depuis leur portailWorkspace ONE. Workspace ONE est l'interface qui est utilisée par défaut lorsque les utilisateursaccèdent à leurs ressources autorisées à l'aide d'un navigateur.

Lorsqu'AirWatch est intégré à VMware Identity Manager, les utilisateurs finaux peuvent voir toutes lesapplications auxquelles ils ont accès. Les applications natives qui sont développées en interne oudisponibles publiquement dans des boutiques d'applications peuvent être mises à la disposition de vosutilisateurs finaux à partir du portail Workspace ONE.


VMware, Inc. 7

Présentation des paramètres de gestion des identités etdes accèsDans l'onglet Identité et gestion de l'accès de la console d'administration, vous pouvez configurer et gérerles méthodes d'authentification, les stratégies d'accès, le service d'annuaire, et personnaliser lesinformations de marque du portail de l'utilisateur final et de la console d'administration.

Voici une description des paramètres de configuration dans l'onglet Identité et gestion de l'accès.

Tableau 1‑1. Paramètres de configuration de l'onglet Identité et gestion de l'accès

Paramètre Description

Configuration > Connecteurs La page Connecteurs répertorie les connecteurs qui sont déployés dans votre réseau d'entreprise.Le connecteur est utilisé pour synchroniser les données des utilisateurs et des groupes entre votreannuaire d'entreprise et le service. Lorsque le connecteur est utilisé comme fournisseur d'identité, ilauthentifie les utilisateurs sur le service.

Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partitionpour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée àplusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir etconfigurer les méthodes d'authentification pour chaque travailleur.

Le connecteur synchronise les données des utilisateurs et des groupes entre votre répertoired'entreprise et le service au moyen d'un ou de plusieurs travailleurs.n Dans la colonne Travailleur, sélectionnez un travailleur pour consulter les détails du connecteur

et accédez à la page Adaptateurs d'authentification pour afficher l'état des méthodesd'authentification disponibles. Pour de plus amples informations sur l'authentification, reportez-vous au Chapitre 5 Configuration de l'authentification des utilisateurs dans VMware IdentityManager.

n Dans la colonne Fournisseur d'identité, sélectionnez le fournisseur d'identité à afficher, modifierou désactiver. Voir Ajouter et configurer une instance de fournisseur d'identité.

n Dans la colonne Annuaire associé, accédez à l'annuaire associé à ce travailleur.

Avant de pouvoir ajouter un connecteur, cliquez sur Ajouter un connecteur pour générer un coded'activation. Vous collez ce code d'activation dans l'assistant Configuration pour établir lacommunication avec le connecteur.

Configuration > Informationsde marque personnalisées

Sur la page Informations de marque personnalisées, vous pouvez personnaliser l'apparence del'en-tête de la console d'administration et de l'écran de connexion. Voir Personnaliser lesinformations de marque dans Service VMware Identity Manager.

Pour personnaliser le portail Web de l'utilisateur final, les vues Mobile et Tablette, accédez àCatalogue > Paramètres > Informations de marque du portail de l'utilisateur. Voir Personnaliser lesinformations de marque pour le portail de l'utilisateur.

Configuration > Attributsutilisateur

La page Attributs utilisateur répertorie les attributs utilisateur par défaut qui sont synchronisés dansl'annuaire. Vous pouvez ajouter d'autres attributs et les mapper aux attributs Active Directory. Voirle guide pour l’intégration d’annuaire avec VMware Identity Manager.

Configuration > Plagesréseau

Cette page répertorie les plages réseau que vous avez ajoutées. Vous pouvez configurer uneplage réseau pour accorder un accès aux utilisateurs via ces adresses IP. Vous pouvez ajouter desplages réseau supplémentaires et modifier les plages existantes. Voir Ajout ou modification d'uneplage réseau.


VMware, Inc. 8

Tableau 1‑1. Paramètres de configuration de l'onglet Identité et gestion de l'accès (suite)


Configuration > Découverteautomatique

Lorsque VMware Identity Manager et AirWatch sont intégrés, vous pouvez intégrer le serviceDécouverte automatique de Windows que vous avez déployé dans votre configuration d'AirWatchau service VMware Identity Manager. Pour plus de détails sur la configuration de la découverteautomatique dans AirWatch dans des déploiements sur site, consultez la documentationd'AirWatch « Guide d'installation du service de découverte automatique des fenêtres VMwareAirWatch », disponible sur le site Web d'AirWatch, http://air-watch.com

Enregistrez votre domaine de messagerie pour utiliser le service de découverte automatique afinde faciliter l'accès des utilisateurs à leur portail d'applications avec Workspace ONE. Lesutilisateurs finaux peuvent entrer leurs adresses e-mail au lieu de l'URL de l'organisation lorsqu'ilsaccèdent à leur portail d'applications via Workspace ONE.

Consultez le Guide de déploiement de VMware Workspace ONE pour plus d'informations sur ladétection automatique.

Configuration > AirWatch Sur cette page, vous pouvez configurer l'intégration à AirWatch. Une fois l'intégration configurée etenregistrée, vous pouvez activer le catalogue unifié pour fusionner des applications paramétréesdans le catalogue AirWatch avec le catalogue unifié, activer la vérification de la conformité afin devérifier que les périphériques gérés respectent les stratégies de conformité d'AirWatch et activerl'authentification par mot de passe utilisateur via AirWatch Cloud Connector (ACC). Consultez leGuide de déploiement de VMware Workspace ONE.

Configuration > Préférences La page Préférences affiche des fonctionnalités que l'administrateur peut activer. Elle inclut lespréférences suivantes.n Afficher le domaine système sur la page de connexion peut être activé.n Les cookies persistants peuvent être activés sur cette page. Voir Activer le cookie persistant.n Activez Masquer le menu déroulant de domaine, lorsque vous ne voulez pas obliger les

utilisateurs à sélectionner leur domaine avant de se connecter.n Activez l’option identifiant unique pour afficher les pages de connexion basée sur

l’identificateur. Voir Chapitre 4 Gestion de l’expérience de connexion utilisateur

Conditions d'utilisation Sur cette page, vous pouvez configurer les conditions d’utilisation de Workspace ONE et garantirque les utilisateurs finaux les acceptent avant d’utiliser le portail Workspace ONE.

Voici une description des paramètres utilisés pour gérer les services dans l'onglet Identité et gestion del'accès.


VMware, Inc. 9

Tableau 1‑2. Paramètres de gestion de l'onglet Identité et gestion de l'accès


Gérer > Annuaires La page Annuaires répertorie les annuaires que vous avez créés. Vous devez créer un ouplusieurs répertoires, puis les synchroniser avec le déploiement de votre répertoire d'entreprise.Cette page présente le nombre de groupes et d'utilisateurs qui sont synchronisés avec l'annuaireainsi que l'heure de la dernière synchronisation. Vous pouvez cliquer sur Synchroniser maintenantafin de lancer la synchronisation de l'annuaire.

Voir le guide pour l’intégration d’annuaire avec VMware Identity Manager.

Lorsque vous cliquez sur le nom d'un annuaire, vous pouvez modifier les paramètres desynchronisation, accéder à la page Fournisseurs d'identité et consulter le journal desynchronisation.

Sur la page des paramètres de synchronisation des répertoires, vous pouvez programmer lafréquence de synchronisation, voir la liste de domaines associés à ce répertoire, modifier la listed'attributs mappés, mettre à jour la liste des utilisateurs et des groupes qui se synchronisent etdéfinir les cibles de protection.

Gérer > Fournisseursd'identité

La page Fournisseurs d'identité répertorie les fournisseurs d'identité que vous avez configurés. Leconnecteur est le fournisseur d'identité initial. Vous pouvez ajouter des instances de fournisseursd'identité tiers ou avoir une combinaison des deux. Le fournisseur d'identité intégré deVMware Identity Manager peut être configuré pour l'authentification.

Voir Ajouter et configurer une instance de fournisseur d'identité.

Gérer > AssistantRécupération de mot depasse

Sur la page Assistant Récupération de mot de passe, vous pouvez modifier le comportement pardéfaut lorsque l'utilisateur final clique sur le bouton « Mot de passe oublié » de l'écran deconnexion.

Méthodes d'authentification La page Méthodes d’authentification est utilisée pour configurer les méthodes d’authentification quipeuvent être associés à des fournisseurs d’identité intégrés. Une fois que vous avez configuré lesméthodes d’authentification sur cette page, vous associez la méthode d’authentification sur la pagedu fournisseur d’identité intégré.

Gérer > Stratégies La page Stratégies répertorie la stratégie d'accès par défaut et toute autre stratégie d'accès auxapplications Web que vous avez créées. Les stratégies sont des ensembles de règles quispécifient les critères à respecter pour que les utilisateurs accèdent à leur portail Mes applicationsou pour lancer des applications Web spécialement activées pour ces derniers. Vous pouvezmodifier la stratégie par défaut et, si des applications Web sont ajoutées au catalogue, vouspouvez ajouter de nouvelles stratégies pour gérer l'accès à ces applications Web. Voir Chapitre 6Gestion des stratégies d'accès.


VMware, Inc. 10

Utilisation de répertoires locaux 2Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le serviceVMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans leservice et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votrerépertoire d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et lesutilisateurs et les groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela,vous créez des utilisateurs locaux directement dans le répertoire local.

Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvezégalement créer plusieurs répertoires locaux.

Répertoire systèmeLe répertoire système est un répertoire local créé automatiquement dans le service lors de sa premièreconfiguration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nomou le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plussupprimer le répertoire système ou le domaine système.

L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpourla première fois est créé dans le domaine système du répertoire système.

Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en généralutilisé pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pourprovisionner des utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder àdes applications, il est recommandé de créer un répertoire local.

Répertoires locauxVous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou deplusieurs domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domainepour l'utilisateur.

Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Lesattributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans leservice VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouterdes attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le

VMware, Inc. 11

service, y compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner lesattributs qui sont obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemblepersonnalisé d'attributs pour différents répertoires locaux. Notez que les attributs userName, lastName,firstName et email sont toujours obligatoires pour les répertoires locaux.

Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponibleque pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP.

Il est utile de créer des répertoires locaux dans les scénarios suivants.

n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie devotre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour despartenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accèsuniquement aux applications spécifiques dont ils ont besoin.

n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ouméthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer unrépertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché,et un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie deproduit et type de fournisseur.

Fournisseur d'identité pour un répertoire système et desrépertoires locauxPar défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identitésystème. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identitéet s'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et letype de périphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentificationsupplémentaires et définir des stratégies d'authentification.

Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé lerépertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez laméthode d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieursrépertoires locaux peuvent être associés au même fournisseur d'identité.

Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour lesrépertoires locaux que vous créez.

Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware IdentityManager » dans Administration de VMware Identity Manager.


VMware, Inc. 12

Gestion des mots de passe pour les utilisateurs durépertoire localPar défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dansle portail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour desutilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, sinécessaire.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail WorkspaceONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menudéroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, lesutilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et ensélectionnant Mot de passe.

Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des motsde passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration deVMware Identity Manager.


n Création d'un répertoire local

n Modification des paramètres du répertoire local

n Suppression d'un répertoire local

n Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système

Création d'un répertoire localPour créer un répertoire local, spécifiez les attributs utilisateur pour le répertoire, créez le répertoire etidentifiez-le avec un fournisseur d'identité.

Définir des attributs utilisateur au niveau globalAvant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributsutilisateur et ajoutez des attributs personnalisés, si nécessaire.

Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur.Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global ets'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau durépertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dansce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut estobligatoire, vous devez lui fournir une valeur lorsque vous créez un utilisateur.

Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés.


VMware, Inc. 13

Tableau 2‑1. Mots à ne pas utiliser comme noms d'attribut personnalisé

active addresses costCenter

department displayName division

emails employeeNumber droits

externalId groupes id

ims locale manager

meta name nickName

organization mot de passe phoneNumber

photos preferredLanguage profileUrl

rôles timezone title

userName userType x509Certificate

Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'auxrépertoires locaux, pas aux répertoires Active Directory ou LDAP.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.

2 Cliquez sur Configuration, puis sur l'onglet Attributs utilisateur.

3 Examinez la liste d'attributs utilisateur et ajoutez des attributs supplémentaires, si nécessaire.

Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous estrecommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attributest marqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, ycompris les répertoires Active Directory ou LDAP.

4 Cliquez sur Enregistrer.

Suivant

Créez le répertoire local.

Créer un répertoire localAprès avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'ongletRépertoires.

2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans lemenu déroulant.


VMware, Inc. 14

3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de

domaine.

Le nom de domaine doit être unique dans tous les répertoires du service.

Par exemple :


5 Sur la page Répertoires, cliquez sur le nouveau répertoire.

6 Cliquez sur l'onglet Attributs utilisateur.

Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sontrépertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sontégalement sur la page Répertoire local.


VMware, Inc. 15

7 Personnalisez les attributs pour le répertoire local.

Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvezégalement modifier l'ordre d'affichage des attributs.

Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour lesrépertoires locaux.

n Pour rendre un attribut obligatoire, cochez la case à côté du nom d'attribut.

n Pour rendre un attribut facultatif, décochez la case à côté du nom d'attribut.

n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvelemplacement.

Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pourl'attribut.

Par exemple :


Suivant

Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier desutilisateurs dans le répertoire.

Associer le répertoire local à un fournisseur d'identitéAssociez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoirepuissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthoded'authentification Mot de passe (répertoire local) dessus.

Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthoded'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré.


VMware, Inc. 16

Prérequis

La méthode d'authentification par mot de passe (répertoire local) doit être configurée sur la page Identitéet gestion de l'accès > Méthodes d'authentification.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité.

2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP intégré.

3 Entrez les informations suivantes.

Option Description

Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité.

Utilisateurs Sélectionnez le répertoire local que vous avez créé.

Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à ce fournisseurd'identité.

Méthodes d'authentification Sélectionnez Mot de passe (répertoire local).

Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurez MobileSSO pour des périphériques iOS gérés par AirWatch.

4 Cliquez sur Ajouter.

Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurerd'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations surl'authentification, consultez « Configuration de l'authentification utilisateur dans VMware IdentityManager » dans Administration de VMware Identity Manager.

Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux.


VMware, Inc. 17

Suivant

Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dansl'onglet Utilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez« Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager.

Modification des paramètres du répertoire localUne fois que vous avez créé un répertoire local, vous pouvez modifier ses paramètres à tout moment.

Vous pouvez modifier les paramètres suivants.

n Modifier le nom du répertoire.

n Ajouter, supprimer ou renommer des domaines.

n Les noms de domaine doivent être uniques dans tous les répertoires du service.

n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'anciendomaine sont associés au nouveau domaine.

n Le répertoire doit contenir au moins un domaine.

n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoiresystème.

n Ajouter de nouveaux attributs utilisateur ou rendre un attribut existant obligatoire ou facultatif.

n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveauxattributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires oufacultatifs.

n Si vous avez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveauxattributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existantsobligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que lesutilisateurs ont été créés.

n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour lesrépertoires locaux.

n Comme les attributs utilisateur sont définis au niveau global dans le service VMware IdentityManager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires duservice.

n Changer l'ordre d'apparition des attributs.

Procédure

1 Cliquez sur l'onglet Identité et gestion de l'accès.

2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier.


VMware, Inc. 18

3 Modifiez les paramètres du répertoire local.

Option Action

Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire.

b Cliquez sur Enregistrer.

Ajouter, supprimer ou renommer undomaine

a Dans l'onglet Paramètres, modifiez la liste Domaines.

b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe plus.

c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge.

d Pour renommer un domaine, modifiez le nom de domaine dans la zone detexte.

Ajouter des attributs utilisateur aurépertoire

a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez surConfiguration.

b Cliquez sur l'onglet Attributs utilisateur.c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser et

cliquez sur Enregistrer.

Rendre un attribut obligatoire oufacultatif pour le répertoire

a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'ongletRépertoires.

b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs utilisateur.c Cochez la case à côté d'un attribut pour le rendre obligatoire ou décochez la

case pour le rendre facultatif.

d Cliquez sur Enregistrer.

Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'ongletRépertoires.

b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs utilisateur.c Cliquez sur les attributs et faites-les glisser vers le nouvel emplacement.

d Cliquez sur Enregistrer.

Suppression d'un répertoire localVous pouvez supprimer un répertoire local que vous avez créé dans le service VMware Identity Manager.Vous ne pouvez pas supprimer le répertoire système, qui est créé par défaut lorsque vous configurez leservice pour la première fois.

Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sontégalement supprimés du service.

Procédure

1 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires.

2 Cliquez sur le répertoire que vous voulez supprimer.

3 Sur la page Répertoire, cliquez sur Supprimer le répertoire.


VMware, Inc. 19

Configuration d'une méthode d'authentification pour lesutilisateurs administrateurs systèmeLa méthode d'authentification par défaut des utilisateurs administrateurs pour se connecter au répertoiresystème est Mot de passe (répertoire local). La stratégie d'accès par défaut est configurée avec Mot depasse (répertoire local) comme méthode de secours de sorte que les administrateurs peuvent seconnecter à la console d'administration de VMware Identity Manager et au portail Workspace ONE.

Si vous créez des stratégies d'accès pour des applications Web et de poste de travail spécifiquesauxquelles les administrateurs système ont le droit d'accéder, ces stratégies doivent être configuréespour inclure Mot de passe (répertoire local) comme méthode d'authentification de secours. Sinon, lesadministrateurs ne peuvent pas se connecter à l'application.


VMware, Inc. 20

Provisionnement d'utilisateursjuste-à-temps 3Le provisionnement d'utilisateurs juste-à-temps vous permet de créer des utilisateurs dans le serviceVMware Identity Manager de façon dynamique lors de la connexion, à l'aide d'assertions SAML envoyéespar un fournisseur d'identité tiers. Le provisionnement d'utilisateurs juste-à-temps n'est disponible quepour les fournisseurs d'identité tiers. Il n'est pas disponible pour le connecteur VMware Identity Manager.

Ce chapitre aborde les rubriques suivantes :n À propos du provisionnement d'utilisateurs juste-à-temps

n Préparation du provisionnement juste-à-temps

n Configuration du provisionnement d'utilisateurs juste-à-temps

n Exigences des assertions SAML

n Désactivation du provisionnement d'utilisateurs juste-à-temps

n Suppression d'un répertoire juste-à-temps

n Messages d'erreur

À propos du provisionnement d'utilisateurs juste-à-tempsLe provisionnement juste-à-temps représente un autre moyen de provisionner des utilisateurs dans leservice VMware Identity Manager. Au lieu de synchroniser des utilisateurs à partir d'une instance ActiveDirectory, avec le provisionnement juste-à-temps, les utilisateurs sont créés et mis à jour de façondynamique lorsqu'ils se connectent, en fonction des assertions SAML envoyées par le fournisseurd'identité.

Dans ce scénario, VMware Identity Manager agit en tant que fournisseur de service SAML.

La configuration juste-à-temps ne peut être configurée que pour des fournisseurs d'identité tiers. Ellen'est pas disponible pour le connecteur.

Avec une configuration juste-à-temps, vous n'avez pas besoin d'installer un connecteur sur site car lacréation et la gestion de tous les utilisateurs sont gérées via des assertions SAML et l'authentification estgérée par le fournisseur d'identité tiers.

VMware, Inc. 21

Création et gestion d'utilisateursSi le provisionnement d'utilisateurs juste-à-temps est activé, lorsqu'un utilisateur accède à la page deconnexion du service VMware Identity Manager et sélectionne un domaine, la page le redirige vers le bonfournisseur d'identité. L'utilisateur se connecte, est authentifié, puis redirigé par le fournisseur d'identitévers le service VMware Identity Manager avec une assertion SAML. Les attributs dans l'assertion SAMLsont utilisés pour créer l'utilisateur dans le service. Seuls les attributs qui correspondent aux attributsutilisateur définis dans le service sont utilisés ; les autres attributs sont ignorés. L'utilisateur est égalementajouté à des groupes en fonction des attributs, et il reçoit les droits définis pour ces groupes.

Lors des connexions suivantes, si des modifications sont apportées à l'assertion SAML, l'utilisateur estmis à jour dans le service.

Il n'est pas possible de supprimer les utilisateurs provisionnés juste-à-temps. Pour supprimer desutilisateurs, vous devez supprimer le répertoire juste-à-temps.

Notez que la gestion de tous les utilisateurs est gérée via des assertions SAML. Vous ne pouvez pascréer ou mettre à jour ces utilisateurs directement à partir du service. Les utilisateurs juste-à-temps nepeuvent pas être synchronisés depuis Active Directory.

Pour plus d'informations sur les attributs requis dans l'assertion SAML, voir Exigences des assertionsSAML.

Répertoire juste-à-tempsLe fournisseur d'identité tiers doit être associé à un répertoire juste-à-temps dans le service.

La première fois que vous activez le provisionnement juste-à-temps pour un fournisseur d'identité, vouscréez un répertoire juste-à-temps et lui spécifiez un ou plusieurs domaines. Les utilisateurs appartenant àces domaines sont provisionnés vers le répertoire. Si plusieurs domaines sont configurés pour lerépertoire, les assertions SAML doivent inclure un attribut de domaine. Si un seul domaine est configurépour le répertoire, un attribut de domaine n'est pas requis dans les assertions SAML mais, s'il estspécifié, cette valeur doit correspondre au nom de domaine.

Un seul répertoire, de type juste-à-temps, peut être associé à un fournisseur d'identité sur lequel leprovisionnement juste-à-temps est activé.

Préparation du provisionnement juste-à-tempsAvant de configurer le provisionnement d'utilisateurs juste-à-temps, examinez vos groupes, les droits degroupe et les paramètres d'attribut utilisateur et apportez des modifications, si nécessaire. De plus,identifiez les domaines que vous voulez utiliser pour le répertoire juste-à-temps.


VMware, Inc. 22

Créer des groupes locauxLes utilisateurs provisionnés avec le provisionnement juste-à-temps sont ajoutés à des groupes enfonction de leurs attributs utilisateur et ils tirent leurs droits de ressources des groupes auxquels ilsappartiennent. Avant de configurer le provisionnement juste-à-temps, vérifiez que vous disposez degroupes locaux dans le service. Créez un ou plusieurs groupes locaux, selon vos besoins. Pour chaquegroupe, définissez les règles d'appartenance au groupe et ajoutez des droits.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Utilisateurs et groupes.

2 Cliquez sur Créer un groupe, fournissez un nom et une description du groupe et cliquez sur Ajouter.

3 Sur la page Groupes, cliquez sur le nouveau groupe.

4 Configurez des utilisateurs pour le groupe.

a Dans le volet de gauche, sélectionnez Utilisateurs dans ce groupe.

b Cliquez sur Modifier des utilisateurs dans ce groupe et définissez les règles d'appartenanceau groupe.

5 Ajoutez des droits au groupe.

a Dans le volet de gauche, sélectionnez Droits.

b Cliquez sur Ajouter des droits, puis sélectionnez les applications et la méthode de déploiementde chaque application.

c Cliquez sur Enregistrer.

Examiner les attributs utilisateurExaminez les attributs utilisateur qui sont définis pour tous les répertoires VMware Identity Manager sur lapage Attributs utilisateur et modifiez-les, si nécessaire. Lorsqu'un utilisateur est provisionné via leprovisionnement juste-à-temps, l'assertion SAML est utilisée pour créer l'utilisateur. Seuls les attributsdans l'assertion SAML qui correspondent aux attributs répertoriés sur la page Attributs utilisateur sontutilisés.

Important Si un attribut est marqué comme obligatoire sur la page Attributs utilisateur, l'assertion SAMLdoit inclure l'attribut, sinon la connexion échoue.

Lorsque vous apportez des modifications aux attributs utilisateur, tenez compte de l'effet sur les autresrépertoires et sur les configurations dans votre locataire. La page Attributs utilisateur s'applique à tous lesrépertoires dans votre locataire.

Remarque Vous n'avez pas à marquer l'attribut domain comme obligatoire.

Procédure



VMware, Inc. 23

2 Cliquez sur Configuration et sur Attributs utilisateur.

3 Examinez les attributs et apportez des modifications, si nécessaire.

Configuration du provisionnement d'utilisateurs juste-à-tempsVous configurez le provisionnement d'utilisateurs juste-à-temps pour un fournisseur d'identité tiers lors dela création ou de la mise à jour du fournisseur d'identité dans le service VMware Identity Manager.

Lorsque vous activez le provisionnement juste-à-temps, vous créez un répertoire juste-à-temps etspécifiez un ou plusieurs domaines pour lui. Les utilisateurs appartenant à ces domaines sont ajoutés aurépertoire.

Vous devez spécifier au moins un domaine. Le nom de domaine doit être unique dans tous lesrépertoires dans le service VMware Identity Manager. Si vous spécifiez plusieurs domaines, desassertions SAML doivent inclure l'attribut de domaine. Si vous spécifiez un seul domaine, il est utilisécomme domaine pour les assertions SAML sans attribut de domaine. Si un attribut de domaine estspécifié, sa valeur doit correspondre à l'un des domaines, sinon la connexion échoue.

Procédure

1 Connectez-vous à la console d'administration du service VMware Identity Manager.


VMware, Inc. 24

2 Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Fournisseurs d'identité.

3 Cliquez sur Ajouter un fournisseur d'identité ou sélectionnez un fournisseur d'identité.

4 Dans la section Provisionnement d'utilisateurs juste-à-temps, cliquez sur Activer.

5 Spécifiez les informations suivantes.

n Un nom pour le nouveau répertoire juste-à-temps.

n Un ou plusieurs domaines.

Important Les noms de domaine doivent être uniques dans tous les répertoires du locataire.

Par exemple :

6 Remplissez le reste de la page et cliquez sur Ajouter ou Enregistrer. Pour plus d'informations,

consultez Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs.

Exigences des assertions SAMLLorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers, desutilisateurs sont créés ou mis à jour dans le service VMware Identity Manager lors de la connexion enfonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doiventcontenir certains attributs.

n L'assertion SAML doit inclure l'attribut userName.

n L'assertion SAML doit inclure tous les attributs utilisateur qui sont marqués comme requis dans leservice VMware Identity Manager.

Pour voir ou modifier les attributs utilisateur dans la console d'administration, dans l'onglet Identité etgestion de l'accès, cliquez sur Configuration et sur Attributs utilisateur.

Important Vérifiez que les clés dans l'assertion SAML correspondent exactement aux nomsd'attribut, y compris la casse.

n Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclurel'attribut domain. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour lerépertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue.


VMware, Inc. 25

n Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attributdomain dans l'assertion SAML est facultative.

Si vous spécifiez l'attribut domain, vérifiez que sa valeur correspond au domaine configuré pour lerépertoire. Si l'assertion SAML ne contient pas d'attribut de domaine, l'utilisateur est associé audomaine configuré pour le répertoire.

n Si vous voulez autoriser les mises à jour des noms d'utilisateur, incluez l'attribut ExternalId dansl'assertion SAML. L'utilisateur est identifié par ExternalId. Si, lors d'une prochaine connexion,l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement,la connexion réussit et le nom d'utilisateur est mis à jour dans le service Identity Manager.

Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit.

n Les attributs obligatoires ou facultatifs dans le service Identity Manager (tels que répertoriés sur lapage Attributs utilisateur) sont utilisés.

n Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.

n Les attributs sans valeur sont ignorés.

Désactivation du provisionnement d'utilisateurs juste-à-tempsVous pouvez désactiver le provisionnement d'utilisateurs juste-à-temps. Lorsque l'option est désactivée,de nouveaux utilisateurs ne sont pas créés et les utilisateurs existants ne sont pas mis à jour lors de laconnexion. Les utilisateurs existants sont toujours authentifiés par le fournisseur d'identité.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis surFournisseurs d'identité.

2 Cliquez sur le fournisseur d'identité que vous voulez modifier.

3 Dans la section Provisionnement d'utilisateurs juste-à-temps, décochez la case Activer.

Suppression d'un répertoire juste-à-tempsUn répertoire juste-à-temps est le répertoire associé à un fournisseur d'identité tiers dont leprovisionnement d'utilisateurs juste-à-temps est activé. Lorsque vous supprimez le répertoire, tous lesutilisateurs dans le répertoire sont supprimés et la configuration juste-à-temps est désactivée. Comme unfournisseur d'identité juste-à-temps ne peut contenir qu'un seul répertoire, lorsque vous supprimez lerépertoire, le fournisseur d'identité ne peut plus être utilisé.


VMware, Inc. 26

Pour activer de nouveau la configuration juste-à-temps pour le fournisseur d'identité, vous devez créer unnouveau répertoire.

Procédure


2 Sur la page Répertoires, localisez le répertoire que vous voulez supprimer.

Vous pouvez identifier des répertoires juste-à-temps en regardant le type de répertoire dans lacolonne Type.

3 Cliquez sur le nom du répertoire.

4 Cliquez sur Supprimer le répertoire.

Messages d'erreurLes administrateurs ou les utilisateurs finaux peuvent voir des erreurs liées au provisionnement juste-à-temps. Par exemple, si un attribut obligatoire est manquant dans l'assertion SAML, une erreur se produitet l'utilisateur ne peut pas se connecter.

Les erreurs suivantes peuvent apparaître dans la console d'administration :

Message d'erreur Solution

Si le provisionnement d'utilisateurs JIT est

activé, au moins un répertoire doit être

associé au fournisseur d'identité.

Aucun répertoire n'est associé au fournisseur d'identité. Un fournisseurd'identité avec l'option de provisionnement juste-à-temps activée doit êtreassocié à un répertoire juste-à-temps.

1 Dans l'onglet Identité et gestion de l'accès de la consoled'administration, cliquez sur Fournisseurs d'identité et sur lefournisseur d'identité.

2 Dans la section Provisionnement d'utilisateurs juste-à-temps,spécifiez un nom de répertoire et un ou plusieurs domaines.

3 Cliquez sur Enregistrer.Un répertoire juste-à-temps est créé.

Les erreurs suivantes peuvent apparaître sur la page de connexion :


VMware, Inc. 27

Message d'erreur Solution

L'attribut utilisateur est manquant : nom. Un attribut utilisateur obligatoire est manquant dans l'assertionSAML envoyée par le fournisseur d'identité tiers. Tous lesattributs qui sont marqués comme étant obligatoires sur la pageAttributs utilisateur doivent être inclus dans l'assertion SAML.Modifiez les paramètres du fournisseur d'identité tiers pourenvoyer les bonnes assertions SAML.

Le domaine est manquant et ne peut pas être inféré. L'assertion SAML n'inclut pas l'attribut de domaine et le domainene peut pas être déterminé. Un attribut de domaine estobligatoire dans les cas suivants :n Si plusieurs domaines sont configurés pour le répertoire

juste-à-temps.n Si un domaine est marqué comme étant un attribut

obligatoire sur la page Attributs utilisateur.

Si un attribut de domaine est spécifié, sa valeur doitcorrespondre à l'un des domaines spécifiés pour le répertoire.

Modifiez les paramètres du fournisseur d'identité tiers pourenvoyer les bonnes assertions SAML.

Nom d'attribut : nom, valeur : valeur. L'attribut dans l'assertion SAML ne correspond à aucun desattributs sur la page Attributs utilisateur dans le locataire et ilsera ignoré.

Échec de la création ou de la mise à jour d'un

utilisateur JIT.L'utilisateur n'a pas pu être créé dans le service. Les causespossibles sont les suivantes :n Un attribut obligatoire est manquant dans l'assertion SAML.

Examinez les attributs sur la page Attributs utilisateur etvérifiez que l'assertion SAML inclut tous les attributs qui sontmarqués comme étant obligatoires.

n Le domaine de l'utilisateur n'a pas pu être déterminé.

Spécifiez l'attribut de domaine dans l'assertion SAML etvérifiez que sa valeur correspond à l'un des domainesconfigurés pour le répertoire juste-à-temps.


VMware, Inc. 28

Gestion de l’expérience deconnexion utilisateur 4Les utilisateurs sont identifiés exclusivement par leur nom d'utilisateur et leur domaine. L’expérience pardéfaut pour les utilisateurs qui se connectent au portail Workspace ONE depuis VMware Identity Managerconsiste à sélectionner le domaine auquel ils appartiennent sur la première page de connexion quis’affiche.

Étant donné que les utilisateurs sélectionnent leurs domaines en premier, les utilisateurs ayant le mêmenom d’utilisateur mais dans des domaines différents peuvent se connecter avec succès. Par exemple, ilpeut exister un utilisateur jeanne dans le domaine ang.exemple.com et un autre utilisateur jeanne dans ledomaine ventes.exemple.com.

VMware Identity Manager affiche la page d'authentification en fonction des règles de stratégie d’accèsconfigurées pour ce domaine.


n Sélection d'un domaine lors de la connexion

n Expérience de connexion à l’aide d’un identifiant unique

n Configurer la connexion basée sur un identificateur unique

n Conditions d'utilisation pour accéder au catalogue Workspace ONE

Sélection d'un domaine lors de la connexionLe paramètre Afficher le domaine système sur la page de connexion est activé par défaut sur la pageGestion des identités et des accès > Configuration > Préférences. Les utilisateurs voient le menudéroulant de sélection de domaine qui répertorie tous les domaines Active Directory intégrés au serveurVMware Identity Manager et le domaine du système local.

Si vous désélectionnez le paramètre Afficher le domaine système sur la page de connexion, l'entrée dudomaine système est supprimée du menu déroulant Domaine. Lorsque le service VMware IdentityManager contient un seul domaine Active Directory, les utilisateurs ne voient pas le menu déroulant. Ilssont invités à saisir leurs informations d'identification pour se connecter.

Lorsque le domaine système n'est pas affiché dans un menu déroulant, les administrateurs de VMwareIdentity Manager saisissent l'URL suivante pour se connecter à la console d'administration,<example.com>/SAAS/login/0. L'écran de saisie du nom et du mot de passe utilisateur s'affiche.

VMware, Inc. 29

Expérience de connexion à l’aide d’un identifiant uniqueLorsque vous ne voulez pas exiger des utilisateurs qu'ils sélectionnent leur domaine avant qu’ils n'ouvrentleur session, vous pouvez masquer la page de demande de domaine. Vous sélectionnez ensuite unidentifiant unique afin de distinguer les utilisateurs au sein de votre organisation.

Lorsque les utilisateurs ouvrent une session, une page s'affiche les invitant à entrer leur identificateurunique. VMware Identity Manager tente de trouver l’utilisateur dans la base de données interne. Lorsquele service VMware Identity Manager recherche l’identificateur, les informations trouvées incluent ledomaine auquel appartient l’utilisateur. La page d’authentification qui s’affiche est basée sur les règles destratégie d’accès du domaine concerné.

L’identificateur unique peut être le nom d’utilisateur, l'adresse de messagerie, l'UPN ou l'ID employé.Sélectionnez l’identificateur à utiliser dans la page Gestion des identités et des accès > Préférences.L’attribut d’identifiant unique doit être mappé sur la page Attributs utilisateur et synchronisé depuis ActiveDirectory.

Si plusieurs utilisateurs correspondant à l’identifiant sont détectés et qu'aucun utilisateur unique ne peutêtre déterminé, un message d’erreur s’affiche. Si aucun utilisateur n’est trouvé, la page de connexiond’utilisateur local s’affiche pour éviter les attaques de l’énumération de nom d'utilisateur possible.

Configurer la connexion basée sur un identificateuruniqueLorsque les utilisateurs utilisent une méthode d'authentification par mot de passe et nom d'utilisateur,vous pouvez activer l'option d'identificateur unique pour afficher les pages de connexion basée surl'identificateur. Les utilisateurs sont invités à entrer leur identificateur unique, puis sont invités à saisirl’authentification appropriée en fonction des règles de stratégie d’accès configurées.

Les méthodes d'authentification qui prennent en charge la connexion basée sur un identificateur uniqueincluent les méthodes d'authentification par mot de passe, RSA SecurID et RADIUS.

Prérequis

n Sélectionnez l’attribut d’utilisateur unique à utiliser dans la page I &M > Attributs utilisateur. Vérifiezque cet attribut est utilisé uniquement pour identifier des objets uniques.

n Assurez-vous que les attributs sélectionnés se synchronisent avec l'annuaire.

n Vérifiez que les règles de stratégie d'accès par défaut pour les domaines d'utilisateur reflètent le typed'authentification à utiliser lorsque la connexion basée sur l'identificateur est disponible.

Procédure

1 À partir de la console d’administration de l’onglet Gestion d'identité et d'accès, cliquez surPréférences.


VMware, Inc. 30

2 Si vous configurez une connexion basée sur l'identificateur unique dans un environnement à domaineunique, activez Afficher le domaine système sur la page de connexion.

L'activation de cette fonctionnalité est requise uniquement lorsqu'un domaine est configuré dansVMware Identity Manager.

3 Pour masquer la page de connexion de sélection de domaine, sélectionnez la case Activer .

4 Sélectionnez l'identificateur unique à utiliser dans le menu déroulant. Les options sont le nomd’utilisateur, l'adresse électronique, l'UPN ou l'ID employé.


Conditions d'utilisation pour accéder au catalogueWorkspace ONEVous pouvez écrire les conditions d’utilisation Workspace ONE de votre organisation et vous assurer quel’utilisateur final les accepte avant d’utiliser Workspace ONE.

Les conditions d’utilisation s'affichent après que l’utilisateur ouvre une session dans Workspace ONE. Lesutilisateurs doivent accepter les conditions d’utilisation avant de se rendre à leur catalogue WorkspaceONE.

La fonctionnalité des conditions d'utilisation inclut les options de configuration suivantes.

n Créer des versions de conditions d’utilisation existantes.

n Modifier les conditions d'utilisation

n Créer plusieurs termes d’utilisation qui peuvent être affichées en fonction du type de périphérique.

n Créer des copies spécifiques de langues des conditions d’utilisation.

Les stratégies des conditions d'utilisation que vous configurez sont répertoriées dans l’onglet Gestion desidentités et des accès. Vous pouvez modifier les stratégies des conditions d’utilisation pour corriger lastratégie existante ou créer une nouvelle version de la stratégie. L'ajout d’une nouvelle version desconditions d’utilisation remplace les conditions d’utilisation existantes. Modifier une stratégie ne traduitpas les conditions d’utilisation.

Vous pouvez afficher le nombre d’utilisateurs qui ont accepté ou refusé les conditions d’utilisation à partirdes page de conditions d’utilisation. Cliquez soit sur le nombre accepté ou celui refusé afin de voir uneliste d’utilisateurs et leur état.

Configurer et activer des conditions d'utilisationDans la page Conditions d'utilisation, vous ajoutez les conditions d’utilisation et configurez les paramètresde l’utilisation. Une fois que les conditions d’utilisation sont ajoutées, vous activez l’option Conditionsd’utilisation. Lorsque les utilisateurs se connectent à Workspace ONE, ils doivent accepter les conditionsd’utilisation pour accéder à leur catalogue.


VMware, Inc. 31

Prérequis

Le texte de la stratégie des conditions d'utilisation au format HTML pour copier/coller dans la zone detexte du contenu des Conditions d'utilisation. Vous pouvez ajouter des conditions d’utilisation en Anglais,Allemand, Espagnol, Français, Italien et Néerlandais.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration > Conditions d'utilisation.

2 Cliquez sur Ajouter des conditions d'utilisation.

3 Entrez un nom descriptif pour les conditions d’utilisation.

4 Sélectionnez N’importe lequel, si les conditions d’utilisation sont pour tous les utilisateurs. Pourutiliser des conditions de stratégies d’utilisation par type de périphérique, sélectionnez Sélectionnerdes plates-formes de périphériques et sélectionnez les types de périphérique qui affichent cesconditions de stratégie d’utilisation.

5 Par défaut, la langue des conditions d’utilisation qui s’affiche en premier correspond aux paramètresde préférence de langue du navigateur. Entrez le contenu des conditions d’utilisation pour la languepar défaut dans la zone de texte.


Pour ajouter des conditions d’utilisation dans une autre langue, cliquez sur Ajouter une langue etsélectionnez une autre langue. La zone de texte du contenu des conditions d'utilisation est actualiséeet vous pouvez ajouter le texte dans la zone de texte.

Vous pouvez faire glisser le nom de la langue afin d'établir l’ordre que les conditions d’utilisation ontaffiché.

7 Pour commencer à utiliser les conditions d’utilisation, cliquez sur Activer les conditionsd'utilisation sur la page qui s’affiche.

Suivant

Si vous avez sélectionné un type de périphérique spécifique pour les conditions d’utilisation, vous pouvezcréer des conditions d’utilisation supplémentaires pour les autres types de périphérique.

Afficher le statut d’acceptation des conditions d'utilisationLes stratégies des conditions d'utilisation répertoriées dans la page Gestion des identités et des accès >Conditions d'utilisation indique le nombre d’utilisateurs ayant accepté ou refusé la stratégie.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration > Conditions d'utilisation.


VMware, Inc. 32

2 Dans la colonne Accepté / Refusé, cliquez soit sur le nombre Accepté à gauche soit sur le nombreRefusé à droite.

Une page d’état affiche l’action effectuée, acceptée ou refusée, avec le nom d’utilisateur, ID depériphérique, version de la stratégie affichés, plate-forme utilisée et la date.

3 Cliquez sur Annuler pour fermer la fenêtre.


VMware, Inc. 33

Configuration del'authentification desutilisateurs dansVMware Identity Manager 5VMware Identity Manager prend en charge plusieurs méthodes d'authentification. Vous pouvez configurerune seule méthode d'authentification et vous pouvez configurer une authentification à deux facteurs parenchaînement. Vous pouvez également utiliser une méthode d'authentification externe pour lesprotocoles RADIUS et SAML.

L'instance de fournisseur d'identité que vous utilisez avec le service VMware Identity Manager crée uneautorité fédératrice intégrée au réseau qui communique avec le service à l'aide d'assertions SAML 2.0.

Lors du déploiement initial du service VMware Identity Manager, le connecteur est le fournisseur d'identitéinitial pour le service. Votre infrastructure Active Directory existante est utilisée pour l'authentification et lagestion des utilisateurs.

Les méthodes d'authentification suivantes sont prises en charge. Vous configurez ces méthodesd'authentification à partir de la console d'administration.

Méthodesd'authentification Description

Mot de passe(déploiement sur site)

Sans configuration supplémentaire après la configuration d'Active Directory, VMware Identity Managerprend en charge l'authentification par mot de passe d'Active Directory. Cette méthode authentifie lesutilisateurs avec Active Directory.

Kerberos pour postes detravail

L'authentification Kerberos fournit aux utilisateurs de domaine un accès à authentification unique àleur portail d'applications. Les utilisateurs n'ont pas besoin de se connecter de nouveau à leur portaild'applications une fois qu'ils sont connectés au réseau. Deux méthodes d'authentification Kerberospeuvent être configurées : l'authentification Kerberos pour postes de travail avec l'authentificationWindows intégrée et l'authentification Kerberos intégré pour périphériques mobiles iOS 9 lorsqu'unerelation de confiance est établie entre Active Directory et AirWatch.

Certificat (déploiement sursite)

L'authentification par certificat peut être configurée afin de permettre aux utilisateurs de s'authentifieravec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur decarte à puce pour l'authentification.

L'authentification par certificat est basée sur ce que possède l'utilisateur et sur ce que la personnesait. Un certificat X.509 utilise la norme d'infrastructure de clé publique pour vérifier qu'une clépublique contenue dans le certificat appartient à l'utilisateur.

RSA SecurID(déploiement sur site)

Lorsque l'authentification RSA SecurID est configurée, VMware Identity Manager est configurécomme agent d'authentification sur le serveur RSA SecurID. L'authentification RSA SecurID nécessitel'utilisation d'un système d'authentification à jeton par les utilisateurs. RSA SecurID est une méthoded'authentification pour les utilisateurs qui accèdent à VMware Identity Manager depuis l'extérieur duréseau de l'entreprise.

VMware, Inc. 34

Méthodesd'authentification Description

RADIUS (déploiement sursite)

L'authentification RADIUS fournit des options d'authentification à deux facteurs. Vous configurez leserveur RADIUS qui est accessible par le service VMware Identity Manager. Lorsque des utilisateursse connectent avec leur nom d'utilisateur et leur code secret, une demande d'accès est soumise auserveur RADIUS pour authentification.

RSA AdaptiveAuthentication(déploiement sur site)

L'authentification RSA offre une authentification multifacteur plus forte que l'authentification par nomd'utilisateur et mot de passe avec Active Directory. Lorsque RSA Adaptive Authentication est activé,les indicateurs de risque spécifiés dans la stratégie de risque sont configurés dans l'application RSAPolicy Management. La configuration du service VMware Identity Manager d'Adaptive Authenticationest utilisée pour déterminer les invites d'authentification requises.

Mobile SSO (pour iOS) L'authentification Mobile SSO pour iOS est utilisée pour l'authentification unique pour lespériphériques iOS gérés par AirWatch. L'authentification Mobile SSO (pour iOS) utilise un centre dedistribution de clés (KDC) qui fait partie du service Identity Manager. Vous devez initier le service KDCdans le service VMware Identity Manager avant de pouvoir activer cette méthode d'authentification.

Mobile SSO (pourAndroid)

L'authentification Mobile SSO pour Android est utilisée pour l'authentification unique pour lespériphériques Android gérés par AirWatch. Un service proxy est configuré entre le service VMwareIdentity Manager et AirWatch pour récupérer le certificat auprès d'AirWatch à des finsd'authentification.

Mot de passe (AirWatchConnector)

AirWatch Cloud Connector peut être intégré au service VMware Identity Manager pourl'authentification par mot de passe utilisateur. Vous configurez le service VMware Identity Managerpour synchroniser des utilisateurs à partir de l'annuaire AirWatch.

VMware Verify VMware Verify peut être utilisé comme seconde méthode d'authentification lorsque l'authentification àdeux facteurs est requise. La première méthode d'authentification consiste à fournir un nomd'utilisateur et un mot de passe, la seconde à fournir une approbation de demande ou un codeVMware Verify.

VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériquesd'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro detéléphone, sont stockées dans le service, mais pas utilisées à des fins autres que l'offre de lafonctionnalité.

Mot de passe (répertoirelocal)

La méthode Mot de passe (répertoire local) est activée par défaut pour le fournisseur d'identitéSystème-IDP utilisé avec le répertoire système. Elle s'applique à la stratégie d'accès par défaut.

Une fois les méthodes d'authentification configurées, vous créez des règles de stratégie d'accès quispécifient les méthodes d'authentification à utiliser par type de périphérique. Les utilisateurs sontauthentifiés en fonction des méthodes d'authentification, des règles de stratégie d'accès par défaut, desplages réseau et de l'instance du fournisseur d'identité que vous configurez. Voir Gestion des méthodesd'authentification à appliquer aux utilisateurs.


n Configuration de Kerberos pour VMware Identity Manager

n Configuration de SecurID pour VMware Identity Manager

n Configuration de RADIUS pour VMware Identity Manager

n Configuration de RSA Adaptive Authentication dans VMware Identity Manager

n Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager


VMware, Inc. 35

n Configuration de VMware Verify pour l'authentification à deux facteurs

n Utilisation de fournisseurs d'identité intégrés

n Configurer des fournisseurs d'identité Workspace supplémentaires

n Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs

n Gestion des méthodes d'authentification à appliquer aux utilisateurs

Configuration de Kerberos pour VMware Identity ManagerL'authentification Kerberos permet aux utilisateurs correctement connectés à leur domaine d'accéder àleur portail d'applications sans devoir saisir de nouveau leurs informations d'identification.

Le protocole d'authentification Kerberos peut être configuré dans le service Identity Manager pour lespostes de travail avec l'authentification Windows intégrée afin de sécuriser les interactions entre lesnavigateurs des utilisateurs et le service Identity Manager et pour l'authentification unique monotouchesur des périphériques mobiles iOS 9 gérés dans AirWatch. Pour plus d'informations sur l'authentificationKerberos sur des périphériques iOS 9, reportez-vous à la section Utilisation du service de cloud hébergéKDC.

Implémentation de Kerberos pour des postes de travail avecl'authentification Windows intégréePour configurer l'authentification Kerberos pour des postes de travail, vous activez l'authentificationWindows intégrée afin de permettre au protocole Kerberos de sécuriser les interactions entre lesnavigateurs des utilisateurs et le service Identity Manager.

Lorsque l'authentification Kerberos est activée pour les postes de travail, le service Identity Managervalide les informations d'identification du poste de travail de l'utilisateur à l'aide des tickets Kerberosdistribués par le centre de distribution de clés (KDC) implémenté comme service de domaine dans ActiveDirectory. Il n'est pas nécessaire de configurer directement Active Directory pour faire fonctionnerKerberos avec votre déploiement.

Vous devez configurer les navigateurs Web de l'utilisateur final pour envoyer vos informationsd'identification Kerberos au service lorsque des utilisateurs se connectent. Voir Configuration de votrenavigateur pour Kerberos.

Configurer l'authentification Kerberos pour des postes de travail avecl'authentification Windows intégréePour configurer le service VMware Identity Manager afin qu'il effectue l'authentification Kerberos pour despostes de travail, vous devez rejoindre le domaine et autoriser l'authentification Kerberos sur leconnecteur.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration.


VMware, Inc. 36

2 Dans la colonne Travailleur correspondant au connecteur, cliquez sur Adaptateursd'authentification.

3 Cliquez sur KerberosIdpAdapter

Vous serez redirigé vers la page de connexion du gestionnaire d'identité.

4 Cliquez sur Modifier sur la ligne KerberosldpAdapter et configurez la page d'authentification deKerberos.

Option Description

Nom Un nom est requis. Le nom par défaut est KerberosIdpAdapter. Vous pouvez modifier ce paramètre.

Attribut UID durépertoire

Entrez l'attribut du compte contenant le nom d'utilisateur.

Activerl'authentification Windows

Sélectionnez cette option pour étendre les interactions d'authentification entre les navigateurs desutilisateurs et VMware Identity Manager.

Activer NTLM Sélectionnez cette option pour activer l'authentification par protocole du gestionnaire de LAN NT (NTLM)uniquement si votre infrastructure Active Directory dépend de l'authentification NTLM.

Remarque Le protocole NTLM n'est pas configuré lorsque VMware Identity Manager se trouve dans unenvironnement Windows.

Activer laredirection

Sélectionnez cette option si le DNS tourniquet et les équilibrages de charge ne prennent pas en chargeKerberos. Les demandes d'authentification sont redirigées vers Rediriger le nom d'hôte. Si cette option estcochée, entrez le nom d'hôte de redirection dans la zone de texte Rediriger le nom d'hôte. Il s'agitgénéralement du nom d'hôte du service.


Suivant

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Gestion desidentités et des accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter laméthode d'authentification Kerberos à la règle en respectant l'ordre de l'authentification.

Configuration de votre navigateur pour KerberosLorsque Kerberos est activé, vous devez configurer les navigateurs Web afin qu'ils envoient vosinformations d'identification Kerberos au service lorsque les utilisateurs se connectent.

Les navigateurs Web suivants peuvent être configurés pour envoyer vos informations d'identificationKerberos au service Identity Manager sur les ordinateurs exécutés sous Windows : Firefox, InternetExplorer et Chrome. Tous les navigateurs nécessitent une configuration supplémentaire.

Configuration d'Internet Explorer pour accéder à l'interface Web

Vous devez configurer le navigateur Internet Explorer si Kerberos est configuré pour votre déploiement etsi vous voulez accorder aux utilisateurs l'accès à l'interface Web à l'aide d'Internet Explorer.


VMware, Inc. 37

L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur lessystèmes d'exploitation Windows.

Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation.

Prérequis

Configurez le navigateur Internet Explorer pour chaque utilisateur ou fournissez les instructions auxutilisateurs, après avoir configuré Kerberos.

Procédure

1 Vérifiez que vous êtes connecté à Windows en tant qu'utilisateur du domaine.

2 Dans Internet Explorer, activez la connexion automatique.

a Sélectionnez Outils > Options Internet > Sécurité.

b Cliquez sur Personnaliser le niveau.

c Sélectionnez Connexion automatique uniquement dans la zone intranet.

d Cliquez sur OK.

3 Vérifiez que cette instance du dispositif virtuel du connecteur fait partie de la zone intranet locale.

a Utilisez Internet Explorer pour accéder à l'URL de connexion de VMware Identity ManagerVMware Identity Managerà l'adresse https://myconnectorhost.domain/authenticate/.

b Localisez la zone dans le coin inférieur droit de la barre d'état de la fenêtre du navigateur.

Si la zone est Intranet local, la configuration d'Internet Explorer est terminée.

4 Si la zone n'est pas Intranet local, ajoutez l'URL de connexion de VMware Identity Manager à la zoneintranet.

a Sélectionnez Outils > Options Internet > Sécurité > Intranet local > Sites.

b Sélectionnez Détecter automatiquement le réseau Intranet.

Si cette option n'est pas sélectionnée, sa sélection peut être suffisante pour ajouter à la zoneintranet.

c (Facultatif) Si vous avez sélectionné Détecter automatiquement le réseau Intranet, cliquez surOK jusqu'à ce que toutes les boîtes de dialogue soient fermées.

d Dans la boîte de dialogue Intranet local, cliquez sur Avancé.

Une deuxième boîte de dialogue nommée Intranet local s'affiche.

e Tapez l'URL de VMware Identity Manager dans la zone de texte Ajouter ce site Web à la zone.

https://myconnectorhost.domain/authenticate/

f Cliquez sur Ajouter > Fermer > OK.


VMware, Inc. 38

5 Vérifiez qu'Internet Explorer est autorisé à passer l'authentification Windows pour accéder au site deconfiance.

a Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Avancé.

b Sélectionnez Activer l'authentification Windows intégrée.

Cette option prend effet seulement après le redémarrage d'Internet Explorer.

c Cliquez sur OK.

6 Connectez-vous à l'interface Web pour vérifier l'adresse.

Si l'authentification Kerberos est réussie, l'URL de test vous redirige vers l'interface Web.

Le protocole Kerberos sécurise toutes les interactions entre cette instance Internet Explorer etVMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leurportail Workspace ONE.

Configuration de Firefox pour accéder à l'interface Web

Vous devez configurer le navigateur Firefox si Kerberos est configuré pour votre déploiement et si vousvoulez accorder aux utilisateurs l'accès à l'interface Web via Firefox.


Prérequis

Configurez le navigateur Firefox pour chaque utilisateur, ou communiquez des instructions auxutilisateurs après la configuration de Kerberos.

Procédure

1 Dans la zone de texte de l'URL du navigateur Firefox, saisissez about:config pour accéder auxparamètres avancés.

2 Cliquez sur Je ferai attention, promis !.

3 Double-cliquez sur network.negotiate-auth.trusted-uris dans la colonne Nom de l'option.

4 Tapez l'URL de VMware Identity Manager dans la zone de texte.

https://myconnectorhost.domain.com

5 Cliquez sur OK.

6 Double-cliquez sur network.negotiate-auth.delegation-uris dans la colonne Nom de l'option.

7 Tapez l'URL de VMware Identity Manager dans la zone de texte.

https://myconnectorhost.domain.com/authenticate/

8 Cliquez sur OK.


VMware, Inc. 39

9 Testez la fonctionnalité de Kerberos en utilisant Firefox pour accéder à l'URL de connexion de . Parexemple, https://myconnectorhost.domain.com/authenticate/.

Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web.

Le protocole Kerberos sécurise toutes les interactions entre cette instance Firefox etVMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leurportail Workspace ONE.

Configuration du navigateur Chrome pour accéder à l'interface Web

Vous devez configurer le navigateur Chrome si Kerberos est configuré pour votre déploiement et si vousvoulez accorder aux utilisateurs l'accès à l'interface Web via Chrome.


Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation.

Prérequis

n Configurez Kerberos.

n Dans la mesure où Chrome utilise la configuration d'Internet Explorer pour activer l'authentificationKerberos, vous devez configurer Internet Explorer afin de permettre à Chrome d'utiliser laconfiguration d'Internet Explorer. Pour en savoir plus sur la procédure de configuration de Chromepour l'authentification Kerberos, reportez-vous à la documentation de Google.

Procédure

1 Testez les fonctionnalités de Kerberos à l'aide du navigateur Chrome.

2 Connectez-vous à VMware Identity Manager sur https://myconnectorhost.domain.com/authenticate/.

Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web.

Si toutes les configuration relatives à Kerberos sont correctes, le protocole correspondant (Kerberos)sécurise toutes les interactions entre cette instance Chrome et VMware Identity Manager. Les utilisateurspeuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE.

Configuration de SecurID pour VMware Identity ManagerLorsque vous configurez le serveur RSA SecurID, vous devez ajouter les informations sur le service duVMware Identity Manager en tant qu'agent d'authentification sur le serveur RSA SecurID, et configurer lesinformations du serveur RSA SecurID sur le service du VMware Identity Manager.

Lorsque vous configurez SecurID pour offrir une sécurité supplémentaire, vous devez vérifier que votreréseau est correctement configuré pour votre déploiement de VMware Identity Manager. Pour SecurID enparticulier, assurez-vous que le port adéquat est ouvert afin de permettre à SecurID d'authentifier lesutilisateurs hors de votre réseau.


VMware, Inc. 40

Après avoir exécuté l'assistant Configuration du VMware Identity Manager et configuré votre connexion àActive Directory, vous disposez des informations nécessaires à la préparation du serveur RSA SecurID.Après avoir préparé le serveur RSA SecurID de VMware Identity Manager, activez SecurID dans laconsole d'administration.

n Préparer le serveur RSA SecurID

Le serveur RSA SecurID doit être configuré avec des informations sur le dispositifVMware Identity Manager en tant qu'agent d'authentification. Les informations requisescorrespondent au nom d'hôte et aux adresses IP des interfaces réseau.

n Configurer l'authentification RSA SecurID

Une fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur leserveur RSA SecurID, vous devez ajouter les informations de configuration RSA SecureID auconnecteur.

Préparer le serveur RSA SecurIDLe serveur RSA SecurID doit être configuré avec des informations sur le dispositifVMware Identity Manager en tant qu'agent d'authentification. Les informations requises correspondent aunom d'hôte et aux adresses IP des interfaces réseau.

Prérequis

n Vérifiez que l'une des versions suivantes de RSA Authentication Manager est installée et fonctionnesur le réseau d'entreprise : RSA AM 6.1.2, 7.1 SP2 et versions ultérieures, ainsi que 8.0 et versionsultérieures. Le serveur VMware Identity Manager utiliseAuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1), qui prend en chargeuniquement les versions précédentes de RSA Authentication Manager (serveur RSA SecurID). Pourobtenir des informations sur l'installation et la configuration de RSA Authentication Manager (serveurRSA SecurID), consultez la documentation de RSA.

Procédure

1 Sur une version prise en charge du serveur RSA SecurID, ajoutez le connecteurVMware Identity Manager en tant qu'agent d'authentification. Entrez les informations suivantes.

Option Description

nom d'hôte Le nom d'hôte de VMware Identity Manager.

Adresse IP L'adresse IP de VMware Identity Manager.

Adresse IP alternative Si le trafic provenant du connecteur traverse un périphérique NAT (NetworkAddress Translation) pour atteindre le serveur RSA SecurID, entrez l'adresse IPprivée du dispositif.

2 Téléchargez le fichier de configuration compressé et extrayez le fichier sdconf.rec.

Préparez-vous à charger ce fichier ultérieurement lorsque vous configurez RSA SecurID dansVMware Identity Manager.


VMware, Inc. 41

Suivant

Accédez à la console d'administration et, dans les pages Configuration de l'onglet Gestion des identitéset des accès, sélectionnez le connecteur et la page Adaptateurs d'authentification pour configurerSecurID.

Configurer l'authentification RSA SecurIDUne fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur le serveurRSA SecurID, vous devez ajouter les informations de configuration RSA SecureID au connecteur.

Prérequis

n Vérifiez que RSA Authentication Manager (serveur RSA SecurID) est installé et correctementconfiguré.

n Téléchargez le fichier compressé depuis le serveur RSA SecurID et extrayez le fichier deconfiguration du serveur.

Procédure


2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui estconfiguré avec RSA SecurID.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur SecurIDldpAdapter.


4 Sur la ligne SecurIDldpAdapter de la page Adaptateurs d'authentification, cliquez sur Modifier.

5 Configurez la page Adaptateur d'authentification SecurID.

Les informations utilisées et les fichiers générés sur le serveur RSA SecurID sont nécessaires lors dela configuration de la page SecurID.

Option Action

Nom Un nom est requis. Le nom par défaut est SecurIDldpAdapter. Vous pouvez modifier ce paramètre.

Activer SecurID Cochez cette case pour activer l'authentification securID.

Nombre detentativesd'authentification autorisées

Entrez le nombre maximal d'échecs de tentatives de connexion à l'aide du jeton RSA SecurID. La valeur pardéfaut est de cinq tentatives.

Remarque Lorsque plusieurs annuaires sont configurés et que vous implémentez l'authentification RSASecurID avec des annuaires supplémentaires, configurez Nombre de tentatives d'authentificationautorisées avec la même valeur pour chaque configuration RSA SecurID. Si la valeur est différente,l'authentification SecurID échoue.


VMware, Inc. 42

Option Action

Adresse duconnecteur

Entrez l'adresse IP de l'instance de connecteur. La valeur que vous entrez doit correspondre à la valeur quevous avez utilisée lorsque vous avez ajouté le dispositif du connecteur en tant qu'agent d'authentification duserveur RSA SecurID. Si votre serveur RSA SecurID dispose d'une valeur assignée à l'invite Adresse IPalternative, entrez cette valeur comme adresse IP du connecteur. Si aucune adresse IP alternative n'estattribuée, entrez la valeur attribuée à l'invite de l'adresse IP.

Adresse IP del'agent

Entrez la valeur assignée à l'invite Adresse IP sur le serveur RSA SecurID.

Configurationdu serveur

Chargez le fichier de configuration du serveur RSA SecureID. Vous devez d'abord télécharger le fichiercompressé auprès du serveur RSA SecurID, puis extraire le fichier de configuration du serveur qui estappelé par défaut sdconf.rec.

Nœud secret Laisser vide le champ nœud secret permet à celui-ci de se générer lui-même. Nous vous recommandonsd'effacer le fichier du secret du nœud du serveur RSA SecurID et de ne pas charger volontairement le fichierdu secret du nœud. Assurez-vous que le fichier du nœud secret sur le serveur RSA SecurID et sur l'instancedu connecteur de serveur correspondent toujours. Si vous modifiez le nœud secret à un emplacement,modifiez-le sur l'autre emplacement.


Suivant

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Identité etgestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter laméthode d'authentification SecurID à la règle. Voir Gestion des méthodes d'authentification à appliqueraux utilisateurs.

Configuration de RADIUS pour VMware Identity ManagerVous pouvez configurer VMware Identity Manager pour que les utilisateurs soient obligés d'utiliserl'authentification RADIUS (Remote Authentication Dial-In User Service). Vous configurez les informationsdu serveur RADIUS sur le service VMware Identity Manager.

Le support RADIUS offre une large gamme d'options alternatives d'authentification à jeton à deuxfacteurs. Puisque ces solutions d'authentification à deux facteurs, telles que RADIUS, fonctionnent avecles gestionnaires d'authentification installés sur des serveurs distincts, configurez le serveur RADIUS etmettez-le à disposition du service du gestionnaire d'identité.

Lorsque les utilisateurs se connectent à leur portail Workspace ONE et que l'authentification RADIUS estactivée, une boîte de dialogue de connexion spéciale apparaît dans le navigateur. Les utilisateurs entrentleur nom d'utilisateur et leur code secret d'authentification RADUS dans la boîte de dialogue deconnexion. Si le serveur RADIUS émet une stimulation d'accès, le service du gestionnaire d'identité ouvreune boîte de dialogue qui invite à entrer un second code secret. Le support actuel des challengesRADIUS est limité à la demande de saisie de texte.

Une fois que l'utilisateur a entré ses informations d'identification dans la boîte de dialogue, le serveurRADIUS peut envoyer un SMS ou un e-mail, ou du texte à l'aide d'un autre mécanisme hors bande sur letéléphone portable de l'utilisateur avec un code. L'utilisateur peut entrer ce texte et le code dans la boîtede dialogue de connexion pour terminer l'authentification.


VMware, Inc. 43

Si le serveur RADIUS permet d'importer des utilisateurs depuis Active Directory, les utilisateurs finauxpeuvent d'abord être invités à fournir des informations d'identification Active Directory avant d'être invitésà fournir un nom d'utilisateur et un code secret d'authentification RADIUS.

Préparer le serveur RADIUSInstallez le serveur RADIUS et configurez-le pour qu'il accepte les demandes RADIUS provenant duservice VMware Identity Manager.

Pour plus d'informations sur la configuration du serveur RADIUS, consultez les guides de configurationdu fournisseur RADIUS. Notez les informations de votre configuration RADIUS car vous en avez besoinlorsque vous configurez RADIUS dans le service. Pour voir le type d'informations RADIUS requises pourconfigurer VMware Identity Manager, reportez-vous à la section Configurer l'authentification RADIUSdans VMware Identity Manager.

Vous pouvez configurer un serveur d'authentification Radius secondaire afin de l'utiliser pour la hautedisponibilité. Si le serveur RADIUS principal ne répond pas dans le délai d'attente du serveur configurépour l'authentification RADIUS, la demande est routée vers le serveur secondaire. Lorsque le serveurprincipal ne répond pas, le serveur secondaire reçoit toutes les futures demandes d'authentification.

Configurer l'authentification RADIUS dansVMware Identity ManagerVous activez l'authentification RADIUS et configurez les paramètres RADIUS dans la consoled'administration de VMware Identity Manager.

Prérequis

Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Pourl'authentification RADIUS, suivez la documentation de configuration du fournisseur.

Vous devez connaître les informations suivantes sur le serveur RADIUS pour configurer RADIUS sur leservice.

n Adresse IP ou nom DNS du serveur RADIUS.

n Numéros de port d'authentification. En général, le port d'authentification est le port 1812.

n Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol),CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft ChallengeHandshake Authentication Protocol, versions 1 et 2).

n Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages deprotocole RADIUS.

n Valeurs du délai d’expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS

Procédure



VMware, Inc. 44

2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui estconfiguré pour l'authentification RADIUS.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RadiusAuthAdapter.


4 Cliquez sur Modifier pour configurer ces champs sur la page Adaptateur d'authentification.

Option Action

Nom Un nom est requis. Le nom par défaut est RadiusAuthAdapter. Vous pouvez modifier ce paramètre.

Activerl'adaptateurRadius

Cochez cette case pour activer l'authentification RADIUS.

Nombre detentativesd'authentification autorisées

Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vousconnecter. La valeur par défaut est de cinq tentatives.

Nombre detentatives pourle serveurRadius

Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attendl'heure configurée avant de réessayer.

Nomd'hôte/adressedu serveurRadius

Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS.

Portd'authentification

Entrez le numéro de port d'authentification Radius. En général, il s'agit du port 1812.

Port de gestion Entrez 0 pour le numéro de port. Le port de gestion n'est pas utilisé actuellement.

Typed'authentification

Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ouMSCHAP2.

Code secretpartagé

Entrez le code secret partagé utilisé entre le serveur RADIUS et le service VMware Identity Manager.

Délai d'attentedu serveur ensecondes

Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyéesi le serveur RADIUS ne répond pas.

Préfixe dudomaine

(Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine.

Si vous spécifiez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateurlorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que lepréfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au serveurRADIUS. Si vous ne configurez pas ces champs, seul le nom d'utilisateur qui est entré est envoyé.


VMware, Inc. 45

Option Action

Suffixe dudomaine

(Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Parexemple, si le suffixe est @myco.com, le nom d'utilisateur [email protected] est envoyé au serveur RADIUS.

Conseil pour laphrase secrètede la page deconnexion

Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demanderaux utilisateurs d'entrer le bon code secret Radius. Par exemple, si ce champ est configuré avec Mot depasse AD en premier, puis code secret SMS, le message sur la page de connexion serait Entrez votremot de passe AD en premier, puis le code secret SMS. La chaîne de texte par défaut est RADIUSPasscode.

5 Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité.

Configurez le serveur secondaire comme décrit à l'étape 4.


Suivant

Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Accédez à la pageIdentité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pourajouter la méthode d'authentification RADIUS à la règle. Voir Gestion des méthodes d'authentification àappliquer aux utilisateurs.

Configuration de RSA Adaptive Authentication dansVMware Identity ManagerRSA Adaptive Authentication peut être implémenté pour offrir une authentification multifacteur plus forteque l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Adaptive Authenticationsurveille et authentifie les tentatives de connexion des utilisateurs selon des niveaux de risque et desstratégies.

Lorsque Adaptive Authentication est activé, les indicateurs de risque spécifiés dans les stratégies derisque configurées dans l'application RSA Policy Management et la configuration du service VMwareIdentity Manager d'Adaptive Authentication sont utilisés pour déterminer si un utilisateur est authentifiéavec un nom d'utilisateur et un mot de passe ou si des informations supplémentaires sont nécessairespour authentifier l'utilisateur.

Méthodes d'authentification prises en charge de RSA AdaptiveAuthenticationLes méthodes d'authentification forte de RSA Adaptive Authentication prises en charge dans le serviceVMware Identity Manager sont une authentification hors bande par téléphone, e-mail ou SMS et desquestions de sécurité. Vous activez sur le service les méthodes de RSA Adaptive Authentication pouvantêtre fournies. Les stratégies de RSA Adaptive Authentication déterminent si une méthoded'authentification secondaire est nécessaire.


VMware, Inc. 46

L'authentification hors bande est un processus qui requiert qu'une vérification supplémentaire soitenvoyée avec le nom d'utilisateur et le mot de passe. Lorsque des utilisateurs s'inscrivent sur le serveurRSA Adaptive Authentication, ils fournissent une adresse e-mail, un numéro de téléphone, ou les deux,en fonction de la configuration du serveur. Lorsqu'une vérification supplémentaire est requise, le serveurRSA Adaptive Authentication envoie un code secret unique par le canal fourni. Les utilisateurs entrent cecode secret, ainsi que leur nom d'utilisateur et leur mot de passe.

Les questions de sécurité requièrent que l'utilisateur réponde à une série de questions lorsqu'il s'inscritsur le serveur RSA Adaptive Authentication. Vous pouvez configurer le nombre de questions d'inscriptionà poser et le nombre de questions de sécurité à présenter sur la page de connexion.

Inscription d'utilisateurs avec le serveur RSA AdaptiveAuthenticationLes utilisateurs doivent être provisionnés dans la base de données RSA Adaptive Authentication pourpouvoir utiliser Adaptive Authentication pour l'authentification. Les utilisateurs sont ajoutés à la base dedonnées RSA Adaptive Authentication la première fois qu'ils se connectent avec leur nom d'utilisateur etleur mot de passe. En fonction de la façon dont vous avez configuré RSA Adaptive Authentication dans leservice, lorsque les utilisateurs se connectent, il peut leur être demandé de fournir leur adresse e-mail,leur numéro de téléphone, leur numéro de service de messagerie texte (SMS) ou de répondre à desquestions de sécurité.

Remarque RSA Adaptive Authentication n'autorise pas les caractères internationaux dans les nomsd'utilisateur. Si vous prévoyez d'autoriser les caractères multioctet dans les noms d'utilisateur, contactezle support RSA pour configurer RSA Adaptive Authentication et RSA Authentication Manager.

Configurer RSA Adaptive Authentication dans Identity ManagerPour configurer RSA Adaptive Authentication sur le service, vous activez RSA Adaptive Authentication,sélectionnez les méthodes d'authentification adaptative à appliquer et ajoutez les informations deconnexion et le certificat Active Directory.

Prérequis

n RSA Adaptive Authentication correctement configuré avec les méthodes d'authentification à utiliserpour l'authentification secondaire.

n Détails sur l'adresse de point de terminaison SOAP et le nom d'utilisateur SOAP.

n Informations de configuration Active Directory et certificat SSL Active Directory disponibles.

Procédure


2 Sur la page Connecteur, colonne Travailleurs, sélectionnez le lien correspondant au connecteur quiest configuré.


VMware, Inc. 47

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RSAAAldpAdapter.

Vous serez redirigé vers la page de l'adaptateur d'authentification du gestionnaire d'identité.

4 Cliquez sur le lien Modifier à côté de RSAAAldpAdapter

5 Sélectionnez les réglages appropriés pour votre environnement.

Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sontfacultatifs.

Option Description

*Nom Un nom est requis. Le nom par défaut est RSAAAldpAdapter. Vous pouvezmodifier ce nom.

Activer l'adaptateur RSA AA Cochez la case pour activer RSA Adaptive Authentication.

*Point de terminaison SOAP Entrez l'adresse du point de terminaison SOAP pour l'intégration entrel'adaptateur RSA Adaptive Authentication et le service.

*Nom d'utilisateur SOAP Entrez le nom d'utilisateur et le mot de passe utilisés pour signer des messagesSOAP.

Domaine RSA Entrez l'adresse de domaine du serveur Adaptive Authentication.

Activer les e-mails OOB Cochez cette case pour activer l'authentification hors bande qui envoie un codesecret unique à l'utilisateur final par e-mail.

Activer les SMS OOB Cochez cette case pour activer l'authentification hors bande qui envoie un codesecret unique à l'utilisateur final par SMS.

Activer SecurID Cochez cette case pour activer securID. Les utilisateurs sont invités à entrer leurjeton et leur code secret RSA.

Activer la question secrète Cochez cette case si vous voulez utiliser des questions d'inscription et de sécuritépour l'authentification.

*Nombre de questions d'inscription Entrez le nombre de questions que l'utilisateur devra configurer lorsqu'il s'inscritsur le serveur de l'adaptateur d'authentification.

*Nombre de questions de sécurité Entrez le nombre de questions de sécurité auxquelles les utilisateurs doiventrépondre correctement pour se connecter.

*Nombre de tentativesd'authentification autorisées

Entrez le nombre de fois que les questions de sécurité seront affichées à unutilisateur essayant de se connecter avant que l'authentification échoue.

Type d'annuaire Le seul annuaire pris en charge est Active Directory.

Port du serveur Entrez le numéro de port Active Directory.

Hôte du serveur Entrez le nom d'hôte Active Directory.

Utiliser SSL Cochez cette case si vous utilisez SSL pour vous connecter au dossier. Vousajoutez le certificat SSL Active Directory dans le champ Certificat de l'annuaire.

Utiliser l'emplacement du service DNS Cochez cette case si l'emplacement du service DNS est utilisé pour vousconnecter au dossier.

ND de base Saisissez le ND à partir duquel effectuer les recherches de compte. Parexemple : OU=myUnit,DC=myCorp,DC=com.

ND Bind Entrez le compte pouvant rechercher des utilisateurs. Par exemple :CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Mot de passe Bind Entrez le mot de passe du compte ND Bind.


VMware, Inc. 48

Option Description

Attribut de recherche Entrez l'attribut du compte contenant le nom d'utilisateur.

Certificat de l'annuaire Pour établir des connexions SSL sécurisées, ajoutez le certificat du serveurd'annuaire dans la zone de texte. S'il existe plusieurs serveurs, ajoutez lecertificat racine de l'autorité de certification.


Suivant

Activez la méthode d'authentification RSA Adaptive Authentication dans le fournisseur d'identité intégrédans l'onglet Identité et gestion de l'accès > Gérer. Voir Utilisation de fournisseurs d'identité intégrés.

Ajoutez la méthode d'authentification RSA Adaptive Authentication à la stratégie d'accès par défaut.Accédez à la page Identité et gestion de l'accès> Gérer > Stratégies et modifiez les règles de stratégiepar défaut pour ajouter Adaptive Authentication. Voir Gestion des méthodes d'authentification à appliqueraux utilisateurs.

Configuration d'un certificat ou d'un adaptateur de carteà puce pour VMware Identity ManagerVous pouvez configurer l'authentification par certificat x509 afin de permettre aux utilisateurs des'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser unadaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce quepossède l'utilisateur (la clé privée ou la carte à puce) et sur ce que la personne sait (le mot de passe de laclé privée ou le code PIN de la carte à puce). Un certificat X.509 utilise la norme d'infrastructure de clépublique (KPI) pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. Pourl'authentification par carte à puce, les utilisateurs connectent la carte à puce à l'ordinateur et saisissent uncode PIN.

Les certificats des cartes à puce sont copiés dans le magasin de certificats local de l'ordinateur del'utilisateur. Les certificats du magasin de certificats local sont disponibles pour tous les navigateursexécutés sur l'ordinateur de cet utilisateur, avec certaines exceptions, et sont ainsi disponibles pourl'instance de VMware Identity Manager dans ce navigateur.

Remarque Lorsque l'authentification par certificat est configurée et que le dispositif de service estparamétré derrière un équilibrage de charge, assurez-vous que VMware Identity Manager Connector estconfiguré avec un relais SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettrefin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que lanégociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur.Lorsque votre équilibrage de charge est configuré pour mettre fin à SSL au niveau de l'équilibrage decharge, vous pouvez déployer un second connecteur derrière un autre équilibrage de charge pourprendre en charge l'authentification par certificat.

Pour plus d'informations sur l'ajout d'un second connecteur, consultez le Guide d'installation et deconfiguration de VMware Identity Manager.


VMware, Inc. 49

Utilisation du nom de l'utilisateur principal pour l'authentificationpar certificatVous pouvez utiliser le mappage de certificat dans Active Directory. Les connexions par certificat et parcarte à puce utilisent le nom de l'utilisateur principal (UPN) d'Active Directory pour valider les comptesd'utilisateur. Les comptes d'utilisateurs Active Directory qui essaient de s'authentifier dans le serviceVMware Identity Manager doivent disposer d'un UPN valide qui correspond à l'UPN du certificat.

Vous pouvez configurer le VMware Identity Manager pour utiliser une adresse e-mail afin de valider lecompte d'utilisateur si l'UPN n'existe pas dans le certificat.

Vous pouvez également activer un type d'UPN alternatif à utiliser.

Autorité de certification requise pour l'authentificationPour activer la connexion à l'aide de l'authentification par certificat, des certificats racine et intermédiairesdoivent être chargés dans le VMware Identity Manager.

Les certificats sont copiés dans le magasin de certificats local de l'ordinateur de l'utilisateur. Les certificatsdu magasin de certificats local sont disponibles pour tous les navigateurs exécutés sur l'ordinateur de cetutilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance deVMware Identity Manager dans ce navigateur.

Pour l'authentification par carte à puce, lorsqu'un utilisateur initie une connexion sur l'instance deVMware Identity Manager, le service VMware Identity Manager envoie une liste d'autorités de certification(CA) approuvées au navigateur. Le navigateur compare la liste des CA approuvées aux certificatsd'utilisateur disponibles, sélectionne un certificat adapté, puis demande à l'utilisateur de saisir le code PINd'une carte à puce. Si plusieurs certificats d'utilisateur valides sont disponibles, le navigateur demande àl'utilisateur de sélectionner un certificat.

Si un utilisateur ne peut pas s'authentifier, les autorités de certification racine et intermédiaire sont peut-être mal configurées, ou le service n'a peut-être pas été redémarré après le téléchargement des autoritésde certification racine et intermédiaire sur le serveur. Dans ces situations, le navigateur ne peut pasafficher les certificats installés, l'utilisateur ne peut pas sélectionner le certificat correct, ce qui fait échouerl'authentification par certificat.

Utilisation du contrôle de la révocation des certificatsVous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont lescertificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'unutilisateur quitte une organisation, perd une carte à puce ou change de service.

Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et duprotocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité decertification ayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pourobtenir le statut de révocation d'un certificat.


VMware, Inc. 50

Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification parcertificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la caseUtiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, lecontrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP encas d'échec de la CRL.

Connexion avec le contrôle de la CRLLorsque la révocation des certificats est autorisée, le serveur VMware Identity Manager lit une CRL pourdéterminer l'état de révocation d'un certificat d'utilisateur.

Si un certificat est révoqué, l'authentification par certificat échoue.

Connexion avec le contrôle de certificat OCSPLorsque vous configurez le contrôle de la révocation par le protocole OCSP, VMware Identity Managerenvoie une demande à un répondeur OCSP pour déterminer le statut de révocation d'un certificatd'utilisateur spécifique. Le serveur VMware Identity Manager utilise le certificat de signature OCSP pourvérifier l'authenticité des réponses reçues de la part du répondeur OCSP.

Si le certificat est révoqué, l'authentification échoue.

Il est possible de configurer l'authentification pour basculer vers le contrôle par CRL si aucune réponsen'est reçue de la part du répondeur OSCP ou si la réponse n'est pas valide.

Configurer l'authentification par certificatVous pouvez configurer l'authentification par certificat x509 afin de permettre aux utilisateurs des'authentifier avec des certificats sur leur poste de travail et leurs appareils mobiles. Voir Configurationd'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager.

Prérequis

n Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé lescertificats présentés par vos utilisateurs.

n (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pourl'authentification par certificat.

n Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.

n (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.

n Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure


2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui estconfiguré.


VMware, Inc. 51

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur CertificateAuthAdapter.

4 Configurez la page Adaptateur d'authentification du service de certificat.


Option Description

*Nom Un nom est requis. Le nom par défaut est CertificateAuthAdapter. Vous pouvezmodifier ce nom.

Activer l'adaptateur de certificat Cochez la case pour permettre l'authentification par certificat.

*Certificats d'autorité de certificationracine et intermédiaire

Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionnerplusieurs certificats d'autorité de certification racine et intermédiaire qui utilisentl'encodage DER ou PEM.

Certificats d'autorité de certificationtéléchargés

Les fichiers de certificat téléchargés sont répertoriés dans la section Certificatsd'autorité de certification téléchargés du formulaire.

Utiliser une adresse e-mail s'il n'existepas d'UPN dans le certificat

Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochezcette case pour utiliser l'attribut emailAddress comme extension Autre nom del'objet afin de valider des comptes d'utilisateurs.

Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions destratégie de certificat.

Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission de certificat.Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires.

Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats. Lecontrôle de la révocation empêche les utilisateurs avec des certificats d'utilisateurrévoqués de s'authentifier.

Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiéepar l'autorité de certification qui a émis les certificats afin de valider le statut d'uncertificat, révoqué ou non révoqué.

Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peutêtre récupérée.

Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP(Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'uncertificat.

Utiliser la CRL en cas de défaillance duprotocole

Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pourbasculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible.

Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requêteOCSP soit envoyée dans la réponse.

URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pourle contrôle de la révocation.

Certificat de la signature du répondeurOCSP

Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer.

Activer le formulaire de consentementavant l'authentification

Cochez cette case pour inclure une page du formulaire de consentement quis'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE àl'aide de l'authentification par certificat.

Contenu du formulaire deconsentement

Saisissez le texte qui s'affiche sur le formulaire de consentement dans cette zonede texte.


VMware, Inc. 52


Suivant

n Ajoutez la méthode d'authentification de certificat à la stratégie d'accès par défaut. Voir Gestion desméthodes d'authentification à appliquer aux utilisateurs.

n Lorsque l'authentification par certificat est configurée et que le dispositif de service est configuréderrière un équilibrage de charge, assurez-vous que le connecteur VMware Identity Manager estconfiguré avec un passe-système SSL au niveau de l'équilibrage de charge et qu'il n'est pasconfiguré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet des'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificatau connecteur.

Configuration de VMware Verify pour l'authentification àdeux facteursDans la console d'administration de VMware Identity Manager, vous pouvez activer le service VMwareVerify comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise.

Vous activez VMware Verify dans le fournisseur d'identité intégré dans la console d'administration etajoutez le jeton de sécurité VMware Verify que vous recevez de la part du support VMware.

Vous configurez l'authentification à deux facteurs dans les règles de stratégie d'accès pour exiger desutilisateurs qu'ils s'authentifient avec deux méthodes d'authentification.

Les utilisateurs installent l'application VMware Verify sur leurs périphériques et fournissent un numéro detéléphone pour enregistrer leur périphérique auprès du service VMware Verify. Le périphérique et lenuméro de téléphone sont également enregistrés dans le profil Utilisateur et groupes dans la consoled'administration.

Les utilisateurs inscrivent leur compte une fois lorsqu'ils se connectent avec l'authentification par mot depasse, puis qu'ils entrent le code secret VMware Verify qui s'affiche sur leur périphérique. Aprèsl'authentification initiale, les utilisateurs peuvent s'authentifier via l'une de ces trois méthodes.

n Approbation push avec une notification monotouche. Les utilisateurs approuvent ou refusent l'accèsde VMware Identity Manager avec un clic. Les utilisateurs cliquent sur Approuver ou sur Refuser surle message envoyé.

n Code secret TOTP (Time-based One Time Password). Un code secret à usage unique est générétoutes les 20 secondes. Les utilisateurs entrent ce code secret sur l'écran de connexion.

n SMS. Phone SMS est utilisé pour envoyer un code de vérification à usage unique dans un SMS aunuméro de téléphone enregistré. Les utilisateurs entrent ce code de vérification sur l'écran deconnexion.

VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur.Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sontstockées dans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité.


VMware, Inc. 53

Activer VMware VerifyPour activer l'authentification à deux facteurs avec le service VMware Verify, vous devez ajouter un jetonde sécurité à la page VMware Verify et activer VMware Verify dans le fournisseur d'identité intégré.

Prérequis

Créez un ticket de support avec le support VMware ou AirWatch pour recevoir le jeton de sécurité quiactive VMware Verify. L'équipe du support traite votre demande et met à jour le ticket de support avecdes instructions et un jeton de sécurité. Vous ajoutez ce jeton de sécurité à la page VMware Verify.

(Facultatif) Personnalisez le logo et l'icône qui s'affichent dans l'application VMware Verify sur lespériphériques. Voir Personnaliser des informations de marque pour l'application VMware Verify.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Méthodes d'authentification.

2 Dans la colonne Configurer de VMware Verify, cliquez sur l'icône.

3 Collez le jeton de sécurité que vous avez reçu de la part de l'équipe du support VMware ou AirWatchdans la zone de texte Jeton de sécurité.

4 Cochez la case Activer VMware Verify.


Suivant

Activez VMware Verify comme méthode d'authentification dans un fournisseur d'identité intégré. Configurer des fournisseurs d'identité intégrés.

Créez une règle de stratégie d'accès dans la stratégie d'accès par défaut pour ajouter la méthoded'authentification VMware Verify comme seconde méthode d'authentification dans la règle. Voir Gestiondes méthodes d'authentification à appliquer aux utilisateurs.

Appliquez des informations de marque personnalisées sur la page de connexion de VMware Verify. Voir Personnaliser des informations de marque pour l'application VMware Verify.

Enregistrement des utilisateurs finaux avec VMware VerifyLorsque l'authentification VMware Verify est requise pour l'authentification à deux facteurs, les utilisateursinstallent et utilisent l'application VMware Verify pour enregistrer leur périphérique.

Remarque L'application VMware Verify peut être téléchargée depuis les boutiques d'applications.

Lorsque l'authentification à deux facteurs VMware Verify est activée, la première fois que les utilisateursse connectent à l'application Workspace ONE, il leur est demandé d'entrer leur nom d'utilisateur et leurmot de passe. Lorsque le nom d'utilisateur et le mot de passe sont vérifiés, les utilisateurs sont invités àentrer le numéro de téléphone de leur périphérique à inscrire dans VMware Verify.


VMware, Inc. 54

Lorsqu'ils cliquent sur Inscription, le numéro de téléphone est enregistré avec VMware Verify et, s'ils n'ontpas téléchargé cette application, ils sont invités à le faire.

Lorsque l'application est installée, il est demandé aux utilisateurs d'entrer le même numéro de téléphoneque celui entré précédemment et de sélectionner une méthode de notification pour recevoir un coded'enregistrement à usage unique. Le code d'enregistrement est entré sur la page Code PINd'enregistrement.

Une fois le numéro de téléphone du périphérique enregistré, les utilisateurs peuvent utiliser un codesecret à usage unique basé sur l’heure affiché dans l'application VMware Verify pour se connecter àWorkspace ONE. Le code secret est un numéro unique généré sur le périphérique et qui changeconstamment.

Les utilisateurs peuvent enregistrer plusieurs périphériques. Le code secret VMware Verify estsynchronisé automatiquement sur chaque périphérique enregistré.

Supprimer le numéro de téléphone enregistré du profild'utilisateurPour résoudre les problèmes de connexion à Workspace ONE, vous pouvez supprimer le numéro detéléphone de l'utilisateur du profil utilisateur dans la console d'administration deVMware Identity Manager.

Procédure

1 Dans la console d'administration, cliquez sur Utilisateurs et groupes.

2 Sur la page Utilisateur, sélectionnez le nom d'utilisateur à réinitialiser.

3 Dans l'onglet VMware Verify, cliquez sur Réinitialiser VMware Verify.

Le numéro de téléphone est supprimé du profil utilisateur et la liste Utilisateur indique S/O dans lacolonne Numéro de téléphone de VMware Verify. L'enregistrement du numéro de téléphone est annulédu service VMware Verify. Lorsque l'utilisateur se connecte à son application Workspace ONE, il est invitéà entrer le numéro de téléphone pour s'inscrire de nouveau au service VMware Verify.

Utilisation de fournisseurs d'identité intégrésIl est possible de configurer des fournisseurs d'identité intégrés avec des méthodes d'authentification quine nécessitent pas l'utilisation d'un connecteur sur site. Un fournisseur d'identité intégré est disponible surla page Identité et gestion de l'accès > Fournisseurs d'identité de la console d'administration. Vouspouvez créer des fournisseurs d'identité intégrés supplémentaires.

Configurez les méthodes d'authentification à partir de la page Identité et gestion de l'accès > Méthodesd'authentification. Lorsque vous configurez le fournisseur d'identité intégré, vous associez les méthodesd'authentification à utiliser dans le fournisseur d'identité intégré.


VMware, Inc. 55

Vous pouvez également configurer les fournisseurs d'identité intégrés de manière à ce qu'ils utilisent lesméthodes d'authentification configurées sur un connecteur déployé en mode de connexion sortie seule.Un connecteur sortie seule n'a pas besoin que le port de pare-feu d'entrée 443 soit ouvert. Le connecteurétablit une connexion sortie seule (à l'aide de WebSocket) avec le service de cloud et reçoit lesdemandes d'authentification sur ce canal. Consultez le guide de déploiement de VMware IdentityManager Cloud pour plus d'informations sur le déploiement d'un connecteur sortie seule.

Une fois les méthodes d'authentification associées dans les fournisseurs d'identité, vous devez créer desstratégies d'accès à appliquer à ces méthodes.

Configuration des méthodes d'authentification des fournisseursd'identité intégrésConfigurez les méthodes d'authentification du service qui peuvent être utilisées dans les fournisseursd'identité intégrés. Ces méthodes d'authentification ne nécessitent pas l'utilisation d'un connecteur sursite.

Lorsque vous configurez le fournisseur d'identité intégré, vous activez les méthodes d'authentification àutiliser.

Les méthodes d'authentification suivantes ne requièrent pas de connecteur. Activez et configurez lesméthodes d'authentification sur la page Gérer > Méthodes d'authentification de l'onglet Identité et gestionde l'accès, puis associez la méthode d'authentification à un fournisseur d'identité intégré.

n Mobile SSO pour iOS

n Certificat (déploiement de Cloud)

n Mot de passe utilisant AirWatch Connector

n VMware Verify pour authentification à deux facteurs

n Mobile SSO pour Android

n Conformité des périphériques avec AirWatch

n Mot de passe (répertoire local)

Une fois les méthodes d'authentification activées, vous pouvez créer des stratégies d'accès à appliquer àces méthodes.


VMware, Inc. 56

Désactivation des méthodes d'authentification associées aux fournisseursd'identité intégrésVous pouvez désactiver les méthodes d'authentification que vous avez configurées sur la page Méthodesd'authentification. Lorsque vous désactivez une méthode d'authentification, si celle-ci est associée à unfournisseur d'identité, elle sera désactivée dans ce dernier. La méthode d'authentification est égalementsupprimée comme option dans toutes les règles de stratégie d'accès.

Important Si la méthode d'authentification que vous avez désactivée était configurée dans une règle destratégie d'accès, cette dernière doit être mise à jour pour sélectionner une autre méthoded'authentification. Si la règle de stratégie d'accès n'est pas mise à jour, les utilisateurs risquent de ne paspouvoir se connecter à leur portail d'applications ou accéder à leurs ressources.

Pour désactiver une authentification sur des fournisseurs d'identité intégrés spécifiques, accédez à lapage de configuration du fournisseur d'identité intégré et décochez la case de la méthoded'authentification associée.

Gestion de la configuration de l’authentification par mot de passe surAirWatchVous pouvez vérifier et gérer la configuration du mot de passe (AirWatch Connector) qui a été configuréelorsque vous avez installé AirWatch et ajouté le service VMware Identity Manager.

La méthode d'authentification par mot de passe (AirWatch Connector) est gérée à partir de la pageGestion des identités et des accès > Méthodes d'authentification et est associée au fournisseur d'identitéintégré de la page Fournisseurs d'identité.

Important Lors d'une mise à niveau du logiciel AirWatch Cloud Connector, veillez à mettre à jour laconfiguration AirWatch de VMware Identity Manager dans la page AirWatch de la consoled'administration de VMware Identity Manager.

Procédure

1 Pour consulter et gérer la configuration, dans l'onglet Gestion des identités et des accès, sélectionnezMéthodes d'authentification.

2 Dans la colonne Configurer de Mot de passe (AirWatch Connector), cliquez sur l’icône en forme decrayon.

3 Vérifiez la configuration.

Option Description

Activer l'authentification par mot depasse AirWatch

Cette case à cocher active l’authentification par mot de passe AirWatch.

URL de la console d'administrationd'AirWatch

Pré-remplie avec l’URL d’AirWatch.

Clé API AirWatch Pré-remplie avec la clé API d'administration AirWatch.

Certificat utilisé pour l'authentification Pré-remplie avec le certificat d’AirWatch Cloud Connector.


VMware, Inc. 57

Option Description

Mot de passe du certificat Pré-remplie avec le mot de passe du certificat d'AirWatch Cloud Connector.

ID de groupe AirWatch Pré-remplie avec l’ID du groupe d’organisation.

Nombre de tentatives d'authentificationautorisées

Le nombre maximum de tentatives de connexion échouées lors de l’utilisation del’authentification par mot de passe AirWatch. Plus aucune connexion n’estautorisée une fois que ce nombre maximal de tentatives de connexion échouéesest atteint. Le service VMware Identity Manager tente d'utiliser la méthoded'authentification de secours si elle est configurée. La valeur par défaut est decinq tentatives.

JIT activé Si JIT n’est pas activé, cochez cette case pour activer le provisionnement juste-à-temps d’utilisateurs dans le service VMware Identity Manager dynamiquementlorsqu’ils se connectent pour la première fois.


Activation de la vérification de la conformité pour les périphériques géréspar AirWatchLorsque les utilisateurs inscrivent leurs périphériques, des exemples contenant des données utiliséespour évaluer la conformité sont envoyés selon un calendrier établi. L'évaluation de ces exemples dedonnées garantit que le périphérique répond aux règles de conformité définies par l'administrateur dansla console AirWatch. Si le périphérique n'est plus conforme, les mesures correspondantes configuréesdans la console AirWatch sont prises.

Le service VMware Identity Manager inclut une option de stratégie d’accès pouvant être configurée demanière à vérifier l’état de conformité du périphérique sur le serveur AirWatch lorsque des utilisateurs seconnectent à partir du périphérique. La vérification de la conformité garantit que les utilisateurs nepeuvent pas se connecter à une application ou utiliser l’authentification unique sur le portail WorkspaceONE si le périphérique devient non conforme. Une fois le périphérique de nouveau conforme, il estpossible de se connecter.

L'application Workspace ONE se déconnecte automatiquement et bloque l'accès aux applications si lepériphérique est compromis. Si le périphérique a été inscrit via la gestion adaptative, une commande denettoyage d'entreprise émise via la console d'AirWatch désinscrit le périphérique et supprime lesapplications gérées à partir du périphérique. Les applications non gérées ne sont pas supprimées.

Pour plus d'informations sur les stratégies de conformité d'AirWatch, consultez le Guide de gestion despériphériques mobiles VMware AirWatch, disponible sur le site Web des ressources d'AirWatch.

Activer la vérification de conformité

Dans VMware Identity Manager, activez la conformité de périphérique sur la page de configurationd'AirWatch et configurez la conformité de périphérique sur la page Gérer > Méthodes d'authentification.

Lorsque la conformité de périphérique est configurée, des règles de stratégie d'accès peuvent êtreconfigurées de manière à vérifier sur le serveur AirWatch la conformité du périphérique lorsqu'unutilisateur se connecte à partir de son appareil. Voir Activation de la vérification de la conformité pour lespériphériques gérés par AirWatch.


VMware, Inc. 58

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration> AirWatch.

2 Dans la section Conformité de périphérique, sélectionnez Activer, puis cliquez sur Enregistrer.


4 Dans la colonne Configurer de Conformité de périphérique (avec AirWatch), cliquez sur l'icône.

5 Activez l'authentification par conformité de périphérique et définissez le nombre maximal detentatives de connexion infructueuses. Les autres zones de texte sont pré-remplies à l'aide desvaleurs AirWatch configurées.

Option Description

Activer l'adaptateur de conformité depériphérique

Cochez cette case pour activer l'authentification par mot de passe AirWatch.

URL de la console d'administrationd'AirWatch

Pré-remplie avec l'URL d'AirWatch que vous avez configurée sur la page deconfiguration d'AirWatch.

Clé API AirWatch Pré-remplie avec la clé API d'administration AirWatch.

Certificat utilisé pour l'authentification Pré-remplie avec le certificat d'AirWatch Cloud Connector

Mot de passe du certificat Pré-remplie avec le mot de passe du certificat d'AirWatch Cloud Connector.


Suivant

Associez la méthode d'authentification par conformité de périphérique au fournisseur d'identité intégré.Voir Configurer des fournisseurs d'identité intégrés.

Configurez la stratégie d'accès par défaut pour créer des règles permettant d'utiliser la conformité depériphérique avec AirWatch. Voir Configurer une règle de stratégie d’accès.

Configurer la méthode d'authentification par mot de passe pour un annuairelocalConfigurez l'authentification par mot de passe pour les annuaires locaux sur la page Gérer > Méthodesd'authentification de l'onglet Identité et gestion de l'accès.

Une fois que la méthode d'authentification est configurée, associez la méthode d'authentification par motde passe (annuaire local) au fournisseur d'identité intégré associé à l'annuaire local.

Procédure


2 Dans la colonne Configurer de Mot de passe (annuaire local), cliquez sur l'icône.

3 Cochez la case Activer l'authentification par mot de passe d'annuaire local.


VMware, Inc. 59

4 Dans la zone de texte Nombre de tentatives de spécification de mot de passe, entrez le nombremaximal de tentatives de connexion infructueuses. Plus aucune connexion n'est autorisée une foisque ce nombre maximal de tentatives de connexion échouées est atteint. La valeur par défaut est decinq tentatives.


Suivant

n Associez la méthode d'authentification par mot de passe (annuaire local) au fournisseur d'identitéintégré.

Configurer l'authentification par certificatVous pouvez configurer l'authentification par certificat x509 afin de permettre aux utilisateurs des'authentifier avec des certificats sur leur poste de travail et leurs appareils mobiles. Voir Configurationd'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager.

Prérequis





n Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure


2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui estconfiguré.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur CertificateAuthAdapter.

4 Configurez la page Adaptateur d'authentification du service de certificat.


Option Description

*Nom Un nom est requis. Le nom par défaut est CertificateAuthAdapter. Vous pouvezmodifier ce nom.

Activer l'adaptateur de certificat Cochez la case pour permettre l'authentification par certificat.


VMware, Inc. 60

Option Description

*Certificats d'autorité de certificationracine et intermédiaire

Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionnerplusieurs certificats d'autorité de certification racine et intermédiaire qui utilisentl'encodage DER ou PEM.

Certificats d'autorité de certificationtéléchargés

Les fichiers de certificat téléchargés sont répertoriés dans la section Certificatsd'autorité de certification téléchargés du formulaire.


Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochezcette case pour utiliser l'attribut emailAddress comme extension Autre nom del'objet afin de valider des comptes d'utilisateurs.

Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions destratégie de certificat.

Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission de certificat.Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires.

Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats. Lecontrôle de la révocation empêche les utilisateurs avec des certificats d'utilisateurrévoqués de s'authentifier.



Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP(Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'uncertificat.


Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pourbasculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible.

Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requêteOCSP soit envoyée dans la réponse.


Certificat de la signature du répondeurOCSP

Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer.

Activer le formulaire de consentementavant l'authentification

Cochez cette case pour inclure une page du formulaire de consentement quis'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE àl'aide de l'authentification par certificat.

Contenu du formulaire deconsentement

Saisissez le texte qui s'affiche sur le formulaire de consentement dans cette zonede texte.


Suivant

n Ajoutez la méthode d'authentification de certificat à la stratégie d'accès par défaut. Voir Gestion desméthodes d'authentification à appliquer aux utilisateurs.


VMware, Inc. 61

n Lorsque l'authentification par certificat est configurée et que le dispositif de service est configuréderrière un équilibrage de charge, assurez-vous que le connecteur VMware Identity Manager estconfiguré avec un passe-système SSL au niveau de l'équilibrage de charge et qu'il n'est pasconfiguré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet des'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificatau connecteur.

Configuration de l'authentification Mobile SSO for iOS dans VMware IdentityManagerVous configurez la méthode d'authentification Mobile SSO for iOS à partir de la page Méthodesd’authentification dans la console d'administration. Associez la méthode d’authentification Mobile SSO aufournisseur d’identité intégré.

Utilisation du service de cloud hébergé KDC

Pour prendre en charge l’utilisation d'authentification Kerberos pour Mobile SSO pour iOS, VMwareIdentity Manager fournit un service de cloud hébergé KDC.

Le service KDC hébergé dans le cloud doit être utilisé lorsque le service VMware Identity Manager estdéployé avec AirWatch dans un environnement Windows.

Pour utiliser le KDC géré dans le dispositif VMware Identity Manager, reportez-vous à la Préparation pourutiliser l’authentification Kerberos sur les périphériques iOS dans le Guide de configuration etd'installation de VMware Identity Manager.

Lorsque vous configurez l’authentification Mobile SSO pour iOS, vous configurez le nom de domainepour le service cloud hébergé KDC. Le domaine est le nom de l'entité administrative qui conserve desdonnées d'authentification. Lorsque vous cliquez sur Enregistrer, le service VMware Identity Manager estenregistré avec le service cloud hébergé KDC. Les données stockées dans le service KDC sont baséessur la configuration de la méthode d'authentification Mobile SSO pour iOS, ce qui inclut le certificatd’autorité de certification, le certificat de signature OCSP et les détails de configuration de demandeOCSP. Aucune autre information spécifique à l’utilisateur n’est stockée dans le service de cloud.

Les enregistrements de journalisation sont stockées dans le service cloud. Les informations identifiablespersonnellement (IPI) dans les enregistrements de journalisation incluent le nom principal Kerberos duprofil utilisateur, les valeurs d’objet ND et UPN et E-mail SAN, le périphérique ID du certificat del’utilisateur et le nom de domaine complet du service IDM auquel accède l'utilisateur.

Pour utiliser le service cloud hébergé KDC, VMware Identity Manager doit être configuré comme suit.

n Le nom de domaine complet du service VMware Identity Manager doit être accessible depuisInternet. Le certificat SSL/TLS utilisé par VMware Identity Manager doit être signé publiquement.

n Une demande/réponse du port 88 (UDP) et du port 443 (HTTPS/TCP) sortants doivent êtreaccessibles depuis le service VMware Identity Manager.

n Si vous activez OCSP, le répondeur OCSP doit être accessible depuis Internet.


VMware, Inc. 62

Configurer l'authentification Mobile SSO pour iOS

Vous configurez la méthode d'authentification Mobile SSO pour iOS à partir de la page Méthodesd'authentification dans la console d'administration. Sélectionnez la méthode d’authentification MobileSSO (pour iOS) à utiliser dans le fournisseur d’identité intégré.

Prérequis

n Fichier PEM ou DER de l'autorité de certification utilisé pour émettre des certificats pour lesutilisateurs dans le locataire AirWatch.

n Pour la vérification de révocation, certificat de signature du répondeur OCSP.

n Pour le service KDC, sélectionnez, le nom de domaine du service KDC. Si vous utilisez le serviceKDC intégré, le centre de distribution de clés (KDC) doit être initialisé. Reportez-vous à la sectionInstallation et configuration de VMware Identity Manager pour voir les détails du KDC intégré.

Procédure


2 Dans la colonne Configurer de Mobile SSO (pour iOS), cliquez sur l'icône.

3 Configurez la méthode d'authentification Kerberos.

Option Description

Activer l'authentification KDC Cochez cette case pour autoriser les utilisateurs à s'authentifier à l'aide depériphériques iOS prenant en charge l'authentification Kerberos.

Domaine Si vous utilisez le cloud hébergé KDC, entrez le nom de domaine prédéfini pris encharge qui vous est fourni. Dans ce paramètre, le texte doit être saisi en lettresmajuscules. Par exemple, OP.VMWAREIDENTITY.COM

Si vous utilisez le KDC intégré, le nom de domaine que vous avez configurélorsque vous avez initialisé le KDC s’affiche.

Certificat d'autorité de certificationracine et intermédiaire

Téléchargez le fichier de certificat de l'émetteur de l'autorité de certification. Leformat de fichier peut être PEM ou DER.

Noms uniques de sujet du certificatd'autorité de certification téléchargés

Le contenu du fichier de certificat téléchargé s'affiche ici. Il est possible detélécharger plusieurs fichiers et tous les certificats inclus sont ajoutés à la liste.

Activer OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP(Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'uncertificat.

Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requêteOCSP soit envoyé dans la réponse.

Certificat de signature du répondeurOCSP

Téléchargez le certificat OCSP du répondeur.

Lorsque vous utilisez l'autorité de certification AirWatch, le certificat de l'émetteurest utilisé comme certificat OCSP. Téléchargez le certificat AirWatch iciégalement.

Nom unique de sujet du certificat designature du répondeur OCSP

Le fichier de certificat OCSP téléchargé est répertorié ici.

Message Annuler Créez un message de connexion personnalisé qui s'affiche lorsquel'authentification prend trop de temps. Si vous ne créez pas de messagepersonnalisé, le message par défaut est Attempting to authenticate yourcredentials.


VMware, Inc. 63

Option Description

Activer le lien d'annulation Lorsque l'authentification prend trop de temps, permettez aux utilisateurs decliquer sur Annuler pour arrêter la tentative d'authentification et annuler laconnexion.

Lorsque le lien Annuler est activé, Annuler apparaît à la fin du message d'erreurd'authentification qui s'affiche.

URL du serveur de gestion despériphériques de l'entreprise

Entrez l'URL du serveur Mobile Device Management (MDM) pour rediriger lesutilisateurs lorsque l'accès est refusé, car le périphérique n'est pas inscrit dansAirWatch pour la gestion MDM. Cette URL s'affiche dans le message d'erreurd'échec d'authentification. Si vous n'entrez pas une URL ici, le messagegénérique Accès refusé s'affiche.


Suivant

n Associez la méthode d'authentification Mobile SSO (pour iOS) dans le fournisseur d'identité intégré.

n Configurez la règle de stratégie d'accès par défaut pour l'authentification Kerberos pour lespériphériques iOS. Vérifiez que cette méthode d'authentification est la première configurée dans larègle.

n Allez dans la console d'administration d'AirWatch et configurez le profil de périphérique iOS dansAirWatch, puis ajoutez le certificat de l'émetteur de certificat du serveur KDC à partir deVMware Identity Manager.

Configurer l'authentification Mobile SSO pour iOS dans le fournisseurd'identité intégréPour fournir l'authentification unique depuis des périphériques Android gérés par AirWatch, vousconfigurez l'authentification Mobile SSO pour Android dans le fournisseur d'identité intégré VMwareIdentity Manager.

Prérequis





Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer >Fournisseurs d'identité.

2 Cliquez sur le fournisseur d'identité avec l'étiquette Intégré.


VMware, Inc. 64

3 Vérifiez que la configuration Utilisateurs et réseau dans le fournisseur d'identité intégré est correcte.

Si ce n'est pas le cas, modifiez les sections Utilisateurs et réseau si nécessaire.

Remarque La plage réseau que vous utilisez dans la règle de stratégie pour Mobile SSO pourAndroid ne doit contenir que les adresses IP utilisées pour recevoir des demandes provenant duserveur proxy VMware Tunnel.

4 Dans la section Méthodes d'authentification, cliquez sur l'icône d'engrenage Mobile SSO (pourpériphériques Android).

5 Sur la page CertProxyAuthAdapter, configurez la méthode d'authentification.

Option Description

Activer l'adaptateur de certificat Cochez cette case pour activer Mobile SSO pour Android.

Certificat d'autorité de certificationracine et intermédiaire

Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionnerplusieurs certificats d'autorité de certification racine et intermédiaire qui sontencodés. Le format de fichier peut être PEM ou DER.

Noms uniques de sujet du certificatd'autorité de certification téléchargés

Le contenu du fichier de certificat téléchargé s'affiche ici.


Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochezcette case pour utiliser l'attribut emailAddress comme extension Autre nom del'objet afin de valider des comptes d'utilisateur.

Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions destratégie de certificat. Entrez le numéro d'ID d'objet (OID) pour la stratégied'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter desOID supplémentaires.

Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats.Cela empêche les utilisateurs avec des certificats d'utilisateur révoqués des'authentifier.



Autoriser la révocation OCSP Cochez cette case pour utiliser le protocole de validation des certificats OCSP(Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'uncertificat.


Si vous configurez une CRL et OCSP, vous pouvez sélectionner cette zone pourbasculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible.

Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requêteOCSP soit envoyé dans la réponse.


Certificat de signature du répondeurOCSP

Entrez le chemin d'accès au certificat OCSP du répondeur. Utilisez leformat /path/to/file.cer


VMware, Inc. 65

Option Description

Activer le lien d'annulation Lorsque l'authentification prend trop de temps, si ce lien est activé, les utilisateurspeuvent cliquer sur Annuler pour interrompre la tentative d'authentification etannuler la connexion.

Message Annuler Créez un message personnalisé qui s'affiche lorsque l'authentification prend tropde temps. Si vous ne créez pas de message personnalisé, le message par défautest Attempting to authenticate your credentials.


7 Cliquez sur Enregistrer sur la page Fournisseur d'identité intégré.

Suivant

Configurez la règle de stratégie d'accès par défaut pour Mobile SSO pour Android.

Configurer des fournisseurs d'identité intégrésVous pouvez configurer plusieurs fournisseurs d'identité intégrés et associer des méthodesd'authentification qui ont été configurées sur la page Gérer > Méthodes d'authentification de l'ongletIdentité et gestion de l'accès.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité.

2 Cliquez sur Ajouter un fournisseur d'identité, puis sélectionnez Créer un IDP intégré.

Option Description

Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré.

Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuaires configurés sontrépertoriés.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP quevous souhaitez rediriger vers cette instance de fournisseur d'identité à des finsd'authentification.

Méthodes d'authentification Les méthodes d'authentification qui sont configurées sur le service sont affichées.Cochez la case des méthodes d'authentification à associer à ce fournisseurd'identité intégré.

Pour Conformité des périphériques (avec AirWatch) et Mot de passe (AirWatchConnector), vérifiez que l'option est activée sur la page de configurationd'AirWatch.


Suivant

Configurez la règle de stratégie d’accès par défaut pour ajouter la stratégie d’authentification à la règle.Voir Configurer une règle de stratégie d’accès


VMware, Inc. 66

Utilisation d'un connecteur sortant pour l'authentification dans lesfournisseurs d'identité intégrésUn fournisseur d'identité intégré peut être configuré de manière à utiliser des méthodes d'authentificationde service qui ne nécessitent pas de connecteur installé derrière un pare-feu. Le connecteur est installéen mode de connexion sortant et il n'a pas besoin que le port de pare-feu d'entrée 443 soit ouvert.

Le connecteur établit une connexion sortie seule (à l'aide de WebSocket) avec le service de cloud etreçoit les demandes d'authentification sur ce canal.

Les méthodes d'authentification qui sont configurées sur un connecteur déployé derrière la zone DMZ enmode de connexion sortie seule peuvent être associées au fournisseur d'identité lorsque vous configurezun fournisseur d'identité intégré.

Il est possible de configurer les méthodes d'authentification de connecteur suivantes.

n Mot de passe (déploiement de Cloud)

n RSA Adaptive Auth (déploiement de Cloud)

n RSA SecurID (déploiement de Cloud)

n RADIUS (déploiement de Cloud)

Une fois les méthodes d'authentification configurées, vous devez créer des stratégies d'accès à appliquerà ces méthodes.

Configurer un fournisseur d'identité intégré avec les méthodesd'authentification configurées sur un connecteur en mode sortieseuleLes méthodes d'authentification configurées sur un connecteur déployé derrière la zone DMZ en mode deconnexion sortie seule peuvent être associées au fournisseur d'identité intégré au moment de laconfiguration de ce dernier.

Prérequis

n Les utilisateurs et les groupes situés dans un répertoire d'entreprise doivent être synchronisés avecle répertoire VMware Identity Manager.

n Liste des plages réseau que vous souhaitez rediriger vers l'instance du fournisseur d'identité intégréà des fins d'authentification.

n Pour activer des méthodes d'authentification du fournisseur d'identité intégré, vérifiez que lesméthodes d'authentification sont configurées dans le connecteur.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité.


VMware, Inc. 67

2 Sélectionnez le fournisseur d'identité avec l'étiquette Intégré et configurez ses détails.

Option Description

Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré.

Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuaires configurés sontrépertoriés.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP quevous souhaitez rediriger vers cette instance de fournisseur d'identité à des finsd'authentification.

Méthodes d'authentification Les méthodes d'authentification configurées sur la page Gérer > Méthodesd'authentification de l'onglet Identité et gestion de l'accès sont affichées. Cochezla case des méthodes d'authentification à associer au fournisseur d'identité.

Pour Conformité des périphériques (avec AirWatch) et Mot de passe (AirWatchConnector), vérifiez que l'option est activée sur la page de configurationd'AirWatch.

Connecteur(s) Sélectionnez le connecteur qui est configuré en mode de connexion sortie seule.

Méthodes d'authentification duconnecteur

Les méthodes d'authentification configurées sur le connecteur sont répertoriéesdans cette section. Cochez la case pour associer les méthodes d'authentification.

3 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliser

dans la configuration AirWatch du profil de gestion du périphérique iOS.


Configurer des fournisseurs d'identité WorkspacesupplémentairesQuand le connecteur VMware Identity Manager est configuré initialement, lorsque vous activez leconnecteur afin d'authentifier des utilisateurs, un IDP Workspace est créé en tant que fournisseurd'identité et l'authentification par mot de passe est activée.

Des connecteurs supplémentaires peuvent être configurés derrière différents équilibrages de charge.Lorsque votre environnement inclut plusieurs équilibrages de charge, vous pouvez configurer unfournisseur d'identité Workspace différent pour l'authentification dans chaque configuration à équilibragede charge. Consultez les rubriques Installation de dispositifs de connecteur supplémentaires dans leGuide d'installation et de configuration de VMware Identity Manager.

Les différents fournisseurs d'identité Workspace peuvent être associés au même annuaire ou, si vousdisposez de plusieurs annuaires configurés, vous pouvez sélectionner l'annuaire à utiliser.

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer >Fournisseurs d'identité.

2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP Workspace.


VMware, Inc. 68

3 Modifiez les paramètres de l'instance de fournisseur d'identité.

Option Description

Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité Workspace.

Utilisateurs Sélectionnez l'annuaire VMware Identity Manager des utilisateurs qui peuvents'authentifier à l'aide de ce fournisseur d'identité Workspace.

Connecteur(s) Les connecteurs qui ne sont pas associés à l'annuaire que vous avez sélectionnésont répertoriés. Sélectionnez le connecteur à associer à l'annuaire.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.

Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP,que vous souhaitez rediriger vers cette instance de fournisseur d'identité à desfins d'authentification.


Configuration d'une instance de fournisseur d'identitétiers pour authentifier des utilisateursVous pouvez configurer un fournisseur d'identité tiers utilisé pour authentifier des utilisateurs dans leservice VMware Identity Manager.

Effectuez les tâches suivantes avant d’utiliser l’ajout de l’instance de fournisseur d’identité tiers.

n Vérifiez que les instances tierces sont conformes à la norme SAML 2.0 et que le service peutatteindre l'instance tierce.

n Obtenez les informations sur les métadonnées tierces à ajouter lors de la configuration du fournisseurd'identité dans la console d'administration. Les informations de métadonnées que vous obtenez del'instance tierce correspondent à l'URL d'accès aux métadonnées ou aux métadonnées proprementdites.

Ajouter et configurer une instance de fournisseur d'identitéEn ajoutant et en configurant des instances de fournisseurs d'identité pour votre déploiementVMware Identity Manager, vous pouvez garantir une disponibilité élevée, prendre en charge desméthodes d'authentification d'utilisateurs supplémentaires et améliorer la souplesse de gestion duprocessus d'authentification des utilisateurs en fonction des plages d'adresses IP de ces derniers.

Prérequis

n Configurez les plages réseau que vous souhaitez rediriger vers cette instance de fournisseurd'identité à des fins d'authentification. Voir Ajout ou modification d'une plage réseau.

n Accédez au document sur les métadonnées tierces. Il peut s'agir de l'URL d'accès aux métadonnéesou des métadonnées réelles.

Procédure

1 Dans l’onglet Gestion des identités et des accès de la console d’administration, sélectionnezIdentifier fournisseurs.


VMware, Inc. 69

2 Cliquez sur Ajouter un fournisseur d'identité.

3 Modifiez les paramètres de l'instance de fournisseur d'identité.

Élément de formulaire Description

Nom du fournisseurd'identité

Entrez un nom pour cette instance de fournisseur d'identité.

Liaison SAML Sélectionnez la manière dont la requête AuthnRequest doit être envoyée, soit par HTTP POSTsoit par une redirection HTTP

La redirection HTTP est la valeur par défaut.

Métadonnées SAML Ajoutez le document sur les métadonnées XML de fournisseur d'identité tiers afin d'établir unerelation d'approbation avec le fournisseur d'identité.

1 Entrez l'URL des métadonnées SAML ou le contenu xml dans la zone de texte.

2 Cliquez sur Traiter les métadonnées IdP. Les formats NameID pris en charge par l'IdP sontextraits des métadonnées et ajoutés au tableau Format d'ID de nom.

3 Dans la colonne de valeurs ID de nom, sélectionnez l'attribut utilisateur dans le service àmapper aux formats d'ID affichés. Vous pouvez ajouter des formats d'ID de nom tiers et lesmapper aux valeurs d'attribut utilisateur du service.

4 (Facultatif) Sélectionnez le format de la chaîne d'identificateur de réponse NameIDPolicy.

Provisionnement juste-à-temps

S/O

Utilisateurs Sélectionnez l’Autre répertoire qui inclut les utilisateurs pouvant s’authentifier à l’aide de cefournisseur d’identités.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.

Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que voussouhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification.

Méthodesd'authentification

Ajoutez les méthodes d'authentification prises en charge par le fournisseur d'identité tiers.Sélectionnez la classe de contexte d'authentification SAML qui prend en charge la méthoded'authentification.

Configuration de ladéconnexion unique

Activez la déconnexion unique pour fermer la session de fournisseur d'identité des utilisateurslorsqu'ils se déconnectent. Si la déconnexion unique n'est pas activée, la session de fournisseurd'identité des utilisateurs est toujours active lorsqu'ils se déconnectent.

(Facultatif) Si le fournisseur d'identité prend en charge le profil de déconnexion unique SAML,activez la déconnexion unique et laissez la case URL de redirection vide. Si le fournisseurd'identité ne prend pas en charge le profil de déconnexion unique SAML, activez la déconnexionunique et entrez l'URL de déconnexion du fournisseur d'identité vers laquelle les utilisateurs sontredirigés lorsqu'ils se déconnectent de VMware Identity Manager.

Si vous avez configuré l'URL de redirection et si vous voulez que les utilisateurs retournent à lapage de connexion de VMware Identity Manager après avoir été redirigés vers l'URL dedéconnexion du fournisseur d'identité, entrez le nom de paramètre utilisé par l'URL de redirectiondu fournisseur d'identité.


VMware, Inc. 70


Certificat de signatureSAML

Cliquez sur Métadonnées du fournisseur de services (SP) pour voir l'URL vers lesmétadonnées du fournisseur de services SAML VMware Identity Manager. Copiez et enregistrezl'URL. Cette URL est configurée lorsque vous modifiez l'assertion SAML dans le fournisseurd'identité tiers pour mapper des utilisateurs VMware Identity Manager.

Nom d'hôte IdP Si la zone de texte Nom d'hôte s'affiche, entrez le nom d'hôte vers lequel le fournisseur d'identitéest redirigé pour l'authentification. Si vous utilisez un port non standard autre que 443, vouspouvez définir le nom d'hôte avec le format Nom d'hôte:Port. Par exemple, myco.example.com:8443.


Suivant

n Modifiez la configuration du fournisseur d'identité tiers pour ajouter l'URL de certificat de signatureSAML que vous avez enregistrée.

Gestion des méthodes d'authentification à appliquer auxutilisateursLe service VMware Identity Manager tente d'authentifier les utilisateurs selon les méthodesd'authentification, la stratégie d'accès par défaut, les plages réseau et les instances de fournisseursd'identité que vous configurez.

Lorsque des utilisateurs tentent de se connecter, le service évalue les règles de stratégie par défaut pourdéterminer la règle de la stratégie à appliquer. Les méthodes d'authentification sont appliquées dansl'ordre où elles sont répertoriées dans la règle. La première instance de fournisseur d'identité qui répondaux exigences relatives à la méthode d'authentification et à la plage réseau de la règle est sélectionnée.La demande d'authentification de l'utilisateur est transmise à l'instance de fournisseur d'identité à des finsd'authentification. Si l'authentification échoue, la méthode d'authentification suivante configurée dans larègle est appliquée.

Vous pouvez ajouter des règles qui spécifient les méthodes d'authentification à utiliser par type depériphérique ou par type de périphérique et à partir d'une plage réseau spécifique. Par exemple, vouspouvez configurer une règle qui exige que les utilisateurs qui se connectent à l'aide de périphériques iOSà partir d'un réseau spécifique s'authentifient à l'aide de RSA SecurID. Configurez ensuite une autre règlequi exige que les utilisateurs qui se connectent avec un autre type de périphérique à partir de l'adresse IPdu réseau interne s'authentifient à l'aide de leur mot de passe.

Ajout ou modification d'une plage réseauCréez des plages réseau pour définir les adresses IP à partir desquelles les utilisateurs peuvent seconnecter. Vous ajoutez les plages réseau que vous créez à des instances de fournisseurs d'identitéspécifiques et pour accéder à des règles de stratégie.


VMware, Inc. 71

Une plage réseau, appelée TOUTES LES PLAGES, est créée comme plage par défaut. Cette plageréseau comprend chaque adresse IP disponible sur Internet, de 0.0.0.0 à 255.255.255.255. Si votredéploiement compte une seule instance de fournisseur d'identité, vous pouvez modifier la plaged'adresses IP et ajouter d'autres plages afin d'exclure ou d'inclure des adresses IP spécifiques à la plageréseau par défaut. Vous pouvez créer d’autres plages réseau avec des adresses IP spécifiques que vouspouvez appliquer à des fins particulières.

Remarque La plage réseau par défaut (TOUTES LES PLAGES) et sa description (« un réseau pourtoutes les plages ») sont modifiables. Vous pouvez modifier le nom et la description, notamment traduirele texte dans une autre langue, à l'aide de la fonctionnalité Modifier de la page Plages réseau.

Prérequis

n Définissez les plages réseau pour votre déploiement de VMware Identity Manager en fonction de latopologie du réseau.

Procédure

1 Dans l’onglet Stratégies de la console d’administration, sélectionnez Plages réseau.

2 Modifiez une plage réseau existante ou ajoutez une plage.

Option Description

Modifier une plage réseau existante Cliquez sur le nom de la plage réseau pour la modifier.

Ajouter une plage Cliquez sur Ajouter une plage réseau pour ajouter une nouvelle plage.

3 Modifiez la page Ajouter une plage réseau.


Nom Entrez un nom pour la plage réseau.

Description Entrez une description pour la plage réseau.

Plages d'adresses IP Modifiez ou ajoutez des plages d'adresses IP jusqu'à ce que toutes les adresses IP souhaitéessoient incluses et toutes les adresses IP non souhaitées soient exclues.

Suivant

n Associez chaque plage réseau à une instance de fournisseur d'identité.

n Associez les plages réseau à une règle de stratégie d’accès, le cas échéant. Voir Chapitre 6 Gestiondes stratégies d'accès.

Application de la stratégie d'accès par défautLe service VMware Identity Manager inclut une stratégie d'accès par défaut qui contrôle l'accès desutilisateurs à leurs portails Workspace ONE et leurs applications Web. Il est possible de modifier lastratégie pour changer ses règles si nécessaire.


VMware, Inc. 72

Lorsque vous activez des méthodes d'authentification autres qu'une authentification par mot de passe,vous devez modifier la stratégie par défaut pour ajouter la méthode d'authentification activée aux règlesde la stratégie.

Chaque règle de la stratégie d'accès par défaut exige qu'un ensemble de critères soit satisfait pouraccorder à l'utilisateur l'accès au portail d'applications. Vous pouvez appliquer une plage réseau,déterminer le type d'utilisateur autorisé à accéder au contenu et sélectionner la méthode d'authentificationsouhaitée. Voir Chapitre 6 Gestion des stratégies d'accès.

Le nombre de tentatives effectuées par le service pour connecter un utilisateur à l'aide d'une méthoded'authentification donnée varie. Le service n'effectue qu'une seule tentative d'authentification pourKerberos ou l'authentification par certificat. Si la tentative de connexion d'un utilisateur échoue, unetentative est effectuée sur la méthode d'authentification suivante de la règle. Le nombre maximald'échecs de la tentative de connexion pour l'authentification par mot de passe Active Directory et RSASecurID est de cinq par défaut. Lorsqu'un utilisateur enregistre cinq tentatives de connexioninfructueuses, le service tente de connecter l'utilisateur en utilisant la méthode d'authentification suivantedans la liste. Lorsque toutes les méthodes d'authentification ont été utilisées sans succès, le serviceaffiche un message d'erreur.

Application de méthodes d'authentification aux règles de stratégieSeule la méthode d'authentification par mot de passe est configurée dans les règles de stratégie pardéfaut. Vous devez modifier les règles de stratégie pour sélectionner les autres méthodesd'authentification que vous avez configurées et définir l'ordre dans lequel les méthodes d'authentificationsont utilisées pour l'authentification.

Reportez-vous à la section Configuration de paramètres de stratégie d'accès pour en savoir plus sur laconfiguration des règles de stratégie.

Prérequis

Activez et configurez les méthodes d'authentification que votre organisation prend en charge. Voir Chapitre 5 Configuration de l'authentification des utilisateurs dans VMware Identity Manager.

Procédure

1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer >Stratégies.

2 Cliquez sur la stratégie d'accès par défaut à modifier.

3 Dans la section Règles de stratégie, cliquez sur la méthode d'authentification à modifier ou, pourajouter une nouvelle règle de stratégie, cliquez sur l'icône +.

a Vérifiez que la plage réseau est correcte. Si vous ajoutez une règle, sélectionnez la plage réseaude cette règle de stratégie.

b Sélectionnez le type de périphérique que cette règle gère dans le menu déroulant et quel'utilisateur essaie d'accéder à du contenu provenant de….


VMware, Inc. 73

c Si cette règle d’accès va être appliquée à des groupes spécifiques, cliquez sur Modifier desgroupes et sélectionnez-les.

Si vous ne sélectionnez pas de groupe, la stratégie d’accès s’applique à tous les utilisateurs.

d Configurez l'ordre d'authentification. Dans le menu déroulant alors l'utilisateur doits'authentifier selon la méthode suivante, sélectionnez la méthode d'authentification àappliquer en priorité.

Pour exiger que les utilisateurs s'authentifient via deux méthodes d'authentification, cliquez sur +et, dans le menu déroulant, sélectionnez une seconde méthode d'authentification.

e (Facultatif) Pour configurer des méthodes d'authentification de secours supplémentaires, dans lemenu déroulant Si la méthode d'authentification précédente échoue :, sélectionnez une autreméthode d'authentification activée.

Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle.

f Dans le menu déroulant Nouvelle authentification après, sélectionnez la durée de la sessionaprès laquelle les utilisateurs doivent s'authentifier de nouveau.

g (Facultatif) Créez un message d'accès refusé personnalisé qui s'affiche lorsque l'authentificationutilisateur échoue. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ650 mots. Si vous voulez envoyer les utilisateurs vers une autre page, dans la zone de texte URLdu lien, entrez l'adresse de lien de l'URL. Dans la zone de texte Texte du lien, entrez le texte quidoit s'afficher pour le lien. Si vous laissez cette zone de texte vide, le mot Continuer s'affiche.

h Cliquez sur Enregistrer.



VMware, Inc. 74

Gestion des stratégies d'accès 6Pour fournir un accès sécurisé au portail d’applications des utilisateurs et lancer des applications Web etde poste de travail, vous configurez des stratégies d’accès. Les stratégies d’accès incluent les règles quispécifient les critères devant être satisfaits afin de pouvoir vous connecter à leur portail d’applications etutiliser leurs ressources.

Les règles de stratégie mappent l'adresse IP demandeuse à des plages réseau et désignent le type depériphériques que les utilisateurs peuvent utiliser pour se connecter. La règle définit les méthodesd'authentification et le nombre d'heures pendant lesquelles l'authentification est valide. Vous pouvezsélectionner un ou plusieurs groupes à associer à la règle d’accès.

Le service VMware Identity Manager inclut une stratégie par défaut qui contrôle l'accès au serviceglobalement. Cette stratégie est configurée pour autoriser l’accès à toutes les plages réseau, à partir detous les types de périphérique, pour tous les utilisateurs. Le délai d’expiration de session est de huitheures et la méthode d’authentification est l’authentification par mot de passe. Vous pouvez modifier lastratégie par défaut.

Remarque Les stratégies ne contrôlent pas la durée d'une session d'application. Elles contrôlent plutôtla durée de la période pendant laquelle les utilisateurs peuvent lancer une application.


n Configuration de paramètres de stratégie d'accès

n Gestion des stratégies spécifiques à une application Web et de poste de travail

n Ajouter une stratégie spécifique à une application Web ou de poste de travail

n Configurer le message d'erreur d'accès refusé personnalisé

n Modifier la stratégie d’accès par défaut

n Activation de la vérification de la conformité pour les périphériques gérés par AirWatch

n Activation du cookie persistant sur des périphériques mobiles

Configuration de paramètres de stratégie d'accèsUne stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres quevous pouvez configurer afin de gérer l'accès des utilisateurs à leur portail Workspace ONE de façonglobale ou à des applications Web et de poste de travail spécifiques.

VMware, Inc. 75

Une règle de stratégie peut être configurée pour effectuer des actions telles que le blocage, l'autorisationou la mise à niveau des utilisateurs authentifiés en fonction des conditions telles que le réseau, le type depériphérique, l'inscription d’un périphérique AirWatch et l’état conforme ou l'accès à l'application. Vouspouvez ajouter des groupes à une stratégie afin de gérer l’authentification pour des groupes spécifiques.

Plage réseauPour chaque règle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plageréseau est composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseaudepuis l'onglet Identité et gestion de l'accès, Configuration > Plages réseau avant de configurer lesensembles de stratégies d'accès.

Chaque instance de fournisseur d'identité de votre déploiement lie des plages réseau à des méthodesd'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau estcouverte par l'instance d'un fournisseur d'identité existant.

Vous pouvez configurer des plages réseau spécifiques pour limiter les endroits où les utilisateurs peuventse connecter et accéder à leurs applications.

Type de périphériqueSélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web,l'application Workspace ONE, iOS, Android, Windows 10, Mac OS X et Tous les types de périphériques.

Vous pouvez configurer des règles pour désigner le type de périphérique pouvant accéder au contenu ettoutes les demandes d'authentification provenant de ce type de périphérique utilisent la règle destratégie.

Ajouter des groupesVous pouvez appliquer différentes stratégies pour l’authentification basée sur l’appartenance au groupede l’utilisateur. Pour l'attribution des groupes d’utilisateurs à se connecter via un flux d’authentificationspécifique, vous pouvez ajouter des groupes à la règle de stratégie d’accès. Les groupes peuvent êtredes groupes synchronisés à partir de votre annuaire d'entreprise et des groupes locaux que vous créezdans la console d'administration. Les noms de groupe doivent être uniques dans un domaine.

Pour utiliser des groupes dans des règles de stratégie d’accès, vous sélectionnez un identificateur uniquedepuis Identité et gestion de l'accès > Page des préférences. L’attribut d’identifiant unique doit êtremappé dans la page Attributs utilisateur et l’attribut sélectionné synchronisé à l’annuaire. L’identificateurunique peut être le nom d’utilisateur, l'adresse de messagerie, l'UPN ou l'ID employé. Voir Expérience deconnexion à l’aide d’un identifiant unique.

Lorsque les groupes sont utilisés dans une règle de stratégie d’accès, l'expérience de la connexion del’utilisateur pour l’utilisateur change. Au lieu de demander aux utilisateurs de sélectionner leur domaine,puis de saisir leurs informations d’identification, une page s'affiche les invitant à entrer leur identificateurunique. VMware Identity Manager détecte l’utilisateur dans la base de données interne, selonl’identificateur unique et affiche la page d’authentification configurée dans cette règle.


VMware, Inc. 76

Lorsqu’un groupe n’est pas sélectionné, la règle de stratégie d’accès s’applique à tous les utilisateurs.Lorsque vous configurez des règles de stratégie d’accès qui incluent des règles basées sur les groupeset une règle pour tous les utilisateurs, assurez-vous que la règle désignée pour tous les utilisateurs est ladernière règle répertoriée dans la section Règles de stratégie de la stratégie.

Méthodes d'authentificationDans la règle de stratégie, vous définissez l'ordre d'application des méthodes d'authentification. Lesméthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instancedu fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plageréseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise àl'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthoded'authentification suivante dans la liste est sélectionnée.

Durée de la session d'authentificationPour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. Lavaleur nouvelle authentification après détermine la durée maximale dont disposent les utilisateursdepuis leur dernier événement d'authentification pour accéder à leur portail ou pour démarrer uneapplication spécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne auxutilisateurs quatre heures pour démarrer l'application Web sans devoir initier un autre événementd'authentification qui étend la durée.

Message d'erreur d'accès refusé personnaliséLorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identificationnon valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche.Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'aété trouvée.

Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès quiremplace le message par défaut. Le message personnalisé peut comporter du texte et un lien pour unmessage d'appel à l'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles quevous voulez gérer, si un utilisateur essaie de se connecter à partir d'un périphérique désinscrit, vouspouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pouraccéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce

message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir

de l'aide.

Gestion des stratégies spécifiques à une application Webet de poste de travailLorsque vous ajoutez des applications Web et de poste de travail au catalogue, vous pouvez créer desstratégies d'accès spécifiques à une application. Par exemple, vous pouvez créer une stratégie de règlespour une application Web qui spécifie les adresses IP ayant accès à l'application, les méthodesd'authentification à utiliser et l'intervalle au terme duquel une réauthentification est requise.


VMware, Inc. 77

La stratégie spécifique à une application Web suivante fournit un exemple de stratégie que vous pouvezcréer pour contrôler l'accès aux applications Web spécifiées.

Exemple 1 Stratégie spécifique à une application Web stricteDans cet exemple, une nouvelle stratégie est créée et appliquée à une application Web sensible.

1 Pour accéder au service depuis l'extérieur du réseau d'entreprise, l'utilisateur doit se connecter àl'aide de RSA SecurID. L'utilisateur se connecte via un navigateur et a maintenant accès au portaild'applications pour une session de quatre heures, comme spécifié par la règle d'accès par défaut.

2 Au bout de quatre heures, l'utilisateur tente de démarrer une application Web à laquelle la stratégieApplications Web sensibles est appliquée.

3 Le service vérifie les règles de la stratégie et applique la stratégie avec la plage réseau TOUTES LESPLAGES, car la demande de l'utilisateur provient d'un navigateur Web et de la plage réseau TOUTESLES PLAGES.

L'utilisateur s'est connecté avec la méthode d'authentification RSA SecurID, mais la session vientd'expirer. L'utilisateur est redirigé pour une réauthentification. La réauthentification fournit àl'utilisateur une autre session de 4 heures et la possibilité de démarrer l'application. Pendant lesquatre heures suivantes, l'utilisateur peut continuer à exécuter l'application sans devoir s'authentifierde nouveau.


VMware, Inc. 78

Exemple 2 Stratégie spécifique à une application Web plus strictePour qu'une règle plus stricte s'applique à des applications Web extra sensibles, vous pouvez avoir àvous authentifier de nouveau avec SecureId sur un périphérique après une heure. Voici un exemple de lamise en œuvre d'une règle d'accès de ce type de stratégie.

1 L'utilisateur se connecte depuis le réseau d'entreprise à l'aide de la méthode d'authentificationKerberos.

L'utilisateur peut à présent accéder au portail d'applications pendant huit heures, comme indiquédans l'exemple 1.

2 L'utilisateur tente immédiatement de démarrer une application Web à laquelle la règle de stratégieExemple 2 est appliquée, ce qui nécessite une authentification RSA SecurID.

3 L'utilisateur est redirigé vers la page de connexion d'authentification RSA SecurID.

4 Une fois que l'utilisateur s'est connecté, le service lance l'application et enregistre l'événementd'authentification.

L'utilisateur peut continuer à exécuter cette application pendant au moins une heure, mais doits'authentifier de nouveau au bout d'une heure, comme l'exige la règle de stratégie.

Ajouter une stratégie spécifique à une application Webou de poste de travailVous pouvez créer des stratégies spécifiques à une application pour gérer l'accès des utilisateurs à desapplications Web et de poste de travail spécifiques.


VMware, Inc. 79

Prérequis

n Configurez les plages réseau adaptées à votre déploiement. Voir Ajout ou modification d'une plageréseau.

n Configurez les méthodes d'authentification adaptées à votre déploiement.

n Si vous prévoyez de modifier la stratégie par défaut (pour contrôler globalement l'accès de l'utilisateurau service), configurez-la avant de créer une stratégie spécifique à une application.

n Ajoutez les applications Web et de poste de travail au catalogue. Au moins une application doit êtrerépertoriée sur la page Catalogue avant de pouvoir ajouter une stratégie spécifique à une application.

Pour ajouter des stratégies d'accès pour l'authentification héritée pour des clients Office 365, vousconfigurez les stratégies d'accès client dans l'application Office 365 sur la page Catalogue. Consultez leguide Intégration de VMware Identity Manager avec Office 365.

Procédure


2 Cliquez sur Ajouter une stratégie.

3 Ajoutez le nom et la description de la stratégie dans les zones de texte respectives.

4 Dans la section Appliquer à, cliquez sur Sélectionner et, sur la page qui s’affiche, sélectionnez lesapplications associées à cette stratégie.

5 Dans la section Règles de la stratégie, cliquez sur + pour ajouter une règle.

La page Ajouter une règle de stratégie s'affiche.

a Sélectionnez la plage réseau pour appliquer cette règle.

b Sélectionnez le type de périphérique pouvant accéder aux applications pour cette règle.

c Sélectionnez les méthodes d'authentification à utiliser, dans l'ordre dans lequel elles doivent êtreappliquées.

d Spécifiez le nombre d'heures pendant lesquelles une session d'application peut être ouverte.

e Cliquez sur Enregistrer.

6 Configurez des règles supplémentaires si nécessaire.


Configurer le message d'erreur d'accès refusépersonnaliséPour chaque règle de stratégie, vous pouvez créer un message d'erreur d'accès refusé personnalisé quis'affiche lorsque des utilisateurs tentent de se connecter mais échouent, car leurs informationsd'identification ne sont pas valides.


VMware, Inc. 80

https://www.vmware.com/pdf/vidm-office365-saml.pdf

Le message personnalisé peut inclure du texte et un lien vers une autre URL afin d'aider les utilisateurs àrésoudre leurs problèmes. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ650 mots.

Procédure


2 Cliquez sur la stratégie d'accès à modifier.

3 Pour ouvrir la page d'une règle de stratégie, cliquez sur le nom d'authentification dans la colonneMéthode d'authentification de la règle à modifier.

4 Dans la zone de texte Message d'erreur personnalisé, saisissez le message d'erreur.

5 Pour ajouter un lien à une URL, dans la zone Texte du lien, entrez une description du lien et, dansURL du lien, entrez l'URL.

Le lien s'affiche à la fin du message personnalisé. Si vous n'ajoutez pas de texte dans la zone Textedu lien mais que vous ajoutez une URL, le texte du lien qui s'affiche est

Continuer.


Suivant

Créez des messages d'erreur personnalisés pour d'autres règles de stratégie.

Modifier la stratégie d’accès par défautVous pouvez modifier la stratégie d'accès par défaut pour modifier les règles de stratégie et vous pouvezmodifier des stratégies spécifiques à une application afin d'ajouter ou de supprimer des applications et demodifier des règles de stratégie.

Vous pouvez à tout moment supprimer une stratégie d'accès spécifique à une application. La stratégied'accès par défaut est permanente. Vous ne pouvez pas supprimer la stratégie par défaut.

Prérequis

n Configurez les plages réseau adaptées à votre déploiement. Voir Ajout ou modification d'une plageréseau.

Procédure

1 Dans l’onglet Règles de console d’administration, sélectionnez Modifier la stratégie par défaut.

2 Dans la section Règles de stratégie, colonne Méthode d'authentification, sélectionnez la règle àmodifier.

La page Modifier une règle de stratégie s'affiche avec la configuration existante.


VMware, Inc. 81

3 Pour configurer l'ordre d'authentification, dans le menu déroulant l'utilisateur doit ensuites'authentifier à l'aide de la méthode suivante, sélectionnez la méthode d'authentification àappliquer en priorité.

4 (Facultatif) Pour configurer une méthode d'authentification de secours si la première authentificationéchoue, sélectionnez une autre méthode d'authentification activée dans le menu déroulant suivant.

Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle.

5 Cliquez sur Enregistrer et de nouveau sur Enregistrer sur la page Stratégie.

La règle de stratégie modifiée prend immédiatement effet.

Suivant

Si la stratégie est une stratégie d'accès spécifique à une application, vous pouvez également appliquer lastratégie à des applications de la page Catalogue. Voir Ajouter une stratégie spécifique à une applicationWeb ou de poste de travail

Activation de la vérification de la conformité pour lespériphériques gérés par AirWatchLorsque les utilisateurs inscrivent leurs périphériques, des exemples contenant des données utiliséespour évaluer la conformité sont envoyés selon un calendrier établi. L'évaluation de ces exemples dedonnées garantit que le périphérique répond aux règles de conformité définies par l'administrateur dansla console AirWatch. Si le périphérique n'est plus conforme, les mesures correspondantes configuréesdans la console AirWatch sont prises.

Le service VMware Identity Manager inclut une option de stratégie d’accès pouvant être configurée demanière à vérifier l’état de conformité du périphérique sur le serveur AirWatch lorsque des utilisateurs seconnectent à partir du périphérique. La vérification de la conformité garantit que les utilisateurs nepeuvent pas se connecter à une application ou utiliser l’authentification unique sur le portail WorkspaceONE si le périphérique devient non conforme. Une fois le périphérique de nouveau conforme, il estpossible de se connecter.

L'application Workspace ONE se déconnecte automatiquement et bloque l'accès aux applications si lepériphérique est compromis. Si le périphérique a été inscrit via la gestion adaptative, une commande denettoyage d'entreprise émise via la console d'AirWatch désinscrit le périphérique et supprime lesapplications gérées à partir du périphérique. Les applications non gérées ne sont pas supprimées.

Pour plus d'informations sur les stratégies de conformité d'AirWatch, consultez le Guide de gestion despériphériques mobiles VMware AirWatch, disponible sur le site Web des ressources d'AirWatch.

Configurer une règle de stratégie d’accèsPour fournir un accès sécurisé au portail d'applications Workspace ONE des utilisateurs et lancer desapplications Web et de poste de travail, vous configurez des stratégies d'accès. Les stratégies d'accèsincluent des règles qui spécifient les critères devant être satisfaits afin de pouvoir vous connecter etutiliser vos ressources.


VMware, Inc. 82

Vous devez modifier les règles de stratégie par défaut pour sélectionner les méthodes d’authentificationque vous avez configurées. Une règle de stratégie peut être configurée pour prendre des mesures,comme bloquer, autoriser ou authentifier des utilisateurs, en fonction de conditions telles que le réseau, letype de périphérique, l'état d'inscription et de conformité du périphérique AirWatch ou l'application encours d'accès. Vous pouvez ajouter des groupes à une stratégie pour gérer l'authentification pour desgroupes spécifiques.

Lorsque la vérification de la conformité est activée, vous créez une règle de stratégie d'accès qui requiertl'authentification et la vérification de la conformité des périphériques gérés par AirWatch.

La règle de stratégie de vérification de la conformité fonctionne dans une chaîne d'authentification avecMobile SSO pour iOS, Mobile SSO pour Android et le déploiement de Cloud de certificat. La méthoded'authentification à utiliser doit précéder l'option de conformité des périphériques dans la configuration dela règle de stratégie.

Prérequis

Méthodes d’authentification configurées et associées à un fournisseur d’identité intégré.

Vérification de la conformité activée sur la page AirWatch de VMware Identity Manager.

Procédure

1 Dans l'onglet Gestion des identités et des accès, accédez à Gérer > Stratégies.

2 Sélectionnez la stratégie d'accès à modifier.

3 Dans la section Règles de stratégie, sélectionnez la règle à modifier.

4 Dans le menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, cliquezsur + et sélectionnez la méthode d'authentification à utiliser.

5 Dans le second menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante,sélectionnez Conformité des périphériques (avec AirWatch).

6 (Facultatif) Dans la zone de texte Texte du message de la section Message d'erreur personnalisé,créez un message personnalisé qui s'affiche lorsque l'authentification d'un utilisateur échoue parceque le périphérique n'est pas conforme. Dans la zone de texte Lien d'erreur personnalisé, vouspouvez ajouter un lien au message.


VMware, Inc. 83


Activation du cookie persistant sur des périphériquesmobilesActivez le cookie persistant pour activer l'authentification unique entre le navigateur du système et lesapplications natives ainsi que l'authentification unique entre les applications natives lorsque lesapplications utilisent Safari View Controller sur des périphériques iOS et Chrome Custom Tabs sur despériphériques Android.

Le cookie persistant stocke les détails de session de connexion de l'utilisateur afin que les utilisateursn'aient pas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leursressources gérées via VMware Identity Manager. Le délai d'expiration du cookie peut être configuré dansles règles de stratégie d'accès que vous configurez pour les périphériques iOS et Android.

Remarque Les cookies sont vulnérables et sensibles au vol de cookies sur des navigateurs communset aux attaques de script intersites.

Activer le cookie persistantLe cookie persistant stocke les détails de session de connexion des utilisateurs afin que ces derniersn'aient pas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leursressources gérées depuis leurs périphériques mobiles iOS ou Android.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration > Préférences.

2 Cochez Activer le cookie persistant.


VMware, Inc. 84


Suivant

Pour régler le délai d'expiration de session du cookie persistant, modifiez la valeur de réauthentificationdans les règles de stratégie d'accès pour les types de périphérique iOS et Android.


VMware, Inc. 85

Gestion des utilisateurs et desgroupes 7Les utilisateurs et les groupes dans le service VMware Identity Manager sont importés depuis votreannuaire d'entreprise ou sont créés en tant qu'utilisateurs et groupes locaux dans la consoled'administration de VMware Identity Manager.

Les utilisateurs dans le service VMware Identity Manager peuvent être des utilisateurs synchronisés àpartir de votre annuaire d'entreprise, des utilisateurs locaux que vous provisionnez dans la consoled'administration ou des utilisateurs ajoutés avec le provisionnement juste-à-temps.

Les utilisateurs importés depuis votre annuaire d'entreprise sont mis à jour dans l'annuaireVMware Identity Manager en fonction de la planification de synchronisation de votre serveur. Vous nepouvez pas modifier ou supprimer des utilisateurs qui se synchronisent à partir d'Active Directory.

Vous pouvez créer des utilisateurs et des groupes locaux. Les utilisateurs locaux sont ajoutés à unannuaire local sur le service. Vous gérez les stratégies de mappage d'attributs utilisateur local et lesstratégies de mot de passe. Vous pouvez créer des groupes locaux pour gérer des droits de ressourcepour des utilisateurs.

Les utilisateurs ajoutés avec le provisionnement juste-à-temps sont créés et mis à jour dynamiquementlorsque l'utilisateur se connecte, en fonction des assertions SAML envoyées par le fournisseur d'identité.La gestion de tous les utilisateurs est gérée via des assertions SAML. Pour utiliser le provisionnementjuste-à-temps, consultez la rubrique Chapitre 3 Provisionnement d'utilisateurs juste-à-temps.

Les groupes dans le service VMware Identity Manager peuvent être des groupes synchronisés à partir devotre annuaire d'entreprise et des groupes locaux que vous créez dans la console d'administration. Lesnoms de groupe Active Directory se synchronisent avec l'annuaire en fonction de votre planification desynchronisation. Les utilisateurs dans ces groupes ne sont synchronisés avec l'annuaire qu'une fois qu'ungroupe est autorisé à accéder aux ressources ou qu'un groupe est ajouté aux règles de stratégie d'accès.Vous ne pouvez pas modifier ou supprimer des groupes qui sont synchronisés depuis Active Directory.

Dans la console d'administration, la page Utilisateurs et groupes fournit un affichage axé sur lesutilisateurs et les groupes du service. Vous pouvez gérer les utilisateurs et groupes et surveiller les droitsd'accès aux ressources, les affiliations de groupe et les numéros de téléphone VMware Verify. Pour lesutilisateurs locaux, vous pouvez également gérer la stratégie de mot de passe.


n Gestion des utilisateurs

n Gestion des groupes

VMware, Inc. 86

n Créer des utilisateurs locaux

n Gestion des mots de passe

n Synchroniser l'annuaire pour corriger des informations de domaine

Gestion des utilisateursDans le service VMware Identity Manager, les utilisateurs sont identifiés exclusivement par leur nom etleur domaine. Cela permet d'avoir plusieurs utilisateurs avec le même nom dans différents domainesActive Directory. Les noms d'utilisateur doivent être uniques dans un domaine.

Avant de configurer l'annuaire dans VMware Identity Manager, vous spécifiez quels attributs utilisateurpar défaut sont requis et vous ajoutez les attributs supplémentaires que vous souhaitez mapper auxattributs Active Directory. Les attributs et les filtres que vous sélectionnez dans Active Directory pour lesmapper à ces attributs déterminent quels utilisateurs Active Directory synchroniser dans l'annuaireVMware Identity Manager. Reportez-vous à la publication Intégration d'annuaire avec VMware IdentityManager pour plus d'informations sur l'intégration d'Active Directory avec VMware Identity Manager.

Le service VMware Identity Manager permet de disposer de plusieurs utilisateurs de même nom dansdifférents domaines Active Directory. Les noms d'utilisateur doivent être uniques dans un domaine. Parexemple, il peut exister un utilisateur jean dans le domaine ing.exemple.com et un autre utilisateur jeandans le domaine ventes.exemple.com.

Les utilisateurs sont identifiés exclusivement par leur nom d'utilisateur et leur domaine. L'attributuserName dans VMware Identity Manager est utilisé pour les noms d'utilisateur et, en général, il estmappé à l'attribut sAMAccountName dans Active Directory. L'attribut de domaine est utilisé pour lesdomaines et, en général, il est mappé à l'attribut canonicalName dans Active Directory.

Lors de la synchronisation du répertoire, les utilisateurs portant le même nom, mais appartenant à desdomaines différents sont correctement synchronisés. S'il existe un conflit de noms d'utilisateur dans undomaine, le premier utilisateur est synchronisé, et une erreur se produit pour les utilisateurs suivantsportant le même nom.

Conseil Si vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateurest incorrect ou manquant, vérifiez les paramètres du domaine et synchronisez de nouveau le répertoire.Voir Synchroniser l'annuaire pour corriger des informations de domaine.

Dans la console d'administration, vous pouvez identifier les utilisateurs exclusivement par leur nomd'utilisateur et leur domaine. Par exemple :

n Dans l'onglet Tableau de bord, dans la colonne Utilisateurs et groupes, les utilisateurs sontrépertoriés sous la forme utilisateur (domaine). Par exemple, jean (ventes.exemple.com).

n Dans l'onglet Utilisateurs et groupes sur la page Utilisateurs, la colonne DOMAINE indique ledomaine auquel l'utilisateur appartient.

n Les rapports contenant des informations utilisateur, tels que le rapport Droits de ressources,comportent une colonne DOMAINE.


VMware, Inc. 87

Lorsque des utilisateurs finaux se connectent au portail utilisateur, sur la page de connexion, ilssélectionnent le domaine auquel ils appartiennent. Si plusieurs utilisateurs portent le même nom, chaqueutilisateur peut se connecter en utilisant le domaine approprié.

Remarque Ces informations s'appliquent aux utilisateurs synchronisés depuis Active Directory. Si vousutilisez un fournisseur d'identité tiers et que vous avez configuré le provisionnement d'utilisateur juste-à-temps, voir Chapitre 3 Provisionnement d'utilisateurs juste-à-temps pour plus d'informations. Leprovisionnement d'utilisateur juste-à-temps prend également en charge plusieurs utilisateurs avec lemême nom dans des domaines différents.

Sélectionner des utilisateurs d'Active Directory à ajouter àl'annuaireLes utilisateurs Active Directory sont ajoutés lorsque les profils d'utilisateur sont synchronisés depuisActive Directory vers l'annuaire VMware Identity Manager.

Étant donné que les membres des groupes ne sont pas synchronisés jusqu'à ce que le groupe disposede droits d'accès, ajoutez tous les utilisateurs ayant besoin d'accéder au serviceVMware Identity Manager lorsque vous configurez initialement VMware Identity Manager.

Prérequis

Attributs Active Directory mappés aux attributs utilisateur dans la page Gestion des identités et des accès> Configuration > Attributs utilisateurs. Reportez-vous à la publication Intégration d'annuaire avecVMware Identity Manager pour plus d'informations sur l'intégration d'Active Directory avecVMware Identity Manager.

Procédure

1 Dans la console d'administration, sélectionnez l'onglet Gestion des identités et des accès, puiscliquez sur Gestionnaire > Annuaires.

2 Sélectionnez l'annuaire dans lequel vous souhaitez mettre à jour les filtres utilisateur.

3 Cliquez sur Paramètres de synchronisation et sélectionnez Utilisateurs.

4 Dans la ligne Spécifier les noms uniques d'utilisateur, cliquez sur + et saisissez les noms uniquesd'utilisateur.

Saisissez les noms uniques d'utilisateur qui se trouvent sous le nom unique de base configuré pourActive Directory. Si un nom unique d'utilisateur est en dehors du nom unique de base, les utilisateursde ce nom unique sont synchronisés, mais ne peuvent pas se connecter.


Vérification des informations du profil utilisateurLa page Utilisateurs dans la console d'administration affiche les utilisateurs qui sont autorisés à seconnecter à Workspace ONE.

Sélectionnez un nom d'utilisateur pour voir des informations détaillées.


VMware, Inc. 88

La page Profil utilisateur affiche les données personnelles associées à l'utilisateur et le rôle affecté(Utilisateur ou Administrateur). Les informations utilisateur qui se synchronisent à partir d'un répertoireexterne peuvent également inclure le nom principal, le nom unique et les données ID externes. La pagede profil d'un utilisateur local affiche les attributs utilisateur disponibles pour les utilisateurs dans lerépertoire de l'utilisateur local.

Les données sur la page Profil utilisateur des utilisateurs qui se synchronisent à partir de votre répertoireexterne ne peuvent pas être modifiées. Vous pouvez modifier le rôle de l'utilisateur.

La page de profil utilisateur inclut également des liens vers des groupes, VMware Verify et desapplications. La page Groupes affiche les groupes dont l'utilisateur est membre. VMware Verify répertorieles périphériques qui ont été configurés pour s'authentifier auprès de VMware Verify. La pageApplications répertorie les applications que l'utilisateur est autorisé à utiliser.

Gestion des groupesDans le service VMware Identity Manager, les utilisateurs et les groupes sont identifiés exclusivement parleur nom et leur domaine. Vous pouvez avoir plusieurs groupes avec le même nom dans différentsdomaines Active Directory. Les noms de groupe doivent être uniques dans un domaine.

À partir de VMware Identity Manager 3.1, lorsque de nouveaux groupes sont ajoutés à l'annuaire à partird'Active Directory, les noms de groupe sont synchronisés avec l'annuaire. Les utilisateurs qui sontmembres du groupe ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé àaccéder à une application ou que le nom du groupe est ajouté à une règle de stratégie d'accès. Avant laversion 3.1, les membres du groupe étaient synchronisés avec l'annuaire lorsque le groupe était ajouté.

Remarque Ajoutez les utilisateurs qui doivent s'authentifier avant que les droits du groupe ne soientconfigurés dans la page Paramètres de synchronisation de l'annuaire > Utilisateurs, lorsque vouseffectuez la configuration initiale des utilisateurs et groupes VMware Identity Manager.

Le service VMware Identity Manager permet de disposer de plusieurs groupes de même nom dansdifférents domaines Active Directory. Les noms de groupe doivent être uniques dans un domaine. Parexemple, vous pouvez avoir un groupe appelé ALL_USERS dans le domaine ing.exemple.com et unautre groupe appelé ALL_USERS dans le domaine sales.example.com.

Lors de la synchronisation du répertoire, les groupes portant le même nom, mais appartenant à desdomaines différents sont correctement synchronisés. S'il existe un conflit de noms de groupe dans undomaine, le premier groupe est synchronisé et une erreur se produit pour les groupes suivants avec lemême nom.

Dans l'onglet Utilisateur et groupes, sur la page Groupes de la console d'administration, des groupesActive Directory sont répertoriés selon leurs noms et leurs domaines. Cela vous permet de distinguer,dans la liste, les groupes portant le même nom. Les groupes créés localement dans le serviceVMware Identity Manager sont répertoriés selon leurs noms. Le domaine est répertorié sous la formeUtilisateurs locaux.


VMware, Inc. 89

Synchronisation des groupes Active Directory avec l'annuaireLorsqu'un nom unique de groupe est mappé vers l'annuaire VMware Identity Manager à partir de votreannuaire d'entreprise, le nom du groupe est ajouté à l'annuaire. Les membres du groupe ne sont passynchronisés avec l'annuaire.

La page Groupes de la console d'administration affiche les noms de groupes qui sont synchronisés. Lesutilisateurs dans la colonne Groupe indiquent le nombre de membres qui ont été synchronisés. Si lesmembres n'ont pas encore été synchronisés, les utilisateurs dans la colonne Groupe affichent Nonsynchronisé.

Les membres du groupe sont synchronisés avec l'annuaire lorsque le groupe est autorisé à accéder àune application dans le catalogue ou lorsque le groupe est ajouté à une règle dans une stratégie d'accèsdans VMware Identity Manager.

Fonctionnement de la synchronisation de groupes après la mise àniveau vers VMware Identity Manager 3.1Lorsque VMware Identity Manager est mis à niveau vers la version 3.1, le comportement desynchronisation de l'appartenance au groupe dépend du moment où le nom unique du groupe a étéconfiguré dans le service.

n Lorsque vous procédez à la mise à niveau vers VMware Identity Manager 3.1, tout nouveau groupeque vous ajoutez au service après la mise à niveau synchronise les membres lorsque ce groupe estautorisé à accéder à une ressource ou lorsque ce groupe est ajouté à une règle de stratégie d'accès.Les synchronisations suivantes de ce groupe suivent le comportement plus ancien.

n Les groupes qui ont été ajoutés avant la mise à niveau vers la version 3.1, continuent desynchroniser les membres du groupe tels qu'ils sont ajoutés au groupe, même si ces groupes ne sontpas autorisés à accéder à des ressources ou utilisés dans une règle de stratégie d'accès. Autrementdit, le comportement avant la version 3.1 est conservé pour les utilisateurs et groupes existants.

n Si un groupe existe avant la mise à niveau et que la configuration du nom unique est modifiée, leprofil de synchronisation du groupe est remplacé par le nouveau comportement. Les noms desgroupes sont synchronisés avec l'annuaire. Les membres du groupe sont synchronisés lorsque legroupe est autorisé à accéder à une ressource ou lorsque le groupe est ajouté à une règle destratégie d'accès.

n Même lorsque des droits d'accès sont supprimés d'un groupe, les utilisateurs du groupe continuent àse synchroniser dans les synchronisations suivantes.

n Si un groupe local est créé dans le service VMware Identity Manager qui inclut les groupes ActiveDirectory et que le groupe local est autorisé à accéder aux ressources, les utilisateurs quiappartiennent aux groupes Active Directory dans le groupe local ne sont pas synchronisés avecl'annuaire dans le cadre du droit d'accès. Pour synchroniser les utilisateurs qui se trouvent dans lesgroupes Active Directory, autorisez le groupe Active Directory directement sur les ressources.


VMware, Inc. 90

Créer des groupes locaux et configurer des règles de groupeVous pouvez créer des groupes, ajouter des membres à des groupes et créer des règles de groupe. Vouspouvez ensuite remplir les groupes en fonction des règles que vous définissez.

Utilisez les groupes pour attribuer simultanément plusieurs utilisateurs aux mêmes ressources, plutôt qued'attribuer chaque utilisateur individuellement. Un utilisateur peut appartenir à plusieurs groupes. Parexemple, si vous créez un groupe Ventes et un groupe Gestion, un représentant commercial peutappartenir aux deux groupes.

Vous pouvez spécifier quels paramètres de stratégie s'appliquent aux membres d'un groupe. Lesutilisateurs dans des groupes sont définis par des règles que vous définissez pour un attribut utilisateur.Si la valeur d'un attribut d'un utilisateur change de la valeur de règle de groupe définie, l'utilisateur estsupprimé du groupe.

Procédure

1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Groupes.

2 Cliquez sur Ajouter un groupe.

3 Entrez le nom du groupe et sa description. Cliquez sur Suivant.

4 Ajoutez des utilisateurs au groupe. Pour ajouter des utilisateurs au groupe, entrez les premièreslettres du nom d'utilisateur. Lorsque vous saisissez des lettres, les noms correspondants s'affichent.

5 Sélectionnez le nom d'utilisateur et cliquez sur +Ajouter un utilisateur.

Continuez à ajouter des membres au groupe.

6 Une fois les utilisateurs ajoutés au groupe, cliquez sur Suivant.

7 Sur la page Règles de groupe, sélectionnez comment l'appartenance au groupe doit être accordée.Dans le menu déroulant, sélectionnez indifférent ou tous.

Option Action

Indifférent Accorde l'appartenance au groupe lorsque l'une des conditions d'appartenanceau groupe est satisfaite. Cette action fonctionne comme une condition OU. Parexemple, si vous sélectionnez Indifférent pour les règles Groupe Est Ventes etGroupe Est Marketing, le personnel des Ventes et du Marketing devient membrede ce groupe.

Tous Accorde l'appartenance au groupe lorsque toutes les conditions d'appartenanceau groupe sont satisfaites. L'utilisation de Tous fonctionne comme une conditionET. Par exemple, si vous sélectionnez Tous les éléments suivants pour lesrègles Groupe Est Ventes et E-mail Commence par 'région_ouest', seul lepersonnel des ventes dans la région Ouest devient membre de ce groupe. Lepersonnel des ventes des autres régions ne devient pas membre.


VMware, Inc. 91

8 Configurez une ou plusieurs règles pour votre groupe. Vous pouvez imbriquer des règles.

Option Description

Attribut Sélectionnez l'un de ces attributs dans le menu déroulant de la première colonne.Sélectionnez Groupe pour ajouter un groupe existant au groupe que vous créez.Vous pouvez ajouter d'autres types d'attribut pour gérer quels utilisateurs dans lesgroupes sont membres du groupe que vous créez.

Règles d'attributs Les règles suivantes sont disponibles selon l'attribut que vous avez sélectionné.n Sélectionnez est pour choisir un groupe ou un répertoire à associer à ce

groupe. Entrez un nom dans la zone de texte. Pendant que vous tapez, uneliste des groupes ou des répertoires disponibles s'affiche.

n Sélectionnez n'est pas pour choisir un groupe ou un répertoire à exclure.Entrez un nom dans la zone de texte. Pendant que vous tapez, une liste desgroupes ou des répertoires disponibles s'affiche.

n Sélectionnez correspond à pour accorder l'appartenance au groupe auxentrées qui correspondent exactement au critère que vous avez saisi. Parexemple, votre organisation pourrait avoir un département de voyagesd'affaires qui partage un numéro de central téléphonique. Si vous voulezaccorder l'accès à une application de réservation de voyages à tous lesemployés qui partagent le même numéro de téléphone, vous créez une règletelle que Téléphone correspond à (555) 555-1000.

n Sélectionnez ne correspond pas à pour accorder l'appartenance au groupeà toutes les entrées du serveur d'annuaire, à l'exception de celles quicorrespondent au critère que vous avez entré. Par exemple, si l'un de vosdépartements partage un numéro de central téléphonique, vous pouvezexclure ce département de l'accès à une application de réseau social encréant une règle telle que Téléphone ne correspond pas à (555) 555-2000.Les entrées du serveur d'annuaire avec d'autres numéros de téléphone ontaccès à l'application.

n Sélectionnez commence par pour accorder l'appartenance au groupe auxentrées du serveur d'annuaire qui commencent par le critère que vous avezentré. Par exemple, les adresses e-mail de l'organisation peuventcommencer par le nom du département, [email protected]. Si vous voulez accorder l'accès à uneapplication à tous les membres de l'équipe des ventes, vous pouvez créerune règle, telle que E-mail commence par ventes_.

n Sélectionnez ne commence pas par pour accorder l'appartenance augroupe à toutes les entrées du serveur d'annuaire, à l'exception de celles quicommencent par le critère que vous avez entré. Par exemple, si les adressese-mail de votre département des ressources humaines sont au [email protected], vous pouvez refuser l'accès à uneapplication en créant une règle telle que E-mail ne commence pas par rh_.Les entrées du serveur de dossiers comportant d'autres adresses e-mail ontaccès à l'application.

Utilisation de l'attribut Indifférent ouTous

(Facultatif) Pour inclure les attributs Indifférent ou Tous dans le cadre de la règlede groupe, ajoutez cette règle en dernier.n Sélectionnez Indifférent pour l'appartenance au groupe à accorder lorsque

l'une des conditions d'appartenance au groupe est satisfaite pour cette règle.L'utilisation de Indifférent permet d'imbriquer des règles. Par exemple, vouspouvez créer une règle qui stipule Tous les éléments suivants : Groupe est


VMware, Inc. 92

Option Description

ventes ; Groupe est Californie. Pour Groupe est Californie, tous les élémentssuivants : téléphone commence par 415 ; téléphone commence par 510. Lemembre du groupe doit appartenir à votre équipe des Ventes en Californie etdisposer d'un numéro de téléphone qui commence par 415 ou 510.

n Sélectionnez Tous pour toutes les conditions à satisfaire pour cette règle. Ilest possible d'imbriquer les règles. Par exemple, vous pouvez créer une règlequi stipule L'un des éléments suivants : Groupe Est Gestionnaires ; GroupeEst Service Client. Pour Groupe est service Client, tous les élémentssuivants : E-mail commence par sc_ ; téléphone commence par 555. Lesmembres du groupe peuvent être gestionnaires ou représentants du serviceclient, mais les représentants du service client doivent disposer d'uneadresse e-mail qui commence par sc et d'un numéro de téléphone quicommence par 555.

9 (Facultatif) Pour exclure des utilisateurs spécifiques, entrez un nom d'utilisateur dans la zone de texte

et cliquez sur Exclure un utilisateur.

10 Cliquez sur Suivant et examinez les informations de groupe. Cliquez sur Créer un groupe.

Suivant

Ajoutez les ressources que le groupe a le droit d'utiliser.

Modifier les règles du groupeVous pouvez modifier des règles de groupe afin de modifier le nom du groupe, ajouter et supprimer desutilisateurs.

Procédure

1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes.

2 Cliquez sur le nom du groupe à modifier.

3 Cliquez sur Modifier les utilisateurs du groupe.

4 Cliquez sur les pages pour modifier le nom, les utilisateurs dans le groupe et les règles.


Ajouter des ressources à des groupesLa façon la plus efficace d'autoriser des utilisateurs à accéder à des ressources consiste à ajouter lesdroits à un groupe. Tous les membres du groupe peuvent accéder aux applications sur lesquelles legroupe dispose de droits.

Prérequis

Les applications sont ajoutées à la page Catalogue.


VMware, Inc. 93

Procédure

1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes.

La page affiche la liste de tous les groupes.

2 Pour ajouter des ressources à un groupe, cliquez sur le nom du groupe.

3 Cliquez sur l'onglet Applications, puis sur Ajouter un droit.

4 Sélectionnez le type d'application à octroyer dans le menu déroulant.

Les types d'applications indiqués dans le menu déroulant se basent sur les types d'applicationsajoutés au catalogue.

5 Sélectionnez les applications à octroyer au groupe. Vous pouvez rechercher une applicationspécifique ou cocher la case en regard d'Applications pour sélectionner toutes les applicationsaffichées.

Si une application est déjà octroyée au groupe, elle n'est pas répertoriée.


La synchronisation s'exécute en arrière-plan. Lorsque la synchronisation est terminée, les utilisateursdu groupe sont synchronisés avec l'annuaire et disposent de droits d'accès aux applications.

Créer des utilisateurs locauxVous pouvez créer des utilisateurs locaux dans le service VMware Identity Manager pour ajouter et gérerdes utilisateurs qui ne sont pas provisionnés dans votre répertoire d'entreprise. Vous pouvez créerdifférents répertoires locaux et personnaliser le mappage d'attribut pour chaque répertoire.

Vous créez un répertoire, sélectionnez des attributs et créez des attributs personnalisés pour cerépertoire local. Les attributs utilisateur requis userName, lastName, firstName et email sont spécifiés auniveau global sur la page Identité et gestion de l'accès > Attributs utilisateur. Dans la liste d'attributsutilisateur de répertoire local, vous pouvez sélectionner d'autres attributs requis et créer des attributspersonnalisés pour avoir des ensembles d'attributs personnalisés pour différents répertoires locaux.Consultez Utilisation de répertoires locaux dans le guide Installation et configuration de VMware IdentityManager.

Créez des utilisateurs locaux lorsque vous voulez autoriser des utilisateurs à accéder à vos applications,mais que vous ne voulez pas les ajouter à votre répertoire d'entreprise.

n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie devotre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour despartenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accèsuniquement aux applications spécifiques dont ils ont besoin.

n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ouméthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer unrépertoire local pour des distributeurs disposant d'attributs utilisateur avec les étiquettes région ettaille de marché. Vous créez un autre répertoire local pour les fournisseurs disposant d'un attribututilisateur avec l'étiquette catégorie de produit.


VMware, Inc. 94

Vous configurez la méthode d'authentification que les utilisateurs locaux utilisent pour se connecter àvotre site Web d'entreprise. Une stratégie de mot de passe est appliquée pour le mot de passed'utilisateur local. Vous pouvez définir des restrictions de mot de passe et des règles de gestion du motde passe.

Lorsque vous avez provisionné un utilisateur, un e-mail est envoyé à cet utilisateur avec la procédure deconnexion pour lui permettre d'activer son compte. Lorsqu'il se connecte, il crée un mot de passe et soncompte est activé.

Ajouter des utilisateurs locauxVous créez un utilisateur à la fois. Lorsque vous ajoutez l'utilisateur, vous sélectionnez le répertoire localconfiguré avec les attributs de l'utilisateur local à utiliser et le domaine auquel l'utilisateur se connecte.

Outre l'ajout des informations utilisateur, vous sélectionnez son rôle, utilisateur ou administrateur. Le rôled'administrateur permet à l'utilisateur d'accéder à la console d'administration pour gérer les servicesVMware Identity Manager.

Prérequis

n Répertoire local créé

n Domaine identifié pour les utilisateurs locaux

n Attributs utilisateur devant être sélectionnés sur la page Attributs utilisateur du répertoire local

n Stratégies de mot de passe configurées

n Serveur SMTP configuré dans l'onglet Paramètres du dispositif pour envoyer une notification par e-mail aux utilisateurs locaux nouvellement créés

Procédure

1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Ajouter unutilisateur.

2 Sur la page Ajouter un utilisateur, sélectionnez le répertoire local pour cet utilisateur.

La page se développe pour afficher les attributs utilisateur à configurer.

3 Sélectionnez le domaine auquel est attribué cet utilisateur et renseignez les informations utilisateurrequises.

4 Si ce rôle d'utilisateur est administrateur, dans la zone de texte Utilisateur, sélectionnezAdministrateur.



VMware, Inc. 95

L'utilisateur local est créé. Un e-mail est envoyé à l'utilisateur pour lui demander de se connecter afind'activer son compte et de créer un mot de passe. Le lien dans l'e-mail expire selon la valeur définie surla page Stratégie de mot de passe. La valeur par défaut est sept jours. Si le lien expire, vous pouvezcliquer sur Réinitialiser le mot de passe pour renvoyer la notification par e-mail.

Un utilisateur est ajouté à des groupes existants en fonction des règles d'attribut de groupe configurées.

Suivant

Accédez au compte d'utilisateur local pour examiner le profil, ajouter l'utilisateur à des groupes etautoriser l'utilisateur à accéder aux ressources à utiliser.

Si vous avez créé un utilisateur administrateur dans le répertoire système qui est autorisé à accéder àdes ressources gérées par une stratégie d'accès spécifique, vérifiez que les règles de stratégied'application incluent Mot de passe (répertoire local) comme méthode d'authentification de secours. SiMot de passe (répertoire local) n'est pas configuré, l'administrateur ne peut pas se connecter àl'application.

Désactiver ou activer des utilisateurs locauxVous pouvez désactiver des utilisateurs locaux pour les empêcher de se connecter et d'accéder à leurportail et à des ressources autorisées au lieu de les supprimer.

Procédure


2 Sur la page Utilisateurs, sélectionnez l'utilisateur.

La page Profil d'utilisateur s'affiche.

3 En fonction de l'état de l'utilisateur local, effectuez l'une des actions suivantes.

a Pour désactiver le compte, décochez la case Activer.

b Pour activer le compte, sélectionnez Activer.

Les utilisateurs désactivés ne peuvent pas se connecter au portail ou aux ressources qui leur étaientattribuées. S'ils travaillent dans une ressource autorisée lorsque l'utilisateur local est désactivé, ce dernierpeut accéder aux ressources jusqu'à expiration de la session.

Supprimer des utilisateurs locauxVous pouvez supprimer des utilisateurs locaux.

Procédure


2 Sélectionnez l'utilisateur à supprimer.

La page Profil d'utilisateur s'affiche.

3 Cliquez sur Supprimer l'utilisateur.


VMware, Inc. 96

4 Dans la fenêtre de confirmation, cliquez sur OK.

L'utilisateur est supprimé de la liste Utilisateurs.

Les utilisateurs supprimés ne peuvent pas se connecter au portail ou aux ressources qui leur étaientattribuées.

Gestion des mots de passeVous pouvez créer une stratégie de mot de passe pour gérer des mots de passe d'utilisateur local. Lesutilisateurs locaux peuvent modifier leur mot de passe en fonction des règles de stratégie de mot depasse.

Les utilisateurs locaux peuvent modifier leur mot de passe dans le portail Workspace ONE, ensélectionnant Compte dans le menu déroulant à côté de leur nom.

Configurer une stratégie de mot de passe pour des utilisateurslocauxLa stratégie de mot de passe d'utilisateurs locaux est un ensemble de règles et de restrictions sur leformat et l'expiration des mots de passe d'utilisateurs locaux. La stratégie de mot de passe s'appliqueuniquement aux utilisateurs locaux que vous avez créés à partir de la console d'administration deVMware Identity Manager.

La stratégie de mot de passe peut inclure des restrictions de mot de passe, la durée de vie maximaled'un mot de passe et, pour les réinitialisations de mot de passe, la durée de vie maximale du mot depasse temporaire.

La stratégie de mot de passe par défaut requiert six caractères. Les restrictions de mot de passe peuventinclure une combinaison de caractères en majuscule, en minuscule, numériques et spéciaux pour définirdes mots de passe forts.

Procédure

1 Dans la console d'administration, sélectionnez Utilisateurs et groupes > Paramètres.

2 Cliquez sur Stratégie de mot de passe pour modifier les paramètres de restriction de mot de passe.

Option Description

Longueur minimale des mots de passe La longueur minimale est de six caractères, mais vous pouvez exiger un nombresupérieur. La longueur minimale ne doit pas être inférieure au minimum combinédes exigences de caractères alphabétiques, numériques et spéciaux.

Caractères minuscules Nombre minimal de caractères en minuscule. Minuscules a-z

Caractères majuscules Nombre minimal de caractères en majuscule. Majuscules A-Z

Caractères numériques (0 à 9) Nombre minimal de caractères numériques. Chiffres (0-9)

Caractères spéciaux Nombre minimal de caractères non alphanumériques, par exemple & # % $ !


VMware, Inc. 97

Option Description

Caractères identiques consécutifs Nombre maximal de caractères identiques consécutifs. Par exemple, si vousentrez 1, le mot de passe p@s$word est autorisé, mais pas p@$$word.

Historique des mots de passe Nombre de mots de passe précédents qui ne peuvent être sélectionnés. Parexemple, si un utilisateur ne peut réutiliser aucun des six derniers mots de passe,tapez « 6 ». Pour désactiver cette fonctionnalité, définissez la valeur sur 0.

3 Dans la section Gestion des mots de passe, modifiez les paramètres de durée de vie des mots de

passe.

Option Description

Durée du mot de passe temporaire Nombre d'heures pendant lesquelles un lien de mot de passe oublié ou deréinitialisation de mot de passe est valide. La valeur par défaut est de 168 heures.

Durée de vie du mot de passe Nombre maximal de jours d'existence d'un mot de passe au terme duquell'utilisateur doit le changer.

Rappel de mot de passe Nombre de jours pour l'envoi de la notification d'expiration du mot de passe avantl'expiration d'un mot de passe.

Fréquence de notification des rappelsde mot de passe

Une fois la première notification d'expiration de mot de passe envoyée, fréquenceà laquelle les rappels sont envoyés.

Chaque case doit contenir une valeur pour configurer la stratégie de durée de vie du mot de passe.Pour ne pas définir d'option de stratégie, entrez 0.


Synchroniser l'annuaire pour corriger des informations dedomaineSi vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateur estincorrect ou manquant, vous devez vérifier les paramètres du domaine et synchroniser de nouveau lerépertoire. Il est nécessaire de vérifier les paramètres de domaine pour que les utilisateurs ou lesgroupes de même nom dans différents domaines Active Directory soient correctement synchronisés avecle répertoire VMware Identity Manager et pour que les utilisateurs puissent se connecter.

Procédure

1 Dans la console d'administration, accédez à la page Identité et gestion de l'accès > Répertoires.

2 Sélectionnez le répertoire à synchroniser, puis cliquez sur Paramètres de synchronisation et surl'onglet Attributs mappés.

3 Sur la page Attributs mappés, vérifiez que l'attribut domaine de VMware Identity Manager est mappévers le nom d'attribut correct dans Active Directory.

L'attribut domaine est en général mappé vers l'attribut canonicalName dans Active Directory.

L'attribut domaine n'est pas marqué comme Obligatoire.

4 Cliquez sur Enregistrer et synchroniser pour synchroniser le répertoire.


VMware, Inc. 98

Gestion du catalogue 8Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs.Vous ajoutez des applications au catalogue directement depuis l'onglet Catalogue. Pour voir lesapplications ajoutées au catalogue, cliquez sur l'onglet Catalogue dans la console d'administration.

Sur la page Catalogue, vous pouvez effectuer les tâches suivantes :

n Ajouter de nouvelles ressources à votre catalogue.

n Visualiser les ressources auxquelles vous pouvez actuellement attribuer des utilisateurs.

n Accéder aux informations sur chaque ressource de votre catalogue.

Vous pouvez intégrer les types de ressources suivants à VMware Identity Manager.

n applications Web

n Postes de travail et applications de VMware Horizon Cloud Service

n Pools de postes de travail et d'applications VMware Horizon® 7, Horizon 6 et View

n Ressources publiées Citrix

n Applications modularisées VMware ThinApp®

Vous intégrez ces ressources depuis la page Catalogue.

Pour plus d'informations sur la configuration des ressources, reportez-vous à Configuration desressources dans VMware Identity Manager.


n Gestion des ressources dans le catalogue

n Groupement des ressources en catégories

n Gestion des paramètres du catalogue

Gestion des ressources dans le catalogueAvant de pouvoir attribuer une ressource particulière à vos utilisateurs, vous devez doter votre cataloguede cette ressource. La méthode utilisée pour doter votre catalogue d'une ressource dépend du type decette ressource.

VMware, Inc. 99

Les types de ressources que vous pouvez définir dans votre catalogue pour l'octroi et la distribution auxutilisateurs sont les applications Web, les applications Windows capturées sous forme de modulesVMware ThinApp, les pools de poste de travail Horizon Client et les applications virtuelles Horizon, ou lesapplications Citrix.

Pour intégrer et activer des pools de postes de travail et d'applications Horizon Client, des ressourcespubliées Citrix ou des applications modularisées ThinApp, vous utilisez la fonctionnalité Collectiond'applications virtuelles dans le menu déroulant de l'onglet Catalogue.

Pour obtenir plus d'informations et connaître les conditions requises, la procédure d'installation et laconfiguration de ces ressources, reportez-vous à la section Configuration des ressources dansVMware Identity Manager.

Ajout d'applications Web dans votre catalogueVous pouvez directement ajouter des applications Web dans votre catalogue à l'aide de la pageCatalogue de la console d'administration.

Reportez-vous à la section Configuration des ressources dans VMware Identity Manager, chapitreFourniture d'un accès aux applications Web, pour obtenir des instructions détaillées sur l'ajout d'uneapplication Web à votre catalogue.

Les instructions suivantes fournissent un aperçu des étapes impliquées dans l'ajout de ces types deressources à votre catalogue.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Catalogue.

2 Cliquez sur + Ajouter une application.


VMware, Inc. 100

3 Cliquez sur une option en fonction du type de ressource et de l'emplacement de l'application.

Nom du lienType deressource Description

Applications Web ...ducatalogue d'applicationsCloud

Application Web VMware Identity Manager inclut l'accès aux applications Web par défaut,disponibles dans le catalogue d'applications Cloud et que vous pouvezajouter à votre catalogue en tant que ressources.

Application Web ... créerun nouvel enregistrement

Application Web En renseignant le formulaire approprié, vous pouvez créer unenregistrement d'application pour les applications Web que vous voulezajouter à votre catalogue en tant que ressources.

Application Web ...importer un fichier ZIP ouJAR

Application Web Vous pouvez importer une application Web précédemment configurée.Vous pouvez utiliser cette méthode pour effectuer un déploiement, depuisl'environnement de test jusqu'à la production. Dans une telle situation, vouspouvez exporter une application Web depuis le déploiement del'environnement de test sous forme de fichier ZIP. Vous pouvez ensuiteimporter le fichier ZIP dans le déploiement de production.

4 Suivez les invites à l'écran pour finir l'ajout des ressources au catalogue.

Ajouter des applications Web à votre catalogueLorsque vous ajoutez une application Web au catalogue, vous créez une entrée qui pointe indirectementvers cette application. L'entrée est définie par l'enregistrement d'application, qui est un formulaire incluantune URL vers l'application Web.

Procédure


2 Cliquez sur Ajouter une application > Application Web ...à partir du catalogue d'applicationsCloud.

3 Cliquez sur l'icône de l'application Web que vous voulez ajouter.

L'enregistrement d'application est ajouté à votre catalogue et la page Détails de l'enregistrements'affiche, le nom et le profil d'authentification étant déjà spécifiés.

4 (Facultatif) Personnalisez les informations de la page Détails en fonction des besoins de votreorganisation.

Les éléments sur la page sont remplis avec des informations spécifiques de l'application Web.

Vous pouvez modifier certains éléments, selon l'application.

Élément deformulaire Description

Nom Le nom de l'application.

Description Une description de l'application que les utilisateurs peuvent lire.


VMware, Inc. 101

Élément deformulaire Description

Icône Cliquez sur Parcourir pour télécharger une icône pour l'application. Des icônes aux formats PNG, JPGet ICON et avec des dimensions maximales de 1024 x 1024 pixels et jusqu'à 4 Mo sont prises encharge.

Les icônes d’application que vous téléchargez doivent avoir une taille minimale de 180 x 180 pixels. Sil'icône est trop petite, elle ne s'affiche pas. C'est l’icône Workspace ONE qui s'affiche à la place.

Catégories Pour permettre à une application d'être incluse dans une recherche de ressources de catalogue parcatégorie, sélectionnez une catégorie dans le menu déroulant. Vous devez avoir déjà créé la catégorie.


6 Cliquez sur Configuration, modifiez les détails de la configuration de l'enregistrement d'application,puis cliquez sur Enregistrer.

Certains des éléments du formulaire sont pré-renseignés avec des informations spécifiques del'application Web. Certains des éléments pré-renseignés sont modifiables, d'autres ne le sont pas.Les informations demandées varient d'une application à l'autre.

Pour certaines applications, le formulaire dispose d'une section Paramètres de l'application. Si cettesection existe pour une application et qu'un paramètre dans la section ne comporte pas de valeur pardéfaut, fournissez une valeur pour permettre à l'application de se lancer. Si une valeur par défaut estfournie, vous pouvez modifier cette valeur.

7 Sélectionnez les onglets Droits, Licences et Provisionnement, puis personnalisez les informationsde manière appropriée.

Onglet Description

Droits Attribuez l'application à des utilisateurs et des groupes. Vous pouvez configurer des droits lors de laconfiguration initiale de l'application ou ultérieurement.

Stratégies d'accès Appliquez une stratégie d'accès pour contrôler l'accès de l'utilisateur à l'application. Lorsque vousajoutez l'application Office 365 avec provisionnement au catalogue, vous pouvez configurer desstratégies d'accès client qui contrôlent l'accès des utilisateurs aux services Office 365 qui utilisent leflux d'authentification héritée. Consultez le guide Intégration de VMware Identity Manager avecOffice 365.

Gestion deslicences

Configurez le suivi d'approbation. Ajoutez des informations de licence pour l'application afin de suivrel'utilisation des licences dans des rapports. Les approbations doivent être activées et configurées sur lapage Catalogue > Paramètres. Vous devez également enregistrer l'URI de rappel du gestionnaire dedemande d'approbation.

Provisionnement Provisionnez une application Web pour extraire des informations spécifiques du serviceVMware Identity Manager. Si le provisionnement est configuré pour une application Web, lorsque vousautorisez un utilisateur à accéder à l'application, l'utilisateur est provisionné dans l'application Web.Actuellement, un adaptateur de provisionnement est disponible pour Google Apps et Office 365.Accédez à Intégrations de VMware Identity Manager à l'adresse https://www.vmware.com/support/pubs/vidm_webapp_sso.html pour voir les guides de configuration deces applications.


VMware, Inc. 102



https://www.vmware.com/support/pubs/vidm_webapp_sso.html

Créer des collections d'applications virtuellesVous pouvez intégrer des postes de travail et des applications Horizon, des postes de travail et desapplications Horizon Cloud, des ressources publiées Citrix et des applications ThinApp avec VMwareIdentity Manager à partir de la page Collection d'applications virtuelles.

Prérequis

Avant la version 3.1, ces applications et postes de travail étaient gérés via le menu Catalogue > Gérer lesapplications de postes de travail. Consultez le guide Configuration des ressources dans VMware IdentityManager 3.0.

n Toutes les instances du service VMware Identity Manager doivent avoir la version 3.1 ou une versionultérieure.

n Tous les connecteurs utilisés pour la synchronisation des ressources doivent avoir laversion 2017.12.1.0 ou une version ultérieure.

Procédure

1 Dans la console d'administration, sélectionnez l'onglet Catalogue > Collection d'applicationsvirtuelles.

2 Cliquez sur Ajouter des applications virtuelles dans la partie supérieure droite de la page etsélectionnez le type d'intégration, par exemple, Application publiée Citrix.

3 Entrez les informations de configuration.

Les champs suivants sont communs à tous les types d'intégrations.

Option Description

Nom Entrez un nom unique pour la collection.

Synchroniser les connecteurs Sélectionnez le connecteur pour synchroniser des ressources dans la collection.Si un cluster de connecteurs pour la haute disponibilité est configuré, cliquez surAjouter un connecteur et sélectionnez les autres connecteurs du cluster dansl'ordre de basculement.


VMware, Inc. 103

Option Description

Fréquence de synchronisation Sélectionnez la fréquence de synchronisation des ressources dans la collection.Si vous ne voulez pas configurer une planification de synchronisationautomatique, sélectionnez Manuellement.

Stratégie d'activation Sélectionnez la manière dont les ressources sont mises à disposition desutilisateurs dans Workspace ONE.

Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées,les ressources sont ajoutées à la page Catalogue. Les utilisateurs peuvent utiliserles ressources de la page Catalogue ou les déplacer vers la page Signets.Toutefois, pour configurer un flux d'approbation pour l'une des applications, vousdevez sélectionner Activé par l'utilisateur pour cette application.

La stratégie d'activation que vous sélectionnez ici s'applique à tous les droitsd'accès des utilisateurs pour toutes les ressources de la collection. Vous pouvezmodifier la stratégie d'activation pour des utilisateurs individuels ou des groupespar ressource, sur la page Droits d'accès de l'application ou du poste de travail.

Définir la stratégie d'activation pour la collection sur Activé par l'utilisateur estrecommandé si vous prévoyez de configurer un flux d'approbation.

4 Dans les champs restants, entrez les informations de configuration pour l'intégration, qui sont

différentes pour chaque type d'intégration.

Consultez le guide Configuration des ressources dans VMware Identity Manager 3.1 pour plusd'informations sur la façon d'intégrer un type spécifique de ressources.


La collection est créée. Vous pouvez afficher et modifier la collection à partir de la page Collectionsd'applications virtuelles.

Suivant

Les ressources de la nouvelle collection ne sont pas encore synchronisées. Si vous définissez uneplanification de synchronisation pour la collection, les ressources sont synchronisées à l'heure planifiéesuivante. Pour synchroniser manuellement les ressources, cliquez sur Synchroniser qui s'affiche enregard de la collection dans la page Collection d'applications virtuelles.

Groupement des ressources en catégoriesIl est possible d'organiser les ressources en catégories logiques, afin que les utilisateurs puissentlocaliser facilement la ressource dont ils ont besoin dans l'espace de travail du portail Workspace ONE.

Lorsque vous créez des catégories, tenez compte de la structure de votre organisation, de la fonction desressources et du type de ressource. Une ressource peut correspondre à plusieurs catégories. Parexemple, vous pouvez créer une catégorie appelée RH et une autre appelée Avantages. Attribuez RH àtoutes les ressources RH dans votre catalogue. Attribuez également des avantages à une ressourced'avantage RH spécifique que vous souhaitez que vos utilisateurs utilisent.

Une catégorie prédéfinie nommée Recommandé est créée automatiquement. Les applications qui sontclassées comme Recommandé s'affichent dans le lien Recommandé sur la page du catalogueWorkspace ONE. Les utilisateurs peuvent afficher la liste recommandée d'applications et les ajouter auxsignets dans la page Signet.


VMware, Inc. 104

Créer une catégorie de ressourcesVous pouvez créer une catégorie de ressources sans l'appliquer immédiatement, ou vous pouvez créer etappliquer une catégorie sur une ressource simultanément.

Procédure


2 Pour créer et appliquer des catégories simultanément, cochez les cases des applications auxquellesappliquer la nouvelle catégorie.

3 Cliquez sur Catégories.

4 Entrez le nom de la nouvelle catégorie dans la zone de texte.

5 Cliquez sur Ajouter une catégorie....

Une nouvelle catégorie est créée mais n'est appliquée à aucune ressource.

6 Pour appliquer la catégorie aux ressources sélectionnées, cochez la case du nom de la nouvellecatégorie.

Cette catégorie est ajoutée à l'application et répertoriée dans la colonne Catégories.

Suivant

Appliquez la catégorie à d'autres applications. Voir Appliquer une catégorie à des ressources.

Appliquer une catégorie à des ressourcesUne fois que vous avez créé une catégorie, vous pouvez l'appliquer à toute ressource du catalogue. Il estpossible d'appliquer plusieurs catégories à une même ressource.

Prérequis

Créez une catégorie.

Procédure


2 Cochez les cases de toutes les applications auxquelles appliquer la catégorie.

3 Cliquez sur Catégories et sélectionnez le nom de la catégorie à appliquer.

La catégorie est appliquée aux applications sélectionnées.

Retirer une catégorie d'une applicationIl est possible de dissocier une catégorie d'une application.

Procédure



VMware, Inc. 105

2 Cochez les cases des applications à supprimer d'une catégorie.


Les catégories appliquées aux applications sont cochées.

4 Désélectionnez la catégorie à dissocier de l'application et fermez le menu.

La catégorie est supprimée de la liste Catégories de l'application.

Supprimer une catégorieVous pouvez supprimer une catégorie du catalogue de façon permanente.

Procédure



3 Survolez la catégorie à supprimer. Un x s'affiche. Cliquez sur le x.

4 Cliquez sur OK pour supprimer la catégorie.

La catégorie ne figure plus dans le menu déroulant Catégories ou sous la forme d'une étiquette danstoutes les applications auxquelles vous l'aviez précédemment appliquée.

Gestion des paramètres du catalogueLa page Paramètres du catalogue peut être utilisée pour gérer des ressources dans le catalogue,télécharger des certificats SAML, personnaliser le portail utilisateur et définir des paramètres globaux.

Figure 8‑1. Options de la page Paramètres du catalogue


VMware, Inc. 106

Certificats de signature SAMLLes certificats de signature SAML garantissent que les messages proveniennent de l’identité attendue etdes fournisseurs de service. Le certificat SAML est utilisé pour signer les demandes, les réponses et lesassertions SAML à partir du service vers des applications fiables comme WebEx ou Google Apps.

La page Catalogue > Paramètres des métadonnées SAML affiche le certificat de signature SAML et inclutles liens pour le Fournisseur d'identité SAML et les fichiers de métadonnées du fournisseur de service.Les métadonnées incluent des informations de configuration et les certificats.

Un certificat auto-signé est automatiquement créé dans le service VMware Identity Manager poursignature SAML. Si votre organisation nécessite un certificat auprès d’une autorité de certification, vouspouvez générer un Certificat de demande de signature (CSR) à partir de la console d’administration etutiliser la CSR afin de générer un certificat. Lorsque vous recevez le certificat signé, vous téléchargez lecertificat vers le service VMware Identity Manager, remplaçant ainsi le certificat auto-signé. Le certificatde signature SAML et les fichiers de métadonnées SAML sont mis à jour avec le nouveau certificat.

Téléchargement des certificats SAML à configurer avec des applications deconfianceVous devez copier le certificat de signature SAML et les métadonnées du fournisseur de services SAMLà partir du service et modifier l'assertion SAML dans le fournisseur d'identité tiers pour mapper lesutilisateurs de VMware Identity Manager.

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > MétadonnéesSAML.

a Copiez les informations du certificat qui se trouve dans la section Certificat de signature.

2 Rendez les métadonnées SP SAML du fournisseur de services disponibles à l'instance defournisseur d'identité tiers.

a Dans la page Télécharger un certificat SAML, cliquez sur Métadonnées du fournisseur deservices (SP).

b Copiez et enregistrez les informations affichées en utilisant la méthode convenant le mieux àvotre organisation.

Utilisez ces informations copiées ultérieurement, lors de la configuration du fournisseur d'identitétiers.


VMware, Inc. 107

3 Déterminez le mappage utilisateur de l'instance de fournisseur d'identité tiers àVMware Identity Manager.

Lorsque vous configurez le fournisseur d'identité tiers, modifiez l'assertion SAML dans le fournisseurd'identité tiers pour mapper des utilisateurs VMware Identity Manager.

Format NameID Mappage d'utilisateurs

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

La valeur NameID dans l'assertion SAML est mappée à l'attribut d'adresse e-maildans VMware Identity Manager.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

La valeur NameID dans l'assertion SAML est mappée à l'attribut username dansVMware Identity Manager.

Suivant

Appliquez les informations que vous avez copiées pour cette tâche afin de configurer l'instance defournisseur d'identité tiers.

Générer une demande de signature de certificatPour utiliser un certificat externe pour signature SAML, vous devez générer une demande de signaturede certificat (CSR) à partir de la console d’administration. La CSR est envoyée à une autorité decertification pour générer le certificat SSL.

Remarque Un certificat généré sans la CSR à partir de la console d’administration n’est pas pris encharge.

Procédure

1 Dans l'onglet Catalogue, sélectionnez Paramètres > Métadonnées SAML.

2 Cliquez sur Générer une CSR

3 Entrez les informations demandées. Options avec un astérisque (*) sont requises.

Option Description

Nom commun* Entrez le nom de domaine complet. Par exemple, www.example.com

Organisation* Entrez le nom légal enregistré de l'organisation. Par exemple, Mycompany, Inc.

Département Entrez le département dans votre entreprise qui est ajouté au certificat. Parexemple, IT Services.

Ville* Entrez la ville où se trouve légalement votre organisation.

État/Province* Entrez l’état ou la région où se trouve votre organisation. Ne pas abréger.

Pays* Entrez les premières lettres de votre pays afin de sélectionner le pays souhaitédans la liste.

Algorithme de génération clé* Sélectionnez l’algorithme de hachage sécurisé utilisé pour signer la CSR.

Taille de clé* Sélectionnez le nombre de bits utilisés dans la clé. RSA 2048 est recommandé.Une taille de clé RSA inférieure à 2048 est considérée comme non sécurisée.


VMware, Inc. 108

4 Cliquez sur Générer.

Donner la CSR à l’autorité de certification afin de créer le certificat.

Suivant

Lorsque vous recevez le certificat, téléchargez le certificat vers le service VMware Identity Manager.L’autorité de certification remplace le certificat auto-signé.

Télécharger une nouvelle autorité de certificats pour les certificats designature SAMLUne fois que le certificat signé est émis, téléchargez le fichier à partir de la page de métadonnées SAMLdu catalogue et redémarrez le service pour mettre à jour les métadonnées.

Prérequis

Générez la demande de signature de certificat.

Enregistrez le certificat signé que vous recevez dans un fichier auquel vous pouvez accéder à partir de laconsole d’administration.

Procédure

1 Dans l'onglet Catalogue, sélectionnez Paramètres > Métadonnées SAML.

2 Cliquez sur Générer une CSR.

3 Cliquez sur Télécharger le certificat et accédez au certificat.

4 Cliquez sur Ouvrir.

Le certificat signé SAML et les fichiers de métadonnées SAML sont mis à jour avec le nouveaucertificat.

5 Accédez à l’onglet Gestion des identités et des accès, Connecteus > d'installationet cliquez surRedémarrer.

Les métadonnées sont mises à jour dans le connecteur.

Suivant

Important Reconfigurez tous les configurations de fournisseur de service SAML et d’identité avec lefichier de métadonnées SAML mis à jour. Cela inclut la reconfiguration de connecteurs supplémentairesqui sont configurés. Si cela n’est pas effectué, les transactions SAML échouent et l'authentification uniquene fonctionne pas.


VMware, Inc. 109

Paramètres globaux pour désactiver l'invite de téléchargementd'applications auxiliairesLes postes de travail Horizon, les applications publiées Citrix et les ressources ThinApp nécessitent queles applications auxiliaires suivantes soient installées sur les ordinateurs ou les périphériques desutilisateurs.

n Les postes de travail Horizon utilisent Horizon Client.

n Les applications publiées Citrix requièrent Citrix Receiver.

n Les ressources ThinApp requièrent VMware Identity Manager pour postes de travail.

Il est demandé aux utilisateurs de télécharger des applications auxiliaires sur leur poste de travail ou leurpériphérique la première fois qu'ils lancent des applications depuis ces types de ressources. Vous pouvezcomplètement désactiver l'affichage de cette invite à chaque lancement de la ressource sur la pageCatalogue > Paramètres > Paramètres globaux.

La désactivation de l'invite est une bonne option lorsque des ordinateurs ou des périphériques sontgérés, et que vous savez que les applications auxiliaires se trouvent sur l'image locale de l'utilisateur.

Procédure

1 Dans la console d'administration, sélectionnez Catalogue > Paramètres.

2 Sélectionnez Paramètres globaux.

3 Sélectionnez les systèmes d'exploitation qui ne doivent pas demander le lancement des applicationsauxiliaires.


Création de clients pour l'accès aux applications à distanceVous pouvez créer un client pour permettre à une application de s'enregistrer avecVMware Identity Manager afin d'autoriser un accès utilisateur à une application spécifique activée sur lapage Catalogue > Paramètres.

Vous pouvez également créer un modèle pour permettre à un groupe de clients de s'enregistrerdynamiquement avec le service VMware Identity Manager afin d'autoriser l'accès à des applicationsspécifiées.

La demande d'authentification utilisateur initiale suit le flux d'authentification défini dans la spécificationOIDC.

Gestion de la durée de vie du jeton d'accèsLe jeton d'accès offre un accès sécurisé temporaire à l'application. Les jetons d'accès ont une durée devie limitée. Lorsque vous créez les informations d'identification du client, le jeton d'accès est configuréavec une durée de vie. La durée configurée est la durée maximale pendant laquelle le jeton d'accès estvalide pour l'utilisation dans une application.


VMware, Inc. 110

Si les utilisateurs utilisent fréquemment une application, telle que Workspace ONE, vous pouvezconfigurer les informations d'identification client pour ne pas exiger que ces utilisateurs se connectentchaque fois que le jeton d'accès expire.

Activez Émettre un jeton actualisé pour que, lors de l'expiration du jeton d'accès, l'application utilise lejeton d'actualisation pour demander un nouveau jeton d'accès. Le jeton d'actualisation est configuré avecune durée de vie. Les nouveaux jetons d'accès peuvent être demandés jusqu'à l'expiration du jetond'actualisation. Lorsque le jeton d'actualisation expire, l'utilisateur doit se connecter à l'application.

Vous pouvez configurer la durée pendant laquelle un jeton d'actualisation peut être inactif avant qu'il nepuisse plus être réutilisé. Si le jeton d'actualisation n'est pas utilisé par la durée de vie d'inactivité du jetond'actualisation, les utilisateurs doivent se reconnecter à l'application.

Exemple : Fonctionnement de la durée de vie du jeton d'accèsLes paramètres de la durée de vie du jeton d'accès dans les informations d'identification du client sontconfigurés comme suit.

n Durée de vie du jeton d'accès est définie sur 9 heures

n Durée de vie du jeton d'actualisation est définie sur trois mois

n Durée de vie d'inactivité du jeton d'actualisation est définie sur sept jours

Si l'utilisateur utilise l'application tous les jours, il n'a pas besoin de se reconnecter pendant trois mois,selon le paramètre Durée de vie du jeton d'actualisation. Toutefois, si l'utilisateur est inactif et n'utilise pasl'application pendant sept jours, il devra se connecter après sept jours, selon le paramètre Durée de vied'inactivité du jeton d'actualisation.

Configurer un accès à distance à une ressource de catalogueVous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avec les servicesVMware Identity Manager pour autoriser un accès utilisateur à une application spécifique.

L'enregistrement des détails de l'application identifie l'application en tant que client approuvé pour leservice OAuth.

Vous enregistrez l'ID de client, le code secret de client et une URI de redirection avec le serviceVMware Identity Manager.

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès àdistance aux applications.

2 Sur la page Clients, cliquez sur Créer un client.


VMware, Inc. 111

3 Sur la page Créer un client, entrez les informations suivantes sur l'application.

Libellé Description

Type d'accès Les options sont Jeton d'accès utilisateur ou Jeton de client de service. Définissez-la sur Jetonde client de service. Cela indique que l'application accède à l'API en son nom, pas au nom d'unutilisateur.

Code identifiant client Entrez un identifiant client unique que l'application utilisera pour s'authentifier surVMware Identity Manager. L'ID de client ne doit correspondre à aucun ID de client sur votrelocataire. Les caractères suivants sont autorisés : les caractères alphanumériques (A-Z, a-z, 0-9),le point (.), le trait de soulignement (_), le trait d'union (-) et l'arobase (@).

Livraison Sélectionnez Identity Manager.

Étendue Sélectionnez les informations que contient le jeton. Lorsque vous sélectionnez NAAPS, OpenIDest également sélectionné.

URI de redirection Entrez l'URI de redirection enregistré.

Section avancée Cliquez sur Avancé.

Code secret partagé Cliquez sur Générer le code secret partagé pour générer un code secret partagé entre ceservice et le service de ressource d'application.

Copiez et enregistrez le code secret client à configurer dans la configuration de l'application.

Le code secret client doit rester confidentiel. Si une application déployée ne peut pas maintenir lecode secret confidentiel, le code secret n'est pas utilisé. Le code secret partagé n'est pas utiliséavec les applications de type navigateur Web.

Issue Refresh Token Pour utiliser des jetons d'actualisation, laissez cette option activée.

Type de jeton Sélectionnez Support. Cet attribut indique à l'application le type de jeton d'accès qu'elle a reçu.Pour VMware Identity Manager, les jetons sont des jetons de support.

Durée de vie du jetond'accès

Le jeton d'accès expire dans le nombre de secondes défini dans Durée de vie du jeton d'accès.Si Émettre un jeton actualisé est activé, lors de l'expiration du jeton d'accès, l'application utilise lejeton d'actualisation pour demander un nouveau jeton d'accès.

Durée de vie du jetond'actualisation

Définissez la durée de vie du jeton d'actualisation. Les nouveaux jetons d'accès peuvent êtredemandés jusqu'à l'expiration du jeton d'actualisation.

Durée de vie du jetoninactif

Configurez la durée pendant laquelle un jeton d'actualisation peut être inactif avant qu'il ne puisseplus être réutilisé.

Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder.


La configuration du client s'affiche sur la page Client OAuth2.

Suivant

Dans l'application de ressource, configurez l'ID de client et le secret partagé généré. Consultez ladocumentation de l'application.

Créer un modèle d'accès à distanceVous pouvez créer un modèle pour permettre à un groupe de clients de s'enregistrer dynamiquementavec le service VMware Identity Manager pour autoriser un accès utilisateur à une application spécifique.


VMware, Inc. 112

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès àdistance aux applications.

2 Cliquez sur Modèles.

3 Cliquez sur Créer un modèle.

4 Sur la page Créer un modèle, entrez les informations suivantes sur l'application.

Libellé Description

Code identifiant de modèle Entrez un nom unique qui identifie ce modèle.

Livraison Sélectionnez Identity Manager.

Étendue Sélectionnez les informations que contient le jeton. Lorsque vous sélectionnez NAAPS,OpenID est également sélectionné.

URI de redirection Entrez l'URI de redirection enregistré.

Section avancée Cliquez sur Avancé.

Type de jeton Sélectionnez Support. Cet attribut indique à l'application le type de jeton d'accès qu'elle areçu. Pour VMware Identity Manager, les jetons sont des jetons de support.

Longueur du jeton Laissez le paramètre par défaut, 32 octets.

Issue Refresh Token Pour utiliser des jetons d'actualisation, laissez cette option activée.

Durée de vie du jeton d'accès Définissez la durée du jeton d'accès sur la durée de vie. Le jeton d'accès expire après ladurée de vie définie dans Durée de vie du jeton d'accès. Si Émettre un jeton actualiséest activé, lors de l'expiration du jeton d'accès, l'application utilise le jeton d'actualisationpour demander un nouveau jeton d'accès.

Durée de vie du jetond'actualisation

Définissez la durée de vie du jeton d'actualisation. Les nouveaux jetons d'accès peuventêtre demandés jusqu'à l'expiration du jeton d'actualisation.

Durée de vie du jeton inactif Configurez la durée pendant laquelle un jeton d'actualisation peut être inactif avant qu'ilne puisse plus être réutilisé.

Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder.


Suivant

Dans l'application de ressource, configurez l'URL du service VMware Identity Manager sur le site quiprend en charge l'authentification intégrée.

Activation de l'approbation d'application pour l'utilisation desressourcesActivez les Approbations à partir de la page Paramètres du catalogue et configurez des licences dansl’application afin de gérer l’accès aux applications qui requièrent une approbation de votre organisation.

Lorsque l'option Licence est configurée, les utilisateurs voient l'application dans leur catalogueWorkspace ONE et demandent l'utilisation de l'application. L’icône d’application affiche une notification enattente


VMware, Inc. 113

VMware Identity Manager envoie le message de demande d'approbation à l'approbation REST du pointde terminaison l'URL configurée de l'organisation. Le processus workflow du serveur vérifie la demandeet renvoie un message d'approbation ou de refus à VMware Identity Manager. Lorsqu’une application estapprouvée, le statut En attente passe à Ajouté et l’application s’affiche dans la page Lanceur WorkspaceONE de l’utilisateur.

Deux moteurs d’approbation sont disponibles.

n API REST Le moteur d’approbation de l’API REST utilise un outil d’approbation externe qui route viavotre serveur Web API REST afin d'effectuer les réponses de demande et d’approbation. Entrez votreURL API REST dans le service VMware Identity Manager et configurez votre API REST avec lesvaleurs d'informations d’identification du client OAuth de VMware Identity Manager ainsi que l’actionde demande et de réponse d'appel.

n API REST via Connector. L’API REST via le moteur d’approbation Connector dirige les appels derappel via le connecteur à l’aide du canal de communication basé sur Websocket. Configurez votrepoint de terminaison API REST avec l’action de demande et de réponse d'appel...

Vous pouvez consulter les rapports sur l'utilisation des ressources et les droits des ressources deVMware Identity Manager pour voir le nombre d'applications approuvées en cours d'utilisation.

Configurer le moteur d’approbation de l’API RESTVous pouvez enregistrer votre URI REST d'appel afin d’intégrer votre système de gestion d'applicationavec VMware Identity Manager.

Prérequis

Lorsque vous sélectionnez votre moteur d'approbation API REST, votre système de gestion d'applicationdoit être configuré et l'URI disponible via l'API REST d'appel qui reçoit les demandes de la part deVMware Identity Manager.

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Approbations.

2 Cochez Activer les approbations.

3 Dans le menu déroulant Moteur d'approbation, sélectionnez API REST.

4 Configurez les zones de texte suivantes.

Option Description

URI Entrez l'URI de rappel de la ressource REST qui guette la demande d'appel.

Nom d'utilisateur (Facultatif) Si l'API REST requiert un nom d'utilisateur et un mot de passe pourl'accès, entrez le nom ici. Si aucune authentification n'est requise, vous pouvezlaisser le nom d'utilisateur et le mot de passe vides.


VMware, Inc. 114

Option Description

Mot de passe (Facultatif) Entrez le mot de passe de l'utilisateur.

Certificat SSL au format PEM (Facultatif) Si votre ressource REST est en cours d’exécution sur un serveur quipossède un certificat auto-signé ou un certificat non approuvé par une autorité decertification publique et qui utilise HTTPS, ajoutez le certificat SSL au format PEMici.

Suivant

Accédez à la page Catalogue et configurez la fonctionnalité Licence pour les applications qui requièrentune approbation pour que les utilisateurs puissent les utiliser.

Modification des propriétés ICA dans des applications publiéesCitrixVous pouvez modifier les paramètres d'applications et de postes de travail publiés Citrix individuels dansvotre déploiement de VMware Identity Manager sur les pages Catalogue > Paramètres > Applicationpubliée Citrix.

La page Configuration ICA est configurée pour des applications individuelles. Les zones de textePropriétés ICA des applications individuelles sont vides jusqu'à ce que vous ajoutiez manuellement despropriétés. Lorsque vous modifiez les paramètres de livraison d'applications, les propriétés ICA, d'uneressource publiée Citrix individuelle, ces paramètres sont prioritaires sur les paramètres globaux.

Sur la page Configuration NetScaler, vous pouvez configurer le service avec les paramètres appropriéspour que, lorsque des utilisateurs lancent des applications Citrix, le trafic soit routé via NetScaler vers leserveur XenApp.

Lorsque vous modifiez les propriétés ICA dans l'onglet Applications publiées Citrix > ConfigurationNetscaler ICA, les paramètres s'appliquent au trafic de lancement d'application routé via Netscaler.

Pour plus d'informations sur la configuration de propriétés ICA, consultez les rubriques Configuration deNetScaler et Modification des paramètres de livraison d'applications de VMware Identity Manager pourune seule ressource publiée Citrix dans le centre de documentation.


VMware, Inc. 115

Configurer des sources d'applicationsVous pouvez ajouter des fournisseurs d'identité tiers comme source d'application dans le catalogueWorkspace ONE afin de simplifier le déploiement d'un grand nombre d'applications entre le fournisseurd'identité tiers et Workspace ONE.

Les applications Web qui utilisent le profil d'authentification SAML 2.0 peuvent être ajoutées aucatalogue. La configuration de l'application repose sur les paramètres configurés dans la sourced'application. Seuls le nom de l'application et l'URL cible doivent être configurés.

Les stratégies et les paramètres configurés depuis la source d'application tierce peuvent être appliqués àtoutes les applications gérées par la source d'application.

Pour plus d'informations, consultez le guide de Configuration des ressources dans VMware IdentityManager, chapitre Fournir l'accès à des applications gérées tierces dans Workspace ONE.

Activation de l'application de recherche de personnes VMwareL'application de recherche de personnes VMware permet aux employés d'une organisation de rechercherleurs collègues et d'afficher les détails des utilisateurs et les diagrammes de l'organisation. L'applicationest disponible pour les périphériques iOS et Android.

Avant de pouvoir utiliser l'application de recherche de personnes, cette fonctionnalité doit être activéedans la console d'administration de VMware Identity Manager. Vous sélectionnez ensuite les attributs deprofil d'utilisateur que vous souhaitez afficher dans l'application de recherche de personnes. Les attributssont mappés aux attributs Active Directory correspondants. Le répertoire est mis à jour avec cesinformations lorsque l'annuaire se synchronise avec Active Directory.

L'application de recherche de personnes est ajoutée en tant qu'application publique dans la consoleAirWatch et est déployée sur les magasins d'applications. Dans la console, vous pouvez configurer desparamètres pour gérer l'application. Pour plus d'informations sur la configuration de l'application derecherche de personnes, consultez le Guide d'administration de la recherche de personnes VMware surle site de AirWatch Resources.

Lorsque des utilisateurs utilisent la recherche de personnes, les profils de restriction de périphérique quisont configurés dans AirWatch pour les périphériques Android et iOS sont respectés.

Les utilisateurs peuvent rechercher des personnes par leur prénom, nom de famille et adresse e-mail.Selon les attributs qui sont mappés à l'annuaire, les résultats de la recherche peuvent inclure leséléments suivants.

n les détails du profil ;

n une image de profil ;

n la hiérarchie d'organisation de l'utilisateur et

n les personnes sous la supervision de l'utilisateur.

À partir de la page de résultats du profil d'utilisateur, les utilisateurs peuvent immédiatement appeler lapersonne ou lui envoyer en e-mail ou un message texte.


VMware, Inc. 116

https://www.air-watch.com/

Activer la recherche de personnesActivez la recherche de personnes VMware et mappez les attributs Active Directory requis pour récupérerles informations relatives aux employés, y compris les images de profil et la hiérarchie de gestion.

Prérequis

Liste des attributs Active Directory qui doivent se synchroniser avec l'annuaire pour créer les profils desutilisateurs pouvant être recherchés et la hiérarchie organisationnelle. Les attributs qui sont nécessairespour être mappés sont title, managerDNet distinguishedName.

Les attributs qui peuvent être mappés sont répertoriés dans la table des attributs de recherche depersonnes. Pour synchroniser l'image de l'utilisateur avec l'annuaire, l'attribut d'Active DirectorythumbnailPhoto doit être pré-rempli avec la photo miniature des utilisateurs.

Attributs qui peuvent être configurés pour la recherche de personnes

userName lastName firstName

email address alternatePhoneNumber

businessUnit costCenter country

locality managerDN mobile

phone physicalDeliveryOfficeName postalCode

region telephoneNumber title

userPrincipalName distinguishedName socialcast

slack linkedInProfileUrl imageURL

Important Les clients qui utilisaient la recherche de personnes dans la version bêta, avant la version deVMware Identity Manager 3.1, doivent réactiver l'attribut de recherche de personnes pour générer lemodèle People Search OAuth2. Vous pouvez définir les valeurs par défaut de la durée de vie de l'accèsdans le modèle.

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Recherche depersonnes.

2 Sélectionnez Activer la recherche de personnes et cliquez sur Suivant.

3 Dans la page qui s'affiche, sélectionnez l'annuaire à configurer pour la recherche de personnes.

4 Passez en revue la liste d'attributs et sélectionner des attributs pour refléter les attributs à mapperaux attributs Active Directory et cliquez sur Suivant.

Pour synchroniser les profils photo à partir de l'attribut thumbnailPhoto dans Active Directory,sélectionnez l'attribut imageURL.

5 Mappez les noms d'attributs répertoriés aux attributs Active Directory.


VMware, Inc. 117

6 Si le service VMware Identity Manager n'est pas déjà configuré pour synchroniser tous lesutilisateurs, spécifiez le nom unique pour synchroniser tous les utilisateurs. Par exemple, saisissezCN=Users,DC=example,DC=com.

Pour utiliser l'application de recherche de personnes avec succès, synchronisez tous les utilisateursde votre organisation avec l'annuaire.

Le profil de synchronisation d'annuaire que vous avez configuré est ajouté à la liste desynchronisation Annuaire > Paramètres de synchronisation > Utilisateurs.

7 Cliquez sur Enregistrer et synchroniser.

Les attributs Active Directory sont synchronisés avec l'annuaire.

Suivant

Pour modifier la durée de vie de l'accès, la durée de vie du jeton d'actualisation et la durée de vie dujeton d'inactivité, accédez à la page Catalogue > Paramètres > Accès distant aux applications >Modèles. Modifiez PeopleSearchOAuth2Template. Voir Création de clients pour l'accès aux applicationsà distance.

Ajouter la recherche de personnes VMware an tant qu'application publique dans la console AirWatch.Consultez le Guide d'administration de la recherche de personnes VMware sur le site AirWatchResources.


VMware, Inc. 118



Utiliser le tableau de bord de laconsole d'administration 9Deux tableaux de bord sont disponibles dans la console d'administration. Le tableau de bordEngagement de l'utilisateur permet de suivre les utilisateurs et l'utilisation des ressources. Le tableau debord Diagnostics système peut être utilisé pour surveiller la santé du service VMware Identity Manager.


n Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord

n Surveiller les informations système et la santé

n Consultation des rapports

Surveiller les utilisateurs et l'utilisation des ressourcesavec le tableau de bordLe tableau de bord Engagement de l'utilisateur affiche des informations relatives aux utilisateurs et auxressources. Vous pouvez voir les personnes connectées, les ressources utilisées et la fréquence d'accèsaux applications. Vous pouvez créer des rapports pour assurer le suivi des utilisateurs, des activités degroupe et de l'utilisation des ressources.

L'heure affichée sur le tableau de bord Engagement de l'utilisateur est fondée sur le fuseau horaire définipour le navigateur. Le tableau de bord est mis à jour toutes les minutes.

Procédure

n L'en-tête affiche le nombre d'utilisateurs uniques connectés ce jour-là ainsi qu'un calendrier indiquantle nombre d'événements de connexion quotidiens sur une période de sept jours. Le nombre affichédans le tableau de bord Utilisateurs connectés aujourd'hui est entouré d'un cercle qui indique lepourcentage d'utilisateurs connectés. Le graphique mobile Connexions affiche les événements deconnexion survenus pendant la semaine. Pointez sur l'un des points du graphique pour afficher lenombre de connexions ce jour-là.

n La section Utilisateurs et groupes affiche le nombre de comptes d'utilisateur et de groupes configurésdans VMware Identity Manager. Les utilisateurs s'étant connectés en dernier sont affichés enpremier. Vous pouvez cliquer sur Voir les rapports complets pour créer un rapport sur lesévénements d'audit qui affiche les utilisateurs qui se sont connectés durant une plage de jours.

VMware, Inc. 119

n La section Popularité des ressources affiche un graphique à barres par type d'applications qui indiquele nombre de lancements de chaque application pendant une période de 7 jours. Pointez sur un jourspécifique pour afficher une infobulle indiquant le type des applications utilisées et le nombred'applications lancées ce jour-là. La liste en dessous du graphique indique le nombre de lancementsdes applications spécifiques. Développez le menu déroulant de droite en cliquant sur la flèche poursélectionner l'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines. Vouspouvez cliquez sur Voir les rapports complets pour créer un rapport d'utilisation des ressourcesindiquant l'application, le type de ressource et l'activité du nombre d'utilisateurs sur une plage detemps.

n La section Adoption des applications affiche un graphique à barres indiquant le pourcentage depersonnes ayant ouvert les applications auxquelles elles ont ont droit. Pointez sur l'application pourafficher une infobulle indiquant le nombre réel d'adoptions et de droits.

n Le graphique à secteurs Applications lancées affiche les ressources lancées sous forme depourcentage du total. Pointez sur une section spécifique du graphique à secteurs pour voir le nombreréel par type de ressource. Développez le menu déroulant de droite en cliquant sur la flèche poursélectionner l'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines.

n La section Clients indique le nombre de postes travail Identity Manager Desktop utilisés.

Surveiller les informations système et la santéLe tableau de bord Diagnostics du système VMware Identity Manager affiche une présentation détailléedes dispositifs VMware Identity Manager dans votre environnement et des informations sur les services.Vous pouvez visualiser la santé globale sur le serveur de base de données VMware Identity Manager, lesmachines virtuelles et les services disponibles sur chacune d'entre elles.

Dans le tableau de bord Diagnostics du système, vous pouvez sélectionner la machine virtuelle àsurveiller et voir l'état des services sur cette dernière, y compris la version de VMware Identity Managerqui est installée. En cas de problème lié à la base de données ou à une machine virtuelle, la barre d'en-tête affiche l'état de la machine en rouge. Pour voir les problèmes, vous pouvez sélectionner la machinevirtuelle affichée en rouge.

Procédure

n Expiration du mot de passe utilisateur Les dates d'expiration du mot de passe racine du dispositifVMware Identity Manager et du mot de passe de connexion à distance sont affichées. Si un mot depasse expire, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la pageSécurité du système pour modifier le mot de passe.

n Certificats. L'émetteur du certificat, la date de début et la date de fin sont affichés. Pour gérer lecertificat, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la pageInstaller le certificat.

n Configurator - État de déploiement de l'application. Les informations relatives aux services ApplianceConfigurator sont affichées. L'état du serveur Web indique si le serveur Tomcat est en coursd'exécution. L'état de l'application Web indique si la page Appliance Configurator est accessible. Laversion du dispositif indique la version du dispositif VMware Identity Manager installé.


VMware, Inc. 120

n Application Manager - État de déploiement de l'application. L'état de connexion du dispositifVMware Identity Manager est affiché.

n Connector - État de déploiement de l'application. L'état de la connexion console d'administration estaffiché. Lorsque Connexion réussie s'affiche, vous pouvez accéder aux pages consoled'administration.

n Nom de domaine complet VMware Identity Manager Affiche le nom de domaine complet que lesutilisateurs entrent pour accéder à leur portail d'applications VMware Identity Manager. Le nom dedomaine complet VMware Identity Manager pointe vers l'équilibreur de charge lorsqu'un équilibreurde charge est utilisé.

n Application Manager - Composants intégrés. Les informations relatives à la connexion de base dedonnées VMware Identity Manager, aux services d'audit et à la connexion d'analyse sont affichées.

n Connector - Composants intégrés. Les informations relatives aux services gérés à partir des pagesd'administration des services Connector sont affichées. Les informations relatives aux ressourcesd'applications ThinApp, View et Citrix publiées sont affichées.

n Modules. Affiche les ressources activées dans VMware Identity Manager. Cliquez sur Activé pouraccéder à la page d'administration des ressources des services Connector pour la ressourceconcernée.

Consultation des rapportsVous pouvez créer des rapports pour assurer le suivi des activités des utilisateurs et des groupes etl'utilisation des ressources. Vous pouvez consulter les rapports sur la page Rapports du Tableau de bordde la console d'administration.

Vous pouvez exporter des rapports dans un fichier de valeurs séparées par des virgules (csv).

Tableau 9‑1. Types de rapports

Rapport Description

Activité récente Activité récente est un rapport sur les actions que les utilisateurs ont effectuées en utilisantleur portail Workspace ONE la veille, la semaine précédente, le mois précédent ou les12 semaines précédentes. L'activité peut inclure des informations sur l'utilisateur, telles que lenombre de connexions utilisateur uniques, le nombre de connexions générales, et desinformations sur les ressources, telles que le nombre de ressources lancées, les droits d'accèsaux ressources ajoutés. Vous pouvez cliquer sur Afficher les événements pour voir la date,l'heure et les détails de l'utilisateur correspondant à l'activité.

Utilisation des ressources Utilisation des ressources est un rapport sur toutes les ressources dans le catalogue avec desdétails pour chaque ressource sur le nombre d'utilisateurs, de lancements et de licences. Vouspouvez choisir de voir les activités de la veille, de la semaine précédente, du mois précédentou des 12 semaines précédentes.

Droits des ressources Droits des ressources est un rapport par ressource qui indique le nombre d'utilisateursauxquels la ressource est octroyée, le nombre de lancements et le nombre de licencesutilisées.


VMware, Inc. 121

Tableau 9‑1. Types de rapports (suite)

Rapport Description

Activité des ressources Le rapport Activité des ressources peut être créé pour tous les utilisateurs ou un groupespécifique d'utilisateurs. Les informations sur l'activité des ressources répertorient le nomd'utilisateur, la ressource octroyée à l'utilisateur, la date du dernier accès à la ressource et desinformations sur le type de périphérique utilisé par l'utilisateur pour accéder à la ressource.

Appartenance à un groupe Appartenance à un groupe répertorie les membres d'un groupe que vous spécifiez.

Attribution de rôles Attribution de rôles répertorie les utilisateurs qui sont des administrateurs uniquement API oudes administrateurs et leurs adresses e-mail.

Utilisateurs Le rapport Utilisateurs affiche tous les utilisateurs et fournit des détails sur chacun d'eux, telsque l'adresse e-mail, le rôle et les affiliations de groupe de l'utilisateur.

Utilisateurs simultanés Le rapport Utilisateurs simultanés indique le nombre de sessions utilisateur qui ont étéouvertes en même temps, la date et l'heure.

Utilisation des périphériques Le rapport Utilisation des périphériques peut indiquer l'utilisation des périphériques pour tousles utilisateurs ou un groupe spécifique d'utilisateurs. Les informations de périphérique sontrépertoriées par utilisateur individuel et incluent le nom de l'utilisateur, le nom du périphérique,les informations du système d'exploitation et la date de dernière utilisation.

Événements d'audit Le rapport Événements d'audit affiche les événements relatifs à un utilisateur que vousspécifiez, tels que les connexions utilisateur des 30 derniers jours. Vous pouvez égalementvoir les détails des événements d'audit. Cette fonctionnalité est utile dans le cadre de larésolution de problèmes. Pour exécuter des rapports Événements d'audit, l'audit doit êtreactivé sur la page Catalogue > Paramètres > Audit. Voir Générer un rapport d'événementaudité.

Générer un rapport d'événement auditéVous pouvez générer un rapport des événements audités que vous spécifiez.

Les rapports d'événements audités peuvent être utiles en tant que méthode de résolution de problèmes.

Prérequis

L'audit doit être activé. Pour vérifier s'il est activé, dans la console d'administration, accédez à la pageCatalogue > Paramètres et sélectionnez Audit.

Procédure

1 Dans la console d'administration, sélectionnez Rapports > Événements audités


VMware, Inc. 122

2 Sélectionnez les critères d'événement audité.

Critèresd'événementaudité Description

Utilisateur Ce champ texte vous permet de réduire la recherche des événements audités à ceux générés par unutilisateur spécifique.

Type Cette liste déroulante vous permet de réduire la recherche des événements audités à un typed'événement audité spécifique. La liste déroulante n'affiche pas tous les types d'événements auditéspotentiels. La liste n'affiche que les types d'événements qui se sont produits dans votre déploiement. Lestypes d'événements audités qui sont affichés en majuscules sont des événements d'accès, tels queCONNEXION et LANCEMENT, qui ne génèrent pas de modification dans la base de données. Les autrestypes d'événements audités génèrent des modifications dans la base de données.

Action Cette liste déroulante vous permet de réduire votre recherche à des actions spécifiques. La liste affichedes événements qui produisent des modifications spécifiques dans la base de données. Si voussélectionnez un événement d'accès dans la liste déroulante Type, ce qui signifie un événement de non-action, ne spécifiez pas d'action dans la liste déroulante Action.

Objet Ce champ texte vous permet de réduire la recherche à un objet spécifique. Des exemples d'objets sontles groupes, les utilisateurs et les périphériques. Les objets sont identifiés par un nom ou un numérod'identification.

Plage de dates Ces champs texte vous permettent de réduire votre recherche à une plage de dates au format « De ___ à___ jours auparavant ». La plage de date maximale est de 30 jours. Par exemple, la plage « De 90 à 60jours auparavant » est valide tandis que la plage « De 90 à 45 jours auparavant » ne l'est pas, car elledépasse la période maximale de 30 jours.

3 Cliquez sur Afficher.

Un rapport d'événement audité apparaît conformément aux critères que vous avez spécifiés.

Remarque Occasionnellement, lors du redémarrage du sous-système d'audit, la page Auditer lesévénements risque d'afficher un message d'erreur et de ne pas afficher le rapport. Si vous voyez untel message d'erreur concernant le non-affichage du rapport, attendez quelques minutes, puisrecommencez.

4 Pour plus d'informations sur un événement audité, cliquez sur Afficher les détails pour cetévénement.


VMware, Inc. 123

Informations de marquepersonnalisées pour les servicesVMware Identity Manager 10Vous pouvez personnaliser les logos, les polices et l'arrière-plan qui s'affichent dans la consoled'administration, les écrans de connexion de l'utilisateur et de l'administrateur, la vue Web du portaild'applications Workspace ONE et la vue Web de l'application Workspace ONE sur les périphériquesmobiles.

Vous pouvez utiliser l'outil de personnalisation pour adopter l'apparence des couleurs, des logos et dudesign de votre entreprise.


n Personnaliser les informations de marque dans Service VMware Identity Manager

n Personnaliser les informations de marque pour le portail de l'utilisateur

n Informations de marque personnalisées prêtes à l'emploi Workspace ONE pour Windows 10

n Personnaliser des informations de marque pour l'application VMware Verify

Personnaliser les informations de marque dans ServiceVMware Identity ManagerVous pouvez ajouter le nom de votre entreprise, un nom de produit et une icône favorite à la barred'adresses pour la console d'administration et le portail utilisateur. Vous pouvez également personnaliserla page de connexion pour définir des couleurs d'arrière-plan qui correspondent aux couleurs et au logode votre entreprise.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration > Personnaliser les informations de marque.

2 Modifiez les paramètres suivants du formulaire comme nécessaire.

Champ de formulaire Description

Onglet des noms et logos

Nom de l'entreprise L’option Nom de l’entreprise s’applique aux postes de travail et aux périphériques mobiles. Vouspouvez ajouter le nom de votre entreprise comme titre qui apparaît dans l'onglet du navigateur.

Saisissez un nom d'entreprise sur le nom existant pour le modifier.

VMware, Inc. 124

Champ de formulaire Description

Nom du produit L’option Nom de l’entreprise s’applique aux postes de travail et aux périphériques mobiles. Lenom du produit apparaît après le nom d'entreprise dans l'onglet du navigateur.

Icône Favorite Une icône favorite est une icône associée à une URL qui s'affiche dans la barre d'adresses dunavigateur.

La taille maximale de l'image d'icône favorite est de 16 x 16 pixels. Le format peut être JPEG,PNG, GIF ou ICO.

Cliquez sur Télécharger pour télécharger une nouvelle image qui remplacera l'icône favoriteactuelle. Un message vous demande de confirmer la modification. La modification est immédiate.

Onglet de l’écran de connexion

Logo Cliquez sur Télécharger pour télécharger un nouveau logo afin de remplacer le logo actuel dansles écrans d'ouverture de session. Lorsque vous cliquez sur Confirmer, la modification s'appliqueimmédiatement.

La taille de page minimale recommandée pour le téléchargement est de 350 x 100 px. Si voustéléchargez des images supérieures à 350 x 100 px, elles sont redimensionnées à la taille350 x 100 px. Le format peut être JPEG, PNG ou GIF.

Couleur d'arrière-plan Couleur d'arrière-plan de l'écran de connexion.

Saisissez le code couleur hexadécimal à six chiffres sur le code existant pour changer la couleurd'arrière-plan.

Couleur d'arrière-plan dela case

La couleur de l'écran de connexion peut être personnalisée.

Saisissez le code couleur hexadécimal à six chiffres sur le code existant.

Couleur d'arrière-plan dubouton de connexion

La couleur du bouton de connexion peut être personnalisée.


Couleur de texte dubouton de connexion

La couleur du texte qui s'affiche sur le bouton de connexion peut être personnalisée.


Lorsque vous personnalisez l'écran de connexion, vous pouvez voir vos modifications dans le voletAperçu avant de les enregistrer.


Les mises à jour des informations de marque sur la console d'administration et des pages de connexionsont appliquées dans un délai de cinq minutes après que vous avez cliqué sur Enregistrer.

Suivant

Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces.

Mettez à jour l'apparence du portail Workspace ONE de l'utilisateur final et des vues Mobile et Tablette.Voir Personnaliser les informations de marque pour le portail de l'utilisateur

Personnaliser les informations de marque pour le portailde l'utilisateurVous pouvez ajouter un logo, modifier les couleurs d'arrière-plan et ajouter des images pourpersonnaliser le portail Workspace ONE.


VMware, Inc. 125

Procédure

1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations demarque du portail de l'utilisateur.

2 Modifiez les paramètres du formulaire comme nécessaire.


Logo Ajoutez un logo d'en-tête à la bannière dans la partie supérieure de la console d'administration etdes pages Web du portail Workspace ONE.

La taille maximale de l'image est de 220 x 40 pixels. Le format peut être JPEG, PNG ou GIF.

Portail

Couleur d'arrière-plan del'en-tête

Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer la couleurd'arrière-plan de l'en-tête. La couleur d’arrière-plan change dans l’écran d’aperçu du portaild’applications lorsque vous entrez un nouveau code couleur.

Couleur de texte de l'en-tête

Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer la couleurdu texte qui s'affiche dans l'en-tête.

Couleur d'arrière-plan Couleur d'arrière-plan de l'écran du portail Web.

Saisissez un nouveau code couleur hexadécimal à six chiffres sur le code existant pour changer lacouleur d'arrière-plan. La couleur d’arrière-plan change dans l’écran d’aperçu du portaild’applications lorsque vous entrez un nouveau code couleur.

Sélectionnez Mise en surbrillance de l'arrière-plan pour accentuer la couleur de l'arrière-plan. Sicette option est activée, les navigateurs prenant en charge plusieurs images d’arrière-planaffichent la superposition sur les pages du lanceur et du catalogue.

Sélectionnez Modèle d'arrière-plan pour définir le modèle de triangle préconçu dans la couleurd'arrière-plan.

Couleur d’arrière-plan del’icône

Saisissez un code de couleur hexadécimal à six chiffres pour modifier la palette de couleursd’arrière-plan qui encadre les icônes d’application.

Opacité de l'arrière-plande l'icône

Pour définir une transparence, déplacez le curseur sur la barre.

Nom et couleur desicônes

Vous pouvez sélectionner la couleur de texte des noms répertoriés sous les icônes sur les pagesdu portail d'applications.

Saisissez un code de couleur hexadécimal sur le code existant pour modifier la couleur de lapolice.

Effet de lettrage Sélectionnez le type de lettrage à utiliser pour le texte dans les écrans du portail Workspace ONE.

Arrière-plan éclairé S'il est activé, pour les navigateurs qui prennent en charge plusieurs images d'arrière-plan, lasuperposition d'arrière-plan s'affiche sur les pages de signet et de catalogue.

Modèle d'arrière-plan S'il est activé, pour les navigateurs qui prennent en charge plusieurs images d'arrière-plan, lessuperpositions d'arrière-plan s'affichent sur les pages de signet et de catalogue.

Image (en option) Pour ajouter une image plutôt qu'une couleur à l'arrière-plan sur l'écran du portail des applications,téléchargez une image.



VMware, Inc. 126

Les mises à jour des informations de marque personnalisées sont actualisées toutes les 24 heures pourle portail de l'utilisateur. Pour appliquer les modifications plus tôt, en tant qu'administrateur, ouvrez unnouvel onglet et entrez cette URL, en remplaçant votre nom de domaine par myco.example.com.https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true.

Suivant

Vérifiez l’effet que produit les modifications des informations de marque dans les diverses interfaces.

Informations de marque personnalisées prêtes à l'emploiWorkspace ONE pour Windows 10Lorsque le service de provisionnement de Windows 10 par VMware AirWatch est utilisé pour leprovisionnement d'un nouveau périphérique Windows 10, des informations de marque personnalisées etun message de bienvenue peuvent être définis dans l'application Workspace ONE.

Lorsque les utilisateurs mettent sous tension leur nouvel ordinateur et qu'ils se connectent à l'aide deleurs informations d'identification pour la première fois, l'agent de provisionnement AirWatch s'assure quel'application Workspace ONE est disponible. Workspace ONE est lancé une fois que la configuration deWindows est entièrement terminée. Les utilisateurs voient un message de bienvenue personnalisé avecles informations de marque de l'entreprise avant que le catalogue d'applications Workspace ONE s'ouvre.Pendant ce temps, les applications qui sont définies sur transfert automatique sont téléchargées parWorkspace ONE.

Remarque Consultez le Guide de la plateforme de poste de travail Windows pour plus d'informationssur le service de provisionnement de Windows 10 par AirWatch.

Procédure


2 Dans la section Poste de travail Out-of-Box-Experience, modifiez les paramètres pourpersonnaliser les pages d'enregistrement de Workspace ONE.


Logo de l'écran d'accueil Ajoutez un logo qui sera centré en haut de l'écran d'accueil.

La taille maximale de l'image est de 250 x 250 pixels. Le format est PNG.

Couleur d'arrière-plan del'écran d'accueil

Couleur d'arrière-plan des écrans de démarrage et d'accueil.

Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour modifier la couleurd'arrière-plan. L'écran d'aperçu est mis à jour avec la nouvelle couleur.

Couleur du boutonSuivant de l'écrand'accueil

Saisissez un code couleur hexadécimal à six chiffres pour modifier la couleur d'arrière-plan dubouton Suivant qui s'affiche sur l'écran d'accueil.


VMware, Inc. 127


Couleur de la police del'écran d'accueil

Saisissez un code couleur hexadécimal à six chiffres pour modifier la couleur de police du boutonSuivant.

Message de bienvenue Créer un message de bienvenue concernant l'utilisation de Workspace ONE qui s'affiche sur lapage d'accueil.


Personnaliser des informations de marque pourl'application VMware VerifySi vous avez activé VMware Verify pour l'authentification à deux facteurs, vous pouvez personnaliser lapage de connexion avec votre logo d'entreprise.

Prérequis

VMware Verify activé.

Procédure


2 Modifiez la section VMware Verify.


Logo Téléchargez le logo d'entreprise qui s'affiche sur les pages de demande d'approbation.

La taille des image est de 540 x 170 px, format PNG, et de 128 Ko ou moins.

Icône Téléchargez une icône qui s'affiche sur le périphérique lorsque VMware Verify est lancé.

La taille des image est de 81 x 81 px, format PNG, et de 128 Ko ou moins.



VMware, Inc. 128

administration de vmware identity manager - vmware ... · 1 utilisation de la console...

Documents