Beheer VMware Identity Manager. December 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

Transcriptie

1 Beheer VMware Identity Manager December 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

2 U vindt de recentste technische documentatie op de website van VMware: Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA Copyright 2017 VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc. 2

3 Inhoud Over VMware Identity Manager-beheer 5 1 Werken met de VMware Identity Manager -beheerconsole 6 Navigeren in de beheerconsole 6 Overzicht van de instellingen voor identiteits- en toegangsbeheer 8 2 Lokale directory's gebruiken 11 Een lokale directory maken 13 Instellingen voor lokale directory wijzigen 17 Een lokale directory verwijderen 19 Verificatiemethode voor systeembeheerders configureren 19 3 Just-in-Time-gebruikers-provisioning 21 Over Just-in-Time-gebruikers-provisioning 21 Voorbereiden voor just-in-time provisioning 22 Just-in-Time-gebruikersprovisioning configureren 24 Vereisten voor SAML-bevestigingen 25 Just-in-time gebruikersprovisioning uitschakelen 26 Een Just-in-time-map verwijderen 27 Foutmeldingen 27 4 De aanmeldervaring voor gebruikers beheren 29 Een domein selecteren wanneer u zich aanmeldt 29 Aanmeldervaring met unieke ID 30 Aanmelding op basis van een unieke ID instellen 30 Gebruiksvoorwaarden vereisen voor toegang tot de Workspace ONE-catalogus 31 5 Gebruikersverificatie configureren in VMware Identity Manager 34 Kerberos configureren voor VMware Identity Manager 36 SecurID configureren voor VMware Identity Manager 40 RADIUS configureren voor VMware Identity Manager 43 RSA adaptieve verificatie configureren in VMware Identity Manager 45 Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager 48 VMware Verify configureren voor tweeledige verificatie 52 Ingebouwde identiteitsproviders gebruiken 55 Extra Workspace-identiteitsproviders configureren 67 Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers 68 Verificatiemethoden beheren die op gebruikers worden toegepast 70 VMware, Inc. 3

4 6 Toegangsbeleid beheren 74 Instellingen configureren voor toegangsbeleid 74 Web- en desktopapplicatiespecifiek beleid beheren 76 Een web- of desktopapplicatiespecifiek beleid toevoegen 78 Aangepast foutbericht configureren voor toegang geweigerd 79 Standaardtoegangsbeleid bewerken 80 Compliancecontrole inschakelen voor door AirWatch beheerde apparaten 81 Persistente cookie inschakelen op mobiele apparaten 83 7 Gebruikers en groepen beheren 84 Gebruikers beheren 85 Groepen beheren 87 Lokale gebruikers toevoegen 92 Wachtwoorden beheren 95 Directory synchroniseren met juiste domeininformatie 96 8 De catalogus beheren 97 Bronnen in de catalogus 97 Bronnen in categorieën indelen 102 Catalogusinstellingen beheren In het dashboard werken van de beheerconsole 116 Gebruikers en bronverbruik controleren via het dashboard 116 Systeeminformatie en -status controleren 117 Rapporten weergeven Aangepaste merkvermelding voor services van VMware Identity Manager 121 Aangepaste merkinformatie voor de service van VMware Identity Manager 121 Aangepaste merkinformatie voor het gebruikersportal 122 Aangepaste Out-of-Box-merkvermelding voor Workspace ONE voor Windows Merkvermelding voor de applicatie VMware Verify aanpassen 125 VMware, Inc. 4

5 Over VMware Identity Manager-beheer VMware Identity Manager-beheer biedt informatie en instructies over het gebruik en het onderhoud van de VMware Identity Manager-services. Met VMware Identity Manager kunt u verificatiemethoden en het toegangsbeleid instellen en beheren, een catalogus met bronnen voor de applicaties van uw organisatie aanpassen en veilige, beheerde gebruikerstoegang tot die bronnen vanaf meerdere apparaten mogelijk maken. Mogelijke bronnen zijn webapplicaties, op Citrix gebaseerde applicaties en pools van Horizondesktops en -applicaties. Doelgroep Deze informatie is bedoeld voor iedereen die VMware Identity Manager wil configureren en beheren. Deze informatie is geschreven voor ervaren Windows- of Linux-systeembeheerders die bekend zijn met de technologie van virtual machines, identiteitsbeheer, Kerberos en directoryservices. Kennis van andere technologieën zoals VMware Horizon 7, Horizon Cloud, Citrix-applicatievirtualisatie en verificatiemethoden, zoals RSA SecurID, komt goed van pas wanneer u die onderdelen wilt implementeren. VMware, Inc. 5

6 Werken met de VMware Identity Manager - beheerconsole 1 De VMware Identity Manager -beheerconsole biedt u een gecentraliseerd beheerconsole waarmee u gebruikers en groepen kunt beheren, bronnen aan de catalogus kunt toevoegen, rechten voor bronnen kunt beheren in de catalogus, de AirWatch-integratie kunt configureren, en verificatie- en toegangsbeleid kunt instellen en beheren. De belangrijkste taken die u uitvoert via de beheerconsole zijn het beheren van beleid voor gebruikersverificatie en toegang en gebruikers rechten geven voor bronnen. Overige taken ondersteunen deze belangrijke taak door u uitgebreidere controle te geven over welke gebruikers of groepen in aanmerking komen voor welke bronnen, en onder welke omstandigheden. Eindgebruikers kunnen zich aanmelden bij hun VMware Workspace ONE -portal via hun desktop of hun mobiele apparaten om toegang te krijgen tot werkbronnen, waaronder desktops, browsers, gedeelde bedrijfsdocumenten en verschillende typen applicaties die u geschikt kunt maken voor hun gebruik. Dit hoofdstuk omvat de volgende onderwerpen: Navigeren in de beheerconsole Overzicht van de instellingen voor identiteits- en toegangsbeheer Navigeren in de beheerconsole De taken in de beheerconsole staan onderverdeeld op tabbladen. Tabblad Dashboard Gebruikers en groepen Beschrijving U kunt het dashboard voor gebruikersbetrokkenheid gebruiken om gebruikte gebruikers en bronnen te controleren. Op dit dashboard wordt informatie weergegeven over wie zich heeft aangemeld, welke applicaties worden gebruikt en hoe vaak die applicaties worden gebruikt. Op het dashboard voor systeemdiagnose wordt een gedetailleerd overzicht van de status van de service in uw omgeving en informatie over de services weergegeven. U kunt rapporten maken om de activiteiten van gebruikers en groepen, bron- en apparaatgebruik en auditgebeurtenissen per gebruiker te volgen. Op het tabblad Gebruikers en groepen kunt u gebruikers en groepen beheren en controleren die u uit uw Active Directory of de LDAP-directory hebt geïmporteerd, lokale gebruikers en groepen maken en de gebruikers en groepen rechten voor bronnen verlenen. U kunt het wachtwoordbeleid voor lokale gebruikers configureren. VMware, Inc. 6

7 Tabblad Catalogus Identiteits- en toegangsbeheer Apparaatinstellingen Beschrijving De catalogus is een opslagplaats voor alle bronnen waarvan u de rechten aan gebruikers kunt verlenen. U kunt webapplicaties toevoegen en bestaande bronnen beheren op het tabblad Catalogus. Op de pagina Verzameling van virtuele apps kunt u Horizon-, Citrix-, Horizon Cloud- en ThinApp-desktops en - applicatie-integraties beheren. U kunt een nieuwe applicatie maken, applicaties in categorieën sorteren en toegang krijgen tot informatie over elke bron. Op de pagina Instellingen catalogus kunt u SAMLcertificaten downloaden, bronconfiguraties beheren en de vormgeving van de gebruikersportal aanpassen. Op het tabblad Identiteits- en toegangsbeheer kunt u de connectorservice instellen, AirWatch-integratie configureren, verificatiemethoden instellen en aangepaste merkinformatie toepassen op de aanmeldingspagina en beheerconsole. U kunt directory-instellingen, identiteitsproviders en toegangsbeleid beheren. Ook kunt u externe identiteitsproviders configureren. Op het tabblad Apparaatinstellingen kunt u de configuratie van de apparaat beheren, waaronder de configuratie van SSL-certificaten voor de apparaat, de beheerders- en systeemwachtwoorden voor de services wijzigen en andere infrastructurele functies beheren. Ook kunt u de licentie-instellingen bijwerken en SMTP-instellingen configureren. Ondersteunde webbrowsers om toegang te krijgen tot de beheerconsole De VMware Identity Manager-beheerconsole is een webapplicatie die u gebruikt om uw tenant te beheren. U kunt de Beheerconsole openen via de volgende browsers. Internet Explorer 11 voor Windows-systemen Google Chrome 42.0 of later voor Windows- en Mac-systemen Mozilla Firefox 40 of later voor Windows- en Mac-systemen Safari en later voor Mac-systemen Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. VMware Identity Manager Workspace ONE voor eindgebruikers Eindgebruikers hebben via hun Workspace ONE-portal toegang tot alle bronnen waarvoor ze rechten hebben. Workspace ONE is de standaardinterface die wordt gebruikt wanneer gebruikers bronnen waarvoor zij rechten hebben, openen en gebruiken via een browser. Wanneer AirWatch is geïntegreerd met VMware Identity Manager, kunnen eindgebruikers alle apps zien waarvoor ze rechten hebben. Systeemeigen applicaties die intern zijn ontwikkeld of openbaar beschikbaar zijn in app stores, kunnen op de Workspace ONE-portal beschikbaar worden gemaakt voor uw eindgebruikers. VMware, Inc. 7

8 Overzicht van de instellingen voor identiteits- en toegangsbeheer Via het tabblad Identiteits- en toegangsbeheer in de beheerconsole kunt u de verificatiemethoden, het toegangsbeleid en de directoryservice instellen en beheren en de branding van de eindgebruikersportal en de beheerconsole aanpassen. Hier volgt een omschrijving van de installatie-instellingen op het tabblad Identiteits- en toegangsbeheer. Tabel 1 1. Installatie-instellingen voor identiteits- en toegangsbeheer Instelling Installatie > Connectoren Beschrijving De pagina Connectoren geeft een overzicht van de connectoren die binnen uw bedrijfsnetwerk zijn geïmplementeerd. De connector wordt gebruikt om gebruikers- en groepsgegevens te synchroniseren tussen uw bedrijfsdirectory en de service. Als de connector wordt gebruikt als identiteitsprovider, verifieert deze gebruikers bij de service. Wanneer u een directory koppelt aan een connectorinstantie, wordt door de connector een partitie gemaakt voor de gekoppelde directory, die we een werker noemen. Aan een connectorinstantie kunnen meerdere werkers gekoppeld zijn. Elke werker fungeert als identiteitsprovider. U definieert en configureert verificatiemethoden per werker. De connector synchroniseert gebruikers- en groepsgegevens tussen uw bedrijfsdirectory en de service via een of meerdere werkers. Selecteer in de kolom Werker een werker om de gegevens van de connector weer te geven en ga naar de pagina Verificatieadapters om de status van de beschikbare verificatiemethoden weer te geven. Zie Hoofdstuk 5 Gebruikersverificatie configureren in VMware Identity Manager voor informatie over verificatie. Selecteer in de kolom Identiteitsprovider de IdP die u wilt weergeven, bewerken of uitschakelen. Zie Een identiteitsproviderinstantie toevoegen en configureren. Open in de kolom Gekoppelde directory de directory die aan deze werker is gekoppeld. Voordat u een nieuwe connector kunt toevoegen, klikt u op Connector toevoegen om een activeringscode te genereren. U plakt deze activeringscode in de installatiewizard om communicatie met de connector tot stand te brengen. Installatie > Aangepaste merkinformatie Installatie > Gebruikerskenmerken Installatie > Netwerkbereiken Op de pagina Aangepaste merkinformatie kunt u het uiterlijk van de kop van de beheerconsole en het aanmeldscherm aanpassen. Zie Aangepaste merkinformatie voor de service van VMware Identity Manager. Om de webportal aan te passen voor eindgebruikers voor weergave op mobiele apparaten en tablets, gaat u naar Catalogus > Instellingen > Merkvermelding in gebruikersportal. Zie Aangepaste merkinformatie voor het gebruikersportal. Op de pagina Gebruikerskenmerken worden de standaard gebruikerskenmerken weergegeven die worden gesynchroniseerd in de directory. U kunt andere kenmerken toevoegen die u kunt toewijzen aan Active Directory-kenmerken. Zie de gids Integratie van directory's met VMware Identity Manager. Op deze pagina worden de netwerkbereiken weergegeven die u hebt toegevoegd. U configureert een netwerkbereik om gebruikers toegang te bieden via de betreffende IP-adressen. U kunt aanvullende netwerkbereiken toevoegen en u kunt bestaande bereiken bewerken. Zie Een netwerkbereik toevoegen of bewerken. VMware, Inc. 8

9 Tabel 1 1. Installatie-instellingen voor identiteits- en toegangsbeheer (Vervolgd) Instelling Installatie > Automatische detectie Installatie > AirWatch Installatie > Voorkeuren Beschrijving Wanneer VMware Identity Manager en AirWatch zijn geïntegreerd, kunt u de service Windowsautomatische detectie integreren die u in uw AirWatch-configuratie hebt geïmplementeerd met de VMware Identity Manager-service. Voor meer informatie over het instellen van automatische ontdekking in AirWatch voor implementaties op locatie raadpleegt u in de documentatie voor AirWatch de installatiegids voor VMware AirWatch Windows AutoDiscovery, beschikbaar via de website van AirWatch op Registreer uw domein om de service automatische detectie te gebruiken om het voor gebruikers eenvoudiger te maken om hun app-portal te openen via Workspace ONE. Eindgebruikers kunnen hun adressen invoeren in plaats van de URL van de organisatie wanneer zij hun app-portal willen openen via Workspace ONE. Zie de Handleiding voor het implementeren van VMware Workspace ONE voor meer informatie over automatische ontdekking. Op deze pagina kunt u de integratie met AirWatch instellen. Wanneer de integratie is ingesteld en opgeslagen, kunt u de uniforme catalogus inschakelen om applicaties die in de AirWatch Catalog samen te voegen met de uniforme catalogus; schakel compliancecontrole in om te verifiëren of de beheerde apparaten voldoen aan het compliancebeleid van AirWatch en schakel gebruikerswachtwoordverificatie via de AirWatch Cloud Connector (ACC) in. Zie de Handleiding voor het implementeren van VMware Workspace ONE. De pagina Voorkeuren toont functies die de beheerder kan inschakelen. Deze bevatten onder andere de volgende voorkeuren. Systeemdomein tonen op aanmeldingspagina kan worden ingeschakeld. Het inschakelen van persistente cookies via deze pagina. Zie Persistente cookie inschakelen. Schakel Vervolgkeuzelijst voor domein verbergen in, wanneer u niet wilt vereisen dat gebruikers hun domein selecteren voordat ze zich aanmelden. Schakel de optie voor de unieke ID in om de aanmeldpagina's op basis van de unieke ID weer te geven. Zie Hoofdstuk 4 De aanmeldervaring voor gebruikers beheren. Gebruiksvoorwaarden Op deze pagina kunt u de Workspace ONE-gebruiksvoorwaarden instellen en ervoor zorgen dat eindgebruikers deze gebruiksvoorwaarden accepteren voordat ze de Workspace ONE-portal gebruiken. Hier volgt een omschrijving van de instellingen die worden gebruikt om de services te beheren op het tabblad Identiteits- en toegangsbeheer. VMware, Inc. 9

10 Tabel 1 2. Beheerinstellingen voor identiteits- en toegangsbeheer Instelling Beheren > Directory's Beheren > Identiteitsproviders Beheren > Assistent wachtwoordherstel Verificatiemethoden Beheren > Beleid Beschrijving De pagina Directory's toont de mappen die u hebt gemaakt. U maakt een of meerdere mappen en vervolgens synchroniseert u deze mappen met uw bedrijfsdirectory-implementatie. Op deze pagina kunt het aantal groepen en gebruikers zien dat wordt gesynchroniseerd met de directory en het laatste tijdstip waarop is gesynchroniseerd. U kunt op Nu synchroniseren klikken om het synchroniseren van directory's te starten. Zie de gids Integratie van directory's met VMware Identity Manager. Wanneer u op een naam van een map klikt, kunt u de synchronisatie-instellingen bewerken, naar de pagina Identiteitsprovider gaan en het synchronisatielogboek bekijken. Op de pagina met synchronisatie-instellingen voor directory's kunt u de synchronisatiefrequentie plannen, de lijst weergeven met domeinen die aan deze directory gekoppeld zijn, de lijst met toegewezen kenmerken wijzigen, de lijst bijwerken met gebruikers en groepen die worden gesynchroniseerd en de beveiligingsdoelen instellen. De pagina Identiteitsproviders toont de identiteitsproviders die u hebt geconfigureerd. De connector is de eerste identiteitsprovider. U kunt externe identiteitsproviderinstanties toevoegen of een combinatie van beide gebruiken. De ingebouwde identiteitsprovider van VMware Identity Manager kan worden geconfigureerd voor verificatie. Zie Een identiteitsproviderinstantie toevoegen en configureren. Op de pagina Assistent wachtwoordherstel kunt u het standaardgedrag wijzigen wanneer de eindgebruiker klikt op "Wachtwoord vergeten" op het aanmeldscherm. De pagina Verificatiemethoden wordt gebruikt om verificatiemethoden te configureren die kunnen worden gekoppeld aan de ingebouwde identiteitsproviders. Nadat u de verificatiemethoden op deze pagina hebt geconfigureerd, koppelt u de verificatiemethode op de pagina van de ingebouwde identiteitsprovider. Op de pagina Beleid worden het standaardtoegangsbeleid en ander toegangsbeleid voor webapplicaties dat u hebt gemaakt, weergegeven. Beleid bestaat uit een verzameling regels die criteria opgeven waaraan moet worden voldaan voordat gebruikers toegang krijgen tot hun portal Mijn apps of webapplicaties kunnen starten die voor deze gebruikers zijn ingeschakeld. U kunt het standaardbeleid bewerken, en als webapplicaties zijn toegevoegd aan de catalogus kunt u een nieuw beleid toevoegen om toegang tot deze webapplicaties te beheren. Zie Hoofdstuk 6 Toegangsbeleid beheren. VMware, Inc. 10

11 Lokale directory's gebruiken 2 Een lokale directory is een van de typen directory's die u in de VMware Identity Manager-service kunt maken. Met een lokale directory kunt u lokale gebruikers in de service inrichten en toegang geven tot specifieke applicaties zonder dat u deze aan uw bedrijfsdirectory hoeft toe te voegen. Een lokale directory is niet verbonden met een bedrijfsdirectory en gebruikers en groepen worden niet via een bedrijfsdirectory gesynchroniseerd. In plaats daarvan maakt u lokale gebruikers rechtstreeks in de lokale directory aan. In de service is een standaard lokale directory met de naam Systeemdirectory beschikbaar. U kunt ook meerdere nieuwe lokale directory's maken. Systeemdirectory De Systeemdirectory is een lokale directory die automatisch in de service wordt gemaakt wanneer deze wordt ingesteld. Deze directory heeft het domein Systeemdomein. U kunt de naam of het domein van de Systeemdirectory niet wijzigen, en geen nieuwe domeinen eraan toevoegen. Bovendien kunt u de Systeemdirectory of het Systeemdomein niet verwijderen. De lokale beheerder die wordt gemaakt wanneer u voor de eerste keer de applicatie VMware Identity Manager instelt, wordt gemaakt in het Systeemdomein van de Systeemdirectory. U kunt andere gebruikers aan de Systeemdirectory toevoegen. Standaard wordt de Systeemdirectory gebruikt om een paar lokale beheerders in te stellen om de service te beheren. Om eindgebruikers en extra beheerders in te richten en deze rechten te geven tot applicaties, raden wij u aan om een nieuwe lokale directory te maken. Lokale directory's U kunt meerdere lokale directory's maken. Elke lokale directory kan een of meerdere domeinen bevatten. Wanneer u een lokale gebruiker maakt, specificeert u de directory en het domein voor de gebruiker. U kunt ook kenmerken selecteren voor alle gebruikers in de lokale directory. Gebruikerskenmerken zoals Gebruikersnaam, Achternaam en Voornaam worden op het algemene niveau in de VMware Identity Manager-service gespecificeerd. Er is een standaardlijst met kenmerken beschikbaar en u kunt aangepaste kenmerken toevoegen. Algemene gebruikerskenmerken gelden voor alle directory's in VMware, Inc. 11

12 de service, inclusief lokale directory's. Op het niveau van de lokale directory kunt u selecteren welke kenmerken vereist zijn voor de directory. Op deze manier kunt u een aangepaste set met kenmerken hebben voor verschillende lokale directory's. Houd er rekening mee dat voor lokale directory's Gebruikersnaam, Achternaam, Voornaam en het adres altijd vereist zijn. Opmerking De mogelijkheid om gebruikerskenmerken op directoryniveau aan te passen, is alleen beschikbaar voor lokale directory's, niet voor Active Directory- of LDAP-directory's. Lokale directory's maken is handig in de volgende scenario's. U kunt een lokale directory maken voor een specifiek type gebruiker dat geen deel uitmaakt van uw bedrijfsdirectory. Bijvoorbeeld: u kunt een lokale directory maken voor partners die doorgaans geen deel uitmaken van uw bedrijfsdirectory en hen toegang geven tot alleen de specifieke applicaties die ze nodig hebben. U kunt meerdere lokale directory's maken als u verschillende gebruikerskenmerken of verificatiemethoden wilt voor verschillende sets gebruikers. U kunt bijvoorbeeld een lokale directory voor distributeurs maken die gebruikerskenmerken bevat zoals regio en marktaandeel, en een andere directory voor leveranciers met kenmerken zoals productcategorie en type leverancier. Identiteitsprovider voor Systeemdirectory en Lokale directory's Standaard wordt de Systeemdirectory die hoort bij een identiteitsprovider, Systeemidentiteitsprovider genoemd. De methode met een wachtwoord (cloud-directory) wordt standaard ingeschakeld bij deze identiteitsprovider en geldt voor het beleid default_access_policy_set voor het netwerkbereik ALL RANGES en het apparaattype Webbrowser. U kunt extra verificatiemethoden configureren en het verificatiebeleid instellen. Wanneer u een nieuwe lokale directory maakt, hoort deze niet bij een identiteitsprovider. Nadat u de directory hebt gemaakt, maakt u een nieuwe identiteitsprovider van het type Embedded en koppelt u de directory aan deze provider. Schakel de verificatiemethode Wachtwoord (clouddirectory) in voor de identiteitsprovider. Meerdere lokale directory's kunnen aan dezelfde identiteitsprovider worden gekoppeld. De VMware Identity Manager-connector is niet vereist voor de Systeemdirectory of voor lokale directory's die u maakt. Raadpleeg "Gebruikersverificatie in VMware Identity Manager configureren" in VMware Identity Managerbeheer voor meer informatie. Wachtwoord beheren voor gebruikers van lokale directory's Standaard kunnen alle gebruikers van lokale directory's hun wachtwoord wijzigen in de portal of app Workspace ONE. U kunt een wachtwoordbeleid voor lokale gebruikers instellen. Indien nodig, kunt u ook wachtwoorden van lokale gebruikers resetten. VMware, Inc. 12

13 Wanneer gebruikers zich hebben aangemeld bij de portal Workspace ONE kunnen zij hun wachtwoord wijzigen door op hun naam in de rechterbovenhoek te klikken, dan Account in het vervolgkeuzemenu te selecteren en vervolgens op de koppeling Wachtwoord wijzigen te klikken. In de app Workspace ONE kunnen gebruikers hun wachtwoord wijzigen door op het menupictogram met drie streepjes te klikken en Wachtwoord te selecteren. Raadpleeg "Gebruikers en Groepen beheren" in VMware Identity Manager-beheer voor informatie over het beleid voor het instellen van wachtwoorden en het resetten van wachtwoorden van lokale gebruikers. Dit hoofdstuk omvat de volgende onderwerpen: Een lokale directory maken Instellingen voor lokale directory wijzigen Een lokale directory verwijderen Verificatiemethode voor systeembeheerders configureren Een lokale directory maken Als u een lokale directory wilt maken, geeft u de gebruikerskenmerken op voor de directory, maakt u de directory en identificeert u deze met een identiteitsprovider. Gebruikerskenmerken instellen op globaal niveau Voordat u een lokale directory maakt, bekijkt u de globale gebruikerskenmerken op de pagina Gebruikerskenmerken en voegt u zo nodig aangepaste kenmerken toe. Gebruikerskenmerken, zoals voornaam, achternaam, adres en domein, maken deel uit van het profiel van een gebruiker. In de VMware Identity Manager-service worden gebruikerskenmerken gedefinieerd op het globale niveau en toegepast op alle directory's in de service, waaronder lokale directory's. Op het lokale directoryniveau kunt u overschrijven dat een kenmerk vereist of optioneel is voor gebruikers in die lokale directory, maar u kunt geen aangepaste kenmerken toevoegen. Als een kenmerk is vereist, moet u er een waarde voor opgeven wanneer u een gebruiker maakt. De volgende woorden kunnen niet worden gebruikt wanneer u aangepaste kenmerken maakt. Tabel 2 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken actief adressen kostencentrum afdeling weergavenaam divisie s medewerkersnummer rechten externe id groepen id ims plek manager meta naam bijnaam organisatie wachtwoord telefoonnummer foto's voorkeurstaal profiel-url VMware, Inc. 13

14 Tabel 2 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken (Vervolgd) rollen tijdzone titel username type gebruiker x509-certificaat Opmerking De mogelijkheid om gebruikerskenmerken over te schrijven op directoryniveau is alleen van toepassing op lokale directory's, niet op Active Directory of LDAP-directory's. 1 Klik in de beheerconsole op de tab Identiteits- en toegangsbeheer. 2 Klik op Instellen en klik vervolgens op de tab Gebruikerskenmerken. 3 Bekijk de lijst met gebruikerskenmerken en voeg zo nodig extra kenmerken toe. Opmerking Hoewel u op deze pagina kunt selecteren welke kenmerken zijn vereist, wordt u aanbevolen de selectie voor lokale directory's te maken op het niveau van de lokale directory. Als een kenmerk op deze pagina is gemarkeerd als vereist, is het van toepassing op alle directory's in de service, inclusief Active Directory- of LDAP-directory's. 4 Klik op Opslaan. Wat nu te doen Maak de lokale directory. Lokale directory maken Nadat u de algemene gebruikerskenmerken heeft gecontroleerd en ingesteld, maakt u de lokale directory. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer en klik dan op het tabblad Directory's. 2 Klik op Directory toevoegen en selecteer Lokale gebruikersdirectory toevoegen via het vervolgkeuzemenu. VMware, Inc. 14

15 3 Op de pagina Directory toevoegen, voert u een directorynaam in en specificeert u minimaal één domeinnaam. De domeinnaam moet uniek zijn voor alle directory's in de service. Bijvoorbeeld: 4 Klik op Opslaan. 5 Klik op de pagina Directory's op de nieuwe directory. 6 Klik op het tabblad Gebruikerskenmerken. Alle kenmerken van de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken worden voor de lokale directory vermeld. Kenmerken die op deze pagina als vereist zijn aangeduid, worden ook als vereist weergegeven op de pagina van de lokale directory. 7 Kenmerken voor de lokale directory aanpassen. U kunt specificeren welke kenmerken vereist en welke kenmerken optioneel zijn. U kunt ook de volgorde wijzigen waarin de kenmerken worden weergegeven. Belangrijk De kenmerken Gebruikersnaam, Voornaam, Achternaam en adres zijn altijd vereist voor lokale directory's. Om een kenmerk vereist te maken, selecteert u het selectievakje naast de naam van het kenmerk. Om een kenmerk optioneel te maken, deselecteert u het selectievakje naast de naam van het kenmerk. Om de volgorde van de kenmerken te wijzigen, klikt u op een kenmerk en sleept u het naar de nieuwe locatie. VMware, Inc. 15

16 Wanneer een kenmerk vereist is, moet u een waarde voor het kenmerk specificeren wanneer u een gebruiker maakt. Bijvoorbeeld: 8 Klik op Opslaan. Wat nu te doen Koppel de lokale directory aan de identiteitsprovider die u wilt gebruiken om de gebruikers in de directory te verifiëren. De lokale directory koppelen aan een identiteitsprovider Koppel de lokale directory aan een identiteitsprovider zodat gebruikers in de directory kunnen worden geverifieerd. Maak een nieuwe identiteitsprovider van het type Embedded en schakel de verificatiemethode Wachtwoord (lokale directory) hiervoor in. Opmerking Gebruik niet de ingebouwde identiteitsprovider. Het inschakelen van de verificatiemethode Wachtwoord (lokale directory) voor de ingebouwde identiteitsprovider wordt niet aanbevolen. Vereisten De verificatiemethode Wachtwoord (lokale directory) moet worden geconfigureerd op de pagina Identiteits- en toegangsbeheer > Verificatiemethoden. 1 Klik op het tabblad Identiteits- en toegangsbeheer op de tab Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer Ingebouwde IdP maken. VMware, Inc. 16

17 3 Geef de volgende informatie op. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden KDC-certificaat exporteren Beschrijving Geef een naam op voor de identiteitsprovider. Selecteer de lokale directory die u hebt gemaakt. Selecteer de netwerken voor toegang tot deze identiteitsprovider. Selecteer Wachtwoord (lokale directory). U hoeft het certificaat niet te downloaden tenzij u mobiele SSO configureert voor ios-apparaten die worden beheerd met AirWatch. 4 Klik op Toevoegen. De identiteitsprovider wordt gemaakt en gekoppeld aan de lokale directory. Later kunt u andere verificatiemethoden configureren voor deze identiteitsprovider. Zie "Gebruikersverificatie configureren in VMware Identity Manager" in voor meer informatie over verificatie. U kunt dezelfde identiteitsprovider gebruiken voor meerdere lokale directory's. Wat nu te doen Maak lokale gebruikers en groepen. U maakt lokale gebruikers en groepen op het tabblad Gebruikers en groepen van de beheerconsole. Zie 'Gebruikers en groepen beheren' in Beheer VMware Identity Manager Administration voor meer informatie. Instellingen voor lokale directory wijzigen Nadat u een lokale directory hebt gemaakt, kunt u de bijbehorende instellingen op elk gewenst moment wijzigen. VMware, Inc. 17

18 U kunt de volgende instellingen wijzigen. Wijzig de directorynaam. Voeg of verwijder domeinen of wijzig hun naam. De domeinnamen moeten uniek zijn voor alle directory's in de service. Wanneer u een domeinnaam wijzigt, worden de gebruikers die waren gekoppeld aan het oude domein, gekoppeld aan het nieuwe domein. De directory moet ten minste één domein hebben. U kunt geen domein toevoegen aan de systeemdirectory of het systeemdomein verwijderen. Voeg nieuwe gebruikerskenmerken toe of maak een bestaand kenmerk vereist of optioneel. Als de lokale directory nog geen gebruikers heeft, kunt u nieuwe kenmerken toevoegen als optioneel of vereist en bestaande kenmerken wijzigen in vereist of optioneel. Als u al gebruikers hebt gemaakt in de lokale directory, kunt u nieuwe kenmerken alleen toevoegen als optionele kenmerken en bestaande kenmerken wijzigen van vereist in optioneel. U kunt een optioneel kenmerk niet vereist maken nadat gebruikers zijn gemaakt. De kenmerken Gebruikersnaam, Voornaam, Achternaam en adres zijn altijd vereist voor lokale directory's. Omdat gebruikerskenmerken worden gedefinieerd op algemeen niveau in de VMware Identity Manager-service, worden alle nieuwe kenmerken die u toevoegt, weergegeven in alle directory's in de service. Wijzig de volgorde waarin kenmerken worden weergegeven. 1 Klik op de tab Identiteits- en toegangsbeheer. 2 Klik op de pagina Directory's op de directory die u wilt bewerken. 3 Bewerk de instellingen voor de lokale directory. Optie Actie De directorynaam wijzigen a Bewerk de directorynaam op het tabblad Instellingen. Een domein toevoegen, verwijderen of hernoemen Gebruikerskenmerken toevoegen aan de directory b a b c d a b c Klik op Opslaan. Bewerk de lijst Domeinen op het tabblad Instellingen. Klik op het groene pluspictogram om een domein toe te voegen. Klik op het rode verwijderpictogram om een domein te verwijderen. Bewerk de domeinnaam in het tekstvak om de naam van een domein te wijzigen. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op Installatie. Klik op de tab Gebruikerskenmerken. Voeg kenmerken toe aan de lijst Andere kenmerken toevoegen om te gebruiken en klik op Opslaan. VMware, Inc. 18

19 Optie Actie Een kenmerk vereist of optioneel maken voor de directory De volgorde van de kenmerken wijzigen a b c d a b c d Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. Klik op de naam van de lokale directory en klik op de tab Gebruikerskenmerken. Schakel het selectievakje in naast een kenmerk om het vereist te maken of schakel het selectievakje uit om het kenmerk optioneel te maken. Klik op Opslaan. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. Klik op de naam van de lokale directory en klik op de tab Gebruikerskenmerken. Klik en sleep de kenmerken naar de nieuwe positie. Klik op Opslaan. Een lokale directory verwijderen U kunt een lokale directory verwijderen die u hebt gemaakt in de VMware Identity Manager-service. U kunt de systeemdirectory verwijderen, die standaard wordt gemaakt wanneer u de service voor het eerst instelt. Voorzichtig Wanneer u een directory verwijdert, worden ook alle gebruikers in de directory verwijderd uit de service. 1 Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. 2 Klik op de directory die u wilt verwijderen. 3 Klik op Directory verwijderen op de directorypagina. Verificatiemethode voor systeembeheerders configureren Wachtwoord (lokale directory) is de standaard verificatiemethode waarmee beheerders zich aanmelden via de Systeemdirectory. Het standaard toegangsbeleid wordt geconfigureerd met Wachtwoord (lokale directory) als reservemethode zodat beheerders zich kunnen aanmelden op de beheerconsole van VMware Identity Manager en de portal Workspace ONE Wanneer u toegangsbeleidsregels maakt voor specifieke web- en bureaubladapplicaties waarvoor systeembeheerders rechten hebben, moeten deze beleidsregels worden geconfigureerd zodat deze Wachtwoord (lokale directory) als reserve-verificatiemethode bevatten. Anders kunnen beheerders zich niet aanmelden op de applicatie. VMware, Inc. 19

20 VMware, Inc. 20

21 Just-in-Time-gebruikersprovisioning 3 Met Just-in-Time-gebruikers-provisioning kunt u tijdens het aanmelden op een dynamische manier gebruikers maken in de VMware Identity Manager-service, met behulp van SAML-bevestigingen die zijn verzonden door een externe identiteitsprovider. Just-in-Time-gebruikers-provisioning is alleen beschikbaar voor externe identiteitsproviders. Dit is niet beschikbaar voor de VMware Identity Managerconnector. Dit hoofdstuk omvat de volgende onderwerpen: Over Just-in-Time-gebruikers-provisioning Voorbereiden voor just-in-time provisioning Just-in-Time-gebruikersprovisioning configureren Vereisten voor SAML-bevestigingen Just-in-time gebruikersprovisioning uitschakelen Een Just-in-time-map verwijderen Foutmeldingen Over Just-in-Time-gebruikers-provisioning De Just-in-Time-provisioning biedt een andere manier om gebruikers te voorzien van de VMware Identity Manager-service. In plaats van gebruikers te synchroniseren vanaf een exemplaar van Active Directory, worden gebruikers met de Just-in-Time-provisioning dynamisch gemaakt en bijgewerkt wanneer ze zich aanmelden op basis van SAML-bevestigingen die door de identiteitsprovider worden verzonden. In dit scenario werkt de VMware Identity Manager als een SAML-serviceprovider (SP). De configuratie van Just-in-Time kan alleen worden geconfigureerd voor externe identiteitsproviders. Deze configuratie is niet beschikbaar voor de connector. Met een Just-in-Time-configuratie hoeft u geen connector te installeren op locatie, omdat het maken en beheren van gebruikers wordt behandeld via SAML-bevestigingen en verificatie wordt behandeld door de externe identiteitsprovider. VMware, Inc. 21

22 Maken en beheren van gebruikers Als de Just-in-Time-gebruikers-provisioning is ingeschakeld en een gebruiker naar de aanmeldingspagina van de VMware Identity Manager-service gaat en een domein selecteert, stuurt de pagina de gebruiker door naar de juiste identiteitsprovider. De gebruiker meldt zich aan, wordt geverifieerd en wordt door de identiteitsprovider teruggestuurd naar de VMware Identity Manager-service met een SAML-bevestiging. De kenmerken in de SAML-bevestiging worden gebruikt om de gebruiker in de service aan te maken. Er worden alleen eigenschappen gebruikt die overeenkomen met de kenmerken van de gebruiker die in de service worden gedefinieerd; overige kenmerken worden genegeerd. De gebruiker wordt ook toegevoegd aan groepen op basis van de kenmerken en krijgt de rechten die voor die groepen zijn ingesteld. Wanneer de gebruiker zich later aanmeldt, wordt hij/zij, als er wijzigingen zijn in de SAML-bevestiging, in de service bijgewerkt. Gebruikers voorzien van Just-in-Time kunnen niet worden verwijderd. Om gebruikers te verwijderen, moet u de directory van Just-in-Time verwijderen. Let op dat alle gebruikersbeheer wordt behandeld via SAML-bevestigingen. U kunt deze gebruikers niet direct vanaf de service aanmaken of bijwerken. Gebruikers van Just-in-Time kunnen niet worden gesynchroniseerd vanaf Active Directory. Raadpleeg Vereisten voor SAML-bevestigingen voor informatie over de kenmerken die vereist zijn in de SAML-bevestiging. Just-in-Time-directory De externe identiteitsprovider moet een Just-in-Time-directory hebben die eraan is gekoppeld in de service. Wanneer u de Just-in-Time-provisioning voor een identiteitsprovider voor het eerst inschakelt, maakt u een nieuwe Just-in-Time-directory aan en specificeert u één of meer domeinen ervoor. Gebruikers die tot deze domeinen behoren, worden toegevoegd aan de directory. Als meerdere domeinen voor de directory zijn geconfigureerd, moeten SAML-bevestigingen een domeinkenmerk bevatten. Als één domein voor de directory wordt geconfigureerd, is een domeinkenmerk niet vereist in SAML-bevestigingen. Als het echter wordt gespecificeerd, moet de waarde overeenkomen met de domeinnaam. Er kan slechts één directory, van het type Just-in-Time, worden gekoppeld aan een identiteitsprovider met ingeschakelde Just-in-Time-provisioning. Voorbereiden voor just-in-time provisioning Voordat u just-in-time gebruikersiprovisioning configureert, moet u de instellingen van uw groepen, groepsrechten en gebruikerskenmerken controleren en indien nodig aanpassen. Identificeer ook de domeinen die u wilt gebruiken voor de just-in-time map. VMware, Inc. 22

23 Lokale groepen maken Gebruikers ingericht via Just-in-Time-provisioning worden aan groepen toegevoegd op basis van hun gebruikerskenmerken en verkrijgen hun bronrechten van de groepen waartoe zij behoren. Controleer of er lokale groepen in de service aanwezig zijn voordat u Just-in-Time-provisioning configureert. Maak een of meerdere lokale groepen, afhankelijk van uw behoeften. Stel voor elke groep de regels voor groepslidmaatschap in en voeg rechten toe. 1 Selecteer het tabblad Gebruikers en groepen in de beheerconsole. 2 Klik op Groep maken, geef een naam en een omschrijving op voor de groep en klik op Toevoegen. 3 Klik op de pagina Groepen op de nieuwe groep. 4 Stel gebruikers in voor de groep. a b Selecteer Gebruikers in deze groep in het linkerdeelvenster. Klik op Gebruikers in deze groep aanpassen en stel de regels in voor groepslidmaatschap. 5 Voeg rechten voor de groep toe. a b c Selecteer Rechten in het linkerdeelvenster. Klik op Rechten toevoegen en selecteer de applicaties en de implementatiemethode voor elke applicatie. Klik op Opslaan. Gebruikerskenmerken controleren Controleer de gebruikerskenmerken die worden ingesteld voor alle VMware Identity Manager-directory's op de pagina Gebruikerskenmerken en pas ze waar nodig aan. Wanneer een gebruiker via just-in-time provisioning wordt ingericht, wordt de SAML-assertie gebruikt om de gebruiker te maken. Alleen de kenmerken in de SAML-assertie die overeenkomen met de kenmerken die op de pagina Gebruikerskenmerken staan, worden gebruikt. Belangrijk Als een kenmerk op de pagina Gebruikerskenmerken als vereist is gemarkeerd, moet de SAML-assertie het kenmerk bevatten, anders mislukt de aanmelding. Wanneer u de gebruikerskenmerken wijzigt, moet u er rekening mee houden dat dit invloed heeft op andere directory's en configuraties in uw tenant. De pagina Gebruikerskenmerken is van applicatie op alle directory's in uw tenant. Opmerking U hoeft het vereiste domain-kenmerk niet te markeren. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. VMware, Inc. 23

24 2 Klik op Setup en klik op Gebruikerskenmerken. 3 Controleer de kenmerken en wijzig deze zo nodig. Just-in-Time-gebruikersprovisioning configureren U configureert Just-in-Time-gebruikersprovisioning voor een externe identiteitsprovider tijdens het aanmaken of bijwerken van de identiteitsprovider in de VMware Identity Manager-service. Wanneer u Just-in-Time-provisioning inschakelt, maakt u een nieuwe Just-in-Time-map aan en specificeert u hiervoor een of meerdere domeinen. Gebruikers die bij deze domeinen horen, worden toegevoegd aan de map. U moet ten minste één domein opgeven. De domeinnaam moet uniek zijn voor alle mappen in de VMware Identity Manager-service. De SAML-asserties moeten het domeinkenmerk bevatten wanneer u meerdere domeinen specificeert. Wanneer u een enkel domein specificeert, wordt dit gebruikt als het domein voor SAML-asserties zonder een domeinkenmerk. Wanneer een domeinkenmerk is gespecificeerd, moet de waarde daarvan overeenkomen met een van de domeinen anders lukt aanmelden niet. 1 Meld u aan op de beheerconsole van de VMware Identity Manager-service. VMware, Inc. 24

25 2 Klik op het tabblad Identiteits- en toegangsbeheer en klik dan op Identiteitsproviders. 3 Klik op Identiteitsprovider toevoegen of selecteer een identiteitsprovider. 4 Klik in het gedeelte Just-in-Time-gebruikersprovisioning op Inschakelen. 5 Specificeer de volgende informatie. Een naam voor de nieuwe Just-in-Time-map. Een of meerdere domeinen. Belangrijk De domeinnamen moeten uniek zijn voor alle mappen in de tenant. Bijvoorbeeld: 6 Vul de rest van de pagina in en klik op Toevoegen of Opslaan. Zie Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers voor informatie. Vereisten voor SAML-bevestigingen Wanneer Just-in-Time-gebruikers-provisioning is ingeschakeld voor een externe identiteitsprovider, worden gebruikers tijdens het aanmelden gemaakt of bijgewerkt in de VMware Identity Manager-service op basis van SAML-bevestigingen. SAML-bevestigingen die door de identiteitsprovider zijn verzonden, moeten bepaalde kenmerken bevatten. De SAML-bevestiging moet het username-kenmerk bevatten. De SAML-bevestiging moet alle gebruikerskenmerken die als vereist zijn gemarkeerd in de VMware Identity Manager-service. Als u de gebruikerskenmerken in het beheerconsole wilt bekijken of bewerken, klikt u op het tabblad Identiteits- en toegangsbeheer, op Installatie en vervolgens op Gebruikerskenmerken. Belangrijk Zorg ervoor dat de toetsen in de SAML-bevestiging exact overeenkomt met de kenmerknamen, waaronder het hoofdlettergebruik. VMware, Inc. 25

26 Als u meerdere domeinen voor de Just-in-Time-directory configureert, moet de SAML-bevestiging het kenmerk domain bevatten. De waarde van het kenmerk moet overeenkomen met de domeinen die voor de directory zijn geconfigureerd. Als de waarde niet overeenkomt of als er geen domein is opgegeven, kunt u zich niet aanmelden. Als u een enkel domein configureert voor de Just-in-Time-directory, kunt u optioneel het kenmerk domain in de SAML-bevestiging opgeven. Als u het kenmerk domain opgeeft, zorgt u dat de waarde overeenkomt met het domein dat is geconfigureerd voor de directory. Als de SAML-bevestiging geen domeinkenmerk bevat, is de gebruiker gekoppeld aan het domein dat is geconfigureerd voor de directory Als u wilt dat gebruikersnamen worden bijgewerkt, geeft u het kenmerk ExternalId op in de SAMLbevestiging. De gebruiker wordt geïdentificeerd door de ExternalId. Als de SAML-bevestiging bij de eerstvolgende aanmelding een andere gebruikersnaam bevat, wordt de gebruiker nog steeds op de juiste manier geïdentificeerd, slaagt de aanmelding, en wordt de gebruikersnaam bijgewerkt in de Identity Manager-service. Kenmerken van de SAML-bevestiging worden als volgt gebruikt om gebruikers te maken of bij te werken. Er worden kenmerken in de Identity Manager-service gebruikt die vereist of optioneel zijn (zoals wordt vermeld op de pagina Gebruikerskenmerken). Kenmerken die niet overeenkomen met kenmerken op de pagina Gebruikerskenmerken worden genegeerd. Kenmerken zonder waarde worden genegeerd Just-in-time gebruikersprovisioning uitschakelen U kunt Just-in-Time-gebruikersprovisioning uitschakelen. Wanneer de optie is uitgeschakeld, worden nieuwe gebruikers niet gemaakt en worden bestaande gebruikers niet bijgewerkte tijdens het aanmelden. Bestaande gebruikers blijven geverifieerd door de identiteitsprovider. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer en klik dan op Identiteitsproviders. 2 Klik op de identiteitsprovider die u wilt bewerken. 3 Deselecteer in het gedeelte Just-in-Time-gebruikersprovisioning het selectievakje Inschakelen. VMware, Inc. 26

27 Een Just-in-time-map verwijderen Een Just-in-Time-map is de map van een externe identiteitsprovider die Just-in-Timegebruikersprovisioning heeft ingeschakeld. Wanneer u de map verwijdert, worden alle gebruikers in de map verwijderd en wordt de Just-in-Time-configuratie uitgeschakeld. Omdat een Just-in-Timeidentiteitsprovider slechts één map heeft, kan de identiteitsprovider niet meer worden gebruikt wanneer u de map verwijdert. U moet een nieuwe map maken wanneer u Just-in-Time-configuratie voor de identiteitsprovider opnieuw wilt inschakelen. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Zoek op de pagina Mappen de map op die u wilt verwijderen. U kunt de Just-in-Time-mappen herkennen door naar het maptype in de kolom Type te kijken. 3 Klik op de naam van de map. 4 Klik op Map verwijderen. Foutmeldingen Beheerders of eindgebruikers kunnen fouten zien in verband met de Just-in-Time-provisioning. Als er bijvoorbeeld een vereist kenmerk ontbreekt in de SAML-bevestiging, treedt er een fout op en kan de gebruiker zich niet aanmelden. De volgende foutmeldingen kunnen in de beheerconsole worden weergegeven: VMware, Inc. 27

28 Foutmelding Als JIT-gebruikers-provisioning is ingeschakeld, moet er minimaal één directory aan de identiteitsprovider worden gekoppeld. Oplossing Er is geen directory aan de identiteitsprovider gekoppeld. Aan een identiteitsprovider die de optie Just-in-Time-provisioning heeft ingeschakeld, moet een Just-in-Time-directory zijn gekoppeld. 1 Op het tabblad Identiteits- en toegangsbeheer in de beheerconsole klikt u op Identiteitsproviders en klikt u op de identiteitsprovider. 2 In het gedeelte Just-in-Time-gebruikers-provisioning geeft u een directorynaam en één of meer domeinen op. 3 Klik op Opslaan. Er wordt een Just-in-Time-directory gemaakt. De volgende foutmeldingen kunnen op de aanmeldingspagina worden weergegeven: Foutmelding Gebruikerskenmerk ontbreekt: naam. Het domein ontbreekt en dit kan niet worden afgeleid. Naam van kenmerk: naam, waarde: waarde. Kan een JIT-gebruiker niet maken of bijwerken. Oplossing Er ontbreekt een vereist gebruikerskenmerk in de SAMLbevestiging die door de externe identiteitsprovider is verzonden. Alle kenmerken die op de pagina Gebruikerskenmerken als vereist zijn gemarkeerd, moeten in de SAML-bevestiging worden ingevoegd. Wijzig de instellingen voor de externe identiteitsprovider om de juiste SAML-bevestigingen te verzenden. De SAML-bevestiging bevat geen domeinkenmerk en het domein kan niet worden vastgesteld. In de volgende gevallen is er een domeinkenmerk vereist: Als er meerdere domeinen zijn geconfigureerd voor de Justin-Time-directory. Als het domein op de pagina Gebruikerskenmerken is gemarkeerd als vereist kenmerk. Als er een domeinkenmerk is opgegeven, moet de waarde overeenkomen met een van de domeinen die is opgegeven voor de directory. Wijzig de instellingen voor de externe identiteitsprovider om de juiste SAML-bevestigingen te verzenden. Het kenmerk in de SAML-bevestiging komt niet overeen met de kenmerken op de pagina Gebruikerskenmerken in de tenant en wordt genegeerd. De gebruiker kan niet worden gemaakt in de service. Mogelijke oorzaken hiervoor zijn onder andere de volgende: Er ontbreekt een vereist kenmerk in de SAML-bevestiging. Controleer de kenmerken op de pagina Gebruikerskenmerken en zorg ervoor dat de SAMLbevestiging alle vereiste kenmerken bevat. Het domein van de gebruiker kan niet worden bepaald. Geef het domeinkenmerk op in de SAML-bevestiging en zorg ervoor dat de waarde ervan overeenkomt met een van de domeinen die zijn geconfigureerd voor de Just-in-Timedirectory. VMware, Inc. 28

29 De aanmeldervaring voor 4 gebruikers beheren Gebruikers worden op unieke wijze geïdentificeerd aan de hand van hun gebruikersnaam en domein. Standaard worden gebruikers die zich vanuit VMware Identity Manager aanmelden bij de Workspace ONE-portal, gevraagd om hun domein te selecteren op de eerste aanmeldpagina die wordt weergegeven. Omdat gebruikers eerst hun domein selecteren, kunnen gebruikers met eenzelfde gebruikersnaam maar in een ander domein zich toch probleemloos aanmelden. Zo kan gebruiker Jan bijvoorbeeld zijn toegevoegd aan het domein prod.example.com, terwijl een andere gebruiker Jan is toegevoegd aan het domein sales.example.com. VMware Identity Manager geeft de verificatiepagina weer op basis van de toegangsbeleidsregels die zijn geconfigureerd voor het domein. Dit hoofdstuk omvat de volgende onderwerpen: Een domein selecteren wanneer u zich aanmeldt Aanmeldervaring met unieke ID Aanmelding op basis van een unieke ID instellen Gebruiksvoorwaarden vereisen voor toegang tot de Workspace ONE-catalogus Een domein selecteren wanneer u zich aanmeldt De instelling voor Systeemdomein tonen op aanmeldingspagina is standaard ingeschakeld op de pagina Identiteits- en toegangsbeheer > Instellen > Voorkeuren. Gebruikers worden voorgesteld met het vervolgkeuzemenu Domein waarin alle Active Directory-domeinen worden weergegeven die zijn geïntegreerd met de VMware Identity Manager-server en het lokale systeemdomein. Als u de selectie van de instelling Systeemdomein tonen op aanmeldingspagina weergeven opheft, wordt de vermelding voor het systeemdomein verwijderd uit het vervolgkeuzemenu Domein. Wanneer de VMware Identity Manager-service één Active Directory-domein bevat, zien gebruikers het vervolgkeuzemenu niet. Ze worden om hun aanmeldingsgegevens gevraag om aan te melden. Wanneer het systeemdomein niet wordt weergegeven in een vervolgkeuzemenu, kunnen VMware Identity Manager-adminbeheerders de volgende URL invoeren voor aanmelding bij de beheerconsole <example.com>/saas/login/0. Het scherm voor de gebruikersnaam en het wachtwoord wordt weergegeven. VMware, Inc. 29

30 Aanmeldervaring met unieke ID Wanneer u niet wilt vereisen dat gebruikers hun domein selecteren voordat ze zich aanmelden, kunt u de domeinaanvraagpagina verbergen. Vervolgens kiest u een unieke ID om gebruikers in uw organisatie te onderscheiden. Wanneer gebruikers zich aanmelden, wordt een pagina geopend waarin gebruikers worden gevraagd hun unieke ID in te voeren. VMware Identity Manager probeert de gebruiker te vinden in de interne database. Wanneer de VMware Identity Manager-service de ID opzoekt, bevat de gevonden informatie tevens het domein waarbij de gebruiker hoort. De verificatiepagina die wordt weergegeven, is gebaseerd op de toegangsbeleidsregels voor dat domein. De unieke ID kan de gebruikersnaam, het adres, de UPN of de werknemer-id zijn. U selecteert de te gebruiken ID op de pagina Identiteits- en toegangsbeheer > Voorkeuren. Het kenmerk voor de unieke ID moet worden toegewezen op de pagina Gebruikerskenmerken en worden gesynchroniseerd vanuit Active Directory. Als meerdere gebruikers worden gevonden die overeenkomen met de ID en geen unieke gebruiker kan worden bepaald, wordt een foutbericht weergegeven. Als geen gebruiker is gevonden, wordt de lokale aanmeldpagina voor gebruikers weergegeven om mogelijke aanvallen met gebruikersnaaminventarisatie te voorkomen. Aanmelding op basis van een unieke ID instellen Wanneer gebruikers een verificatiemethode met gebruikersnaam en wachtwoord gebruiken, kunt u de optie voor unieke ID inschakelen om aanmeldpagina's voor ID-gebaseerde aanmelding weer te geven. Gebruikers worden gevraagd om hun unieke ID in te voeren en worden vervolgens gevraagd om de betreffende verificatie uit te voeren op basis van de geconfigureerde toegangsbeleidsregels. De verificatiemethoden die aanmelding op basis van unieke ID ondersteunen zijn de wachtwoordverificatiemethoden, RSA SecurID en RADIUS. Vereisten Selecteer het gebruikerskenmerk voor de unieke ID voor gebruik op de pagina Identiteits- en toegangsbeheer > Gebruikerskenmerken. Zorg ervoor dat het kenmerk alleen wordt gebruikt om unieke objecten te identificeren. Zorg ervoor dat de geselecteerde kenmerken worden gesynchroniseerd met de directory. Verifieer of de standaardtoegangsbeleidsregels voor de gebruikersdomeinen overeenkomen met het verificatietype dat moet worden gebruikt wanneer aanmelding op basis van unieke ID beschikbaar is. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer en klik op Voorkeuren. VMware, Inc. 30

31 2 Als u de aanmelding op basis van unieke ID's instelt in een omgeving met één domein, schakelt u Systeemdomein tonen op aanmeldingspagina in. Het inschakelen van deze functionaliteit is alleen vereist wanneer er slechts één domein in VMware Identity Manager wordt geconfigureerd. 3 Schakel het selectievakje Inschakelen in als u de aanmeldpagina voor domeinselectie wilt verbergen. 4 Selecteer de te gebruiken unieke ID uit het vervolgkeuzemenu. De opties zijn gebruikersnaam, e- mail, UPN of werknemer-id. 5 Klik op Opslaan. Gebruiksvoorwaarden vereisen voor toegang tot de Workspace ONE-catalogus U kunt de gebruiksvoorwaarden van uw bedrijf voor Workspace ONE schrijven en ervoor zorgen dat eindgebruikers deze gebruiksvoorwaarden accepteren voordat ze Workspace ONE gebruiken. De gebruiksvoorwaarden worden weergegeven nadat de gebruiker zich heeft aangemeld bij Workspace ONE. Gebruikers moeten de gebruiksvoorwaarden accepteren voordat ze kunnen doorgaan naar hun Workspace ONE-catalogus. De functie Gebruiksvoorwaarden biedt de volgende configuratieopties. Versies van bestaande gebruiksvoorwaarden maken. Gebruiksvoorwaarden bewerken. Meerdere gebruiksvoorwaarden maken die kunnen worden weergegeven op basis van het apparaattype. Taalspecifieke exemplaren van de gebruiksvoorwaarden maken. Het gebruiksvoorwaardenbeleid dat u instelt, wordt weergegeven op het tabblad Identiteits- en toegangsbeheer. U kunt het gebruiksvoorwaardenbeleid bewerken om correcties aan te brengen in het bestaande beleid of om een nieuwe versie van het beleid te maken. Als u een nieuwe versie van de gebruiksvoorwaarden toevoegt, worden de bestaande gebruiksvoorwaarden vervangen. Als u een beleid bewerkt, wordt niet automatisch een nieuwe versie van de gebruiksvoorwaarden gemaakt. U kunt bekijken hoeveel gebruikers de gebruiksvoorwaarden hebben geaccepteerd of geweigerd op de pagina met de gebruiksvoorwaarden. Klik op het aantal acceptaties of weigeringen om een lijst met gebruikers en hun status weer te geven. Gebruiksvoorwaarden instellen en inschakelen Op de pagina Gebruiksvoorwaarden voegt u het gebruiksvoorwaardenbeleid toe en configureert u de gebruiksparameters. Nadat de gebruiksvoorwaarden zijn toegevoegd, schakelt u de optie Gebruiksvoorwaarden in. Wanneer gebruikers zich aanmelden bij Workspace ONE, moeten ze de gebruiksvoorwaarden accepteren om toegang te krijgen tot hun catalogus. VMware, Inc. 31

32 Vereisten De tekst van het gebruiksvoorwaardenbeleid in HTML-indeling die u kunt kopiëren en plakken in het tekstvak Inhoud van gebruiksvoorwaarden. U kunt gebruiksvoorwaarden toevoegen in het Engels, Duits, Spaans, Frans, Italiaans en Nederlands. 1 Selecteer Instellen > Gebruiksvoorwaarden op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik op Gebruiksvoorwaarden toevoegen. 3 Voer een beschrijvende naam in voor de gebruiksvoorwaarden. 4 Selecteer Elke, als de gebruiksvoorwaarden voor alle gebruikers gelden. Als u gebruiksvoorwaarden per apparaattype wilt gebruiken, selecteert u Geselecteerde apparaatplatforms en selecteert u de apparaattypen waarop dit gebruiksvoorwaardenbeleid moet worden weergegeven. 5 De taal waarin de gebruiksvoorwaarden eerst worden weergegeven, wordt standaard bepaald door de ingestelde taalvoorkeur in de browser. Voer de inhoud van de gebruiksvoorwaarden voor de standaardtaal in het tekstvak in. 6 Klik op Opslaan. Als u gebruiksvoorwaardenbeleid in een andere taal wilt toevoegen, klikt u op Taal toevoegen en selecteert u een andere taal. Het tekstvak Inhoud van gebruiksvoorwaarden wordt vernieuwd en u kunt de tekst invoeren in het tekstvak. U kunt de naam van de taal slepen om de volgorde te bepalen waarin de gebruiksvoorwaarden worden weergegeven. 7 Klik op Gebruiksvoorwaarden inschakelen op de geopende pagina om de gebruiksvoorwaarden toe te passen. Wat nu te doen Als u een specifiek apparaattype hebt geselecteerd voor de gebruiksvoorwaarden, kunt u extra gebruiksvoorwaarden maken voor andere apparaattypen. Acceptatiestatus van gebruikersvoorwaarden bekijken Bij het gebruiksvoorwaardenbeleid op de pagina Identiteits- en toegangsbeheer > Gebruiksvoorwaarden wordt aangegeven hoeveel gebruikers het beleid hebben geaccepteerd en geweigerd. 1 Selecteer Instellen > Gebruiksvoorwaarden op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. VMware, Inc. 32

33 2 Klik in de kolom Geaccepteerd/Geweigerd op het aantal acceptaties links of het aantal weigeringen rechts. Vervolgens wordt een statuspagina geopend met de betreffende actie (geaccepteerd of geweigerd), samen met de gebruikersnaam, de apparaat-id, de versie van het weergegeven beleid, het gebruikte platform en de datum. 3 Klik op Annuleren om de weergave te sluiten. VMware, Inc. 33

34 Gebruikersverificatie configureren in VMware Identity Manager 5 VMware Identity Manager ondersteunt meerdere verificatiemethoden. U kunt één verificatiemethode configureren en u kunt een geketende, tweeledige verificatie instellen. U kunt ook een verificatiemethode gebruiken die extern is voor RADIUS- en SAML-protocollen. De identiteitsproviderinstantie die u met de VMware Identity Manager-service gebruikt, creëert een federatie-autoriteit in het netwerk die met de service communiceert met behulp van SAML 2.0- bevestigingen. Wanneer u voor het eerst de VMWare Identity Manager-service implementeert, is de connector de eerste identiteitsprovider voor de service. Uw bestaande infrastructuur van Active Directory wordt gebruikt voor gebruikersverificatie en -beheer. De volgende verificatiemethoden worden ondersteund. U configureert deze verificatiemethoden vanaf de beheerconsole. Verificatiemethoden Wachtwoord (implementatie op locatie) Kerberos voor desktops Certificaat (implementatie op locatie) RSA SecurID (implementatie op locatie) Beschrijving Zonder een configuratie nadat Active Directory is geconfigureerd, ondersteunt VMware Identity Manager Active Directory-wachtwoordverificatie. Deze methode verifieert gebruikers direct op Active Directory. Kerberos-verificatie biedt domeingebruikers met Single Sign-In toegang tot hun apps-portal. Gebruikers hoeven niet opnieuw aan te melden op hun apps-portal nadat ze hebben aangemeld op het netwerk. Er kunnen twee Kerberos-verificatiemethoden worden geconfigureerd: Kerberosverificatie voor desktop met geïntegreerde Windows-verificatie, en ingebouwde Kerberos-verificatie voor ios 9 mobiel apparaat wanneer een vertrouwde relatie is ingesteld tussen Active Directory en AirWatch. Op certificaat gebaseerde verificatie kan worden geconfigureerd om clients toe te staan verificatie uit te voeren met certificaten op hun desktop- en mobiele apparaten of om een smartcardadapter te gebruiken voor verificatie. Op certificaat gebaseerde verificatie is gebaseerd op wat de gebruiker heeft en wat de persoon kent. Een X.509-certificaat gebruikt de openbare sleutelinfrastructuurstandaard om te verifiëren of een openbare sleutel in het certificaat van een gebruiker is. Als RSA SecurID-verificatie is geconfigureerd, is VMware Identity Manager geconfigureerd als de verificatieagent in de RSA SecurID-server. RSA SecurID-verificatie vereist dat gebruikers een tokengebaseerd verificatiesysteem gebruiken. RSA SecurID is een verificatiemethode voor gebruikers die VMware Identity Manager openen van buiten het bedrijfsnetwerk. VMware, Inc. 34

35 Verificatiemethoden RADIUS (implementatie op locatie) RSA adaptieve verificatie (implementatie op locatie) Mobiele SSO (voor ios) Mobiele SSO (voor Android) Wachtwoord (AirWatchconnector) VMware Verify Wachtwoord (lokale directory) Beschrijving RADIUS-verificatie biedt tweeledige verificatieopties. U stelt de RADIUS-server in die toegankelijk is voor de VMware Identity Manager-service. Als gebruikers zich aanmelden met hun gebruikersnaam en wachtwoordcode, wordt een toegangsaanvraag naar de RADIUS-server verzonden voor verificatie. RSA-verificatie biedt een sterkere, meervoudige verificatie dan alleen de verificatie met gebruikersnaam en wachtwoord op Active Directory. Wanneer RSA adaptieve verificatie is ingeschakeld, worden de risico-indicatoren die in het risicobeleid zijn gespecificeerd in de RSAbeleidsbeheerapplicatie ingesteld. De configuratie van de VMware Identity Manager-service van adaptieve verificatie wordt gebruikt om de vereiste verificatievragen te bepalen. Mobiele SSO voor ios-verificatie wordt gebruikt voor de verificatie van Single Sign-On voor door AirWatch beheerde ios-apparaten. Mobiele SSO (voor ios-)verificatie gebruikt een hoofddistributiecentrum (HDC) dat onderdeel uitmaakt van de Identity Manager-service. U moet de HDC-service initialiseren in de VMware Identity Manager-service voordat u deze verificatiemethode inschakelt. Mobiele SSO voor Android-verificatie wordt gebruikt voor verificatie van Single Sign-On voor door AirWatch beheerde Android-apparaten. Een proxy-service wordt ingesteld tussen de VMware Identity Manager-service en AirWatch om het certificaat op te halen van AirWatch voor verificatie. De AirWatch Cloud Connector kan met de VMware Identity Manager-service worden geïntegreerd voor de verificatie van het gebruikerswachtwoord. U configureert de VMware Identity Managerservice om gebruikers van de AirWatch-directory te synchroniseren. VMware Verify kan worden gebruikt als de tweede verificatiemethode wanneer tweestapsverificatie wordt vereist. De eerste verificatiemethode is gebruikersnaam en wachtwoord en de tweede verificatiemethode is een VMware Verify verzoekgoedkeuring of -code. VMware Verify gebruikt een cloudservice van derden om deze functie te leveren op de apparaten van gebruikers. Om dit te doen, wordt gebruikersinformatie zoals naam, adres en telefoonnummer opgeslagen in de service, maar deze informatie wordt uitsluitend gebruikt om de functie te leveren. De methode Wachtwoord (lokale directory) wordt standaard ingeschakeld voor de identiteitsprovider Systeem-IDP die wordt gebruikt bij de Systeemdirectory. Deze wordt toegepast op het standaard toegangsbeleid. Nadat de verificatiemethoden zijn geconfigureerd, maakt u toegangsbeleidsregels die de te gebruiken verificatiemethoden per apparaattype specificeren. Gebruikers worden geverifieerd op basis van de verificatiemethoden, de standaard toegangsbeleidsregels, netwerkbereiken en de identiteitsproviderinstantie die u configureert. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. Dit hoofdstuk omvat de volgende onderwerpen: Kerberos configureren voor VMware Identity Manager SecurID configureren voor VMware Identity Manager RADIUS configureren voor VMware Identity Manager RSA adaptieve verificatie configureren in VMware Identity Manager Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager VMware Verify configureren voor tweeledige verificatie Ingebouwde identiteitsproviders gebruiken VMware, Inc. 35

36 Extra Workspace-identiteitsproviders configureren Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers Verificatiemethoden beheren die op gebruikers worden toegepast Kerberos configureren voor VMware Identity Manager Kerberos-verificatie biedt gebruikers die zijn aangemeld bij hun domein toegang tot hun applicatieportal zonder dat ze om aanvullende verificatiegegevens worden gevraagd. Het Kerberos-verificatieprotocol kan worden geconfigureerd in de Identity Manager-service voor desktops met ingebouwde Windows-verificatie om de interactie tussen de browsers van gebruikers en de Identity Manager-service te beveiligen, en voor one-touch single sign-in op ios 9-mobiele apparaten die worden beheerd in AirWatch. Zie In de cloud gehoste KDC-service gebruiken voor meer informatie over Kerberos-verificatie op ios 9-apparaten. Kerberos voor desktops implementeren met ingebouwde Windows-verificatie Om Kerberos-verificatie voor desktops in te stellen, schakelt u Ingebouwde Windows-verificatie in zodat het Kerberos-protocol de interactie tussen de browsers van gebruikers en de Identity Manager-service kan beveiligen. Wanneer Kerberos-verificatie is ingeschakeld voor desktops, valideert de Identity Manager-service de verificatiegegevens van de gebruiker van de desktop met behulp van Kerberos-tickets die worden gedistribueerd door het Key Distribution Center (KDC) en die zijn geïmplementeerd als een domeinservice in Active Directory. U hoeft Active Directory niet direct te configureren om Kerberos in uw implementatie te laten werken. U moet de webbrowsers van eindgebruikers configureren om uw Kerberos-verificatiegegevens naar de service te verzenden wanneer gebruikers zich aanmelden. Zie Uw browser configureren voor Kerberos. Kerberos-verificatie configureren voor desktops met ingebouwde Windowsverificatie Als u de VMware Identity Manager-service wilt configureren voor Kerberos-verificatie voor desktops, moet u lid worden van het domein en Kerberos-verificatie inschakelen op de connector. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik in de kolom Werker voor de connector op Verificatieadapters. 3 Klik op Kerberos-IDP-adapter U wordt omgeleid naar de aanmeldingspagina van identiteitsbeheer. VMware, Inc. 36

37 4 Klik op Bewerken in de rij Kerberos-IDP-adapter en configureer de Kerberos-verificatiepagina. Optie Naam Directory-UIDkenmerk Windowsverificatie inschakelen NTLM inschakelen Beschrijving Een naam is vereist. De standaardnaam is Kerberos-IDP-adapter. U kunt dit wijzigen. Voer het accountkenmerk in dat de gebruikersnaam bevat Selecteer deze om verificatie-interacties uit te breiden tussen de browsers van gebruikers en VMware Identity Manager. Selecteer deze optie alleen om op het NTLM-protocol (NT LAN Manager) gebaseerde verificatie in te schakelen als uw Active Directory-infrastructuur vertrouwt op NTLM-verificatie. Opmerking Het NTLM-protocol wordt niet geconfigureerd wanneer VMware Identity Manager in een Windows-omgeving wordt gebruikt. Omleiden inschakelen Selecteer deze als round robin-dns en load-balancers geen Kerberos-ondersteuning hebben. Verificatieaanvragen worden omgeleid naar de hostnaam voor omleiding. Als deze is geselecteerd, voert u de hostnaam voor omleiding in het tekstvak Hostnaam omleiding in. Deze is doorgaans de hostnaam van de service. 5 Klik op Opslaan. Wat nu te doen Voeg de verificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om de Kerberosverificatiemethode toe te voegen aan de regel in de juiste verificatievolgorde. Uw browser configureren voor Kerberos Wanneer Kerberos is ingeschakeld, moet u de webbrowsers configureren om uw Kerberosverificatiegegevens naar de service te verzenden wanneer gebruikers zich aanmelden. U kunt de volgende webbrowsers configureren om uw Kerberos-verificatiegegevens te verzenden naar de Identity Manager-service op computers met Windows: Firefox, Internet Explorer en Chrome. Alle browsers moeten nog verder worden geconfigureerd. Internet Explorer configureren voor toegang tot de webinterface U moet de browser Internet Explorer configureren als Kerberos is geconfigureerd voor uw implementatie en u gebruikers via Internet Explorer toegang tot de webinterface wilt geven. Kerberos-verificatie werkt samen met VMware Identity Manager op Windows-besturingssystemen. Opmerking Implementeer deze stappen voor Kerberos niet op andere besturingssystemen. Vereisten Configureer de browser Internet Explorer voor elke gebruiker of geef gebruikers de nodige instructies nadat u Kerberos hebt geconfigureerd. VMware, Inc. 37

38 1 Controleer of u bij Windows bent aangemeld als gebruiker in het domein. 2 Schakel automatische aanmelding in Internet Explorer in. a b c d Selecteer Extra > Internetopties > Beveiliging. Klik op Aangepast niveau. Selecteer Alleen automatisch aanmelden in de intranetzone. Klik op OK. 3 Controleer of deze instantie van de virtual appliance van de connector deel uitmaakt van de lokale intranetzone. a b Gebruik Internet Explorer om de aanmeldings-url voor de VMware Identity Manager- VMware Identity Manager te openen via Controleer de zone in de rechterbenedenhoek, op de statusbalk van het browservenster. Als de zone Lokaal intranet is, is de configuratie van Internet Explorer voltooid. 4 Als de zone niet Lokaal intranet is, voegt u de aanmeldings-url voor de VMware Identity Manager toe aan de intranetzone. a b Selecteer Extra > Internetopties > Beveiliging > Lokaal intranet > Websites. Selecteer Intranetnetwerk automatisch detecteren. Als deze optie niet eerder was geselecteerd, is het mogelijk voldoende om deze te selecteren voordat u de toevoegt aan de intranetzone. c d (Optioneel) Als u Intranetnetwerk automatisch detecteren hebt geselecteerd, klikt u op OK totdat alle dialoogvensters zijn gesloten. Klik op Geavanceerd in het dialoogvenster Lokaal intranet. Een tweede dialoogvenster met de naam Lokaal intranet wordt geopend. e Voer de -URL van VMware Identity Manager in het tekstvak Deze website aan de zone toevoegen in. f Klik op Toevoegen > Sluiten > OK. 5 Controleer of Internet Explorer de Windows-verificatie mag doorgeven aan de vertrouwde site. a b Klik in het dialoogvenster Internetopties op het tabblad Geavanceerd. Schakel Geïntegreerde Windows-verificatie inschakelen in. Deze optie wordt pas van kracht nadat u Internet Explorer opnieuw hebt gestart. c Klik op OK. VMware, Inc. 38

39 6 Meld u aan bij de webinterface om toegang te controleren. Als Kerberos-verificatie is voltooid, gaat de test-url naar de webinterface. Het Kerberos-protocol beveiligt alle interacties tussen deze instantie van de browser Internet Explorer en VMware Identity Manager. Gebruikers kunnen vervolgens Single Sign-On-toegang gebruiken voor hun Workspace ONE-portal. Firefox configureren voor toegang tot de webinterface U moet de Firefox-browser configureren als Kerberos is geconfigureerd voor uw implementatie en u gebruikers toegang wilt verlenen tot de webinterface via Firefox. Kerberos-verificatie werkt samen met VMware Identity Manager op Windows-besturingssystemen. Vereisten Configureer de Firefox-browser voor elke gebruiker of biedt gebruikers instructies voor configuratie nadat u Kerberos hebt geconfigureerd. 1 Voer about:config in het URL-tekstvak van de Firefox-browser in om toegang te krijgen tot de geavanceerde instellingen. 2 Klik op Ik zal voorzichtig zijn, dat beloof ik!. 3 Dubbelklik op network.negotiate-auth.trusted-uris in de kolom met de naam van de voorkeur. 4 Voer de -URL voor VMware Identity Manager in het tekstvak in. 5 Klik op OK. 6 Dubbelklik op network.negotiate-auth.delegation-uris in de kolom met de naam van de voorkeur. 7 Voer de -URL voor VMware Identity Manager in het tekstvak in. 8 Klik op OK. 9 Test de Kerberos-functies door u via de Firefox-browser aan te melden met de aanmeldings-url van de. Bijvoorbeeld: Als Kerberos-verificatie slaagt, gaat de test-url naar de webinterface. Het Kerberos-protocol beveiligt alle interacties tussen deze instantie van de Firefox-browser en VMware Identity Manager. Gebruikers kunnen vervolgens Single Sign-On-toegang gebruiken voor hun Workspace ONE-portal. De Chrome-browser configureren voor toegang tot de webinterface U moet de Chrome-browser configureren wanneer Kerberos voor uw implementatie is geconfigureerd en u gebruikers toegang wilt geven tot de webbrowser met behulp van de Chrome-browser. VMware, Inc. 39

40 Kerberos-verificatie werkt samen met VMware Identity Manager op Windows-besturingssystemen. Opmerking Implementeer deze stappen voor Kerberos niet op andere besturingssystemen. Vereisten Kerberos configureren. Omdat Chrome de configuratie van Internet Explorer gebruikt om Kerberos-verificatie in te schakelen, moet u Internet Explorer configureren zodat Chrome de configuratie van Internet Explorer kan gebruiken. Zie de documentatie van Google voor informatie over het configureren van Chrome voor Kerberos-verificatie. 1 Test de Kerberos-functionaliteit door de Chrome-browser te gebruiken. 2 Meld u aan op VMware Identity Manager via Wanneer Kerberos-verificatie goed werkt, maakt de test-url verbinding met de webinterface. Als alle betreffende Kerberos-configuraties goed zijn, beveiligt het relatieve protocol (Kerberos) alle interacties tussen deze Chrome-browserinstantie en VMware Identity Manager. Gebruikers kunnen Single Sign-On gebruiken voor toegang tot hun Workspace ONE-portal. SecurID configureren voor VMware Identity Manager Wanneer u een RSA SecurID-server configureert, moet u de informatie voor de VMware Identity Manager -service toevoegen als verificatieagent op de RSA SecurID-server en de RSA SecurID-servergegevens configureren voor de VMware Identity Manager -service. Wanneer u SecurID configureert voor het leveren van aanvullende beveiliging, moet u controleren of het netwerk correct is geconfigureerd voor uw VMware Identity Manager-implementatie. Met name voor SecurID moet u nagaan of de juiste poort open staat, zodat SecurID gebruikers van buiten uw netwerk kan verifiëren. Nadat u de Setup-wizard voor VMware Identity Manager hebt uitgevoerd en de Active Directoryverbinding hebt geconfigureerd, beschikt u over de vereiste informatie voor het voorbereiden van de RSA SecurID-server. Nadat u de RSA SecurID-server hebt voorbereid voor VMware Identity Manager, schakelt u SecurID in de beheerconsole in. De RSA SecurID-server voorbereiden De RSA SecurID-server moet worden geconfigureerd met informatie over de VMware Identity Manager- toepassing als de verificatieagent. De vereiste informatie bestaat uit de hostnaam en de IP-adressen voor netwerkinterfaces. RSA SecurID-verificatie configureren Nadat de VMware Identity Manager-toepassing is geconfigureerd als de verificatieagent in de RSA SecurID-server, moet u de RSA SecurID-configuratie-informatie aan de connector toevoegen. VMware, Inc. 40

41 De RSA SecurID-server voorbereiden De RSA SecurID-server moet worden geconfigureerd met informatie over de VMware Identity Managertoepassing als de verificatieagent. De vereiste informatie bestaat uit de hostnaam en de IP-adressen voor netwerkinterfaces. Vereisten Controleer of een van de volgende RSA Authentication Manager-versies is geïnstalleerd en werkt op het bedrijfsnetwerk: RSA AM 6.1.2, 7.1 SP2 en hoger en 8.0 en hoger. De server van VMware Identity Manager gebruikt AuthSDK_Java_v _03_11_03_16_51 (Agent API 8.1 SP1), dat alleen de voorafgaande versies van RSA Authentication Manager (de RSA SecurID-server) ondersteunt. Raadpleeg de RSA-documentatie voor meer informatie over het installeren en configureren van RSA Authentication Manager (RSA SecurID-server). 1 Voeg de VMware Identity Manager-connector als verificatieagent toe op een ondersteunde versie van de RSA SecurID-server. Geef de volgende informatie op. Optie Hostnaam IP-adres Alternatief IP-adres Beschrijving De hostnaam van VMware Identity Manager. Het IP-adres van VMware Identity Manager. Als verkeer van de connector wordt doorgeleid door een NAT-apparaat (Network Address Translation) voordat het de RSA SecurID-server bereikt, voert u het privé IP-adres in van de toepassing. 2 Download het gecomprimeerde configuratiebestand en extraheer het bestand sdconf.rec. Dit bestand moet u later uploaden wanneer u RSA SecurID in VMware Identity Manager configureert. Wat nu te doen Ga naar de beheerconsole en selecteer de connector op de setup-pagina's van het tabblad Identiteits- en toegangsbeheer. Selecteer de connector en configureer SecurID op de pagina Verificatieadapter. RSA SecurID-verificatie configureren Nadat de VMware Identity Manager-toepassing is geconfigureerd als de verificatieagent in de RSA SecurID-server, moet u de RSA SecurID-configuratie-informatie aan de connector toevoegen. Vereisten Controleer of de RSA Authentication Manager (de RSA SecurID-server) correct is geïnstalleerd en geconfigureerd. Download het gecomprimeerde bestand van de RSA SecurID-server en pak het serverconfiguratiebestand uit. VMware, Inc. 41

42 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd met RSA SecurID. 3 Klik op Verificatieadapters en klik vervolgens op SecurID-IDP-adapter. U wordt omgeleid naar de aanmeldingspagina van identiteitsbeheer. 4 Klik op de pagina Verificatieadapters in de rij SecurID-IDP-adapter op Bewerken. 5 Configureer de pagina SecurID-verificatieadapter. De informatie die wordt gebruikt en de bestanden die worden gegenereerd op de RSA SecurIDserver, zijn vereist wanneer u de SecurID-pagina configureert. Optie Naam SecurID inschakelen Aantal toegestane verificatiepogin gen Connectoradre s Agent-IP-adres Serverconfigur atie Knooppuntgeh eim Actie Een naam is vereist. De standaardnaam is SecurID-IDP-adapter. U kunt dit wijzigen. Schakel dit vakje in om SecurID-verificatie in te schakelen. Voer het maximum aantal mislukte aanmeldingspogingen in bij het gebruik van het RSA SecurID-token. De standaardwaarde is vijf pogingen. Opmerking Wanneer meer dan één directory is geconfigureerd en u RSA SecurID-verificatie implementeert met extra directory's, configureert u Aantal toegestane verificatiepogingen met dezelfde waarde voor elke RSA SecurID-configuratie. Als de waarde niet identiek is, mislukt de SecurID-verificatie. Voer het IP-adres van de connectorinstantie in. De waarde die u invoert, moet overeenkomen met de waarde die u hebt gebruikt toen u de connectorappliance als verificatieagent hebt toegevoegd aan de RSA SecurID-server. Als voor uw SecurID-server een waarde is toegewezen aan de prompt Alternatief IP-adres, dan voert u deze waarde in als het IP-adres van de connector. Als er geen alternatief IP-adres is toegewezen, voert u de waarde in die is toegewezen aan de prompt IP-adres. Voer de waarde in die is toegewezen aan de prompt IP-adres in de RSA SecurID-server. Upload het RSA SecurID-serverconfiguratiebestand. Eerst moet u het gecomprimeerde bestand downloaden van de RSA SecurID-server en het serverconfiguratiebestand, dat standaard sdconf.rec wordt genoemd, uitpakken. Als u het veld voor het knooppuntgeheim leeg laat, kan het knooppuntgeheim automatisch worden gegenereerd. Wij raden u aan het knooppuntgeheimbestand op de RSA SecurID-server te wissen en het knooppuntgeheimbestand niet opzettelijk te uploaden. Zorg ervoor dat het knooppuntgeheimbestand op de RSA SecurID-server en op de serverconnectorinstantie altijd overeenkomen. Als u het knooppuntgeheim op één locatie wijzigt, moet u dit ook op de andere locatie wijzigen. 6 Klik op Opslaan. Wat nu te doen Voeg de verificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om de SecurIDverificatiemethode toe te voegen aan de regel. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. VMware, Inc. 42

43 RADIUS configureren voor VMware Identity Manager U kunt VMware Identity Manager zo configureren dat van gebruikers wordt vereist dat ze RADIUSverificatie (Remote Authentication Dial-In User Service) gebruiken. U configureert de RADIUSserverinformatie met de VMware Identity Manager-service. RADIUS-ondersteunt een groot aantal alternatieve opties voor tweeledige op tokens gebaseerde verificatie. Omdat tweeledige verificatieoplossingen als RADIUS werken met verificatiebeheerders die op afzonderlijke servers geïnstalleerd zijn, moet u de RADIUS-server configureren en toegankelijk maken voor de identiteitsbeheerservice. Wanneer gebruikers zich aanmelden bij hun Workspace ONE-portal en RADIUS-verificatie is ingeschakeld, wordt een speciaal aanmeldingsvenster weergegeven in de browser. Gebruikers voeren hun gebruikersnaam en wachtwoord voor RADIUS-verificatie in dit dialoogvenster in. Als de RADIUSserver antwoordt met een toegangscontrole, wordt door de identiteitsbeheerservice een dialoogvenster weergegeven waarin om een tweede wachtwoordcode wordt gevraagd. Ondersteuning voor RADIUStoegangscontrole is momenteel beperkt tot het vragen om tekstinvoer. Nadat een gebruiker verificatiegegevens heeft opgegeven in het dialoogvenster kan de RADIUS-server een sms-bericht, een of een tekst met behulp van een ander out-of-band-mechanisme sturen naar de mobiele telefoon van de gebruiker met een code. De gebruiker kan deze tekst en code in het aanmeldingsdialoogvenster invoeren om de verificatie te voltooien. Als de RADIUS-server de mogelijkheid biedt om gebruikers uit Active Directory te importeren, kan eindgebruikers worden gevraagd om Active Directory-verificatiegegevens op te geven voordat ze worden gevraagd om de gebruikersnaam en de wachtwoordcode voor RADIUS-verificatie. De RADIUS-server voorbereiden Stel de RADIUS-server in en configureer de RADIUS-server vervolgens zodanig dat RADIUS-aanvragen van de VMware Identity Manager-service worden geaccepteerd. Raadpleeg de installatiehandleidingen van uw RADIUS-leverancier voor informatie over het instellen van de RADIUS-server. Schrijf de RADIUS-configuratiegegevens op, omdat u deze informatie gebruikt bij het configureren van RADIUS in de service. Ga naar RADIUS-verificatie configureren in VMware Identity Manager voor informatie over het type RADIUS-informatie dat u nodig hebt om VMware Identity Manager te configureren. U kunt een secundaire RADIUS-verificatieserver instellen die moet worden gebruikt voor het leveren van hoge beschikbaarheid. Als de primaire RADIUS-server niet reageert binnen de servertime-out die is geconfigureerd voor RADIUS-verificatie, wordt de aanvraag omgeleid naar de secundaire server. Als de primaire server niet reageert, ontvangt de secundaire server alle toekomstige verificatieaanvragen. RADIUS-verificatie configureren in VMware Identity Manager U schakelt RADIUS-verificatie in en configureert de RADIUS-instellingen in de VMware Identity Managerbeheerconsole. VMware, Inc. 43

44 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd voor RADIUS-verificatie. 3 Klik op Verificatieadapters en klik vervolgens op RADIUS-verificatieadapter. U wordt omgeleid naar de aanmeldpagina van het identiteitsbeheer. 4 Klik op Bewerken om deze velden te configureren op de pagina Verificatieadapter. Vereisten Installeer en configureer de RADIUS-software op een verificatieserver. Voor RADIUS-verificatie volgt u de configuratiedocumentatie van de leverancier. U moet de volgende RADIUS-serverinformatie kennen om RADIUS op de service te configureren. IP-adres of DNS-naam van de RADIUS-server. Verificatiepoortnummers. De verificatiepoort is doorgaans Verificatietype. De verificatietypen omvatten PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versies 1 en 2). RADIUS gedeeld geheim dat wordt gebruikt voor versleuteling en ontsleuteling in RADIUSprotocolberichten. Specifieke waarden voor time-outs en nieuwe pogingen die nodig zijn voor RADIUS-verificatie Optie Naam RADIUSadapter inschakelen Aantal toegestane verificatiepogin gen Aantal pogingen voor RADIUS-server Hostnaam/adre s van RADIUSserver Actie Een naam is vereist. De standaardnaam is RADIUS-verificatieadapter. U kunt dit wijzigen. Schakel dit vakje in om RADIUS-verificatie in te schakelen. Voer het maximum aantal mislukte aanmeldingspogingen in bij het gebruik van RADIUS bij de aanmelding. De standaardwaarde is vijf pogingen. Geef het totale aantal nieuwe pogingen op. Als de primaire server niet reageert, wacht de service gedurende de geconfigureerde tijd voordat een nieuwe poging wordt gedaan. Voer de hostnaam of het IP-adres van de RADIUS-server in. Verificatiepoort Voer het RADIUS-verificatiepoortnummer in. Dit is doorgaans Accountingpoor t Voer 0 in voor het poortnummer. De accountingpoort wordt op dit ogenblik niet gebruikt. VMware, Inc. 44

45 Optie Verificatietype Gedeeld geheim Servertime-out in seconden Voorvoegsel van realm Achtervoegsel van realm Hint voor wachtwoordzin van aanmeldpagina Actie Voer het verificatieprotocol in dat door de RADIUS-server wordt ondersteund. PAP, CHAP, MSCHAP1, of MSCHAP2. Voer het gedeeld geheim in dat wordt gebruikt tussen de RADIUS-server en de VMware Identity Managerservice. Voer de RADIUS-servertime-out in seconden in, waarna een nieuwe poging wordt verzonden als de RADIUS-server niet reageert. (Optioneel) De gebruikersaccountlocatie wordt de realm genoemd. Als u een tekenreeks voor het realmvoorvoegsel opgeeft, wordt de tekenreeks aan het begin van de gebruikersnaam geplaatst wanneer de naam naar de RADIUS-server wordt verzonden. Als de gebruikersnaam bijvoorbeeld wordt ingevoerd als jdoe en het realmvoorvoegsel DOMAIN-A\ wordt opgegeven, dan wordt de gebruikersnaam DOMAIN-A\jdoe naar de RADIUS-server verzonden. Als u deze velden niet configureert, dan wordt alleen de ingevoerde gebruikersnaam verzonden. (Optioneel) Als u een realmachtervoegsel opgeeft, wordt de tekenreeks aan het einde van de gebruikersnaam geplaatst. Als het achtervoegsel is, dan wordt de gebruikersnaam jdoe@myco.com naar de RADIUS-server verzonden. Voer de teksttekenreeks in die moet worden weergegeven in het bericht op de gebruikersaanmeldpagina om gebruikers te vragen de juiste RADIUS-wachtwoordcode in te voeren. Als dit veld bijvoorbeeld is geconfigureerd met Eerst AD-wachtwoord en vervolgens SMS-wachtwoordcode, dan bevat het bericht op de aanmeldpagina Voer eerst uw AD-wachtwoord in en vervolgens de SMS-wachtwoordcode. De standaard teksttekenreeks is RADIUS-wachtwoordcode. 5 U kunt een secundaire RADIUS-server voor hoge beschikbaarheid inschakelen. Configureer de secundaire server zoals beschreven in stap 4. 6 Klik op Opslaan. Wat nu te doen Voeg de RADIUS-verificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteitsen toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om de RADIUSverificatiemethode toe te voegen aan de regel. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. RSA adaptieve verificatie configureren in VMware Identity Manager RSA adaptieve verificatie kan worden geïmplementeerd voor een krachtiger verificatie met meerdere factoren dan slechts verificatie van de gebruikersnaam en het wachtwoord voor de Active Directory. Adaptieve verificatie bewaakt en verifieert de aanmeldpogingen van een gebruiker gebaseerd op risiconiveaus en het beleid. Wanneer adaptieve verificatie is ingeschakeld, worden de risico-indicatoren in het risicobeleid dat is ingesteld in de applicatie RSA-beleidsbeheer en de configuratie van adaptieve verificatie in de VMware Identity Manager-service gebruikt om te bepalen of een gebruiker is geverifieerd met de gebruikersnaam en het wachtwoord, en of er aanvullende informatie nodig is om de gebruiker te verifiëren. VMware, Inc. 45

46 Ondersteunde verificatiemethoden voor RSA adaptieve verificatie De sterke verificatiemethoden van RSA adaptieve verificatie ondersteund in de VMware Identity Manager-service zijn out-of-band verificatie via de telefoon, een - of SMS-tekstbericht en uitdagingsvragen. Op de service schakelt u de beschikbare methoden voor RSA adaptieve verificatie in. Het beleid van RSA adaptieve verificatie bepaalt welke tweede verificatiemethode wordt gebruikt. Out-of-band verificatie is een proces waarbij is vereist dat een extra verificatie samen met de gebruikersnaam en het wachtwoord wordt verzonden. Wanneer gebruikers zich registreren in een RSA adaptieve verificatieserver, geven zij een adres, een telefoonnummer of beide op, afhankelijk van de serverconfiguratie. Wanneer een extra verificatie is vereist, verzendt de RSA adaptieve verificatieserver een eenmalige wachtwoordcode via het geboden kanaal. Gebruikers voeren die wachtwoordcode in samen met hun gebruikersnaam en wachtwoord. Bij uitdagingsvragen moet de gebruiker een aantal vragen beantwoorden wanneer deze zich registreert bij de RSA adaptieve verificatieserver. U kunt configureren hoe veel vragen voor registratie en hoe veel uitdagingsvragen op de aanmeldingspagina moeten worden weergegeven. Gebruikers met de RSA adaptieve verificatieserver registreren Gebruikers moeten zijn ingericht in de RSA adaptieve verificatiedatabase om adaptieve verificatie als verificatie te kunnen gebruiken. Wanneer gebruikers zich voor de eerste keer aanmelden met hun gebruikersnaam en wachtwoord, worden ze toegevoegd aan de RSA adaptieve verificatiedatabase. Afhankelijk van hoe u RSA adaptieve verificatie in de service hebt geconfigureerd, kunnen gebruikers wanneer ze zich aanmelden worden gevraagd om hun adres, telefoonnummer, sms-nummer op te geven, of gebruikers kunnen worden gevraagd om te antwoorden op de uitdagingsvragen. Opmerking Internationale tekens in gebruikersnamen zijn bij RSA adaptieve verificatie niet toegestaan. Neem contact op met RSA Support om RSA adaptieve verificatie en de RSA Authentication Manager te configureren wanneer u multi-byte tekens in de gebruikersnamen wilt toestaan. RSA adaptieve verificatie configureren in Identity Manager Als u RSA adaptieve verificatie wilt configureren voor de service, schakelt u RSA adaptieve verificatie in, selecteert u de adaptieve verificatiemethoden die u wilt toepassen en voegt u de Active Directoryverbindingsinformatie en het certificaat toe. Vereisten RSA adaptieve verificatie correct geconfigureerd met de verificatiemethoden voor gebruik als secundaire verificatie. Details over het SOAP-endpointadres en de SOAP-gebruikersnaam. Informatie over Active Directory-configuratie en het beschikbare Active Directory SSL-certificaat. VMware, Inc. 46

47 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connector in de kolom Werkers de koppeling voor de connector die wordt geconfigureerd. 3 Klik op Verificatieadapters en klik vervolgens op RSAAAldpAdapter. U wordt omgeleid naar de pagina van de verificatieadapter voor identiteitsbeheer. 4 Klik op de link Bewerken naast de RSAAAldpAdapter. 5 Selecteer de geschikte instellingen voor uw omgeving. Opmerking Een sterretje geeft aan dat dit veld moet worden ingevuld. De overige velden zijn optioneel. Optie *Naam RSA AA-adapter inschakelen *SOAP-endpoint *SOAP-gebruikersnaam RSA-domein OOB-mail inschakelen OOB-sms inschakelen SecurID inschakelen Geheime vraag inschakelen *Aantal aanmeldingsvragen *Aantal verificatievragen *Aantal toegestane verificatiepogingen Soort directory Serverpoort Serverhost SSL gebruiken Beschrijving Een naam is vereist. De standaardnaam is RSAAAldpAdapter. U kunt deze naam wijzigen. Schakel het selectievakje in om RSA adaptieve verificatie in te schakelen. Voer het SOAP-endpointadres voor integratie in tussen de RSA adaptieve verificatieadapter en de service. Voer de gebruikersnaam en het wachtwoord in die worden gebruikt om SOAPberichten te ondertekenen. Voer het domeinadres van de adaptieve verificatieserver in. Schakel dit selectievakje in als u out-of-band-verificatie wilt inschakelen zodat een bericht met een eenmalige wachtwoordcode wordt verzonden naar de eindgebruiker. Schakel dit selectievakje in als u out-of-band-verificatie wilt inschakelen zodat een sms-bericht met een eenmalige wachtwoordcode wordt verzonden naar de eindgebruiker. Schakel dit selectievakje in om SecurID-verificatie in te schakelen. Gebruikers worden gevraagd om hun RSA-token en wachtwoordcode in te voeren. Schakel dit selectievakje in als u aanmeldings- en verificatievragen wilt gebruiken voor verificatie. Voer het aantal vragen in dat de gebruiker moet instellen wanneer die zich inschrijft op de verificatieadapterserver. Voer het aantal verificatievragen in die gebruikers moeten beantwoorden om zich te kunnen aanmelden. Voer in hoe vaak verificatievragen moeten worden weergegeven voor een gebruiker die zich probeert aan te melden, voordat de verificatie mislukt. Alleen Active Directory wordt ondersteund als directory. Voer het poortnummer van de Active Directory in. Voer de hostnaam van de Active Directory in. Schakel dit selectievakje in als u SSL gebruikt voor uw directoryverbinding. U voegt het Active Directory SSL-certificaat toe aan het veld Directorycertificaat. VMware, Inc. 47

48 Optie DNS-servicelocatie gebruiken Basis-DN Bindings-DN Wachtwoord Bind Zoekkenmerk Directorycertificaat Beschrijving Schakel dit selectievakje in als DNS-servicelocatie wordt gebruikt voor directoryverbinding. Voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Voer het account in waarmee u kunt zoeken naar gebruikers. Bijvoorbeeld CN=bindgebruiker,OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Voer het wachtwoord in voor het BindDN-account. Voer het accountkenmerk in dat de gebruikersnaam bevat. Als u veilige SSL-verbindingen tot stand wilt brengen, voegt het directoryservercertificaat toe aan het tekstvak. Als er meerdere servers zijn, voegt u het basiscertificaat van de certificaatautoriteit toe. 6 Klik op Opslaan. Wat nu te doen Schakel de verificatiemethode RSA adaptieve verificatie in de ingebouwde identiteitsprovider in via Identiteits- en toegangsbeheer > tabblad Beheren. Zie Ingebouwde identiteitsproviders gebruiken. Voeg de verificatiemethode RSA adaptieve verificatie toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om adaptieve verificatie toe te voegen. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager U kunt x509-certificaatverificatie configureren, zodat clients zich kunnen verifiëren met certificaten op hun desktop en mobiele apparaten of een smartcardadapter kunnen gebruiken voor verificatie. De certificaatverificatie wordt gebaseerd op wat de gebruiker heeft (de privésleutel of smartcard) en wat de persoon weet (het wachtwoord voor de privésleutel of de pincode van de smartcard). Een X.509- certificaat maakt gebruik van de PKI-standaard (Public Key Infrastructure) om te controleren of een openbare sleutel in het certificaat eigendom is van de gebruiker. Bij smartcardverificatie sluiten gebruikers de smartcard aan op de computer en voeren ze een pincode in. VMware, Inc. 48

49 De smartcardcertificaten worden gekopieerd naar het lokale certificaatarchief op de computer van de gebruiker. De certificaten in het lokale certificaatarchief zijn beschikbaar voor alle browsers die actief zijn op de computer van deze gebruiker, met enkele uitzonderingen, en zijn daarom beschikbaar voor een VMware Identity Manager-instantie in de browser. Opmerking Wanneer certificaatverificatie is geconfigureerd en de serviceapparaat is ingesteld achter een load-balancer, moet u zich ervan verzekeren dat in de configuratie van de VMware Identity Manager Connector is SSL pass-through bij de load-balancer is opgenomen, en niet het beëindigen van SSL bij de load-balancer. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector. Wanneer uw load-balancer is geconfigureerd om SSL te beëindigen bij de load-balancer, kunt u een tweede connector implementeren achter een andere load-balancer om certificaatverificatie te ondersteunen. Zie de VMware Identity Manager Installatie- en configuratiehandleiding voor informatie over het toevoegen van een tweede connector. User Principal Name gebruiken voor certificaatverificatie U kunt certificaattoewijzing gebruiken in Active Directory. Aanmeldingen met een certificaat en smartcard gebruiken de UPN (User Principal Name) om gebruikersaccounts te valideren. De Active Directoryaccounts van gebruikers die verificatie proberen uit te voeren in de VMware Identity Manager-service, moeten een geldige UPN hebben die overeenkomt met de UPN in het certificaat. U kunt de VMware Identity Manager configureren zodat een adres wordt gebruikt voor het valideren van het gebruikersaccount als de UPN niet bestaat in het certificaat. U kunt ook een alternatief UPN-type inschakelen dat moet worden gebruikt. Certificeringsinstantie vereist voor verificatie Als u aanmelden via certificaatverificatie wilt toestaan, moeten basis- en tussencertificaten worden geüpload naar de VMware Identity Manager-. De certificaten worden gekopieerd naar het lokale certificaatarchief op de computer van de gebruiker. De certificaten in het lokale certificaatarchief zijn beschikbaar voor alle browsers die actief zijn op de computer van deze gebruiker, met enkele uitzonderingen, en zijn daarom beschikbaar voor een VMware Identity Manager-instantie in de browser. Voor smartcardverificatie verzendt de VMware Identity Manager-service een lijst met vertrouwde certificeringsinstanties (CA of Certificate Authority) naar de browser wanneer een gebruiker een verbinding initieert met de VMware Identity Manager-instantie. De browser vergelijkt de lijst met vertrouwde CA's met de beschikbare gebruikerscertificaten, selecteert een geschikt certificaat en vraagt de gebruiker de pincode voor een smartcard in te voeren. Als er meerdere geldige gebruikerscertificaten beschikbaar zijn, wordt de gebruiker gevraagd een certificaat te selecteren. VMware, Inc. 49

50 Als een gebruiker geen verificatie kan uitvoeren, zijn de basis-ca en de tussenliggende CA mogelijk niet correct ingesteld. Het kan ook zijn dat de service niet opnieuw is opgestart nadat de basis- en tussenliggende CA's naar de server zijn geüpload. In deze gevallen kan de browser de geïnstalleerde certificaten niet weergeven, kan de gebruiker geen correct certificaat selecteren en mislukt de certificaatverificatie. Certificaatintrekkingscontrole gebruiken U kunt certificaatintrekkingscontrole configureren om te voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Certificaten worden vaak ingetrokken wanneer een gebruiker een organisatie verlaat, een smartcard verliest of van de ene naar de andere afdeling verhuist. Certificaatintrekkingscontrole met certificaatintrekkingslijsten (CRL's) en met het Online Certificate Status Protocol (OCSP) wordt ondersteund. Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificaatautoriteit die de certificaten heeft uitgegeven. OCSP is een certificaatvalidatieprotocol dat wordt gebruikt om de intrekkingsstatus van een certificaat te verkrijgen. U kunt zowel CRL als OCSP configureren in dezelfde configuratie van de certificaatverificatieadapter. Wanneer u beide typen van certificaatintrekking configureert en het selectievakje CRL gebruiken als OCSP mislukt is ingeschakeld, wordt OCSP eerst ingeschakeld. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt. Aanmelden met CRL-controle Als u certificaatintrekking inschakelt, dan gebruikt de VMware Identity Manager -server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen. Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat. Aanmelden met OCSP-certificaatcontrole Als u OCSP-intrekkingscontrole configureert, dan verzendt VMware Identity Manager een aanvraag naar een OCSP-responder om de intrekkingsstatus van een specifiek gebruikerscertificaat te bepalen. De VMware Identity Manager -server gebruikt het OCSP-handtekeningcertificaat om te controleren of de antwoorden die van de OCSP-responder worden ontvangen, authentiek zijn. Als het certificaat is ingetrokken, mislukt de verificatie. U kunt de verificatie configureren zodat deze terugvalt op CRL-controle als deze geen antwoord van de OCSP-responder ontvangt of als het antwoord ongeldig is. Verificatie op basis van een certificaat configureren U kunt x509-certificaatverificatie configureren om toe te staan dat clients worden geverifieerd met certificaten op hun desktop en mobiele apparaten. Zie Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager. VMware, Inc. 50

51 Vereisten Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend. (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie. Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server. (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord. Inhoud van instemmingsformulier wanneer een instemmingsformulier vóór verificatie wordt weergegeven. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectors de koppeling Werker voor de connector die wordt geconfigureerd. 3 Klik op Verificatieadapters en klik vervolgens op Certificaatverificatieadapter. 4 Configureer de pagina Verificatieadapter voor de certificaatservice. Opmerking Een sterretje geeft aan dat dit veld moet worden ingevuld. De overige velden zijn optioneel. Optie *Naam Certificaatadapter inschakelen *Basis- en tussen-ca-certificaten Geüploade CA-certificaten gebruiken indien certificaat geen UPN bevat Certificaatbeleid geaccepteerd Intrekken certificaat inschakelen CRL van certificaten gebruiken Beschrijving Een naam is vereist. De standaardnaam is Certificaatverificatieadapter. U kunt deze naam wijzigen. Schakel het selectievakje in om certificaatverificatie in te schakelen. Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-ca-certificaten en tussen-ca-certificaten die gecodeerd zijn als DER of PEM, selecteren. De geüploade certificaatbestanden worden weergegeven in de sectie Geüploade CA-certificaten van het formulier. Als de primaire naam van de gebruiker (User Principal Name, UPN) niet bestaat in het certificaat, schakelt u dit selectievakje in om het kenmerk adres te gebruiken als de extensie van de Alternatieve naam voor onderwerp om gebruikersaccounts te valideren. Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies. Voer de object-id's (OID's) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen. Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Intrekkingscontrole voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die werd gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat, ingetrokken of nietingetrokken, te valideren. VMware, Inc. 51

52 Optie CRL-locatie Intrekken OCSP inschakelen CRL gebruiken bij OCSP-fout OCSP Nonce verzenden OCSP-URL Ondertekeningscertificaat van OCSPresponder Toestemmingsformulier inschakelen vóór verificatie Inhoud van toestemmingsformulier Beschrijving Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald. Schakel het selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen. Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is. Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden. Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in. Voer het pad in naar het OCSP-certificaat voor de responder, /path/to/file.cer. Schakel dit selectievakje in om een pagina met een toestemmingsformulier te laten weergeven voordat gebruikers zich bij de Workspace ONE-portal aanmelden met behulp van certificaatverificatie. Typ in dit tekstvak de tekst die in het toestemmingsformulier moet worden weergegeven. 5 Klik op Opslaan. Wat nu te doen Voeg de certificaatverificatiemethode toe aan het standaardtoegangsbeleid. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. Als Certificaatverificatie is geconfigureerd en de serverapparaat wordt ingesteld achter een loadbalancer, dan zorgt u ervoor dat de VMware Identity Manager Connector is geconfigureerd met SSLpassthrough op de load-balancer en dat deze niet is geconfigureerd om SSL op de load-balancer te beëindigen. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector. VMware Verify configureren voor tweeledige verificatie In de VMware Identity Manager-beheerconsole kunt u de service VMware Verify inschakelen als tweede verificatiemethode wanneer tweeledige verificatie is vereist. Schakel VMware Verify in in de ingebouwde identiteitsprovider in de beheerconsole en voeg het VMware Verify-beveiligingstoken toe dat u ontvangt van VMware Support. U kunt tweestapsverificatie configureren in de toegangsbeleidregels zodat gebruikers zich met twee verificatiemethoden moeten laten verifiëren. Gebruikers installeren de VMware Verify-applicatie op hun apparaten en geven een telefoonnummer op om hun apparaat te registreren bij de VMware Verify-service. Het apparaat en telefoonnummer worden ook geregistreerd in het gebruikersprofiel bij Gebruiker en groepen in de beheerconsole. VMware, Inc. 52

53 Gebruikers registreren hun account wanneer zij zich eerst aanmelden met wachtwoordverificatie en dan de wachtwoordcode van VMware Verify invoeren dat op hun apparaat wordt weergegeven. Na de eerste verificatie kunnen gebruikers zich laten verifiëren aan de hand van een van deze drie methoden. Push-goedkeuring met OneTouch-notificatie Gebruikers keuren toegang via VMware Identity Manager goed of af met één klik. Gebruikers klikken op Goedkeuren of Weigeren in het bericht dat ze ontvangen. Time-based One Time Password (TOTP)-wachtwoordcode. Iedere 20 seconden wordt een eenmalige wachtwoordcode gegenereerd. Gebruikers voeren deze wachtwoordcode in op het aanmeldscherm. Tekstbericht. Sms via telefoon wordt gebruikt om een eenmalige verificatiecode in een tekstbericht te verzenden naar het geregistreerde telefoonnummer. Gebruikers voeren deze verificatiecode in op het aanmeldscherm. VMware Verify gebruikt een cloudservice van derden om deze functie te leveren op de apparaten van gebruikers. Om dit te doen, wordt gebruikersinformatie zoals naam, adres en telefoonnummer opgeslagen in de service, maar deze informatie wordt uitsluitend gebruikt om de functie te leveren. VMware Verify inschakelen Als u de tweeledige verificatie wilt inschakelen met de VMware Verify-service, moet u een beveiligingstoken toevoegen aan de pagina VMware Verify en VMware Verify inschakelen in de ingebouwde identiteitsprovider. Vereisten Maak een supportticket bij VMware of AirWatch Support om het beveiligingstoken te ontvangen waarmee u VMware Verify kunt inschakelen. De medewerkers van het supportteam behandelen uw verzoek en werken het supportticket bij met instructies en een beveiligingstoken. U voegt dit beveiligingstoken toe aan de pagina VMware Verify. (Optioneel) Pas het logo en pictogram aan dat wordt weergegeven in de VMware Verify-applicatie op de apparaten. Zie Merkvermelding voor de applicatie VMware Verify aanpassen. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Verificatiemethoden. 2 Klik op het pictogram in de configuratiekolom voor VMware Verify. 3 Plak het beveiligingstoken dat u hebt ontvangen van het AirWatch-supportteam, in het tekstvak Beveiligingstoken. 4 Schakel het selectievakje VMware Verify inschakelen in. 5 Klik op Opslaan. Wat nu te doen Schakel VMware Verify in als verificatiemethode in een ingebouwde identiteitsprovider. Ingebouwde identiteitsproviders configureren. VMware, Inc. 53

54 Maak een toegangsbeleidsregel in het standaardtoegangsbeleid om de VMware Verify-verificatiemethode toe te voegen als tweede verificatiemethode in de regel. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. Pas aangepaste bands toe op de aanmeldpagina van VMware Verify. Zie Merkvermelding voor de applicatie VMware Verify aanpassen. Eindgebruikers registreren met VMware Verify Wanneer VMware Verify-verificatie is vereist voor tweeledige verificatie, installeren en gebruiken gebruikers de VMware Verify-app om hun apparaat te registreren. Opmerking De VMware Verify-applicatie kan worden gedownload uit de app stores. Wanneer tweeledige verificatie van VMware Verify is ingeschakeld, worden gebruikers de eerste keer dat ze zich aanmelden bij de Workspace ONE-app, gevraagd om hun gebruikersnaam en wachtwoord in te voeren. Wanneer de gebruikersnaam en het wachtwoord worden geverifieerd, worden gebruikers gevraagd het telefoonnummer van hun apparaat in te voeren om zich in te schrijven bij VMware Verify. Wanneer ze op Registreren klikken, wordt het telefoonnummer van het apparaat geregistreerd bij VMware Verify. Als ze de applicatie nog niet hebben gedownload, worden ze gevraagd de VMware Verifyapplicatie te downloaden. Wanneer de applicatie is geïnstalleerd, worden gebruikers gevraagd om hetzelfde telefoonnummer in te voeren dat eerder is ingevoerd, en een meldingsmethode te selecteren om een eenmalige registratiecode te ontvangen. De registratiecode wordt ingevoerd op de pagina voor de registratiepincode. Nadat het telefoonnummer van het apparaat is geregistreerd, kunnen gebruikers een Time-Based One- Time-wachtwoordcode gebruiken die in de VMware Verify-applicatie wordt weergegeven, om zich aan te melden bij Workspace ONE. De wachtwoordcode is een uniek nummer dat wordt gegenereerd op het apparaat en dat voortdurend verandert. Gebruikers kunnen meer dan één apparaat registreren. De VMware Verify-wachtwoordcode wordt automatisch gesynchroniseerd naar elk van de geregistreerde apparaten. Geregistreerd telefoonnummer verwijderen uit gebruikersprofiel Als u problemen met het aanmelden bij Workspace ONE wilt oplossen, kunt u het telefoonnummer van de gebruiker verwijderen in het gebruikersprofiel van de VMware Identity Manager-beheerconsole. 1 Klik op Gebruikers en groepen in de beheerconsole. 2 Selecteer de gebruikersnaam die u opnieuw wilt instellen op de pagina Gebruiker. 3 Klik op VMware Verify opnieuw instellen op het tabblad VMware Verify. VMware, Inc. 54

55 Het telefoonnummer wordt verwijderd uit het gebruikersprofiel en in de lijst met gebruikers wordt N.v.t. weergegeven in de kolom Telefoonnummer in VMware Verify. De registratie van telefoonnummer is ongedaan gemaakt in de VMware Verify-service. Wanneer de gebruiker zich aanmeldt bij de Workspace ONE-app, wordt die gevraagd het telefoonnummer in te voeren om zich opnieuw in te schrijven bij de VMware Verify-service. Ingebouwde identiteitsproviders gebruiken Ingebouwde identiteitsproviders kunnen worden geconfigureerd met verificatiemethoden die het gebruik van een connector op uw locatie niet vereisen. Er is één ingebouwde identiteitsprovider beschikbaar in de beheerconsole op de pagina Identiteitsproviders (via Identiteits- en toegangsbeheer). U kunt aanvullende ingebouwde identiteitsproviders maken. U configureert de verificatiemethoden op de pagina Verificatiemethoden (via Identiteits- en toegangsbeheer > Beheren). Wanneer u de ingebouwde identiteitsprovider configureert, koppelt u de verificatiemethoden voor gebruik in de ingebouwde identiteitsprovider. U kunt ook de ingebouwde identiteitsproviders configureren om verificatiemethoden te gebruiken die zijn geconfigureerd op een connector die is geïmplementeerd in de uitsluitend uitgaande verbindingsmodus. Voor een uitsluitend uitgaande connector hoeft de inkomende firewallpoort 443 niet te zijn geopend. De connector brengt een uitsluitend uitgaande verbinding (met websockets) met de cloudservice tot stand en ontvangt verificatieaanvragen via dit kanaal. Zie Implementatiemodellen in de gids VMware Identity Manager-cloudimplementatie voor meer informatie over het implementeren van een uitsluitend uitgaande connector. Nadat u de verificatiemethoden hebt gekoppeld in de ingebouwde identiteitsproviders, moet u toegangsbeleid maken om op deze verificatiemethoden toe te passen. Verificatiemethoden voor ingebouwde identiteitsproviders configureren U configureert de verificatiemethoden in de service die kan worden gebruikt in de ingebouwde identiteitsproviders. Voor deze verificatiemethoden is het gebruik van een connector op uw locatie niet vereist. Wanneer u de ingebouwde identiteitsprovider configureert, schakelt u de verificatiemethoden in die u wilt gebruiken. Voor de volgende verificatiemethoden is geen connector vereist. U kunt de verificatiemethoden inschakelen en configureren op de pagina Verificatiemethoden (via Identiteits- en toegangsbeheer > Beheren) en de verificatiemethode koppelen aan een ingebouwde identiteitsprovider. Mobiele SSO voor ios Certificaat (cloudimplementatie) Wachtwoord met de AirWatch Connector VMware Verify voor tweeledige verificatie Mobiele SSO voor Android VMware, Inc. 55

56 Compliance van apparaat met AirWatch Wachtwoord (lokale directory) Nadat u de verificatiemethoden hebt ingeschakeld, kunt u toegangsbeleid maken om op deze verificatiemethoden toe te passen. Verificatiemethoden uitschakelen die zijn gekoppeld aan ingebouwde identiteitsproviders U kunt verificatiemethoden die u hebt geconfigureerd, uitschakelen op de pagina Verificatiemethoden. Als u een verificatiemethode uitschakelt die is gekoppeld aan een identiteitsprovider, wordt de verificatiemethode uitgeschakeld in die identiteitsprovider. De verificatiemethode wordt ook verwijderd als optie in alle toegangsbeleidsregels. Belangrijk Als de verificatiemethode die u hebt uitgeschakeld, is geconfigureerd in een toegangsbeleidsregel, moet de toegangsbeleidsregel worden bijgewerkt om een andere verificatiemethode te selecteren. Als de toegangsbeleidsregel niet wordt bijgewerkt, kunnen gebruikers zich mogelijk niet aanmelden bij hun apps-portal of toegang krijgen tot hun bronnen. Als u een verificatie voor specifieke ingebouwde identiteitsproviders wilt uitschakelen, schakelt u op de configuratiepagina voor de ingebouwde identiteitsprovider het selectievakje uit voor de gekoppelde verificatiemethode. Configuratie van wachtwoordverificatie voor AirWatch beheren U kunt de configuratie van de verificatiemethode Wachtwoord (AirWatch Connector) controleren en beheren, die u hebt ingesteld bij het installeren van AirWatch en het toevoegen van de VMware Identity Manager-service. De verificatiemethode Wachtwoord (AirWatch Connector) wordt beheerd via de pagina Verificatiemethoden in Identiteits- en toegangsbeheer en is gekoppeld aan de ingebouwde identiteitsprovider op de pagina Identiteitsproviders. Belangrijk Wanneer de AirWatch Cloud Connector-software wordt geüpgraded, moet u ook de VMware Identity Manager AirWatch-configuratie op de AirWatch-pagina in de VMware Identity Managerbeheerconsole bijwerken. 1 Als u de configuratie wilt controleren en beheren, selecteert u Verificatiemethoden op het tabblad Identiteits- en toegangsbeheer. 2 Klik op het potloodpictogram in de configuratiekolom voor Wachtwoord (AirWatch Connector). VMware, Inc. 56

57 3 Controleer de configuratie. Optie Verificatie AirWatch-wachtwoord inschakelen URL voor AirWatch-beheerconsole AirWatch API-sleutel Het voor verificatie gebruikte certificaat Wachtwoord voor certificaat Groeps-id AirWatch Aantal toegestane verificatiepogingen Geschikt voor JIT Beschrijving Met dit selectievakje wordt wachtwoordverificatie voor AirWatch ingeschakeld. Vooraf ingevuld met de URL voor AirWatch. Vooraf ingevuld met de API-sleutel van AirWatch-beheer. Vooraf ingevuld met het certificaat AirWatch Cloud Connector. Vooraf ingevuld met het wachtwoord van het certificaat AirWatch Cloud Connector. Vooraf ingevuld met de organisatiegroep-id. Het maximale aantal mislukte aanmeldpogingen wanneer AirWatchwachtwoordverificatie wordt gebruikt. Wanneer het maximale aantal mislukte pogingen is bereikt, mogen er geen aanmeldingen meer plaatsvinden. De service VMware Identity Manager probeert een alternatieve verificatiemethode als deze is geconfigureerd. De standaardwaarde is vijf pogingen. Als JIT niet is ingeschakeld, schakelt u dit selectievakje in om just-in-time inrichting van gebruikers in de VMware Identity Manager-service dynamisch in te schakelen wanneer zij zich voor de eerste keer aanmelden. 4 Klik op Opslaan. Compliancecontrole inschakelen voor door AirWatch beheerde apparaten Wanneer gebruikers hun apparaten registreren, worden regelmatig voorbeelden verzonden met gegevens die worden gebruikt om de compliance te evalueren. De evaluatie van deze voorbeeldgegevens zorgen ervoor dat het apparaat voldoet aan de complianceregels die door de beheerder zijn ingesteld in de AirWatch-console. Als een apparaat niet meer aan de compliance voldoet, worden de acties uitgevoerd die in de AirWatch-console zijn geconfigureerd. De VMware Identity Manager-service bevat een optie voor toegangsbeleid die kan worden geconfigureerd om de AirWatch-server te controleren op de status van de apparaatcompliance wanneer gebruikers zich via het apparaat aanmelden. De compliancecontrole zorgt ervoor dat gebruikers zich niet kunnen aanmelden bij een applicatie en geen Single Sign-On in de Workspace ONE-portal kunnen gebruiken wanneer de compliancestatus van het apparaat niet in orde is. Wanneer het apparaat weer aan compliance voldoet, wordt de mogelijkheid om zich aan te melden weer hersteld. De applicatie Workspace ONE meldt zich automatisch af en blokkeert de toegang tot de applicaties wanneer het apparaat wordt gehackt. Als het apparaat is geregistreerd via adaptief beheer, verwijdert een wisopdracht op bedrijfsniveau die wordt gegeven via de AirWatch-console, de registratie en de beheerde applicaties van het apparaat. Niet beheerde applicaties worden niet verwijderd. Zie de gids VMware AirWatch Mobile Device Management die beschikbaar is op de website AirWatch Resources voor meer informatie over het compliancebeleid van AirWatch. VMware, Inc. 57

58 Compliancecontrole inschakelen Schakel Compliance van apparaat in op de AirWatch-configuratiepagina van VMware Identity Manager en configureer Compliance van apparaat op de pagina Verificatiemethoden (via Beheren). Nadat Compliance van apparaat is geconfigureerd, kunnen de toegangsbeleidsregels worden geconfigureerd om de AirWatch-server te controleren op de compliancestatus van een apparaat wanneer gebruikers zich aanmelden vanaf hun apparaat. Zie Compliancecontrole inschakelen voor door AirWatch beheerde apparaten. 1 Selecteer Instellen > AirWatch in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Selecteer Inschakelen in het gedeelte Compliance van apparaat en klik op Opslaan. 3 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Verificatiemethoden. 4 Klik op het pictogram in de configuratiekolom voor Compliance van apparaat (met AirWatch). 5 Schakel de verificatie Compliance van apparaat in en stel het maximaal toegestane aantal mislukte aanmeldpogingen in. De overige tekstvakken worden vooraf ingevuld met de geconfigureerde AirWatch-waarden. Optie Compliance-adapter van apparaat inschakelen URL voor AirWatch-beheerconsole AirWatch API-sleutel Het voor verificatie gebruikte certificaat Wachtwoord voor certificaat Beschrijving Selecteer dit selectievakje om AirWatch-wachtwoordverificatie in te schakelen. Vooraf ingevuld met de AirWatch-URL die u hebt ingesteld op de configuratiepagina van AirWatch. Vooraf ingevuld met de API-sleutel van AirWatch-beheer. Vooraf ingevuld met het certificaat AirWatch Cloud Connector Vooraf ingevuld met het wachtwoord van het certificaat AirWatch Cloud Connector. 6 Klik op Opslaan. Wat nu te doen Koppel de verificatiemethode Compliance van apparaat in de ingebouwde identiteitsprovider. Zie Ingebouwde identiteitsproviders configureren. Configureer het standaard toegangsbeleid om regels te maken voor het gebruik van Compliance van apparaat met AirWatch. Zie Toegangsbeleidsregels configureren. Verificatiemethode met wachtwoord voor lokale directory configureren Configureer wachtwoordverificatie voor lokale directory's op de pagina Verificatiemethoden (via Identiteits- en toegangsbeheer > Beheren). Nadat de verificatiemethode is geconfigureerd, koppelt u de verificatiemethode Wachtwoord (lokale directory) in de ingebouwde identiteitsprovider die is gekoppeld aan de lokale directory. VMware, Inc. 58

59 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Verificatiemethoden. 2 Klik op het pictogram in de configuratiekolom voor Wachtwoord (lokale directory). 3 Schakel het selectievakje Wachtwoordverificatie voor lokale directory inschakelen in. 4 Voer in het tekstvak Aantal pogingen met wachtwoord het maximum aantal mislukte aanmeldpogingen in. Wanneer het maximale aantal mislukte pogingen is bereikt, mogen er geen aanmeldingen meer plaatsvinden. De standaardwaarde is vijf pogingen. 5 Klik op Opslaan. Wat nu te doen Koppel de verificatiemethode Wachtwoord (lokale directory) in de ingebouwde identiteitsprovider. Verificatie op basis van een certificaat configureren U kunt x509-certificaatverificatie configureren om toe te staan dat clients worden geverifieerd met certificaten op hun desktop en mobiele apparaten. Zie Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager. Vereisten Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend. (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie. Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server. (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord. Inhoud van instemmingsformulier wanneer een instemmingsformulier vóór verificatie wordt weergegeven. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectors de koppeling Werker voor de connector die wordt geconfigureerd. 3 Klik op Verificatieadapters en klik vervolgens op Certificaatverificatieadapter. 4 Configureer de pagina Verificatieadapter voor de certificaatservice. Opmerking Een sterretje geeft aan dat dit veld moet worden ingevuld. De overige velden zijn optioneel. Optie *Naam Certificaatadapter inschakelen Beschrijving Een naam is vereist. De standaardnaam is Certificaatverificatieadapter. U kunt deze naam wijzigen. Schakel het selectievakje in om certificaatverificatie in te schakelen. VMware, Inc. 59

60 Optie *Basis- en tussen-ca-certificaten Geüploade CA-certificaten gebruiken indien certificaat geen UPN bevat Certificaatbeleid geaccepteerd Intrekken certificaat inschakelen CRL van certificaten gebruiken CRL-locatie Intrekken OCSP inschakelen CRL gebruiken bij OCSP-fout OCSP Nonce verzenden OCSP-URL Ondertekeningscertificaat van OCSPresponder Toestemmingsformulier inschakelen vóór verificatie Inhoud van toestemmingsformulier Beschrijving Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-ca-certificaten en tussen-ca-certificaten die gecodeerd zijn als DER of PEM, selecteren. De geüploade certificaatbestanden worden weergegeven in de sectie Geüploade CA-certificaten van het formulier. Als de primaire naam van de gebruiker (User Principal Name, UPN) niet bestaat in het certificaat, schakelt u dit selectievakje in om het kenmerk adres te gebruiken als de extensie van de Alternatieve naam voor onderwerp om gebruikersaccounts te valideren. Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies. Voer de object-id's (OID's) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen. Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Intrekkingscontrole voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die werd gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat, ingetrokken of nietingetrokken, te valideren. Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald. Schakel het selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen. Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is. Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden. Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in. Voer het pad in naar het OCSP-certificaat voor de responder, /path/to/file.cer. Schakel dit selectievakje in om een pagina met een toestemmingsformulier te laten weergeven voordat gebruikers zich bij de Workspace ONE-portal aanmelden met behulp van certificaatverificatie. Typ in dit tekstvak de tekst die in het toestemmingsformulier moet worden weergegeven. 5 Klik op Opslaan. Wat nu te doen Voeg de certificaatverificatiemethode toe aan het standaardtoegangsbeleid. Zie Verificatiemethoden beheren die op gebruikers worden toegepast. VMware, Inc. 60

61 Als Certificaatverificatie is geconfigureerd en de serverapparaat wordt ingesteld achter een loadbalancer, dan zorgt u ervoor dat de VMware Identity Manager Connector is geconfigureerd met SSLpassthrough op de load-balancer en dat deze niet is geconfigureerd om SSL op de load-balancer te beëindigen. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector. Verificatiemethode Mobiele SSO voor ios in VMware Identity Manager configureren U configureert de verificatiemethode Mobiele SSO voor ios op de pagina Verificatiemethoden van de beheerconsole. Koppel de verificatiemethode Mobiele SSO aan de ingebouwde identiteitsprovider. In de cloud gehoste KDC-service gebruiken Om het gebruik van Kerberos-verificatie voor Mobiele SSO voor ios te ondersteunen, biedt VMware Identity Manager een in de cloud gehoste KDC-service. Deze service moet worden gebruikt wanneer de VMware Identity Manager-service is geïmplementeerd met AirWatch in een Windows-omgeving. Als u wilt gebruikmaken van het KDC dat wordt beheerd in de VMware Identity Manager-appliance, raadpleegt u 'Het gebruik van Kerberos-verificatie op ios-apparaten voorbereiden' in de gids Installatie en configuratie van VMware Identity Manager. Wanneer u de verificatiemethode Mobiele SSO voor ios configureert, configureert u de realmnaam voor de in de cloud gehoste KDC-service. De realmnaam is de naam van een administratieve entiteit die verificatiegegevens bewaart. Wanneer u op Opslaan klikt, wordt de VMware Identity Manager-service geregistreerd bij de in de cloud gehoste KDC-service. De gegevens die worden bewaard in de KDCservice, zijn afhankelijk van uw configuratie van de verificatiemethode Mobiele SSO voor ios en kunnen bestaan uit het CA-certificaat, het OCSP-ondertekeningscertificaat en de configuratiegegevens van de OCSP-aanvraag. Er wordt geen andere gebruikersspecifieke informatie bewaard in de cloudservice. De aanmeldrecords worden bewaard in de cloudservice. De persoonsgegevens (Personally Identifiable Information - PII) in de aanmeldrecords bevatten de Principal-naam van Kerberos uit het profiel van de gebruiker, de onderwerp-dn en -UPN en SAN-waarden, de apparaat-id uit het certificaat van de gebruiker en de FQDN van de IDM-service waartoe de gebruiker toegang heeft. Voor het gebruik van de in de cloud gehoste KDC-service moet VMware Identity Manager als volgt worden geconfigureerd. De FQDN van de VMware Identity Manager-service moet bereikbaar zijn via internet. Het SSL/TLScertificaat dat wordt gebruikt door VMware Identity Manager, moet openbaar zijn ondertekend. Poorten 88 (UDP) en 443 (HTTPS/TCP) voor uitgaande aanvragen/antwoorden moeten toegankelijk zijn vanuit de VMware Identity Manager-service. Als u OCSP inschakelt, moet de OCSP-responder bereikbaar zijn via internet. VMware, Inc. 61

62 Mobiele SSO-verificatie voor ios configureren U configureert de verificatiemethode Mobiele SSO voor ios op de pagina Verificatiemethoden van de beheerconsole. Selecteer de verificatiemethode Mobiele SSO (voor ios) in de ingebouwde identiteitsprovider. Vereisten Een PEM- of DER-bestand van de certificaatautoriteit wordt gebruikt om certificaten aan gebruikers uit te geven in de AirWatch-tenant. Het ondertekeningscertificaat van OCSP-responder voor intrekkingscontrole. Voor de geselecteerde KDC-service de realmnaam van de KDC-service. Als de ingebouwde KDCservice wordt gebruikt, moet het KDC worden geïnitialiseerd. Zie VMware Identity Manager installeren en configureren voor meer informatie over de ingebouwde KDC-service. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Verificatiemethoden. 2 Klik op het pictogram in de configuratiekolom voor Mobiele SSO (voor ios). 3 Configureer de Kerberos-verificatiemethode. Optie KDC-verificatie inschakelen Realm CA-certificaten op basis- en tussenniveau Onderwerp-DN's van CA-certificaat geüpload OCSP inschakelen OCSP Nonce verzenden Ondertekeningscertificaat van OCSPresponder Onderwerp-DN van ondertekeningscertificaat van OCSPresponder Beschrijving Selecteer dit selectievakje zodat gebruikers zich kunnen aanmelden via iosapparaten die Kerberos-verificatie ondersteunen. Als u het in de cloud gehoste KDC gebruikt, voert u de vooraf gedefinieerde ondersteunde realmnaam in die u hebt ontvangen. Gebruik hoofdletters voor de tekst in deze parameter. Bijvoorbeeld: OP.VMWAREIDENTITY.COM Als u het ingebouwde KDC gebruikt, wordt de realmnaam weergegeven die u hebt geconfigureerd toen u de KDC-weergaven hebt geïnitialiseerd. Upload het certificaatbestand van de certificaatautoriteituitgever. De bestandsindeling kan PEM of DER zijn. De inhoud van het geüploade certificaatbestand wordt hier weergegeven. Er kunnen meerdere bestanden worden geüpload en alle certificaten die zijn inbegrepen, worden toegevoegd aan de lijst. Schakel het selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen. Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden. Upload het OCSP-certificaat voor de responder. Wanneer u de AirWatch-certificaatautoriteit gebruikt, wordt het certificaat van de uitgever gebruikt als het OCSP-certificaat. Upload hier ook het AirWatchcertificaat. Hier wordt het geüploade OCSP-certificaatbestand ondergebracht. VMware, Inc. 62

63 Optie Bericht annuleren Koppeling annuleren inschakelen URL van Enterprise Device Management-server Beschrijving Maak een aangepast aanmeldingsbericht dat wordt weergegeven wanneer de verificatie te lang duurt. Wanneer u geen aangepast bericht maakt, is het standaardbericht Attempting to authenticate your credentials. Wanneer de verificatie te lang duurt, geeft u gebruikers de mogelijkheid om op Annuleren te klikken om de verificatiepoging te stoppen en het aanmelden te annuleren. Wanneer de koppeling Annuleren is ingeschakeld, wordt Annuleren weergegeven aan het einde van het bericht met de verificatiefout. Voer de URL in van de Mobile Device Management-server (MDM) waarnaar u gebruikers wilt omleiden wanneer toegang is geweigerd omdat het apparaat niet in AirWatch voor MDM-beheer is ingeschreven. Deze URL wordt weergegeven in het bericht met de verificatiefout. Als u hier geen URL opgeeft, wordt het algemene bericht voor geweigerde toegang weergegeven. 4 Klik op Opslaan. Wat nu te doen Koppel de verificatiemethode Mobiele SSO (voor ios) in de ingebouwde identiteitsprovider. Configureer de standaardbeleidsregel voor Kerberos-verificatie voor ios-apparaten. Zorg ervoor dat deze verificatiemethode de eerste methode is die is ingesteld in de regel. Ga naar de AirWatch-beheerconsole, configureer het ios-apparaatprofiel in AirWatch en voeg het uitgevercertificaat van het KDC-servercertificaat van VMware Identity Manager toe. Mobiele SSO voor Android configureren in de ingebouwde identiteitsprovider Om Single Sign-On op door AirWatch beheerde Android-apparaten beschikbaar te stellen, configureert u Mobiele SSO voor Android-verificatie in de ingebouwde identiteitsprovider van VMware Identity Manager. Vereisten Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend. (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie. Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server. (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord. 1 Selecteer in de beheerconsole op het tabblad Identiteits- en toegangsbeheer Beheren > Identiteitsproviders. 2 Klik op de identiteitsprovider met de naam Ingebouwd. VMware, Inc. 63

64 3 Controleer of de configuratie van de gebruikers en het netwerk in de ingebouwde identiteitsprovider juist is. Bewerk de gedeelten Gebruikers en Netwerk zoals nodig indien dit niet het geval is. Opmerking Het netwerkbereik dat u gebruikt in de beleidsregel voor Mobiele SSO voor Android mag alleen de IP-adressen bevatten die worden gebruikt voor het ontvangen van verzoeken van de proxyserver van VMware Tunnel. 4 Klik in het gedeelte Verificatiemethoden op het tandwielpictogram Mobiele SSO (voor Androidapparaten). 5 Configureer de verificatiemethode op de pagina CertProxyAuthAdapter. Optie Certificaatadapter inschakelen CA-certificaten op basis- en tussenniveau Onderwerp-DN's van CA-certificaat geüpload gebruiken indien certificaat geen UPN bevat Certificaatbeleid geaccepteerd Intrekken certificaat inschakelen CRL van certificaten gebruiken CRL-locatie Intrekken OCSP inschakelen CRL gebruiken bij OCSP-fout OCSP Nonce verzenden OCSP-URL Ondertekeningscertificaat van OCSPresponder Beschrijving Selecteer dit selectievakje om Mobiele SSO voor Android in te schakelen. Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-ca-certificaten en tussen-ca-certificaten selecteren. De bestandsindeling kan PEM of DER zijn. De inhoud van het geüploade certificaatbestand wordt hier weergegeven. Als de primaire naam van de gebruiker (User Principal Name, UPN) niet bestaat in het certificaat, selecteert u dit selectievakje om het kenmerk adres te gebruiken als de extensie van Alternatieve naam voor onderwerp om gebruikersaccounts te valideren. Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies. Voer het object-id-nummer (object ID number, OID) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen. Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Zo wordt voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die is gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat (ingetrokken of niet-ingetrokken) te valideren. Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald. Schakel dit selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen. Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is. Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden. Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in. Voer het pad in naar het OCSP-certificaat voor de responder. Voer het in als /path/to/file.cer VMware, Inc. 64

65 Optie Koppeling annuleren inschakelen Bericht annuleren Beschrijving Als de verificatie te lang duurt en deze link is ingeschakeld, kunnen gebruikers op Annuleren klikken om de verificatiepoging te stoppen en het aanmelden te annuleren. Maak een aangepast bericht dat wordt weergegeven wanneer de verificatie te lang duurt. Wanneer u geen aangepast bericht maakt, is het standaardbericht Attempting to authenticate your credentials. 6 Klik op Opslaan. 7 Klik op Opslaan op de pagina van de ingebouwde identiteitsprovider. Wat nu te doen Configureer de standaard toegangsbeleidregel voor de Mobiele SSO voor Android. Ingebouwde identiteitsproviders configureren U kunt meerdere ingebouwde identiteitsproviders configureren en verificatiemethoden koppelen die zijn geconfigureerd op de pagina Verificatiemethoden (via Identiteits- en toegangsbeheer > Beheren). 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer Ingebouwde IdP maken. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden Beschrijving Voer de naam in van deze ingebouwde identiteitsproviderinstantie. Selecteer welke gebruikers u wilt verifiëren. De geconfigureerde directory's worden weergegeven. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IP-adressen, die u voor verificatie wilt omleiden naar deze identiteitsproviderinstantie. De verificatiemethoden die zijn geconfigureerd voor de service worden weergegeven. Schakel het selectievakje in voor de verificatiemethoden die u wilt koppelen aan deze ingebouwde identiteitsprovider. Zorg voor Compliance van apparaat (met AirWatch) en Wachtwoord (AirWatch Connector) dat de optie is ingeschakeld op de pagina AirWatch-configuratie. 3 Klik op Toevoegen. Wat nu te doen Configureer de standaard toegangsbeleidsregel om het verificatiebeleid toe te voegen aan de regel. Zie Toegangsbeleidsregels configureren. VMware, Inc. 65

66 Uitgaande connector voor verificatie in ingebouwde identiteitsproviders gebruiken Een ingebouwde identiteitsprovider kan worden geconfigureerd om verificatiemethoden te leveren waarvoor geen connector is vereist die achter een firewall is geïnstalleerd. De connector wordt geïnstalleerd in de uitgaande verbindingsmodus en daarom hoeft de ingaande firewallpoort 443 niet te worden geopend. De connector brengt een uitsluitend uitgaande verbinding (met websockets) met de cloudservice tot stand en ontvangt verificatieaanvragen via dit kanaal. Verificatieaanvragen die worden geconfigureerd op een connector die is geïmplementeerd achter de DMZ in een uitsluitend uitgaande verbindingsmodus, kunnen worden gekoppeld aan de identiteitsprovider wanneer u een ingebouwde identiteitsprovider configureert. De volgende verificatiemethoden voor de connector kunnen worden geconfigureerd. Wachtwoord (implementatie in de cloud) RSA adaptieve verificatie (cloudimplementatie) RSA SecurID (implementatie in de cloud) RADIUS (implementatie in de cloud) Nadat u de verificatiemethoden hebt geconfigureerd, moet u toegangsbeleid maken om op deze verificatiemethoden toe te passen. Een ingebouwde identiteitsprovider configureren met verificatiemethoden geconfigureerd voor een uitsluitend uitgaande connector Verificatiemethoden die worden geconfigureerd op een connector die is geïmplementeerd achter de DMZ in een uitsluitend uitgaande verbindingsmodus, kunnen worden gekoppeld aan de ingebouwde identiteitsprovider wanneer u de ingebouwde identiteitsprovider configureert. Vereisten Gebruikers en groepen in een bedrijfsdirectory moeten worden gesynchroniseerd naar de VMware Identity Manager-directory. Lijst met de netwerkbereiken die u naar de ingebouwde identiteitsproviderinstantie wilt leiden voor verificatie. Om verificatiemethoden van de ingebouwde identiteitsprovider in te schakelen, moeten de verificatiemethoden in de connector zijn geconfigureerd. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Identiteitsproviders. VMware, Inc. 66

67 2 Selecteer de identiteitsprovider met de naam Ingebouwd en configureer de informatie van de identiteitsprovider. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden Connector(en) Verificatiemethoden voor connector Beschrijving Voer de naam in van deze ingebouwde identiteitsproviderinstantie. Selecteer welke gebruikers u wilt verifiëren. De geconfigureerde directory's worden weergegeven. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IP-adressen, die u voor verificatie wilt omleiden naar deze identiteitsproviderinstantie. De verificatiemethoden die zijn geconfigureerd op de pagina Verificatiemethoden (Identiteits- en toegangsbeheer > Beheren) worden weergegeven. Schakel het selectievakje in voor de verificatiemethoden die u wilt koppelen aan de identiteitsprovider. Zorg voor Compliance van apparaat (met AirWatch) en Wachtwoord (AirWatch Connector) dat de optie is ingeschakeld op de pagina AirWatch-configuratie. Selecteer de connector die is geconfigureerd in een uitsluitend uitgaande verbindingsmodus. Verificatiemethoden die zijn geconfigureerd voor de connector, worden weergegeven in dit gedeelte. Schakel het selectievakje in om verificatiemethoden te koppelen. 3 Als u ingebouwde Kerberos-verificatie gebruikt, downloadt u het KDC-uitgevercertificaat voor gebruik bij de AirWatch-configuratie van het ios-apparaatbeheerprofiel. 4 Klik op Opslaan. Extra Workspace-identiteitsproviders configureren Wanneer eerst de VMware Identity Manager Connector is geconfigureerd en u de connector inschakelt om gebruikers te verifiëren, wordt een Workspace-IdP aangemaakt als de identiteitsprovider en wordt wachtwoordverificatie ingeschakeld. Achter verschillende load-balancers kunnen extra connectoren worden geconfigureerd. Wanneer in uw omgeving meerdere load-balancers aanwezig zijn, kunt u een andere Workspace-identiteitsprovider voor verificatie configureren in elke configuratie van load-balancers. Zie het onderwerp Extra connectorapparaten installeren in de gids VMware Identity Manager installeren en configureren. De verschillende Workspace-identiteitsproviders kunnen aan dezelfde map worden gekoppeld, of wanneer u meerdere mappen hebt geconfigureerd, kunt u selecteren welke map gebruikt moet worden. 1 Selecteer in de beheerconsole op het tabblad Identiteits- en toegangsbeheer Beheren > Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer Workspace-IdP maken. VMware, Inc. 67

68 3 Bewerk de instellingen van de identiteitsproviderinstantie. Optie Naam van identiteitsprovider Gebruikers Connector(en) Netwerk Beschrijving Voer een naam in voor deze Workspace-identiteitsproviderinstantie. Selecteer de VMware Identity Manager-directory van de gebruikers die via deze Workspace-identiteitsprovider kunnen verifiëren. Connectoren die niet zijn gekoppeld aan de door u geselecteerde map, staan in een lijst. Selecteer de connector die u wilt koppelen aan de map. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IP-adressen, die u wilt omleiden naar deze identiteitsproviderinstantie voor verificatie. 4 Klik op Toevoegen. Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers U kunt een externe identiteitsprovider configureren die wordt gebruikt voor het verifiëren van gebruikers in de VMware Identity Manager-service. Voltooi de volgende taken voordat u een instantie voor een onafhankelijke identiteitsprovider toevoegt. Controleer of de instanties van derden compatibel zijn met SAML 2.0 en of de service de instantie van derden kan bereiken. Zorg dat u de vereiste metagegevensinformatie van derden hebt en deze kunt toevoegen wanneer u de identiteitsprovider configureert in de beheerconsole. De metagegevensinformatie die u verkrijgt uit de instantie van derden is de URL voor de metagegevens of zijn de volledige metagegevens zelf. Een identiteitsproviderinstantie toevoegen en configureren Door identiteitsprovidersinstanties toe te voegen en te configureren voor de implementatie van uw VMware Identity Manager, kunt u een hoge beschikbaarheid bieden, extra verificatiemethoden van gebruikers ondersteunen en flexibiliteit toevoegen op de manier waarop u het verificatieproces van de gebruiker beheert op basis van de IP-adresbereiken van gebruikers. Vereisten Configureer het netwerkbereik dat u wilt doorverwijzen naar deze identiteitsproviderinstantie voor verificatie. Zie Een netwerkbereik toevoegen of bewerken. Toegang tot het document met metagegevens van derden. Dit kan de URL naar de metagegevens zijn of kunnen de metagegevens zelf zijn. 1 In de beheerconsole selecteert u op het tabblad Identiteits- en toegangsbeheer Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen. VMware, Inc. 68

69 3 Bewerk de instellingen van de identiteitsproviderinstantie. Formulieritem Naam van identiteitsprovider SAML-binding SAML-metagegevens Just-in-Time-provisioning Gebruikers Netwerk Verificatiemethoden Configuratie voor eenmalig afmelden SAMLhandtekeningcertificaat IdP-hostnaam Beschrijving Voer een naam in voor deze identiteitsproviderinstantie. Selecteer hoe de AuthnRequest moet worden verzonden: HTTP POST of HTTP-omleiding. HTTP-omleiding is de standaardoptie. Voeg het op XML gebaseerde metagegevensdocument van de identiteitsprovider van derden toe om vertrouwen met de identiteitsprovider tot stand te brengen. 1 Voer de URL voor de SAML-metagegevens of de XML-inhoud in het tekstvak in. 2 Klik op IdP-metagegevens verwerken. De NameID-indelingen die worden ondersteund door de IdP worden geëxtraheerd uit de metagegevens en worden toegevoegd aan de tabel Naamid-indeling. 3 Selecteer in de kolom Naam-id-waarde het gebruikerskenmerk in de service dat moet worden toegewezen aan de weergegeven id-indelingen. U kunt aangepaste indelingen voor de naamid van derden toevoegen en toewijzen aan de waarden voor de gebruikerskenmerken in de service. 4 (Optioneel) Selecteer de stringindeling voor de NameIDPolicy-antwoord-id. N.v.t. Selecteer Andere directory die de gebruikers omvat die deze identiteitsprovider kunnen gebruiken voor verificatie. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie. Voeg de verificatiemethoden toe die worden ondersteund door de derde identiteitsprovider. Selecteer de contextklasse voor SAML-verificatie die de verificatiemethode ondersteunt. Schakel eenmalig afmelden in om gebruikers af te melden van hun identiteitsprovidersessie wanneer ze zich afmelden. Als eenmalig afmelden niet is ingeschakeld, is de identiteitsprovidersessie van gebruikers nog steeds actief wanneer ze zich afmelden. (Optioneel) Als de identiteitsprovider het eenmalige afmeldprofiel van SAML ondersteunt, schakelt u eenmalig afmelden in en laat u het tekstveld URL omleiden leeg. Als de identiteitsprovider het eenmalige afmeldprofiel van SAML niet ondersteunt, schakelt u eenmalig afmelden in en voert u de afmeld-url in van de identiteitsprovider waarnaar gebruikers worden doorverwezen wanneer ze zich afmelden bij VMware Identity Manager. Als u de omleidings-url hebt geconfigureerd en u wilt dat gebruikers teruggaan naar de aanmeldingspagina van VMware Identity Manager nadat ze zijn doorverwezen naar de afmeld- URL van de identiteitsprovider, voert u de parameternaam in die wordt gebruikt door de omleidings-url van de identiteitsprovider. Klik op Metagegevens van serviceprovider (SP) om de URL weer te geven naar de metagegevens van de SAML-serviceprovider van VMware Identity Manager. Kopieer de URL en sla deze op. Deze URL wordt geconfigureerd wanneer u de SAML-bevestiging bewerkt in de externe identiteitsprovider voor het toewijzen van VMware Identity Manager-gebruikers. Als het tekstveld Hostnaam wordt weergegeven, voert u de hostnaam in waar de identiteitsprovider naar wordt doorverwezen voor verificatie. Als u een andere poort gebruikt dan de standaard poort 443, kunt u de hostnaam instellen als Hostname:Port. Bijvoorbeeld: myco.example.com: Klik op Toevoegen. VMware, Inc. 69

70 Wat nu te doen Bewerk de configuratie van de externe identiteitsprovider om de URL van het SAMLhandtekeningencertificaat toe te voegen die u hebt opgeslagen. Verificatiemethoden beheren die op gebruikers worden toegepast De VMware Identity Manager-service probeert gebruikers te verifiëren op basis van de verificatiemethoden, het standaardtoegangsbeleid, de netwerkbereiken en de identiteitsproviderinstanties die u configureert. Wanneer gebruikers zich proberen aan te melden, evalueert de service de regels van het standaardtoegangsbeleid om de beleidsregel te selecteren die moet worden toegepast. De verificatiemethoden worden toegepast in de volgorde waarin ze in de regel worden weergegeven. De eerste identiteitsproviderinstantie die aan de vereisten van de regel voor de verificatiemethode en het netwerkbereik voldoet, wordt geselecteerd. Het verzoek om gebruikersverificatie wordt doorgestuurd naar de identiteitsproviderinstantie voor verificatie. Als de verificatie mislukt, wordt de volgende verificatiemethode die in de regel is geconfigureerd, toegepast. U kunt regels toevoegen die de verificatiemethoden die moeten worden gebruikt, specificeren op basis van het apparaattype of op basis van het apparaattype en een specifiek netwerkbereik. U kunt bijvoorbeeld een regel configureren die vereist dat gebruikers die zich aanmelden via ios-apparaten via een specifiek netwerk, zich moeten verifiëren via RSA SecurID. Configureer vervolgens een andere regel die vereist dat gebruikers die zich op een willekeurig type apparaat aanmelden via het IP-adres van het interne netwerk, zich verifiëren met hun wachtwoord. Een netwerkbereik toevoegen of bewerken Maak netwerkbereiken aan om de IP-adressen via welke gebruikers zich kunnen aanmelden te definiëren. U kunt de netwerkbereiken die u maakt toevoegen aan specifieke identiteitsprovidersinstanties en aan de regels van het toegangsbeleid. Eén netwerkbereik, met de naam ALL RANGES, wordt als standaardbereik gemaakt. Dit netwerkbereik omvat elk IP-adres dat op internet beschikbaar is, van tot Als uw implementatie maar één identiteitsproviderinstantie heeft, kunt u het IP-adresbereik wijzigen en andere bereiken toevoegen, met als doel het uitsluiten of toevoegen van specifieke IP-adressen van of aan het standaardnetwerkbereik. U kunt andere netwerkbereiken maken met specifieke IP-adressen die u voor een bepaald doeleinde kunt toepassen. Opmerking Het standaardnetwerkbereik, ALL RANGES, en de beschrijving hiervan, 'een netwerk voor alle bereiken', kunt u bewerken. U kunt de naam en omschrijving wijzigen en hiervoor zelfs een andere taal gebruiken door de functie Bewerken op de pagina Netwerkbereiken te gebruiken. Vereisten Definieer netwerkbereiken voor uw VMware Identity Manager-implementatie op basis van uw netwerktopologie. VMware, Inc. 70

71 1 Selecteer Netwerkbereiken op het tabblad Beleidsregels van de beheerconsole. 2 Bewerk een bestaand netwerkbereik of voeg een nieuw netwerkbereik toe. Optie Een bestaand bereik bewerken Een bereik toevoegen Beschrijving Klik op de naam van het netwerkbereik dat u wilt bewerken. Klik op Netwerkbereik toevoegen om een nieuw bereik toe te voegen. 3 Bewerk de pagina Netwerkbereik toevoegen. Formulieritem Naam Beschrijving IP-bereiken Beschrijving Geef een naam op voor het netwerkbereik. Geef een omschrijving op voor het netwerkbereik. Wijzig IP-bereiken of voeg IP-bereiken toe totdat alle gewenste (en geen ongewenste) IP-adressen zijn opgenomen. Wat nu te doen Koppel elk netwerkbereik aan de identiteitsproviderinstantie. Koppel netwerkbereiken naar wens aan een toegangsbeleidsregel. Zie Hoofdstuk 6 Toegangsbeleid beheren. Het standaardtoegangsbeleid toepassen De VMware Identity Manager-service omvat een standaardtoegangsbeleid dat de toegang van gebruikers tot hun Workspace ONE-portals en hun webapplicaties regelt. U kunt het beleid wijzigen door de beleidsregels naar wens aan te passen. Wanneer u verificatiemethoden inschakelt die geen wachtwoorden verifiëren, moet u het standaardbeleid bewerken en de ingeschakelde verificatiemethode toevoegen aan de beleidsregels. Voor elke regel in het standaardtoegangsbeleid moet aan een set criteria worden voldaan. Als dit het geval is, krijgt de gebruiker toegang tot de applicatiesportal. U past een netwerkbereik toe, selecteert welk type gebruiker toegang heeft tot inhoud en selecteert de verificatiemethoden die moeten worden gebruikt. Zie Hoofdstuk 6 Toegangsbeleid beheren. Het aantal pogingen dat een service doet om een gebruiker aan te melden met een bepaalde verificatiemethode varieert. De service doet slechts een verificatiepoging voor Kerberos- of certificaatverificatie. Als de gebruiker niet bij de poging kan worden aangemeld, wordt de volgende verificatiemethode in de regel geprobeerd. Het maximale aantal mislukte aanmeldingspogingen voor Active Directory-wachtwoordverificatie en RSA SecurID-verificatie is standaard ingesteld op vijf. Wanneer voor een gebruiker vijf mislukte aanmeldingspogingen worden bereikt, probeert de service de gebruiker aan te melden met de volgende verificatiemethode in de lijst. Wanneer de verificatiemethoden zijn uitgeput, wordt door de service een foutbericht weergegeven. VMware, Inc. 71

72 Verificatiemethoden toepassen op beleidsregels In de standaardbeleidsregels wordt alleen de verificatiemethode voor wachtwoorden geconfigureerd. U moet de beleidsregels bewerken om andere verificatiemethoden die u hebt geconfigureerd te selecteren en om de volgorde in te stellen waarin de verificatiemethoden worden gebruikt voor verificatie. Zie Instellingen configureren voor toegangsbeleid voor meer informatie over het instellen van beleidsregels. Vereisten Schakel de verificatiemethoden in die door uw organisatie worden ondersteund en configureer deze. Zie Hoofdstuk 5 Gebruikersverificatie configureren in VMware Identity Manager. 1 Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik om het standaardtoegangsbeleid om dit te bewerken. 3 In het gedeelte Beleidsregels klikt u op de verificatiemethode die u wilt bewerken, of waaraan u een nieuwe beleidsregel wilt toevoegen, en klik dan op het pictogram +. a b c Controleer of het netwerkbereik juist is. Selecteer het netwerkbereik voor de beleidsregel wanneer u een nieuwe regel wilt toevoegen. Selecteer het apparaat dat deze regel beheert in het vervolgkeuzemenu en de gebruiker probeert inhoud te openen van... Als deze toegangsregel van toepassing is op specifieke groepen, klikt u op Groepen bewerken en selecteert u de groepen. Als u geen groep selecteert, is het toegangsbeleid van toepassing op alle gebruikers. d Configureer de verificatievolgorde. In het vervolgkeuzemenu dan moet de gebruiker verifiëren met behulp van de volgende methode... selecteert u de verificatiemethode die als eerste moet worden toegepast. Om ervoor te zorgen dat gebruikers moeten verifiëren via twee verificatiemethoden, klikt u op + en selecteert u in het vervolgkeuzemenu een tweede verificatiemethode. e (Optioneel) Om extra alternatieve verificatiemethoden te configureren in het vervolgkeuzemenu Als de bovenstaande verificatiemethode mislukt, dan:, selecteert u een andere ingeschakelde verificatiemethode. U kunt meerdere alternatieve verificatiemethoden aan een regel toevoegen. f In het vervolgkeuzemenu Herverifiëren na selecteert u de duur van de sessie waarna de gebruikers opnieuw moeten verifiëren. VMware, Inc. 72

73 g h (Optioneel) Maak een aangepaste melding voor toegang geweigerd die wordt getoond als gebruikersverificatie mislukt. U kunt maximaal 4000 tekens gebruiken, dit is ongeveer 650 woorden. Wanneer u gebruikers naar een andere pagina wilt doorsturen, voert u in het tekstvak Koppelings-URL het adres van de koppelings-url in. Voer in tekstvak Koppelingtekst de tekst in die moet worden weergegeven als de koppeling. Wanneer u dit tekstvak leeg laat, wordt het woord Doorgaan weergegeven. Klik op Opslaan. 4 Klik op Opslaan. VMware, Inc. 73

74 Toegangsbeleid beheren 6 Om veilige toegang tot de app-portal voor gebruikers te verlenen en om web- en desktopapplicaties te starten, configureert u toegangsbeleid. Toegangsbeleid bevat regels die criteria vastleggen waaraan moet worden voldaan om aan te melden bij de app-portal en gebruik te maken van de bronnen. Beleidsregels wijzen het IP-adres toe dat het verzoek indient bij netwerkbereiken en geven het type apparaat aan dat gebruikers kunnen gebruiken om zich aan te melden. De regel definieert de verificatiemethoden en het aantal uur dat de verificatie geldig is. U kunt een of meer groepen selecteren om ze te koppelen aan de toegangsregel. De VMware Identity Manager bevat een standaardbeleid die de toegang regelt tot de service als geheel. Dit beleid is ingesteld om toegang te verlenen tot alle netwerkbereiken, vanaf alle apparaattypen, voor alle gebruikers. De sessietime-out is acht uur en de verificatiemethode is wachtwoordverificatie. U kunt het standaardbeleid bewerken. Opmerking Het beleid beheert de duur van een applicatiesessie niet. Het beleid beheert de hoeveelheid tijd die gebruikers krijgen om een applicatie te starten. Dit hoofdstuk omvat de volgende onderwerpen: Instellingen configureren voor toegangsbeleid Web- en desktopapplicatiespecifiek beleid beheren Een web- of desktopapplicatiespecifiek beleid toevoegen Aangepast foutbericht configureren voor toegang geweigerd Standaardtoegangsbeleid bewerken Compliancecontrole inschakelen voor door AirWatch beheerde apparaten Persistente cookie inschakelen op mobiele apparaten Instellingen configureren voor toegangsbeleid Een beleid bevat een of meer toegangsregels. Elke regel bestaat uit instellingen die u kunt configureren om de toegang van gebruikers tot hun Workspace ONE-portal als geheel of tot specifieke web- en desktopapplicaties te beheren. VMware, Inc. 74

75 Beleidsregels kunnen worden geconfigureerd om acties uit te voeren (zoals het blokkeren, toestaan of opgewaardeerd verifiëren van gebruikers) op basis van voorwaarden (zoals netwerk, apparaattype, AirWatch-apparaatinschrijving en compliancestatus) of de applicatie waartoe toegang wordt gekregen. U kunt groepen aan een beleid toevoegen om verificatie voor specifieke groepen te beheren. Netwerkbereik U bepaalt de gebruikersbasis voor elke regel door een netwerkbereik op te geven. Een netwerkbereik bestaat uit een of meer IP-bereiken. U maakt netwerkbereiken via het tabblad Identiteits- en toegangsbeheer, Instellen > pagina Netwerkbereiken voordat u toegangsbeleidssets configureert. Elke identiteitsproviderinstantie in uw implementatie koppelt netwerkbereiken aan verificatiemethoden. Wanneer u een beleidsregel configureert, zorgt u ervoor dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie. U kunt specifieke netwerkbereiken configureren om te beperken waar gebruikers zich kunnen aanmelden en toegang hebben tot hun applicaties. Apparaattype Selecteer het type apparaat dat de regel beheert. De clienttypen zijn Webbrowser, Workspace ONE-app, ios, Android, Windows 10, OS X en Alle apparaattypen. U kunt regels configureren om op te geven welk apparaattype toegang heeft tot de inhoud en dat alle verificatieverzoeken afkomstig van dat apparaattype de beleidsregel gebruiken. Groepen toevoegen U kunt verschillende beleidsregels voor verificatie toepassen op basis van het groepslidmaatschap van een gebruiker. Als u groepen gebruikers wilt toewijzen voor aanmelding via een specifiek verificatieproces, kunt u groepen toevoegen aan de toegangsbeleidsregel. Groepen kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory of lokale groepen die u maakt in de beheerconsole. Groepsnamen binnen een domein moeten uniek zijn. Als u groepen wilt gebruiken in toegangsbeleidsregels, selecteert u een unieke ID op de pagina Identiteits- en toegangsbeheer > Voorkeuren. Het kenmerk voor de unieke ID moet worden toegewezen op de pagina Gebruikerskenmerken en het geselecteerde kenmerk moet worden gesynchroniseerd met de directory. De unieke ID kan de gebruikersnaam, het adres, de UPN of de werknemer-id zijn. Zie Aanmeldervaring met unieke ID. Wanneer groepen worden gebruikt in een toegangsbeleidsregel, verandert de aanmeldervaring voor de gebruiker. Gebruikers worden niet langer gevraagd om hun domein te selecteren en hun aanmeldgegevens in te voeren, maar er wordt een pagina geopend waar ze hun unieke ID moeten invoeren. VMware Identity Manager vindt de gebruiker in de interne database op basis van de unieke ID en geeft de verificatiepagina weer die is geconfigureerd in die regel. VMware, Inc. 75

76 Wanneer geen groep is geselecteerd, is de toegangsbeleidsregel van toepassing op alle gebruikers. Wanneer u toegangsbeleidsregels configureert, waaronder zowel regels op basis van groepen als een regel voor alle gebruikers, moet u ervoor zorgen dat de regel die is bedoeld voor alle gebruikers als laatste wordt vermeld in het gedeelte Beleidsregels van het beleid. Verificatiemethoden In de beleidsregel stelt u de volgorde in waarin de verificatiemethoden worden toegepast. De verificatiemethoden worden toegepast in de volgorde waarin ze worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de configuratie van de verificatiemethode en het netwerkbereik, wordt geselecteerd. De aanvraag voor gebruikersverificatie wordt voor verificatie doorgestuurd naar de identiteitsproviderinstantie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd. Lengte van verificatiesessie Voor elke regel stelt u het aantal uur in waarin deze verificatie geldig is. De waarde Herverifiëren na bepaalt de maximale tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portal, of om een specifieke applicatie te starten. Bijvoorbeeld: een waarde van 4 in een webapplicatiesregel geeft gebruikers vier uur tijd om de webapplicatie te starten tenzij ze een andere verificatiegebeurtenis starten die de tijd verlengt. Aangepast foutbericht voor toegang geweigerd Wanneer een gebruiker probeert om zich aan te melden en dit mislukt door onjuiste verificatiegegevens, een onjuiste configuratie of een systeemfout, wordt het bericht Toegang geweigerd weergegeven. Het standaardbericht is Toegang geweigerd aangezien geen geldige verificatiemethodes zijn gevonden. U kunt een aangepast foutbericht voor elke toegangsbeleidsregel aanmaken dat het standaardbericht overschrijft. Het aangepaste bericht kan tekst en een koppeling bevatten voor een oproep tot actiebericht. Bijvoorbeeld: u zou in een beleidsregel voor mobiele apparaten die u wilt beheren, het volgende aangepaste foutbericht kunnen maken dat verschijnt wanneer een gebruiker zich probeert aan te melden via een verwijderd apparaat. Klik op de koppeling aan het einde van dit bericht om uw apparaat te registreren om toegang tot bedrijfsbronnen te krijgen. Als uw apparaat al is geregistreerd, neem dan contact op met Support voor assistentie. Web- en desktopapplicatiespecifiek beleid beheren Wanneer u web- en desktopapplicaties toevoegt aan de catalogus, kunt u applicatiespecifiek toegangsbeleid maken. U kunt bijvoorbeeld een beleid maken met regels voor een webapplicatie dat bepaalt welke IP-adressen toegang hebben tot de applicatie, met welke verificatiemethoden en hoe lang ze toegang hebben voordat ze opnieuw moeten worden geverifieerd. Het volgende voor webapplicaties specifieke beleid biedt een voorbeeld van een beleid dat u kunt maken voor het beheer van toegang tot opgegeven webapplicaties. VMware, Inc. 76

77 Voorbeeld 1 Strikt webapplicatiespecifiek beleid In dit voorbeeld wordt een nieuw beleid gemaakt en toegepast op een gevoelige webapplicatie. 1 Om toegang te krijgen tot de service van buiten het bedrijfsnetwerk, moet de gebruiker zich aanmelden met RSA SecurID. De gebruiker meldt zich aan met een browser en heeft nu toegang tot de app-portal voor een sessie van vier uur, zoals geboden door de standaardtoegangsregel. 2 Na vier uur probeert de gebruiker een webapplicatie te starten waarop het beleid voor gevoelige webapplicaties is toegepast. 3 De service controleert de regels in het beleid en past het beleid toe met het netwerkbereik ALLE BEREIKEN, omdat de gebruikersaanvraag afkomstig is uit een webbrowser en uit het netwerkbereik ALLE BEREIEKN. De gebruiker heeft zich aangemeld met de RSA SecurID-verificatiemethode, maar de sessie is zojuist verlopen. De gebruiker wordt omgeleid, zodat deze zich opnieuw kan verifiëren. Dankzij de hernieuwde verificatie heeft de gebruiker opnieuw een sessie van vier uur en kan deze de applicatie starten. Tijdens de volgende vier uur kan de gebruiker doorgaan met het uitvoeren van de applicatie zonder dat die zich opnieuw moet verifiëren. VMware, Inc. 77

78 Voorbeeld 2 Strikter webapplicatiespecifiek beleid Als u een striktere regel wilt toepassen op extra gevoelige webapplicaties, kunt u na een uur hernieuwde verificatie met SecurID vereisen op elk willekeurig apparaat. Hieronder volgt een voorbeeld van hoe dit type toegangsbeleidsregel wordt geïmplementeerd. 1 De gebruiker meldt zich van binnen het bedrijfsnetwerk aan met de Kerberos-verificatiemethode. De gebruiker heeft nu acht uur lang toegang tot de app-portal, zoals ingesteld in Voorbeeld 1. 2 De gebruiker probeert onmiddellijk een webapplicatie te starten waarop de beleidsregel uit voorbeeld 2 is toegepast. Hiervoor is RSA SecurID-verificatie vereist. 3 De gebruiker wordt omgeleid naar de aanmeldingspagina van RSA SecurID-verificatie. 4 Nadat de gebruiker zich heeft aangemeld, wordt de applicatie door de service gestart en wordt de verificatiegebeurtenis opgeslagen. De gebruiker kan een uur lang doorgaan met het starten van deze applicatie, maar wordt na een uur gevraagd zich opnieuw te verifiëren, zoals bepaald in de beleidsregel. Een web- of desktopapplicatiespecifiek beleid toevoegen U kunt een applicatiespecifiek beleid maken om de toegang van gebruikers tot specifieke web- en desktopapplicaties te beheren. Vereisten Configureer het juiste netwerkbereik voor uw implementatie. Zie Een netwerkbereik toevoegen of bewerken. VMware, Inc. 78

79 Configureer de juiste verificatiemethoden voor uw implementatie. Als u het standaardbeleid wilt bewerken (om gebruikerstoegang tot de service als geheel te beheren), moet u dit configureren voordat u een applicatiespecifiek beleid maakt. Voeg de web- en desktopapplicaties toe aan de catalogus. Er moet minimaal één applicatie op de pagina Catalogus worden weergegeven voordat u een applicatiespecifiek beleid kunt toevoegen. Als u toegangsbeleid voor verouderde verificatie voor Office 365-clients wilt toevoegen, configureert u het toegangsbeleid voor clients in de Office 365-applicatie op de pagina Catalogus. Zie de handleiding VMware Identity Manager Integration with Office Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik op Beleid toevoegen. 3 Voeg een beleidsnaam en -beschrijving toe in de respectievelijke tekstvakken. 4 Klik in het gedeelte Van toepassing op op Selecteren en selecteer in de pagina die wordt weergegeven de applicaties die zijn gekoppeld aan dit beleid. 5 Klik op + om een regel toe te voegen in het gedeelte Beleidsregels. De pagina Een beleidsregel toevoegen wordt weergegeven. a b c d e Selecteer het netwerkbereik dat op deze regel moet worden toegepast. Selecteer het type apparaat dat toegang heeft tot de applicaties voor deze regel. Selecteer de verificatiemethoden die moeten worden gebruikt in de volgorde waarin de verificatiemethoden moeten worden toegepast. Geef het aantal uur op dat een applicatiesessie actief mag zijn. Klik op Opslaan. 6 Configureer naar wens aanvullende regels. 7 Klik op Opslaan. Aangepast foutbericht configureren voor toegang geweigerd U kunt voor elke beleidsregel een aangepast foutbericht voor toegang geweigerd aanmaken dat wordt weergegeven wanneer gebruikers zich proberen aan te melden en hun verificatiegegevens niet geldig zijn. Het aangepaste bericht kan tekst en een koppeling naar een andere URL bevatten om gebruikers te helpen bij het oplossen van hun problemen. U kunt maximaal 4000 tekens gebruiken, dit is ongeveer 650 woorden. 1 Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. VMware, Inc. 79

80 2 Klik op het toegangsbeleid om dit te bewerken. 3 Om een beleidsregelpagina te openen, klikt u op de verificatienaam in de kolom Verificatiemethode voor de regel die moet worden bewerkt. 4 In het tekstvak Aangepast foutbericht voert u de foutmelding in. 5 Voer in het vak Koppelingtekst een omschrijving van de koppeling in en voer in de Koppelings-URL de URL in. De koppeling wordt weergegeven aan het eind van het aangepaste bericht. Wanneer u geen tekst maar een URL toevoegt aan het vak Koppelingtekst, geeft de tekstkoppeling het volgende weer: Doorgaan. 6 Klik op Opslaan. Wat nu te doen Maak aangepaste foutberichten voor andere beleidsregels. Standaardtoegangsbeleid bewerken U kunt het standaard toegangsbeleid bewerken om de beleidsregels te wijzigen, en u kunt beleidsregels die specifiek voor een applicatie zijn bewerken om applicaties toe te voegen of te verwijderen, en om de beleidsregels te wijzigen. U kunt op elk moment een applicatiespecifiek toegangsbeleid verwijderen. Het standaardtoegangsbeleid is permanent. U kunt het standaardbeleid niet verwijderen. Vereisten Configureer het juiste netwerkbereik voor uw implementatie. Zie Een netwerkbereik toevoegen of bewerken. 1 Selecteer Standaardbeleid bewerken op het tabblad Beleidsregels van de beheerconsole. 2 Selecteer de regel die u wilt bewerken in de kolom Verificatiemethode in het gedeelte Beleidsregels. De pagina Een beleidsregel bewerken met de bestaande configuratie wordt weergegeven. 3 Als u de verificatievolgorde wilt configureren, selecteert u in het vervolgkeuzemenu dan moet de gebruiker verificatie uitvoeren met de volgende methode de verificatiemethode die als eerste moet worden toegepast. 4 (Optioneel) Als u een alternatieve verificatiemethode wilt configureren als de eerste verificatie mislukt, selecteert u een andere ingeschakelde verificatiemethode in het volgende vervolgkeuzemenu. U kunt meerdere alternatieve verificatiemethoden aan een regel toevoegen. 5 Klik op Opslaan en klik opnieuw op Opslaan op de pagina Beleid. VMware, Inc. 80

81 Het bewerkte beleid wordt direct toegepast. Wat nu te doen Als het beleid een toegangsbeleid is voor een specifieke applicatie, kunt u het beleid dat is ingesteld voor de applicaties ook toepassen via de pagina Catalogus. Zie Een web- of desktopapplicatiespecifiek beleid toevoegen. Compliancecontrole inschakelen voor door AirWatch beheerde apparaten Wanneer gebruikers hun apparaten registreren, worden regelmatig voorbeelden verzonden met gegevens die worden gebruikt om de compliance te evalueren. De evaluatie van deze voorbeeldgegevens zorgen ervoor dat het apparaat voldoet aan de complianceregels die door de beheerder zijn ingesteld in de AirWatch-console. Als een apparaat niet meer aan de compliance voldoet, worden de acties uitgevoerd die in de AirWatch-console zijn geconfigureerd. De VMware Identity Manager-service bevat een optie voor toegangsbeleid die kan worden geconfigureerd om de AirWatch-server te controleren op de status van de apparaatcompliance wanneer gebruikers zich via het apparaat aanmelden. De compliancecontrole zorgt ervoor dat gebruikers zich niet kunnen aanmelden bij een applicatie en geen Single Sign-On in de Workspace ONE-portal kunnen gebruiken wanneer de compliancestatus van het apparaat niet in orde is. Wanneer het apparaat weer aan compliance voldoet, wordt de mogelijkheid om zich aan te melden weer hersteld. De applicatie Workspace ONE meldt zich automatisch af en blokkeert de toegang tot de applicaties wanneer het apparaat wordt gehackt. Als het apparaat is geregistreerd via adaptief beheer, verwijdert een wisopdracht op bedrijfsniveau die wordt gegeven via de AirWatch-console, de registratie en de beheerde applicaties van het apparaat. Niet beheerde applicaties worden niet verwijderd. Zie de gids VMware AirWatch Mobile Device Management die beschikbaar is op de website AirWatch Resources voor meer informatie over het compliancebeleid van AirWatch. Toegangsbeleidsregels configureren Om veilige toegang tot de Workspace ONE app-portal voor gebruikers te verlenen en om web- en desktopapplicaties te starten, configureert u toegangsbeleid. Toegangsbeleid bevat regels die criteria vastleggen waaraan moet worden voldaan om aan te melden en gebruik te maken van de bronnen. U moet de standaardbeleidsregels bewerken om de verificatiemethoden te selecteren die u hebt geconfigureerd. Een beleidsregel kan worden geconfigureerd om acties te ondernemen zoals blokkeren, toestaan van verificatie van gebruikers op basis van omstandigheden, zoals netwerk, apparaattype, aanmelding en compliance van het AirWatch-apparaat, of op de applicatie waartoe toegang wordt verkregen. U kunt groepen toevoegen aan een beleid om de verificatie te beheren op basis van specifieke groepen. Wanneer compliancecontrole is ingeschakeld, maakt u een toegangsbeleidsregel die bepaalt dat er een verificatie en een verificatie van apparaatcompliance is vereist voor apparaten die worden beheerd door AirWatch. VMware, Inc. 81

82 De beleidsregel voor compliancecontrole werkt als een verificatieketen met Mobiele SSO voor ios, Mobiele SSO voor Android en Certificaat cloudimplementatie. De verificatiemethode die wordt gebruikt, moet vooraf gaan aan de optie apparaatcompliance in de beleidsregelconfiguratie. Vereisten Verificatiemethoden geconfigureerd en gekoppeld aan een ingebouwde identiteitsprovider. Compliancecontrole ingeschakeld op de AirWatch-pagina van VMware Identity Manager. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Beleid. 2 Selecteer het toegangsbeleid dat u wilt bewerken. 3 Selecteer de beleidsregel die u wilt bewerken in het gedeelte Beleidsregels. 4 In het vervolgkeuzemenu dan moet de gebruiker verifiëren met behulp van de volgende methode klikt u op + en selecteert u de verificatiemethode die moet worden gebruikt. 5 In het tweede vervolgkeuzemenu voor dan moet de gebruiker verifiëren met behulp van de volgende methode selecteert u Compliance van apparaat (met AirWatch). 6 (Optioneel) Voer in het tekstvak Berichttekst van Aangepaste fout een aangepaste tekst in die wordt weergegeven wanneer de gebruikersverificatie mislukt omdat het apparaat niet voldoet aan de compliance. In het tekstvak Koppeling aangepaste fout kunt u een koppeling aan het bericht toevoegen. 7 Klik op Opslaan. VMware, Inc. 82

83 Persistente cookie inschakelen op mobiele apparaten Schakel persistente cookie in voor single sign-on bij de systeembrowser en systeemeigen apps en voor een single sign-on tussen systeemeigen apps als u Safari View Controller gebruikt op ios-apparaten en Chrome Custom Tabs op Android-apparaten. De persistente cookie slaat informatie over de aanmeldsessies van gebruikers op zodat gebruikers hun verificatiegegevens niet opnieuw te hoeven invoeren wanneer zij hun beheerde bronnen openen via VMware Identity Manager. De cookie time-out kan worden geconfigureerd in de toegangsbeleidregels die u hebt ingesteld voor ios- en Android-apparaten. Opmerking Cookies zijn kwetsbaar en ontvankelijk voor diefstal in algemene browsers en cross-site scriptaanvallen. Persistente cookie inschakelen De persistente cookie slaat informatie op over de aanmeldsessies van gebruikers zodat gebruikers hun verificatiegegevens niet opnieuw te hoeven invoeren wanneer zij hun beheerde bronnen via hun ios- of Android mobiele apparaten openen. 1 Selecteer op het tabblad Identiteits- en toegangsbeheer in de beheerconsole Installatie > Voorkeuren. 2 Selecteer Persistente cookie inschakelen. 3 Klik op Opslaan. Wat nu te doen Om een time-out van de sessie van de persistente cookie in te stellen, werkt u de waarde bij voor het opnieuw verifiëren in de toegangsbeleidsregels voor apparaten met ios en Android. VMware, Inc. 83

84 Gebruikers en groepen beheren 7 De gebruikers en groepen in de VMware Identity Manager-service worden geïmporteerd uit uw bedrijfsdirectory of worden gemaakt als lokale gebruikers en groepen in de VMware Identity Managerbeheerconsole. Gebruikers in de VMware Identity Manager-service kunnen gebruikers zijn die worden gesynchroniseerd uit uw bedrijfsdirectory, lokale gebruikers die u inricht in de beheerconsole of gebruikers die zijn toegevoegd met just-in-time provisioning. Gebruikers die worden geïmporteerd uit uw bedrijfsdirectory, worden bijgewerkt in de VMware Identity Manager-directory op basis van het synchronisatieschema voor uw server. U mag gebruikers die uit Active Directory worden gesynchroniseerd, niet bewerken of verwijderen. U kunt lokale gebruikers en groepen maken. Lokale gebruikers worden toegevoegd aan een lokale directory in de service. U beheert de kenmerktoewijzing en het wachtwoordbeleid voor lokale gebruikers. U kunt lokale groepen maken om gebruikersrechten voor bronnen te beheren. Gebruikers die worden toegevoegd met just-in-time provisioning, worden gemaakt en dynamisch bijgewerkt wanneer de gebruikers zich aanmelden, op basis van SAML-verklaringen die worden verzonden door de identiteitsprovider. Alle gebruikersbeheer wordt behandeld via SAML-verklaringen. Zie Hoofdstuk 3 Just-in-Time-gebruikers-provisioning als u just-in-time provisioning wilt gebruiken. Groepen in de VMware Identity Manager-service kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory en lokale groepen die u maakt in de beheerconsole. Active Directorygroepsnamen worden naar de directory gesynchroniseerd volgens uw synchronisatieschema. De gebruikers in deze groepen worden niet naar de directory gesynchroniseerd totdat een groep rechten voor bronnen heeft of een groep aan de toegangsbeleidsregels is toegevoegd. U kunt groepen die uit Active Directory worden gesynchroniseerd, niet bewerken of verwijderen. De pagina Gebruikers en groepen in de beheerconsole biedt een op gebruikers en groepen gerichte weergave van de service. U kunt gebruikers en groepen beheren en rechten voor bronnen, groepsaffiliaties en VMware Verify-telefoonnummers bewaken. Voor lokale gebruikers kunt u ook het wachtwoordbeleid beheren. Dit hoofdstuk omvat de volgende onderwerpen: Gebruikers beheren Groepen beheren VMware, Inc. 84

85 Lokale gebruikers toevoegen Wachtwoorden beheren Directory synchroniseren met juiste domeininformatie Gebruikers beheren In de VMware Identity Manager-service worden gebruikers op unieke wijze geïdentificeerd aan de hand van hun naam en domein. Op deze manier kunnen er meerdere gebruikers zijn met dezelfde naam in verschillende Active Directory-domeinen. Gebruikersnamen binnen een domein moeten uniek zijn. Voordat u de directory in VMware Identity Manager instelt, geeft u op welke standaardgebruikerskenmerken zijn vereist en voegt u extra kenmerken toe die u wilt toewijzen aan Active Directory-kenmerken. De kenmerken en -filters die u in Active Directory selecteert om ze toe te wijzen aan deze kenmerken, bepalen welke Active Directory-gebruikers in de VMware Identity Managerdirectory worden gesynchroniseerd. Zie de publicatie Integratie van directory's met de VMware Identity Manager voor meer informatie over de integratie van Active Directory met VMware Identity Manager. De VMware Identity Manager-service ondersteunt meerdere gebruikers met dezelfde naam in verschillende Active Directory-domeinen. Gebruikersnamen binnen een domein moeten uniek zijn. Gebruiker Jane kan bijvoorbeeld in domein eng.example.com zijn toegevoegd en een andere gebruiker Jane in domein sales.example.com. Gebruikers worden afzonderlijk geïdentificeerd aan de hand van de gebruikersnaam en het domein. Het kenmerk username in VMware Identity Manager wordt gebruikt voor gebruikersnamen en wordt standaard toegewezen aan het kenmerk samaccountname in Active Directory. Het domeinkenmerk wordt gebruikt voor domeinen en wordt standaard toegewezen aan het kenmerk canonicalname in Active Directory. Tijdens de synchronisatie van de directory worden gebruikers met dezelfde gebruikersnaam, maar met verschillende domeinen correct gesynchroniseerd. Als er een gebruikersnaamconflict binnen een domein is, wordt de eerste gebruiker gesynchroniseerd en vindt er een fout plaats voor de volgende gebruikers met dezelfde gebruikersnaam. Tip Wanneer u een bestaande VMware Identity Manager-directory hebt waarin het gebruikersdomein onjuist is of ontbreekt, controleert u de domeininstellingen en synchroniseert u de directory opnieuw. Zie Directory synchroniseren met juiste domeininformatie. In de beheerconsole kunt u gebruikers en groepen identificeren aan de hand van hun gebruikersnaam en domein. Bijvoorbeeld: Op het tabblad Dashboard, in de kolom Gebruikers en groepen, worden gebruikers vermeld als gebruiker (domein). Bijvoorbeeld: jane (sales.example.com). Op het tabblad Gebruikers en groepen op de pagina Gebruiker geeft de kolom DOMEIN het domein aan waartoe de gebruiker behoort. Rapporten met gebruikersinformatie, zoals het Rapport over rechten voor bronnen, bevatten een kolom DOMEIN. VMware, Inc. 85

86 Wanneer eindgebruikers zich aanmelden op de gebruikersportal, selecteren zij op de aanmeldingspagina het domein waartoe zij behoren. Wanneer gebruikers dezelfde gebruikersnaam hebben, kan elke gebruiker zich succesvol aanmelden met het juiste domein. Opmerking Deze informatie geldt voor gebruikers die zijn gesynchroniseerd via Active Directory. Zie Hoofdstuk 3 Just-in-Time-gebruikers-provisioning voor informatie wanneer u een externe identiteitsprovider gebruikt en Just-in-Time-gebruikersprovisioning hebt geconfigureerd. Just-in-Timegebruikersprovisioning ondersteunt ook meerdere gebruikers met dezelfde gebruikersnaam in verschillende domeinen. Gebruikers uit Active Directory selecteren en toevoegen aan de directory Active Directory-gebruikers worden toegevoegd wanneer de gebruikersprofielen uit Active Directory worden gesynchroniseerd naar de VMware Identity Manager-directory. Omdat de leden van de groepen pas worden gesynchroniseerd wanneer de groep rechten heeft, voegt u alle gebruikers die toegang nodig hebben tot de VMware Identity Manager-service, toe wanneer u VMware Identity Manager voor het eerst instelt. Vereisten Active Directory-kenmerken die zijn toegewezen aan gebruikerskenmerken op de pagina Identiteits- en toegangsbeheer > Instellen > Gebruikerskenmerken. Zie de publicatie Integratie van directory's met VMware Identity Manager voor meer informatie over het integreren van Active Directory met VMware Identity Manager. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer op Manager > Directories. 2 Selecteer de directory waar u de gebruikersfilters wilt bijwerken. 3 Klik op Synchronisatie-instellingen en selecteer Gebruikers. 4 Klik op + en voer de gebruikers-dn's in op de rij Geef de gebruiker-dn's op. Voer de gebruikers-dn's in onder de Basis-DN die is geconfigureerd voor de Active Directory. Als een gebruikers-dn buiten de basis-dn ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen ze zich niet aanmelden. 5 Klik op Opslaan. Gebruikersprofielinformatie bekijken Op de pagina Gebruikers in de beheerconsole worden gebruikers weergegeven die zich kunnen aanmelden bij Workspace ONE. Selecteer een gebruikersnaam om gedetailleerde gebruikersinformatie te bekijken. VMware, Inc. 86

87 De pagina Gebruikersprofiel bevat de persoonlijke gegevens die bij de gebruiker horen en de toegewezen rol, Gebruiker of Admin. Gebruikersinformatie die wordt gesynchroniseerd vanaf een externe directory, kan ook de principal name, distinguished name en externe ID-gegevens bevatten. De profielpagina van een lokale gebruiker bevat de beschikbare gebruikerskenmerken voor gebruikers in de directory van de lokale gebruiker. De gegevens op de pagina Gebruikersprofiel voor gebruikers die worden gesynchroniseerd vanaf uw externe directory, kunnen niet worden bewerkt. U kunt de rol van de gebruiker wijzigen. De pagina Gebruikersprofiel bevat ook koppelingen naar groepen, VMware Verify en applicaties. De pagina Groepen bevat de groepen waarvan de gebruiker lid is. VMware Verify geeft de apparaten weer die zijn geconfigureerd voor verificatie met VMware Verify. De pagina Apps bevat alle applicaties waarvoor de gebruiker gebruiksrechten heeft. Groepen beheren In de VMware Identity Manager-service worden groepen op unieke wijze geïdentificeerd aan de hand van de naam en het domein van de groep. U kunt meerdere groepen met dezelfde naam in verschillende Active Directory-domeinen hebben. Groepsnamen binnen een domein moeten uniek zijn. Vanaf VMware Identity Manager 3.1 worden groepsnamen gesynchroniseerd naar de directory wanneer nieuwe groepen uit Active Directory worden toegevoegd aan de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd. Vóór versie 3.1 werden leden van de groep gesynchroniseerd naar de directory wanneer de groep werd toegevoegd. Opmerking Voeg de gebruikers toe die moeten worden geverifieerd voordat de groepsrechten worden geconfigureerd op de pagina Gebruikers in de synchronisatie-instellingen wanneer u gebruikers en groepen in VMware Identity Manager voor het eerst instelt. De VMware Identity Manager-service ondersteunt meerdere groepen met dezelfde naam in verschillende Active Directory-domeinen. Groepsnamen binnen een domein moeten uniek zijn. U kunt bijvoorbeeld een groep met de naam ALLE_GEBRUIKERS in het domein ing.example.com maken en een andere groep met de naam ALLE_GEBRUIKERS in het domein sales.example.com hebben. Tijdens de synchronisatie van de directory worden groepen met dezelfde groepsnaam, maar met verschillende domeinen correct gesynchroniseerd. Als er een groepsnaamconflict binnen een domein is, wordt de eerste groep gesynchroniseerd en vindt er een fout plaats voor volgende groepen met dezelfde naam. Op het tabblad Gebruikers en groepen van de beheerconsole worden op de pagina Groepen Active Directory-groepen weergegeven op groepsnaam en domein. In deze lijst kunt u onderscheid maken tussen groepen met dezelfde naam. Groepen die lokaal zijn gemaakt in de VMware Identity Managerservice, worden weergegeven op groepsnaam. Het domein wordt aangeduid als Lokale gebruikers. VMware, Inc. 87

88 Active Directory-groepen met de directory synchroniseren Wanneer de DN-naam van een groep van uw bedrijfsdirectory is toegewezen aan de VMware Identity Manager-directory, worden de groepsnamen toegevoegd aan de directory. De leden van de groep worden niet gesynchroniseerd met de directory. De pagina Groepen in de beheerconsole bevat de namen van de groepen die worden gesynchroniseerd. De kolom Gebruikers in groep bevat het aantal leden dat is gesynchroniseerd. Als leden nog niet zijn gesynchroniseerd, wordt Niet gesynchroniseerd weergegeven in de kolom Gebruikers in groep. Leden van de groepen worden gesynchroniseerd naar de directory wanneer de groep rechten voor een applicatie in de catalogus heeft of wanneer de groep is toegevoegd aan een regel in een toegangsbeleid in VMware Identity Manager. Hoe groepssynchronisatie werkt na de upgrade naar VMware Identity Manager 3.1 Wanneer VMware Identity Manager wordt geüpgraded naar versie 3.1, is het synchronisatiegedrag van het groepslidmaatschap afhankelijk van wanneer de groeps-dn is geconfigureerd in de service. Wanneer u de upgrade naar VMware Identity Manager 3.1 uitvoert, synchroniseren nieuwe groepen die u na de upgrade aan de service toevoegt, de leden wanneer die groep rechten heeft voor een bron of wanneer die groep wordt toegevoegd aan een toegangsbeleidsregel. De volgende synchronisaties van deze groep volgen het eerdere gedrag. Groepen die zijn toegevoegd vóór de upgrade naar 3.1, blijven groepsleden synchroniseren wanneer ze worden toegevoegd aan de groep, zelfs als de groep geen rechten heeft voor bronnen of niet wordt gebruikt in een toegangsbeleidsregel. Kortom: het gedrag van versies vóór 3.1 wordt behouden voor bestaande groepen en gebruikers. Als een groep bestaat vóór de upgrade en de DN-configuratie wordt gewijzigd, wordt het synchronisatieprofiel voor de groep aangepast aan het nieuwe gedrag. Groepsnamen worden gesynchroniseerd met de directory. Synchronisatie van groepsleden wanneer de groep rechten heeft voor een bron of wanneer de groep wordt toegevoegd aan een toegangsbeleidsregel. Zelfs als de rechten uit een groep worden verwijderd, worden de gebruikers in de groep in opeenvolgende synchronisaties nog steeds gesynchroniseerd. Als een lokale groep in de VMware Identity Manager-service wordt gemaakt met Active Directorygroepen en de lokale groep rechten heeft voor bronnen, worden gebruikers die tot de Active Directory-groepen in de lokale groep behoren, niet gesynchroniseerd met de directory als onderdeel van deze rechten. Om gebruikers in de Active Directory-groepen te synchroniseren, verleent u rechten voor de bronnen rechtstreeks aan de Active Directory-groep. Lokale groepen maken en groepsregels configureren U kunt groepen maken, leden toevoegen aan groepen en groepsregels maken. U kunt vervolgens de groepen invullen op basis van regels die u definieert. VMware, Inc. 88

89 Gebruik groepen om meer dan één gebruiker tegelijkertijd rechten te verlenen voor dezelfde bronnen, in plaats van elke gebruiker afzonderlijk rechten te verlenen. Een gebruiker kan tot meerdere groepen behoren. Als u bijvoorbeeld een groep Sales en een groep Management maakt, kan een salesmanager tot beide groepen behoren. U kunt opgeven welke beleidsinstellingen van toepassing zijn op de leden van een groep. Gebruikers in groepen worden gedefinieerd door de regels die u instelt voor een gebruikerskenmerk. Als een kenmerkwaarde voor een gebruiker verandert ten opzichte van de waarde van de gedefinieerde groepsregelwaarde, wordt de gebruiker verwijderd uit de groep. 1 Klik op Groepen op het tabblad Gebruikers en groepen van de beheerconsole. 2 Klik op Groep toevoegen. 3 Voer een groepsnaam en een beschrijving voor de groep in. Klik op Volgende. 4 Voeg gebruikers toe aan de groep. Als u gebruikers wilt toevoegen aan de groep, voert u de eerste letters van de gebruikersnaam in. Wanneer u tekst invoert, worden overeenkomende namen weergegeven. 5 Selecteer de gebruikersnaam en klik op +Gebruiker toevoegen. Ga verder met het toevoegen van leden aan de groep. 6 Klik op Volgende nadat de gebruikers zijn toegevoegd aan de groep. 7 Selecteer op de pagina Groepsregels hoe groepslidmaatschap wordt toegekend. Selecteer een van de of alle. Optie Een van de Alles Actie Kent lidmaatschap toe wanneer is voldaan aan een van de voorwaarden voor groepslidmaatschap. Deze actie werkt zoals de voorwaarde OR. Bijvoorbeeld: als u Een van de selecteert voor de regels Groep is Sales en Groep is Marketing, wordt lidmaatschap van deze groep toegekend aan de sales- en marketingmedewerkers. Kent lidmaatschap toe wanneer is voldaan aan alle voorwaarden voor groepslidmaatschap. De optie Alle werkt zoals de voorwaarde AND. Bijvoorbeeld: als u Alle volgende selecteert voor de regels Groep is Sales en begint met 'westelijke_regio', wordt lidmaatschap van de groep alleen toegekend aan salesmedewerkers in de westelijke regio. Aan salesmedewerkers in andere regio's wordt geen lidmaatschap toegekend. VMware, Inc. 89

90 8 Configureer een of meer regels voor uw groep. U kunt regels nesten. Optie Kenmerk Kenmerkregels Kenmerk Een van de of Alle gebruiken Beschrijving Selecteer een van de kenmerken uit het vervolgkeuzemenu van de eerste kolom. Selecteer Groep als u een bestaande groep wilt toevoegen aan de groep die u maakt. U kunt andere typen kenmerken toevoegen om te beheren welke gebruikers in de groepen leden zijn van de groep die u maakt. De volgende regels zijn beschikbaar afhankelijk van het kenmerk dat u hebt geselecteerd. Selecteer is om een groep of directory te selecteren die u wilt koppelen aan deze groep. Geef een naam op in het tekstvak. Wanneer u typt, wordt een lijst met de beschikbare groepen of directory's weergegeven. Selecteer is niet om een groep of directory te selecteren die u wilt uitsluiten. Geef een naam op in het tekstvak. Wanneer u typt, wordt een lijst met de beschikbare groepen of directory's weergegeven. Selecteer komt overeen met om groepslidmaatschap toe te kennen aan vermeldingen die exact overeenkomen met de criteria die u invoert. Bijvoorbeeld: uw organisatie heeft mogelijk een afdeling voor zakelijke reizen die een centraal telefoonnummer gebruikt. Als u toegang tot een applicatie voor het boeken van reizen wilt toekennen aan alle medewerkers die dat telefoonnummer delen, kunt u een regel maken zoals Telefoonnummer komt overeen met Selecteer komt niet overeen met om groepslidmaatschap toe te kennen aan alle directoryserververmeldingen met uitzondering van de vermeldingen die overeenkomen met de criteria die u invoert. Bijvoorbeeld: als een van uw afdelingen een centraal telefoonnummer deelt, kunt u die afdeling uitsluiten van toegang tot een applicatie voor sociale netwerken door een regel te maken zoals Telefoonnummer komt niet overeen met Directoryserververmeldingen met andere telefoonnummers hebben toegang tot de applicatie. Selecteer begint met om groepslidmaatschap voor directoryserververmeldingen toe te kennen die beginnen met de criteria die u invoert. Bijvoorbeeld: de adressen van de organisatie beginnen mogelijk met de naam van de afdeling, zoals sales_gebruikersnaam@example.com. Als u toegang tot een applicatie wilt verlenen aan iedereen in uw salesteam, kunt u een regel maken, zoals begint met sales_. Selecteer begint niet met om groepslidmaatschap toe te kennen aan alle directoryserververmeldingen met uitzondering van de vermeldingen die beginnen met de criteria die u invoert. Bijvoorbeeld: als de adressen van uw HR-afdeling de notatie hr_gebruikersnaam@example.com hebben, kunt u toegang tot een applicatie weigeren door een regel in te stellen, zoals begint niet met hr_. Directoryserververmeldingen met andere e- mailadressen hebben toegang tot de applicatie. (Optioneel) Als u de kenmerken Een van de of Alle wilt gebruiken in de groepsregel, voegt u deze regel aan het einde toe. Selecteer Een van de voor groepslidmaatschap dat u wilt toekennen wanneer wordt voldaan een van de voorwaarden voor groepslidmaatschap voor deze regel. Het gebruik van Een van de is een manier om regels te nesten. U kunt bijvoorbeeld een regel maken zoals Alle volgende: Groep is VMware, Inc. 90

91 Optie Beschrijving Sales; Groep is Noord-Holland. Voor Groep is Noord-Holland, Een van de volgende: Telefoonnummer begint met 020; Telefoonnummer begint met Het groepslid moet behoren tot uw medewerkersteam in Noord-Holland en een telefoonnummer hebben dat begint met 020 of Selecteer Alle voor alle voorwaarden waaraan moet worden voldaan voor deze regel. Dit is een manier om regels te nesten. U kunt bijvoorbeeld een regel maken zoals Een van de volgende: Groep is Managers; Groep is Klantenservice. Voor Groep is Klantenservice, alle volgende: begint met ks_; Telefoonnummer begint met De groepsleden kunnen managers of medewerkers van de klantenservice zijn, maar medewerkers van de klantenservice moeten een hebben die begint met ks en een telefoonnummer dat begint met (Optioneel) Voer een gebruikersnaam in het tekstvak in en klik op Gebruiker uitsluiten als u specifieke gebruikers wilt uitsluiten. 10 Klik op Volgende en bekijk de groepsinformatie. Klik op Groep maken. Wat nu te doen Voeg de bronnen toe waarvoor de groep gebruiksrechten heeft. Groepsregels bewerken U kunt groepsregels bewerken om de groepsnaam te wijzigen, gebruikers toevoegen en verwijderen en de groepsregels wijzigen. 1 Klik in de beheerconsole op Gebruikers en groepen > Groepen. 2 Klik op de groepsnaam om te beginnen met bewerken. 3 Klik op Gebruikers in groep bewerken. 4 Klik door de pagina's om wijzigingen aan te brengen in de naam, gebruikers in de groep en regels. 5 Klik op Opslaan. Bronnen toevoegen aan groepen De meest effectieve manier om gebruikers rechten te verlenen voor bronnen, is de rechten toevoegen aan een groep. Alle leden van de groep hebben toegang tot de applicaties waarvoor rechten zijn verleend aan de groep. Vereisten Applicaties worden toegevoegd aan de pagina Catalogus. VMware, Inc. 91

92 1 Klik in de beheerconsole op Gebruikers en groepen > Groepen. Op de pagina wordt een lijst met groepen weergegeven. 2 Klik op de groepsnaam om bronnen toe te voegen aan een groep. 3 Klik op het tabblad Apps en klik vervolgens op Recht toevoegen. 4 Selecteer in het vervolgkeuzemenu het type applicatie waarvoor u rechten wilt verlenen. De applicatietypen die beschikbaar zijn in het vervolgkeuzemenu zijn gebaseerd op de applicatietypen die worden toegevoegd aan de catalogus. 5 Selecteer de applicaties om rechten te verlenen aan de groep. U kunt zoeken naar een specifieke applicatie of u kunt het selectievakje naast Toepassingen inschakelen om alle weergegeven applicaties te selecteren. Als er als rechten voor een applicatie zijn verleend aan de groep, wordt de applicatie niet weergegeven. 6 Klik op Opslaan. De synchronisatie wordt op de achtergrond uitgevoerd. Wanneer de synchronisatie is voltooid, worden gebruikers in de groep gesynchroniseerd naar de directory en krijgen ze rechten voor de applicaties. Lokale gebruikers toevoegen U kunt lokale gebruikers maken in de VMware Identity Manager-service om gebruikers toe te voegen en te beheren die niet zijn ingericht in uw bedrijfsdirectory. U kunt verschillende lokale directory's maken en de kenmerktoewijzingen voor elke directory aanpassen. U maakt een directory en selecteert kenmerken en maakt aangepaste kenmerken voor die lokale directory. De vereiste gebruikerskenmerken Gebruikersnaam, Achternaam, Voornaam en adres zijn opgegeven op het algemene niveau van de pagina Identiteits- en toegangsbeheer > Gebruikerskenmerken. In de lijst met gebruikerskenmerken voor de lokale directory kunt u andere vereiste kenmerken selecteren en aangepaste kenmerken maken om voor verschillende lokale directory's aangepaste sets kenmerken te gebruiken. Zie 'Lokale directory's gebruiken' in de handleiding 'VMware Identity Manager installeren en configureren'. Maak lokale gebruikers als u wilt dat gebruikers uw applicaties kunnen openen, maar als u ze niet wilt toevoegen aan uw bedrijfsdirectory. U kunt een lokale directory maken voor een specifiek type gebruiker dat geen deel uitmaakt van uw bedrijfsdirectory. Bijvoorbeeld: u kunt een lokale directory maken voor partners die doorgaans geen deel uitmaken van uw bedrijfsdirectory en hen toegang geven tot alleen de specifieke applicaties die ze nodig hebben. VMware, Inc. 92

93 U kunt meerdere lokale directory's maken als u verschillende gebruikerskenmerken of verificatiemethoden wilt voor verschillende sets gebruikers. U kunt bijvoorbeeld een lokale directory voor leveranciers maken met de gebruikerskenmerken 'regio' en 'marktgrootte'. U maakt een andere lokale directory voor leveranciers met het gebruikerskenmerk 'productcategorie'. U configureert de verificatiemethode die lokale gebruikers gebruiken om zich aan te melden bij de website van uw bedrijf. Een wachtwoordbeleid wordt afgedwongen voor het lokale gebruikerswachtwoord. U kunt de wachtwoordbeperkingen en wachtwoordbeheerregels definiëren. Nadat u een gebruiker hebt ingericht, wordt een bericht verzonden met informatie over hoe de gebruiker zich kan aanmelden om het account in te schakelen. Wanneer de gebruiker zich aanmeldt, kan deze een wachtwoord maken en wordt het account ingeschakeld. Lokale gebruikers toevoegen U maakt gebruikers één voor één. Wanneer u de gebruiker toevoegt, selecteert u de lokale directory die is geconfigureerd met de lokale gebruikerskenmerken en het domein waarbij de gebruiker zich aanmeldt. U voegt niet alleen gebruikersinformatie toe, maar selecteert ook de gewenste gebruikersrol: gebruiker of beheerder. Met de beheerdersrol krijgt de gebruiker toegang tot de beheerconsole om de VMware Identity Manager-services te beheren. Vereisten Lokale directory gemaakt Domein geïdentificeerd voor lokale gebruikers Gebruikerskenmerken die zijn vereist, geselecteerd op de pagina Gebruikerskenmerken voor de lokale directory Wachtwoordbeleid geconfigureerd SMTP-server op het tabblad Apparaatinstellingen geconfigureerd om een melding te verzenden naar nieuw gemaakte lokale gebruikers 1 Klik op Gebruiker toevoegen op het tabblad Gebruikers en groepen van de beheerconsole. 2 Selecteer de lokale directory voor deze gebruiker op de pagina Een gebruiker toevoegen. De pagina wordt uitgevouwen om de gebruikerskenmerken weer te geven die u kunt configureren. 3 Selecteer het domein waaraan deze gebruiker is toegewezen en vul de vereiste gebruikersinformatie in. 4 Selecteer Beheerder in het tekstvak Gebruiker voor de rol van beheerder. 5 Klik op Toevoegen. VMware, Inc. 93

94 De lokale gebruiker is gemaakt. De gebruiker wordt in een gevraagd het account in te schakelen en een wachtwoord te maken. De koppeling in de verloopt volgens de waarde die is ingesteld op de pagina Wachtwoordbeleid. Dit is standaard zeven dagen. Wanneer de koppeling verloopt, kunt u op Wachtwoord opnieuw instellen klikken om de melding opnieuw te verzenden. Een gebruiker wordt toegevoegd aan bestaande groepen op basis van de regels voor groepskenmerken die zijn geconfigureerd. Wat nu te doen Ga naar het lokale gebruikersaccount om het profiel te bekijken, de gebruiker toe te voegen aan groepen en de gebruiker rechten te geven voor de te gebruiken bronnen. Wanneer u een admingebruiker in de systeemdirectory heeft gemaakt die rechten heeft op bronnen die door een specifiek toegangsbeleid worden beheerd, controleer dan of de beleidsregels van de applicatie ook Wachtwoord (lokale directory) als alternatieve verificatiemethode bevatten. Als Wachtwoord (lokale directory) niet is geconfigureerd, kan de beheerder zich niet aanmelden op de app. Lokale gebruikers uit- of inschakelen U hoeft lokale gebruikers niet te verwijderen, maar kunt ze uitschakelen om te voorkomen dat die gebruikers zich aanmelden en toegang krijgen tot de portal en bronnen waarvoor ze rechten hebben. 1 Klik op Gebruikers en groepen in de beheerconsole. 2 Selecteer de gebruiker op de pagina Gebruikers. De pagina Gebruikersprofiel wordt weergegeven. 3 Afhankelijk van status van de lokale gebruiker, doet u een van de volgende. a b Schakel het selectievakje Inschakelen uit als u het account wilt uitschakelen. Selecteer Inschakelen als u het account wilt inschakelen. Uitgeschakelde gebruikers kunnen zich niet aanmelden bij de portal of de bronnen waarvoor ze rechten hadden. Als ze werken in een bron waarvoor ze rechten hebben, wanneer de lokale gebruiker wordt uitgeschakeld, kan de lokale gebruiker toegang krijgen tot de bron tot de sessie eindigt. Lokale gebruikers verwijderen U kunt lokale gebruikers verwijderen. 1 Klik op Gebruikers en groepen in de beheerconsole. 2 Selecteer de gebruiker die u wilt verwijderen. De pagina Gebruikersprofiel wordt weergegeven. 3 Klik op Gebruiker verwijderen. VMware, Inc. 94

95 4 Klik op OK in het bevestigingsvenster. De gebruiker is verwijderd uit de lijst Gebruikers. Verwijderde gebruikers kunnen zich niet aanmelden bij de portal of de bronnen waarvoor ze rechten hebben. Wachtwoorden beheren U kunt een wachtwoordbeleid maken om lokale gebruikerswachtwoorden te beheren. Lokale gebruikers kunnen hun wachtwoord wijzigen volgens de beleidsregels voor wachtwoorden. Lokale gebruikers kunnen hun wachtwoord wijzigen via de portal Workspace ONE in het gedeelte Account via het vervolgkeuzemenu door hun naam op te zoeken. Wachtwoordbeleid voor lokale gebruikers configureren Het wachtwoordbeleid voor lokale gebruikers bestaat uit een reeks van regels en beperkingen voor de notatie en vervaldatum van de wachtwoorden voor lokale gebruikers. Het wachtwoordbeleid is alleen van toepassing op lokale gebruikers die u hebt gemaakt in de VMware Identity Manager-beheerconsole. Het wachtwoordbeleid kan bestaan uit wachtwoordbeperkingen, een maximale levensduur voor een wachtwoord en voor het opnieuw instellen van wachtwoorden, de maximale levensduur van het tijdelijke wachtwoord. In het standaardbeleid zijn zes tekens voor wachtwoorden vereist. De wachtwoordbeperkingen kunnen bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens om een sterk wachtwoord te vereisen. 1 Selecteer Gebruikers en groepen > Instellingen in de beheerconsole. 2 Klik op Wachtwoordbeleid om de parameters voor wachtwoordbeperkingen te bewerken. Optie Minimale lengte voor wachtwoorden Kleine letters Beschrijving De minimale lengte is zes tekens, maar u kunt vereisen dat meer dan zes tekens worden gebruikt. De minimale lengte mag niet minder zijn dan de gecombineerde minimale vereisten voor letters, cijfers en speciale tekens. Het minimale aantal kleine letters. Klein van a tot z Hoofdletters Het minimale aantal hoofdletters. Groot van A tot Z. Numerieke tekens (0-9) Het minimale aantal numerieke tekens. Tien basiscijfers (0-9) Speciale tekens Minimale aantal niet-alfanumerieke tekens, bijvoorbeeld & # % $! Opeenvolgende identieke tekens Wachtwoordgeschiedenis Maximale aantal identieke opeenvolgende tekens. Als u bijvoorbeeld 1 invoert, is het volgende wachtwoord toegestaan: p@s$word, maar het volgende wachtwoord niet: p@$$word. Aantal vorige wachtwoorden dat niet kan worden geselecteerd. Bijvoorbeeld: als een gebruiker geen van de laatste zes wachtwoorden opnieuw mag gebruiken, typt u 6. Als u deze functie wilt uitschakelen, stelt u de waarde in op 0. VMware, Inc. 95

96 3 Bewerk de parameters voor de levensduur van het wachtwoord in het gedeelte Wachtwoordbeheer. Optie Levensduur tijdelijk wachtwoord Levensduur wachtwoord Wachtwoordherinnering Frequentie herinneringsmelding wachtwoord Beschrijving Aantal uur dat een koppeling voor het opnieuw instellen van een wachtwoord of vergeten wachtwoord geldig is. De standaardwaarde is 168 uur. Maximale aantal dagen dat een wachtwoord kan bestaan voordat de gebruiker het moet wijzigen. Aantal dagen vóór de vervaldatum van het wachtwoord dat een melding over het verlopen van het wachtwoord wordt verzonden. Hoe vaak herinneringen moeten worden verzonden nadat de eerste melding over het verlopen van het wachtwoord is verzonden. Elk vak moet een waarde hebben om het beleid voor de levensduur van het wachtwoord in te stellen. Als u geen beleidsoptie wilt instellen, voert u 0 in. 4 Klik op Opslaan. Directory synchroniseren met juiste domeininformatie Wanneer u een bestaande VMware Identity Manager-directory hebt waarin het gebruikersdomein onjuist is of ontbreekt, moet u de domeininstellingen controleren en de directory opnieuw synchroniseren. Controle van de domeininstelling is vereist zodat gebruikers of groepen met dezelfde naam in verschillende Active Directory-domeinen correct worden gesynchroniseerd met de VMware Identity Manager-directory en gebruikers zich kunnen aanmelden. 1 Ga in de beheerconsole naar de pagina Identiteits- en toegangsbeheer > Directory's. 2 Selecteer de directory die u wilt synchroniseren, klik vervolgens op Synchronisatie-instellingen en klik op de tab Toegewezen kenmerken. 3 Controleer op de pagina Toegewezen kenmerken of het VMware Identity Manager-kenmerk domein is toegewezen aan de juiste kenmerknaam in Active Directory. Het domeinkenmerk wordt doorgaans toegewezen aan het kenmerk canonicalname in Active Directory. Het domeinkenmerk is niet gemarkeerd als Vereist. 4 Klik op Opslaan en synchroniseren om de directory te synchroniseren. VMware, Inc. 96

97 De catalogus beheren 8 De catalogus is de opslagplaats van alle bronnen waarvoor u gebruikers rechten kunt verlenen. U kunt toepassingen direct aan de catalogus toevoegen op het tabblad Catalogus. Als u de toepassingen wilt bekijken die zijn toegevoegd aan de catalogus, klikt u in de beheerconsole op de tab Catalogus. Op de pagina Catalogus kunt u de volgende taken uitvoeren: Nieuwe bronnen toevoegen aan uw catalogus. De bronnen bekijken waarvoor u op dat moment gebruikers rechten kunt verlenen. Informatie openen over elke bron in uw catalogus. U kunt de volgende typen bronnen integreren met VMware Identity Manager. Webapplicaties VMware Horizon Cloud Service-applicaties en -desktops Pools van VMware Horizon 7-, Horizon 6- en View-desktops en -applicaties Door Citrix gepubliceerde bronnen Verpakte VMware ThinApp -applicaties U integreert deze bronnen op de pagina Catalogus. Zie de Bronnen instellen in VMware Identity Manager voor informatie over het instellen van bronnen. Dit hoofdstuk omvat de volgende onderwerpen: Bronnen in de catalogus Bronnen in categorieën indelen Catalogusinstellingen beheren Bronnen in de catalogus Voordat u uw gebruikers rechten kunt verlenen voor een specifieke bron, moet u uw catalogus met die bron vullen. De methode die u gebruikt om uw catalogus met een bron te vullen, hangt af van welk type bron wordt gebruikt. De typen bronnen die u in uw catalogus voor rechten en distributie naar gebruikers kunt definiëren, zijn webapplicaties, Windows-applicaties die als VMware ThinApp-pakketten zijn vastgelegd, Horizon Clientdesktoppools en virtuele Horizon-applicaties of op Citrix gebaseerde applicaties. VMware, Inc. 97

98 Als u pools van Horizon Client-desktops en -applicaties, gepubliceerde Citrix-bronnen of applicaties in een ThinApp-pakket wilt integreren en inschakelen, gebruikt u het menu Bureaubladtoepassingen beheren op het tabblad Catalogus. Zie Bronnen instellen in VMware Identity Manager voor informatie, vereisten, installatie en configuratie van deze bronnen. Webapplicaties toevoegen aan uw catalogus U kunt webapplicaties rechtstreeks toevoegen aan uw catalogus via de pagina Catalogus in de beheerconsole. Zie het hoofdstuk Toegang verlenen aan webapplicaties in Bronnen instellen in VMware Identity Manager voor gedetailleerde instructies over het toevoegen van een webapplicatie aan uw catalogus. De volgende instructies bieden een overzicht van de stappen voor het toevoegen van deze brontypen aan uw catalogus. 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Klik op + Applicatie toevoegen. 3 Klik op een optie afhankelijk van het brontype en de locatie van de applicatie. Linknaam Brontype Beschrijving Webapplicatie...uit de catalogus met cloudapplicaties Webapplicatie...maak een nieuwe Webapplicatie... een ZIP- of JAR-bestand importeren Webapplicatie Webapplicatie Webapplicatie VMware Identity Manager omvat toegang tot standaard webapplicaties die beschikbaar zijn in de catalogus met cloudapplicaties die u als bronnen kunt toevoegen aan uw catalogus. Door het passende formulier in te vullen, kunt u een applicatierecord maken voor de webapplicaties die u als bronnen aan uw catalogus wilt toevoegen. U kunt een webapplicatie importeren die u eerder hebt geconfigureerd. Misschien wilt u deze methode gebruiken om een implementatie van inrichting naar productie te brengen. In een dergelijke situatie exporteert u een webapplicatie uit de inrichting als een ZIP-bestand. Vervolgens importeert u het ZIP-bestand naar de implementatie van de productie. 4 Volg de vragen om het toevoegen van bronnen aan de catalogus af te sluiten. VMware, Inc. 98

99 webapplicaties toevoegen aan uw catalogus Wanneer u een webapplicatie toevoegt aan de catalogus, maakt u een invoer aan dat indirect naar de webapplicatie verwijst. De invoer wordt gedefinieerd door het applicatiesrecord en dit is een formulier met een URL naar de webapplicatie. 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Klik op applicatie toevoegen > Webapplicatie...uit de applicatiecatalogus in de cloud. 3 Klik op het pictogram van de webapplicatie die u wilt toevoegen. Het applicatiesrecord wordt toegevoegd aan uw catalogus en de pagina Details wordt weergegeven waarbij de naam en het verificatieprofiel al zijn gespecificeerd. 4 (Optioneel) U kunt de informatie op de pagina Details aanpassen aan de behoeften van uw organisatie. Items op de pagina worden gevuld met informatie die specifiek is voor de webapplicatie. U kunt sommige items bewerken, dit is afhankelijk van de applicatie. Formulieritem Naam Beschrijving Pictogram Categorieën Beschrijving De naam van de applicatie. Een omschrijving van de applicatie die gebruikers kunnen lezen. Klik op Bladeren om een pictogram voor de applicatie te uploaden. Pictogrammen in PNG-, JPG- en ICONbestandsindelingen met maximale afmetingen van 1024 x 1024 pixels en maximaal 4 MB worden ondersteund. Applicatiepictogrammen die u uploadt, moeten minimaal 180 x 180 pixels zijn. Als het pictogram te klein is, wordt niet dit pictogram maar het Workspace ONE-pictogram weergegeven. Selecteer een categorie in het vervolgkeuzemenu om de applicatie te laten weergeven tijdens het doorzoeken van categorieën in de catalogusbronnen. De categorie moet u eerder hebben aangemaakt. 5 Klik op Opslaan. 6 Klik op Configuratie, bewerk de configuratie-informatie van het applicatiesrecord en klik op Opslaan. Sommige items op het formulier worden vooraf gevuld met informatie die specifiek is voor de webapplicatie. Sommige vooraf gevulde items kunnen worden bewerkt, andere niet. De vereiste informatie is afhankelijk van de applicatie. Voor sommige applicaties heeft het formulier een gedeelte voor applicatiesparameters. Wanneer het gedeelte aanwezig is voor een applicatie en een parameter in het gedeelte geen standaardwaarde heeft, voert u een waarde in om de applicatie te kunnen laten starten. Als er al een standaardwaarde staat, kunt u deze waarde bewerken. VMware, Inc. 99

100 7 Selecteer de tabbladen Rechten, Licenties en Provisioning en pas de informatie op passende wijze aan. Tabblad Rechten Toegangsbeleid Licenties Provisioning Beschrijving Geef gebruikers en groepen recht op de applicatie. U kunt rechten configureren terwijl u de applicatie voor het eerst configureert of op elk moment in de toekomst. Pas een toegangsbeleid toe om gebruikerstoegang voor de applicatie te beheren. Wanneer u de applicatie Office 365 with Provisioning toevoegt aan de catalogus, kunt u toegangsbeleid voor clients configureren voor het beheer van gebruikerstoegang tot Office 365-services waarvoor het verouderde verificatieproces wordt gebruikt. Zie de handleiding VMware Identity Manager Integration with Office 365. Goedkeuring bijhouden configureren. Voeg licentie-informatie voor de applicatie toe om het licentiegebruik in rapporten bij te houden. Goedkeuringen moeten ingeschakeld en geconfigureerd zijn in de pagina Catalogus > Instellingen. U moet ook de callback-uri van de goedkeuringsverzoekenverwerker registreren. Een webapplicatie inrichten om specifieke informatie van de VMware Identity Manager-service op te halen. Wanneer inrichting is geconfigureerd voor een webapplicatie wanneer u een gebruiker rechten geeft voor een applicatie, wordt de gebruiker ingericht in de webapplicatie. Op dit moment is een inrichtingsadapater beschikbaar voor Google Apps en Office 365. Ga naar VMware Identity Manager Integrations via voor configuratierichtlijnen voor deze applicaties. Verzamelingen van virtuele apps maken U kunt Horizon-desktops en -applicaties, Horizon Cloud-desktop en -applicaties, gepubliceerde Citrixbronnen en ThinApp-applicaties met VMware Identity Manager integreren vanaf de pagina Verzameling van virtuele apps. Vereisten Vóór 3.1 werden deze desktops en applicaties beheerd via Catalogus > Bureaubladtoepassingen beheren. Zie de handleiding Bronnen instellen in VMware Identity Manager 3.0. Alle instanties van de VMware Identity Manager-service moeten versie 3.1 of hoger zijn. Alle connectoren die worden gebruikt voor synchronisatie van bronnen, moeten versie of hoger zijn. 1 Selecteer Catalogus > Verzameling van virtuele apps in de beheerconsole. 2 Klik op Virtuele apps toevoegen in de rechterbovenhoek van de pagina en selecteer het type integratie, bijvoorbeeld Gepubliceerde Citrix-toepassing. VMware, Inc. 100

101 3 Voer de configuratiegegevens in. De volgende velden gelden voor alle soorten integraties. Optie Naam Synchronisatieconnectoren Synchronisatiefrequentie Activeringsbeleid Beschrijving Voer een unieke naam voor de verzameling in. Selecteer de connector om de bronnen in de verzameling te synchroniseren. Als een cluster van connectoren voor hoge beschikbaarheid is ingesteld, klikt u op Connector toevoegen en selecteert u de andere connectoren in het cluster in failovervolgorde. Selecteer hoe vaak u de resources in de verzameling wilt synchroniseren. Als u geen automatisch synchronisatieschema wilt instellen, selecteert u Handmatig. Selecteer hoe de bronnen beschikbaar worden gemaakt voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u hier selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 4 Voer in resterende velden de configuratiegegevens in voor de integratie, die verschillend is voor elk type integratie. Zie de handleiding Bronnen instellen in VMware Identity Manager 3.1 voor informatie over het integreren van een specifiek type bron. 5 Klik op Opslaan. De verzameling is gemaakt. U kunt de verzameling bekijken en bewerken op de pagina Verzameling van virtuele apps. VMware, Inc. 101