Beheer VMware Identity Manager. VMware Identity Manager 2.8

Transcriptie

1 VMware Identity Manager 2.8

2 U vindt de recentste technische documentatie op de website van VMware: Op de VMware-website vindt u tevens de nieuwste productupdates. Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com Copyright VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc.

3 Inhoud Over VMware Identity Manager-beheer 7 1 Werken met de VMware Identity Manager -beheerconsole 9 Navigeren in de beheerconsole 9 Overzicht van de instellingen voor identiteits- en toegangsbeheer 10 2 Integreren met uw Enterprise-directory 15 Belangrijke concepten met betrekking tot de integratie van directory's 15 3 Met Active Directory integreren 17 Active Directory-omgevingen 17 Domeincontrollers selecteren (bestand domain_krb.properties) 19 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd 24 Vereiste rechten voor het toevoegen aan een domein 25 Verbinding van Active Directory met de service configureren 26 Gebruikers de mogelijkheid geven om Active Directory-wachtwoorden te wijzigen 31 Beveiligingen voor directorysynchronisatie instellen 33 4 Met LDAP-directory's integreren 35 Beperkingen van LDAP-directory-integratie 35 Een LDAP-directory met de service integreren 36 5 Lokale directory's gebruiken 41 Een lokale directory maken 42 Instellingen voor lokale directory wijzigen 47 Een lokale directory verwijderen 48 Verificatiemethode voor systeembeheerders configureren 49 6 Just-in-Time-gebruikers-provisioning 51 Over Just-in-Time-gebruikers-provisioning 51 Voorbereiden voor just-in-time provisioning 52 Just-in-Time-gebruikersprovisioning configureren 54 Vereisten voor SAML-bevestigingen 55 Just-in-time gebruikersprovisioning uitschakelen 56 Een Just-in-time-map verwijderen 56 Foutmeldingen 57 7 Gebruikersverificatie configureren in VMware Identity Manager 59 Kerberos configureren voor VMware Identity Manager 61 SecurID configureren voor VMware Identity Manager 65 RADIUS configureren voor VMware Identity Manager 67 VMware, Inc. 3

4 RSA adaptieve verificatie configureren in VMware Identity Manager 69 Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager 72 VMware Verify configureren voor tweeledige verificatie 75 Een ingebouwde identiteitsprovider configureren 77 Extra Workspace-identiteitsproviders configureren 79 Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers 80 Verificatiemethoden beheren die op gebruikers worden toegepast 82 8 Toegangsbeleid beheren 87 Instellingen configureren voor toegangsbeleid 87 Web- en desktopapplicatiespecifiek beleid beheren 90 Een web- of desktopapplicatiespecifiek beleid toevoegen 91 Aangepast foutbericht configureren voor toegang geweigerd 92 Een toegangsbeleid bewerken 93 Persistente cookie inschakelen op mobiele apparaten 93 9 Gebruikers en groepen beheren 95 Typen gebruikers en groepen 95 Gebruikersnamen en groepsnamen 96 Gebruikers beheren 97 Groepen maken en groepsregels configureren 98 Groepsregels bewerken 101 Bronnen toevoegen aan groepen 101 Lokale gebruikers toevoegen 102 Wachtwoorden beheren De catalogus beheren 107 Bronnen in de catalogus 108 Bronnen in categorieën indelen 111 Catalogusinstellingen beheren In het dashboard werken van de beheerconsole 119 Gebruikers en bronverbruik controleren via het dashboard 119 Systeeminformatie en -status controleren 120 Rapporten weergeven Aangepaste merkinformatie van VMware Identity Manager-services 123 Aangepaste merkinformatie in VMware Identity Manager 123 Aangepaste merkinformatie voor het gebruikersportal 125 Merkvermelding voor de applicatie VMware Verify aanpassen AirWatch met VMware Identity Manager integreren 127 AirWatch instellen voor integratie met VMware Identity Manager 127 AirWatch-instantie instellen in VMware Identity Manager 131 Uniforme catalogus voor AirWatch inschakelen 133 Verificatie implementeren met AirWatch Cloud Connector 133 Mobiele Single Sign-in-verificatie implementeren voor door AirWatch beheerde ios-apparaten 135 Mobiele Single Sign-On-verificatie implementeren voor Android-apparaten VMware, Inc.

5 Inhoud Compliancecontrole inschakelen voor door AirWatch beheerde apparaten 149 Index 151 VMware, Inc. 5

6 6 VMware, Inc.

7 Over VMware Identity Manager-beheer VMware Identity Manager-beheer biedt informatie en instructies over het gebruik en het onderhoud van de VMware Identity Manager-services. U kunt met VMware Identity Manager verificatiemethoden en het toegangsbeleid instellen en beheren, een catalogus met bronnen voor de applicaties van uw organisatie aanpassen en voor een veilig beheerde gebruikerstoegang zorgen tot die bronnen op meerdere apparaten. Onder dergelijke bronnen vallen ook webapplicaties, Windows-applicaties vastgelegd als ThinApppakketten, op Citrix gebaseerde applicaties en View-desktoppools en -applicatiepools. Doelgroep Deze informatie is bedoeld voor iedereen die VMware Identity Manager wil configureren en beheren. Deze informatie is geschreven voor ervaren Windows- of Linux-systeembeheerders die bekend zijn met de technologie van virtual machines, identiteitsbeheer, Kerberos en directoryservices. Kennis van andere technologieën zoals VMware ThinApp, View, Citrix-applicatiesvirtualisatie en verificatiemethoden zoals RSA SecurID, komt goed van pas wanneer u die functies wilt implementeren. VMware, Inc. 7

8 8 VMware, Inc.

9 Werken met de VMware Identity Manager - beheerconsole 1 De VMware Identity Manager -beheerconsole biedt u een gecentraliseerd beheerconsole waarmee u gebruikers en groepen kunt beheren, bronnen aan de catalogus kunt toevoegen, rechten voor bronnen kunt beheren in de catalogus, de AirWatch-integratie kunt configureren, en verificatie- en toegangsbeleid kunt instellen en beheren. De belangrijkste taken die u uitvoert via de beheerconsole zijn het beheren van beleid voor gebruikersverificatie en toegang en gebruikers rechten geven voor bronnen. Overige taken ondersteunen deze belangrijke taak door u uitgebreidere controle te geven over welke gebruikers of groepen in aanmerking komen voor welke bronnen, en onder welke omstandigheden. Eindgebruikers kunnen zich aanmelden bij hun VMware Workspace ONE -portal via hun desktop of hun mobiele apparaten om toegang te krijgen tot werkbronnen, waaronder desktops, browsers, gedeelde bedrijfsdocumenten en verschillende typen applicaties die u geschikt kunt maken voor hun gebruik. Dit hoofdstuk omvat de volgende onderwerpen: Navigeren in de beheerconsole, op pagina 9 Overzicht van de instellingen voor identiteits- en toegangsbeheer, op pagina 10 Navigeren in de beheerconsole De taken in de beheerconsole staan onderverdeeld op tabbladen. Tabblad Dashboard Gebruikers en groepen Catalogus Beschrijving Het dashboard voor gebruikersbetrokkenheid kan worden gebruikt om gebruikers en bronnen te monitoren. Op dit dashboard wordt informatie weergegeven over wie zich heeft aangemeld, welke applicaties worden gebruikt en hoe vaak die applicaties worden gebruikt. Op het dashboard voor systeemdiagnose wordt een gedetailleerd overzicht van de status van de service in uw omgeving en informatie over de services weergegeven. U kunt rapporten maken om de activiteiten van gebruikers en groepen, bron- en apparaatgebruik en auditgebeurtenissen per gebruiker te volgen. Op het tabblad Gebruikers en groepen kunt u gebruikers en groepen beheren en controleren die u uit uw Active Directory of de LDAP-directory hebt geïmporteerd, lokale gebruikers en groepen maken en de gebruikers en groepen rechten voor bronnen verlenen. U kunt het wachtwoordbeleid voor lokale gebruikers configureren. De catalogus is een opslagplaats voor alle bronnen waarvan u de rechten aan gebruikers kunt verlenen. Op het tabblad Catalogus kunt u webapplicaties, ThinApp-pakketten, View-groepen en -applicaties, Horizon Air-desktops en op Citrix gebaseerde applicaties toevoegen. U kunt een nieuwe applicatie maken, applicaties in categorieën sorteren en toegang krijgen tot informatie over elke bron. Op de pagina Instellingen catalogus kunt u SAML-certificaten downloaden, bronconfiguraties beheren en de vormgeving van de gebruikersportal aanpassen. VMware, Inc. 9

10 Tabblad Identiteits- en toegangsbeheer Apparaatinstellingen Beschrijving Op het tabblad Identiteits- en toegangsbeheer kunt u de connectorservice instellen, AirWatchintegratie configureren, verificatiemethoden instellen en aangepaste merkinformatie toepassen op de aanmeldingspagina en beheerconsole. U kunt directory-instellingen, identiteitsproviders en toegangsbeleid beheren. Ook kunt u externe identiteitsproviders configureren. Op het tabblad Apparaatinstellingen kunt u de configuratie van de apparaat beheren, waaronder de configuratie van SSL-certificaten voor de apparaat, de beheerders- en systeemwachtwoorden voor de services wijzigen en andere infrastructurele functies beheren. Ook kunt u de licentie-instellingen bijwerken en SMTP-instellingen configureren. Ondersteunde webbrowsers om toegang te krijgen tot de beheerconsole De VMware Identity Manager-beheerconsole is een webapplicatie die u gebruikt om uw tenant te beheren. U kunt de Beheerconsole openen via de volgende browsers. Internet Explorer 11 voor Windows-systemen Google Chrome 42.0 of later voor Windows- en Mac-systemen Mozilla Firefox 40 of later voor Windows- en Mac-systemen Safari en later voor Mac-systemen Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. Componenten voor eindgebruikers van VMware Identity Manager Gebruikers hebben via hun Workspace ONE-portal toegang tot alle bronnen waarvoor ze rechten bezitten. Ze hebben via Identity Manager Desktop toegang tot gevirtualiseerde Windows-applicaties die als ThinApp-pakketten zijn vastgelegd. Tabel 1 1. Gebruiker-client-onderdelen Gebruikersonderdeel Beschrijving Beschikbare endpoints Gebruikersapp-portal Workspace ONE Identity Manager Desktop De app-portal is een agentloze op het web gebaseerde applicatie. Het is de standaardinterface die wordt gebruikt wanneer gebruikers bronnen waarvoor zij rechten hebben, openen via een browser en deze gebruiken. Als een eindgebruiker rechten heeft voor ThinAppapplicaties en een Windows-computer gebruikt waarop de applicatie Identity Manager Desktop is geïnstalleerd en geactiveerd, kan deze gebruiker de ThinApp-pakketten waarvoor de rechten zijn verleend via deze app-portal bekijken en starten. Wanneer dit programma is geïnstalleerd op Windowscomputers van gebruikers, kunnen deze gebruikers werken met hun gevirtualiseerde Windows-applicaties die zijn vastgelegd als ThinApp-pakketten. Een op het web gebaseerde app-portal is beschikbaar op alle ondersteunde systeem-endpoints, zoals Windows-computers, Maccomputers, ios-apparaten en Android-apparaten. Windows-computers Overzicht van de instellingen voor identiteits- en toegangsbeheer Via het tabblad identiteits- en toegangsbeheer in de beheerconsole kunt u de verificatiemethoden, het toegangsbeleid en de directoryservice instellen en beheren en het uiterlijk en de uitstraling aanpassen van de eindgebruikersportal en de beheerconsole. Hier volgt een omschrijving van de installatie-instellingen op het tabblad Identiteits- en toegangsbeheer. 10 VMware, Inc.

11 Hoofdstuk 1 Werken met de VMware Identity Manager -beheerconsole Figuur 1 1. Installatiepagina's van identiteits- en toegangsbeheer Tabel 1 2. Installatie-instellingen voor identiteits- en toegangsbeheer Instelling Installatie > Connectoren Installatie > Aangepaste merkinformatie Installatie > Gebruikerskenmerken Installatie > Netwerkbereiken Beschrijving De pagina Connectoren geeft een overzicht van de connectoren die binnen uw bedrijfsnetwerk zijn geïmplementeerd. De connector wordt gebruikt om gegevens van gebruikers en groepen tussen uw bedrijfsdirectory en de service te synchroniseren en wanneer deze wordt gebruikt als identiteitsprovider, verifieert de connector gebruikers van de service. Wanneer u een directory koppelt aan een connectorinstantie, wordt door de connector een partitie gemaakt voor de gekoppelde directory, die we een werker noemen. Aan een connectorinstantie kunnen meerdere werkers gekoppeld zijn. Elke werker fungeert als identiteitsprovider. U definieert en configureert verificatiemethoden per werker. De connector synchroniseert gebruikers- en groepsgegevens tussen uw bedrijfsdirectory en de service via een of meerdere werkers. Selecteer in de kolom Werker een werker om de gegevens van de connector weer te geven en ga naar de pagina Verificatieadapters om de status van de beschikbare verificatiemethoden weer te geven. Zie Hoofdstuk 7, Gebruikersverificatie configureren in VMware Identity Manager, op pagina 59 voor informatie over verificatie. Selecteer in de kolom Identiteitsprovider de IdP die u wilt weergeven, bewerken of uitschakelen. Zie Een identiteitsproviderinstantie toevoegen en configureren, op pagina 80. Open in de kolom Gekoppelde directory de directory die aan deze werker is gekoppeld. Voordat u een nieuwe connector kunt toevoegen, klikt u op Connector toevoegen om een activeringscode te genereren die u in de installatiewizard plakt om communicatie met de connector tot stand te brengen. koppeling Aan domein toevoegen Klik op Aan domein toevoegen om de connector te toe te voegen aan een specifiek Active Directory-domein. Als u Kerberos-verificatie configureert, moet u bijvoorbeeld deelnemen aan het Active Directory-domein dat gebruikers bevat of dat een vertrouwensrelatie heeft met het domein dat de gebruikers bevat. Wanneer u een directory configureert met Active Directory met geïntegreerde Windows-verificatie, wordt de connector lid van het domein op basis van de configuratiegegevens. Op de pagina Aangepaste merkinformatie kunt u het uiterlijk van de kop van de beheerconsole en het aanmeldscherm aanpassen. Zie Aangepaste merkinformatie in VMware Identity Manager, op pagina 123. Om de webportal aan te passen voor eindgebruikers voor weergave op mobiele apparaten en tablets, gaat u naar Catalogus > Instellingen > Merkvermelding in gebruikersportal. Zie Aangepaste merkinformatie voor het gebruikersportal, op pagina 125. Op de pagina Gebruikerskenmerken worden de standaard gebruikerskenmerken weergegeven die worden gesynchroniseerd in de directory. U kunt andere kenmerken toevoegen die u kunt toewijzen aan Active Directory-kenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory, op pagina 24. Op deze pagina worden de netwerkbereiken weergegeven die u hebt toegevoegd. U configureert een netwerkbereik om gebruikers toegang te bieden via de betreffende IPadressen. U kunt aanvullende netwerkbereiken toevoegen en u kunt bestaande bereiken bewerken. Zie Een netwerkbereik toevoegen of bewerken, op pagina 82. VMware, Inc. 11

12 Tabel 1 2. Installatie-instellingen voor identiteits- en toegangsbeheer (Vervolgd) Instelling Installatie > Automatische detectie Installatie > AirWatch Installatie > Voorkeuren Beschrijving Wanneer VMware Identity Manager en AirWatch zijn geïntegreerd, kunt u de service Windows-automatische detectie integreren die u in uw AirWatch-configuratie hebt geïmplementeerd met de VMware Identity Manager-service. Voor meer informatie over het instellen van automatische detectie in AirWatch, kunt u de documentatie raadplegen van AirWatch, Installatiegids voor VMware AirWatch Windows Automatische detectieservice, beschikbaar via de website van AirWatch, Registreer uw domein om de service automatische detectie te gebruiken om het voor gebruikers eenvoudiger te maken om hun app-portal te openen via Workspace ONE. Eindgebruikers kunnen hun adressen invoeren in plaats van de URL van de organisatie wanneer zij hun app-portal willen openen via Workspace ONE. Zie de gids VMware Workspace ONE-app op apparaten instellen voor meer informatie over automatische detectie. Op deze pagina kunt u de integratie met AirWatch instellen. Wanneer de integratie is ingesteld en opgeslagen, kunt u de uniforme catalogus inschakelen om applicaties die in de AirWatch Catalog samen te voegen met de uniforme catalogus; schakel compliancecontrole in om te verifiëren of de beheerde apparaten voldoen aan het compliancebeleid van AirWatch en schakel gebruikerswachtwoordverificatie via de AirWatch Cloud Connector (ACC) in. Zie Hoofdstuk 13, AirWatch met VMware Identity Manager integreren, op pagina 127. De pagina Voorkeuren toont functies die de beheerder kan inschakelen. Zoals Het inschakelen van persistente cookies via deze pagina. Zie Persistente cookie inschakelen, op pagina 94. Wanneer lokale gebruikers in uw service zijn geconfigureerd, en u Lokale gebruikers als een domeinoptie op de aanmeldingspagina wilt weergegeven, schakelt u Lokale gebruikers op de aanmeldingspagina weergeven in. Hier volgt een omschrijving van de instellingen die worden gebruikt om de services te beheren op het tabblad Identiteits- en toegangsbeheer. Figuur 1 2. Beheerpagina's van identiteits- en toegangsbeheer Tabel 1 3. Beheerinstellingen voor identiteits- en toegangsbeheer Instelling Beheren > Directory's Beheren > Identiteitsproviders Beschrijving De pagina Directory's toont de mappen die u hebt gemaakt. U maakt een of meerdere mappen en vervolgens synchroniseert u deze mappen met uw bedrijfsdirectoryimplementatie. Op deze pagina kunt het aantal groepen en gebruikers zien dat wordt gesynchroniseerd met de directory en het laatste tijdstip waarop is gesynchroniseerd. U kunt op Nu synchroniseren klikken om het synchroniseren van directory's te starten. Zie Hoofdstuk 2, Integreren met uw Enterprise-directory, op pagina 15. Wanneer u op een naam van een map klikt, kunt u de synchronisatie-instellingen bewerken, naar de pagina Identiteitsprovider gaan en het synchronisatielogboek bekijken. Op de pagina met synchronisatie-instellingen voor directory's kunt u de synchronisatiefrequentie plannen, de lijst weergeven met domeinen die aan deze directory gekoppeld zijn, de lijst met toegewezen kenmerken wijzigen, de lijst bijwerken met gebruikers en groepen die worden gesynchroniseerd en de beveiligingsdoelen instellen. De pagina Identiteitsproviders toont de identiteitsproviders die u hebt geconfigureerd. De connector is de eerste identiteitsprovider. U kunt externe identiteitsproviderinstanties toevoegen of een combinatie van beide gebruiken. De ingebouwde identiteitsprovider van VMware Identity Manager kan worden geconfigureerd voor verificatie. Zie Een identiteitsproviderinstantie toevoegen en configureren, op pagina VMware, Inc.

13 Hoofdstuk 1 Werken met de VMware Identity Manager -beheerconsole Tabel 1 3. Beheerinstellingen voor identiteits- en toegangsbeheer (Vervolgd) Instelling Beheren > Assistent wachtwoordherstel Beheren > Beleid Beschrijving Op de pagina Assistent wachtwoordherstel kunt u het standaardgedrag wijzigen wanneer de eindgebruiker klikt op "Wachtwoord vergeten" op het aanmeldscherm. Op de pagina Beleid worden het standaardtoegangsbeleid en ander toegangsbeleid voor webapplicaties dat u hebt gemaakt, weergegeven. Beleid bestaat uit een verzameling regels die criteria opgeven waaraan moet worden voldaan voordat gebruikers toegang krijgen tot hun portal Mijn apps of webapplicaties kunnen starten die voor deze gebruikers zijn ingeschakeld. U kunt het standaardbeleid bewerken, en als webapplicaties zijn toegevoegd aan de catalogus kunt u een nieuw beleid toevoegen om toegang tot deze webapplicaties te beheren. Zie Hoofdstuk 8, Toegangsbeleid beheren, op pagina 87. VMware, Inc. 13

14 14 VMware, Inc.

15 Integreren met uw Enterprisedirectory 2 U kunt VMware Identity Manager integreren met uw Enterprise directory om gebruikers en groepen van uw Enterprise directory te synchroniseren met de VMware Identity Manager-service. De volgende typen directory's worden ondersteund. Active Directory via LDAP Active Directory, Geïntegreerde Windows-verificatie LDAP-directory Voer de volgende taken uit om te integreren met uw Enterprise directory. Specificeer de kenmerken voor de gebruikers in de VMware Identity Manager-service. Maak een map aan in de VMware Identity Manager-service en gebruik daarvoor hetzelfde type map dat uw Enterprise directory heeft en specificeer de informatie over de verbinding. Wijs de VMware Identity Manager-kenmerken toe aan de kenmerken die worden gebruikt in uw Active Directory of in de LDAP-directory. Specificeer de gebruikers en groepen die u wilt synchroniseren. Synchroniseer gebruikers en groepen. Wanneer u uw Enterprise directory hebt geïntegreerd en de eerste synchronisatie hebt uitgevoerd, kunt u de configuratie bijwerken, een synchronisatieschema instellen om regelmatig te synchroniseren, of op een willekeurig moment een synchronisatie starten. Belangrijke concepten met betrekking tot de integratie van directory's Bepaalde concepten maken integraal deel uit van begrijpen hoe de VMware Identity Manager-service kan worden geïntegreerd in de omgeving van uw Active Directory of LDAP-directory. Connector De Connector, een onderdeel van de service, voert de volgende functies uit. De gebruikers- en groepsgegevens van uw Active Directory of LDAP-directory worden met de service gesynchroniseerd. Als deze wordt gebruikt als een identiteitsprovider, verifieert deze gebruikers naar de service. VMware, Inc. 15

16 De Connector is de standaardidentiteitsprovider. U kunt ook identiteitsproviders van derden gebruiken die het SAML 2.0-protocol ondersteunen. Gebruik een externe identiteitsprovider voor een verificatietype dat niet door de Connector wordt ondersteund of als de externe identiteitsprovider de voorkeur heeft op basis van het beveiligingsbeleid van uw bedrijf. Opmerking Als u identiteitsproviders van derden gebruikt, kunt u de Connector configureren om gegevens van gebruikers en groepen te synchroniseren of u kunt Just-in-Time-gebruikers-provisioning configureren. Raadpleeg het gedeelte Just-in-Time-gebruikers-provisioning in VMware Identity Managerbeheer voor meer informatie. Directory Werker De VMware Identity Manager-service heeft een eigen concept van een directory, die overeenkomt met de Active Directory of LDAP-directory in uw omgeving. Deze directory maakt gebruik van kenmerken om gebruikers en groepen te definiëren. U maakt één of meer directory's in de service en vervolgens synchroniseert u deze directory's met uw Active Directory of LDAP-directory. U kunt de volgende directorytypen maken in de service. Active Directory Active Directory via LDAP. Maak dit directorytype als u verbinding wilt maken met één Active Directory-domeinomgeving. Voor het directorytype Active Directory via LDAP verbindt de Connector met Active Directory met behulp van eenvoudige bindingsverificatie. Active Directory, Geïntegreerde Windows-verificatie. Maak dit directorytype als u verbinding wilt maken met een Active Directory-omgeving met meerdere domeinen of meerdere forests. De Connector verbindt met Active Directory met behulp van Geïntegreerde Windows-verificatie. Het type en het aantal directory's dat u maakt, is afhankelijk van uw Active Directory-omgeving, zoals één domein of meerdere domeinen, en van het vertrouwenstype dat tussen de domeinen wordt gebruikt. In de meeste omgevingen maakt u één directory. LDAP-directory De service heeft geen rechtstreekse toegang tot uw Active Directory of LDAP-directory. Alleen de Connector heeft rechtstreekse toegang. Daarom koppelt u elke directory die in de service is gemaakt, aan een Connector-instantie. Als u een directory koppelt aan een Connector-instantie, maakt de Connector een partitie voor de gekoppelde directory, een werker genaamd. Aan een Connector-instantie kunnen meerdere werkers gekoppeld zijn. Elke werker fungeert als identiteitsprovider. U definieert en configureert verificatiemethoden per werker. De Connector synchroniseert gegevens van gebruikers en groepen tussen uw Active Directory of LDAPdirectory en de service via een of meer werkers. Belangrijk U kunt niet twee werkers van de Active Directory van het type Geïntegreerde Windowsverificatie op dezelfde Connector-instantie hebben. Beveiligingsoverwegingen Voor bedrijfsdirectory's die zijn geïntegreerd met de VMware Identity Manager-service moeten beveiligingsinstellingen, zoals regels voor de complexiteit van gebruikerswachtwoorden en beleid voor accountvergrendeling, rechtstreeks worden geconfigureerd in bedrijfsdirectory. VMware Identity Manager overschrijft deze instellingen niet. 16 VMware, Inc.

17 Met Active Directory integreren 3 U kunt VMware Identity Manager integreren met uw Active Directory-implementatie om gebruikers en groepen van Active Directory te synchroniseren met VMware Identity Manager. Zie ook Belangrijke concepten met betrekking tot de integratie van directory's, op pagina 15. Dit hoofdstuk omvat de volgende onderwerpen: Active Directory-omgevingen, op pagina 17 Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd, op pagina 24 Vereiste rechten voor het toevoegen aan een domein, op pagina 25 Verbinding van Active Directory met de service configureren, op pagina 26 Gebruikers de mogelijkheid geven om Active Directory-wachtwoorden te wijzigen, op pagina 31 Beveiligingen voor directorysynchronisatie instellen, op pagina 33 Active Directory-omgevingen U kunt de service integreren met een Active Directory-omgeving die bestaat uit één Active Directorydomein, meerdere domeinen in één Active Directory-forest of meerdere domeinen in meerdere Active Directory-forests. Omgeving met één Active Directory-domein In een implementatie met één Active Directory-domein kunt u gebruikers en groepen van één Active Directory-domein synchroniseren. Selecteer de optie Active Directory via LDAP wanneer u een directory aan de service toevoegt voor deze omgeving. Voor meer informatie raadpleegt u: Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd, op pagina 24 Vereiste rechten voor het toevoegen aan een domein, op pagina 25 Verbinding van Active Directory met de service configureren, op pagina 26 VMware, Inc. 17

18 Active Directory-omgeving met één forest en meerdere domeinen In een Active Directory-implementatie met één forest en meerdere domeinen kunt u gebruikers en groepen van meerdere Active Directory-domeinen binnen één forest synchroniseren. U kunt de service voor deze Active Directory-omgeving configureren als één Active Directory-directorytype met geïntegreerde Windows-verificatie of, als alternatieve optie, als het directorytype Active Directory via LDAP met de optie voor de globale catalogus geconfigureerd. De aanbevolen optie is om het enkele Active Directory-type met geïntegreerde Windows-verificatie te maken. Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor meer informatie raadpleegt u: Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd, op pagina 24 Vereiste rechten voor het toevoegen aan een domein, op pagina 25 Verbinding van Active Directory met de service configureren, op pagina 26 Als Geïntegreerde Windows-verificatie niet werkt in uw Active Directory-omgeving, maakt u een directory van het type Active Directory via LDAP en selecteert u de optie globale catalogus. Hier volgen een aantal beperkingen in verband met het selecteren van de optie globale catalogus: De Active Directory-objectkenmerken die worden gekopieerd naar de globale catalogus worden in het Active Directory-schema vermeld als gedeeltelijke kenmerkreeks (PAS). Alleen deze kenmerken zijn beschikbaar voor het toewijzen van kenmerken door de service. Indien nodig kunt u het schema bewerken of kenmerken die in de globale catalogus zijn opgeslagen, toevoegen of verwijderen. In de globale catalogus wordt uitsluitend het groepslidmaatschap (het lidmaatschapskenmerk) van universele groepen opgeslagen. Er worden alleen universele groepen gesynchroniseerd met de service. Indien nodig wijzigt u het bereik van een groep van een lokaal of globaal domein naar een universeel domein. Het account van de bindings-dn dat u opgeeft wanneer u een directory in de service configureert, moet over toestemmingen beschikken om het kenmerk Token-Groups-Global-And-Universal (TGGAU) te kunnen lezen. Active Directory gebruikt poorten 389 en 636 voor standaard LDAP-query's. Voor globale catalogusquery's worden poorten 3268 en 3269 gebruikt. Wanneer u een directory toevoegt voor de globale catalogusomgeving, geeft u het volgende op tijdens de configuratie. Selecteer de optie Active Directory via LDAP. Schakel het selectievakje voor de optie Deze directory ondersteunt de locatie van de DNS-service. Selecteer de optie Deze directory heeft een Global Catalog. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in Omdat de basis-dn niet noodzakelijk is tijdens het configureren van de optie globale catalogus, wordt het tekstvak Basis-DN niet weergegeven. Voeg de serverhostnaam van de Active Directory toe. 18 VMware, Inc.

19 Hoofdstuk 3 Met Active Directory integreren Als voor uw Active Directory toegang via SSL is vereist, selecteert u de optie Voor deze map is vereist dat alle verbindingen SSL gebruiken en plakt u het certificaat in het daarvoor bestemde tekstvak. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in Active Directory-omgeving met meerdere forests met vertrouwensrelaties In een Active Directory-implementatie met meerdere forests met vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren als er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor meer informatie raadpleegt u: Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd, op pagina 24 Vereiste rechten voor het toevoegen aan een domein, op pagina 25 Verbinding van Active Directory met de service configureren, op pagina 26 Active Directory-omgeving met meerdere forests zonder vertrouwensrelaties In een Active Directory-implementatie met meerdere forests zonder vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren zonder dat er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. In deze omgeving kunt u meerdere directory's maken in de service: één directory voor elk forest. Het type directory's dat u in de service maakt, is afhankelijk van het forest. Voor forests met meerdere domeinen selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor een forest met één domein kiest u de optie Active Directory via LDAP. Voor meer informatie raadpleegt u: Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd, op pagina 24 Vereiste rechten voor het toevoegen aan een domein, op pagina 25 Verbinding van Active Directory met de service configureren, op pagina 26 Domeincontrollers selecteren (bestand domain_krb.properties) Het bestand domain_krb.properties geeft aan welke domeincontrollers worden gebruikt voor directory's waarbij de DNS-zoekactie voor de servicelocatie (SRV-records) is ingeschakeld. Het bestand bevat een lijst met domeincontrollers voor elk domein. Het wordt in eerste instantie gemaakt door de connector, maar u moet het vervolgens zelf bijhouden. Het bestand overschrijft de DNS-zoekacties voor de servicelocatie. DNS-zoekacties voor servicelocaties zijn ingeschakeld voor de volgende directorytypen: Active Directory via LDAP waarvoor de optie Deze directory ondersteunt DNS-servicelocatie is ingeschakeld Active Directory (Geïntegreerde Windows-verificatie), waarbij de servicelocatie altijd via DNS wordt opgezocht VMware, Inc. 19

20 Bij de aanmaak van een directory waarvoor de servicelocatie via DNS wordt opgezocht, wordt automatisch het bestand domain_krb.properties gemaakt in de directory /usr/local/horizon/conf van de virtual machine en automatisch ingevuld met de domeincontrollers voor elk domein. Om het bestand in te vullen zoekt de connector naar domeincontrollers die zich op dezelfde site als de connector bevinden en selecteert hier twee bereikbare controllers die de snelste respons hebben. Wanneer u aanvullende directory's maakt waarvoor de servicelocatie via DNS wordt opgezocht, of nieuwe domeinen toevoegt aan een directory met geïntegreerde Windows-verificatie, worden de nieuwe domeinen met bijbehorende domeincontrollers opgenomen in het bestand. U kunt de standaardselectie te allen tijde overschrijven door het bestand domain_krb.properties te bewerken. Als best practice wordt aanbevolen om het bestand domain_krb.properties voor een nieuwe directory direct te controleren om te kijken of de vermelde domeincontrollers optimaal zijn voor uw configuratie. Bij een mondiale Active Directory-implementatie waarbij meerdere domeincontrollers over verschillende geografische locaties zijn verspreid, krijgt u de snelste communicatie met Active Directory wanneer u een domeincontroller kiest die zich vlak bij de connector bevindt. Ook voor andere wijzigingen moet u het bestand handmatig bijwerken. De volgende regels zijn van applicatie. Het bestand domain_krb.properties wordt gemaakt op de virtual machine van de connector. In een normale implementatie zonder aanvullende connectoren wordt het bestand gemaakt op de virtual machine van de VMware Identity Manager-service. Als u een aanvullende connector voor de directory gebruikt, wordt het bestand gemaakt op de virtual machine van de connector. Een virtual machine kan slechts één domain_krb.properties-bestand bevatten. Wanneer u een nieuwe directory maakt waarbij de servicelocatie via DNS wordt opgezocht, wordt het bestand automatisch gemaakt en gevuld met de domeincontrollers voor elk domein. De domeincontrollers voor elk domein worden in volgorde van prioriteit weergegeven. De eerste domeincontroller in de lijst zal door de connector worden gebruikt om verbinding met Active Directory te maken. Als deze niet bereikbaar is, wordt de tweede controller in de lijst geprobeerd enzovoort. Het bestand wordt alleen bijgewerkt wanneer u een nieuwe directory maakt waarvoor de servicelocatie via DNS wordt opgezocht of wanneer u een domein toevoegt aan een directory met geïntegreerde Windows-verificatie. Het nieuwe domein wordt met bijbehorende domeincontrollers aan het bestand toegevoegd. Houd er rekening mee dat een bestaande domeinvermelding in het bestand niet wordt bijgewerkt. Stel dat u een directory hebt gemaakt en deze vervolgens verwijdert, dan wordt het bestand niet bijgewerkt en blijft de originele vermelding van het domein in het bestand gehandhaafd. Ook in andere gevallen wordt het bestand niet automatisch bijgewerkt. Als u een directory bijvoorbeeld verwijdert, wordt de domeinvermelding niet uit het bestand verwijderd. Als een vermelde domeincontroller in het bestand onbereikbaar wordt, moet u het bestand handmatig bewerken en de vermelding verwijderen. Als u een domeinvermelding handmatig toevoegt of bewerkt, worden uw wijzigingen niet overschreven. Voor informatie over het bewerken van het bestand domain_krb.properties, zie Het bestand domain_krb.properties bewerken, op pagina 22. Belangrijk Het bestand /etc/krb5.conf moet altijd overeenkomen met het bestand domain_krb.properties. Telkens als u het bestand domain_krb.properties bijwerkt, moet u ook het bestand krb5.conf bijwerken. Zie Het bestand domain_krb.properties bewerken, op pagina 22 en het Knowledge Base-artikel voor meer informatie. 20 VMware, Inc.

21 Hoofdstuk 3 Met Active Directory integreren Selectie van domeincontrollers waarmee het bestand domain_krb.properties automatisch wordt gevuld Om het bestand domain_krb.properties automatisch in te vullen, wordt op basis van IP-adres en netmasker gekeken op welk subnet de connector zich bevindt, waarna de Active Directory-configuratie wordt gebruikt om de site op dat subnet te identificeren. Vervolgens wordt de lijst met domeincontrollers voor die site opgehaald en gefilterd om het juiste domein te bepalen, waarna de twee domeincontrollers met de snelste respons worden geselecteerd. Om de dichtstbijzijnde domeincontrollers te kunnen bepalen, stelt VMware Identity Manager de volgende vereisten: Het subnet van de connector moet aanwezig zijn in de Active Directory-configuratie of er moet een subnet zijn opgegeven in het bestand runtime-config.properties. Zie De standaardsubnetselectie overschrijven, op pagina 21. Het subnet wordt gebruikt om de site te bepalen. De Active Directory-configuratie moet site-aware zijn. Als het subnet niet kan worden bepaald of als uw Active Directory-configuratie niet site-aware is, worden geen DNS-zoekacties voor servicelocaties gebruikt om domeincontrollers te zoeken, en wordt het bestand gevuld met een paar domeincontrollers die bereikbaar zijn. Omdat deze domeincontrollers zich mogelijk niet op dezelfde geografische locatie bevinden als de connector, kunnen er vertragingen of time-outs optreden in de communicatie met Active Directory. Geef in dat geval handmatig de juiste domeincontrollers voor elk domein op in het bestand domain_krb.properties. Zie Het bestand domain_krb.properties bewerken, op pagina 22. Voorbeeldbestand domain_krb.properties example.com=host1.example.com:389,host2.example.com:389 De standaardsubnetselectie overschrijven Bij de automatische invulling van het bestand domain_krb.properties zoekt de connector naar domeincontrollers op dezelfde site, zodat de vertraging tussen de connector en Active Directory minimaal blijft. Daarbij wordt op basis van IP-adres en subnetmasker gekeken op welk subnet de connector zich bevindt, waarna de Active Directory-configuratie wordt gebruikt om de site op dat subnet te identificeren. Als het subnet van de virtual machine zich niet in een Active Directory-omgeving bevindt of als u de automatische subnetselectie wilt overschrijven, kunt u zelf een subnet opgeven in het bestand runtimeconfig.properties. 1 Meld u als hoofdgebruiker aan bij de virtual machine van de VMware Identity Manager. Opmerking Als u een aanvullende connector voor de directory gebruikt, meldt u zich aan bij de virtual machine van de connector. 2 Bewerk het bestand /usr/local/horizon/conf/runtime-config.properties om het volgende kenmerk toe te voegen. siteaware.subnet.override=subnet waarbij subnet het subnet is van de site waarvan u de domeincontrollers wilt gebruiken. Bijvoorbeeld: siteaware.subnet.override= /20 VMware, Inc. 21

22 3 Sla het bestand op en sluit het. 4 Start de service opnieuw op. service horizon-workspace restart Het bestand domain_krb.properties bewerken Het bestand /usr/local/horizon/conf/domain_krb.properties geeft aan welke domeincontrollers worden gebruikt voor directory's waarbij de locatie van services via DNS kan worden opgezocht. U kunt het bestand desgewenst bewerken om de lijst met domeincontrollers voor een domein te wijzigen of om domeinvermeldingen toe te voegen of te verwijderen. Uw wijzigingen worden niet overschreven. Het bestand wordt in eerste instantie door de connector gemaakt en automatisch ingevuld. In bepaalde scenario's moet u het bestand handmatig bijwerken, zoals in het volgende geval. Als de standaard gekozen domeincontrollers niet optimaal zijn voor uw configuratie, kunt u het bestand bewerken om aan te geven welke domeincontrollers u wilt gebruiken. Als u een directory verwijdert, dient u tevens de bijbehorende domeinvermelding uit het bestand te verwijderen. Wanneer een of meer domeincontrollers in het bestand niet te bereiken zijn, verwijdert u deze uit het bestand. Zie ook Domeincontrollers selecteren (bestand domain_krb.properties), op pagina Meld u als hoofdgebruiker aan bij de virtual machine van de VMware Identity Manager. Opmerking Als u een aanvullende connector voor de directory gebruikt, meldt u zich aan bij de virtual machine van de connector. 2 Stel de directory's in op /usr/local/horizon/conf. 3 Bewerk het bestand domain_krb.properties om de lijst met hostwaarden voor het domein uit te breiden of te bewerken. Gebruik de volgende notatie: domein=host:poort,host2:poort,host3:poort Bijvoorbeeld:. example.com=examplehost1.example.com:389,examplehost2.example.com:389 Geef de domeincontrollers op volgorde van prioriteit weer. De eerste domeincontroller in de lijst zal door de connector worden gebruikt om verbinding met Active Directory te maken. Als deze niet bereikbaar is, wordt de tweede controller in de lijst geprobeerd enzovoort. Belangrijk De domeinnamen mogen geen hoofdletters bevatten. 4 Wijzig de eigenaar van het bestand domain_krb.properties in horizon en groepeer het als www met behulp van de volgende opdracht. chown horizon:www /usr/local/horizon/conf/domain_krb.properties 5 Start de service opnieuw op. service horizon-workspace restart 22 VMware, Inc.

23 Hoofdstuk 3 Met Active Directory integreren Wat nu te doen Nadat u het bestand domain_krb.properties hebt bewerkt, bewerkt u het bestand /etc/krb5.conf. Het bestand krb5.conf moet altijd overeenkomen met het bestand domain_krb.properties. 1 Bewerk het bestand /etc/krb5.conf en werk het gedeelte realms bij om dezelfde domein-naar-hostwaarden op te geven die worden gebruikt in het bestand /usr/local/horizon/conf/domain_krb.properties. U hoeft het poortnummer niet op te geven. Als het bestand domain_krb.properties bijvoorbeeld de domeinvermelding example.com=examplehost.example.com:389 heeft, werkt u het bestand krb5.conf als volgt bij. [realms] GAUTO-QA.COM = { auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO- QA\.COM/GAUTO2QA/ auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/ auth_to_local = DEFAULT kdc = examplehost.example.com } Opmerking Het is mogelijk om meerdere kdc-vermeldingen te hebben. Dit is echter geen vereiste omdat er in de meeste gevallen slechts één kdc-waarde is. Als u ervoor kiest om extra kdc-waarden te definiëren, heeft elke regel een kdc-vermelding die een domeincontroller definieert. 2 Start de werkruimteservice opnieuw. service horizon-workspace restart Raadpleeg Knowledge Base-artikel Problemen oplossen voor domain_krb.properties Gebruik de volgende informatie voor het oplossen van problemen met het bestand domain_krb.properties. De fout "Fout bij omzetten van domein" De Fout bij omzetten van domein treedt op wanneer het bestand domain_krb.properties al een vermelding van een domein bevat en u voor hetzelfde domein een nieuwe directory van een ander type probeert te maken. U moet de domeinvermelding in het bestand domain_krb.properties dan eerst handmatig verwijderen voordat u de nieuwe directory maakt. Domeincontrollers zijn niet bereikbaar De toegevoegde domeinvermeldingen aan het bestand domain_krb.properties worden niet automatisch bijgewerkt. Als een van de vermelde domeincontrollers in het bestand onbereikbaar wordt, moet u het bestand handmatig bewerken en de vermelding verwijderen. VMware, Inc. 23

24 Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd Tijdens de installatie van de VMware Identity Manager-servicedirectory selecteert u Active Directorygebruikerskenmerken en -filters om te selecteren welke gebruikers in de VMware Identity Managerdirectory worden gesynchroniseerd. U kunt de gebruikerskenmerken die worden gesynchroniseerd wijzigen via de beheerconsole, tabblad Identiteits- en toegangsbeheer, Installatie > Gebruikerskenmerken. Wijzigingen die worden gemaakt en opgeslagen op de pagina Gebruikerskenmerken, worden toegevoegd aan de pagina Toegewezen kenmerken in de VMware Identity Manager-directory. De kenmerkwijzigingen worden bijgewerkt naar de directory bij de volgende synchronisatie naar Active Directory. De pagina Gebruikerskenmerken geeft de standaarddirectorykenmerken weer die kunnen worden toegewezen aan Active Directory-kenmerken. U selecteert de kenmerken die vereist zijn en u kunt andere kenmerken toevoegen die u met de directory wilt synchroniseren. Wanneer u kenmerken toevoegt, is de kenmerknaam die u invoert hoofdlettergevoelig. Zo zijn adres, Adres en ADRES verschillende kenmerken. Tabel 3 1. Active Directory-standaardkenmerken om te synchroniseren met de directory Kenmerknaam van de VMware Identity Managerdirectory userprincipalname distinguishedname employeeid domain disabled (externe gebruiker uitgeschakeld) phone lastname firstname username Standaardtoewijzing aan Active Directory-kenmerk userprincipalname distinguishedname employeeid canonicalname. Voegt de Fully Qualified Domain Name van het object toe. useraccountcontrol. Gemarkeerd met UF_Account_Disable Wanneer een account is uitgeschakeld, kunnen gebruikers zich niet aanmelden om toegang te krijgen tot hun applicaties en bronnen. De bronnen waarvoor gebruikers rechten hadden, worden niet uit het account verwijderd, zodat wanneer de markering van het account wordt verwijderd, gebruikers zich kunnen aanmelden en toegang krijgen tot hun bronnen waarvoor rechten zijn verleend telephonenumber sn givenname mail samaccountname. Kenmerken selecteren om te synchroniseren met de directory Wanneer u de VMware Identity Manager-directory instelt om te synchroniseren met Active Directory, geeft u de gebruikerskenmerken op die met de directory moeten worden gesynchroniseerd. Voordat u de directory instelt, kunt u op de pagina Gebruikerskenmerken opgeven welke standaardkenmerken vereist zijn en kunt u aanvullende kenmerken toevoegen die u aan Active Directory-kenmerken wilt toewijzen. Wanneer u de pagina Gebruikerskenmerken configureert voordat de directory is gemaakt, kunt u standaardkenmerken wijzigen van vereist naar niet-vereist, eventueel kenmerken markeren en aangepaste kenmerken toevoegen. Nadat de directory is gemaakt, kunt u een vereist kenmerk wijzigen zodat dit niet-vereist wordt en u kunt aangepaste kenmerken verwijderen. U kunt een kenmerk niet wijzigen zodat het een vereist kenmerk wordt. 24 VMware, Inc.

25 Hoofdstuk 3 Met Active Directory integreren Wanneer u andere kenmerken toevoegt om met de directory te synchroniseren, kunt u, nadat de directory is gemaakt, naar de pagina Toegewezen kenmerken van de directory gaan om deze kenmerken toe te wijzen aan de Active Directory-kenmerken. Belangrijk Als u XenApp-bronnen wilt synchroniseren met VMware Identity Manager, moet u distinguishedname instellen als een vereist kenmerk. U moet dit opgeven voordat de VMware Identity Manager-directory wordt gemaakt. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer op Installatie > Gebruikerskenmerken. 2 Controleer in de sectie Standaardkenmerken de lijst met vereiste kenmerken en breng de nodige wijzigingen aan om aan te geven welke kenmerken vereist moeten zijn. 3 Voeg in de sectie Kenmerken de naam van het VMware Identity Manager-directorykenmerk toe aan de lijst. 4 Klik op Opslaan. De standaardkenmerkstatus wordt bijgewerkt en de kenmerken die u hebt toegevoegd, worden aan de lijst Toegewezen kenmerken van de directory toegevoegd. 5 Nadat de directory is gemaakt, gaat u naar de pagina Beheren > Directory's en selecteert u de directory. 6 Klik op Synchronisatie-instellingen > Toegewezen kenmerken. 7 Selecteer in het vervolgkeuzemenu voor de kenmerken die u hebt toegevoegd, het Active Directorykenmerk waarnaar u wilt toewijzen. 8 Klik op Opslaan. De volgende keer dat de directory met Active Directory wordt gesynchroniseerd, wordt de directory bijgewerkt. Vereiste rechten voor het toevoegen aan een domein Mogelijk moet u de VMware Identity Manager-connector in sommige gevallen aan een domein toevoegen. Bij Active Directory via LDAP-directory's maakt u eerst de directory en voegt u vervolgens de controller toe aan het domein. Bij directory's van het type Active Directory (Geïntegreerde Windows-verificatie) wordt de connector automatisch aan het domein toegevoegd wanneer u de directory maakt. In beide gevallen moet u verificatiegegevens opgeven. Voor het toevoegen aan een domein hebt u Active Directory-verificatiegegevens nodig met de bevoegdheid "computer lid maken van AD-domein". Deze bevoegdheid wordt in Active Directory ingesteld met de volgende rechten: Computerobjecten maken Computerobjecten verwijderen Wanneer u aan een domein deelneemt, wordt een computerobject gemaakt in de standaardlocatie in Active Directory, tenzij u een aangepaste OU opgeeft. VMware, Inc. 25

26 Volg deze stappen om aan een domein deel te nemen als u geen rechten hebt om aan een domein deel te nemen. 1 Vraag uw Active Directory-beheerder om het computerobject in Active Directory te maken op een locatie die voldoet aan het beleid van uw organisatie. Geef de hostnaam van de connector op. Zorg dat u de volledig gekwalificeerde domeinnaam invoert, bijvoorbeeld server.example.com. Tip U ziet de hostnaam in de kolom Hostnaam op de pagina Connectoren van de beheerconsole. Klik op Identiteits- en toegangsbeheer > Setup > Connectoren om de pagina Connectoren weer te geven. 2 Als het computerobject is gemaakt, gebruikt u een willekeurige domeingebruikersaccount in de VMware Identity Manager-beheerconsole om de computer aan het domein toe te voegen. De opdracht Aan domein toevoegen is beschikbaar op de pagina Connectoren, die u weergeeft door te klikken op Identiteits- en toegangsbeheer > Setup > Connectoren. Optie Domein Domeingebruiker Domeinwachtwoord Organisatie-eenheid (OU) Beschrijving Selecteer of typ het Active Directory-domein waaraan u wilt deelnemen. Zorg ervoor dat u de volledig gekwalificeerde domeinnaam invoert. Bijvoorbeeld: server.example.com. De gebruikersnaam van een Active Directory-gebruiker die de rechten heeft om systemen aan het Active Directorydomein te koppelen. Het wachtwoord van de gebruiker. (Optioneel) De organisatie-eenheid van het computerobject. Met behulp van deze optie wordt een computerobject gemaakt in de opgegeven OU in plaats van de standaard OU van de computer. Bijvoorbeeld: ou=testou,dc=test,dc=example,dc=com. Verbinding van Active Directory met de service configureren In de beheerconsole specificeert u de vereiste informatie om aan uw Active Directory te verbinden en selecteert u gebruikers en groepen om te synchroniseren met de directory van VMware Identity Manager. De verbindingsopties van de Active Directory zijn Active Directory via LDAP of geïntegreerde Windowsverificatie van Active Directory. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location. Met de geïntegreerde Windows-verificatie van Active Directory configureert u het domein om toe te voegen. Vereisten Selecteer welke kenmerken verplicht zijn en voeg zo nodig extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory, op pagina 24. Belangrijk Als u de XenApp-bronnen wilt synchroniseren met VMware Identity Manager moet u van distinguishedname een vereist kenmerk maken. U moet deze selectie uitvoeren voordat u een directory maakt, omdat kenmerken niet kunnen worden gewijzigd in vereiste kenmerken nadat een directory is gemaakt. Lijst met de Active Directory-groepen en -gebruikers die u wilt synchroniseren vanuit Active Directory. 26 VMware, Inc.

27 Hoofdstuk 3 Met Active Directory integreren Voor Active Directory via LDAP bevat de vereiste informatie de Base DN, Bind DN en het Bind DNwachtwoord. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Voor geïntegreerde Windows-verificatie in Active Directory is de vereiste informatie onder andere het UPN-adres en -wachtwoord van de gebruiker van de binding voor het domein. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Als de Active Directory toegang via SSL of STARTTLS vereist, is het basis CA-certificaat van de domeincontroller van Active Directory vereist. Voor geïntegreerde Windows-verificatie in Active Directory, met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de gebruiker van de binding wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Op de Directorypagina klikt u op Directory toevoegen. 3 Voer een naam in voor deze directory van VMware Identity Manager. VMware, Inc. 27

28 4 Selecteer het type Active Directory in uw omgeving en configureer de verbindingsinformatie. Optie Beschrijving Active Directory via LDAP a In het veld Connector synchroniseren selecteert u de te gebruiken Connector om met Active Directory te synchroniseren. b Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja. c d Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat. Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende. In de sectie Server Location schakelt u het selectievakje Deze directory ondersteunt DNS Service Location in. Een bestand domain_krb.properties dat automatisch is ingevuld met een lijst domeincontrollers, wordt gemaakt wanneer de directory is gemaakt. Zie Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19. Als Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSLcertificaat. e Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Opmerking Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende. In de sectie Server Location controleert u of het selectievakje Deze directory ondersteunt DNS Service Location niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in. Zie de sectie Multi-domein, Single Forest Active Directoryomgeving in Active Directory-omgevingen, op pagina 17 om de directory als een globale catalogus te configureren. Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSLcertificaat. 28 VMware, Inc.

29 Hoofdstuk 3 Met Active Directory integreren Optie Active Directory (geïntegreerde Windows-verificatie) Beschrijving f g h a b Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Opmerking Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory. In het veld Connector synchroniseren selecteert u de te gebruiken Connector om met Active Directory te synchroniseren. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja. c d Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat. Als de Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSLcertificaat. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. e f g Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe. Opmerking Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. Voer de naam in van het Active Directory-domein dat wordt toegevoegd. Voer een gebruikersnaam en wachtwoord in dat de rechten heeft om het domein toe te voegen. Raadpleeg Vereiste rechten voor het toevoegen aan een domein, op pagina 25 voor meer informatie. In het veld bindingsgebruiker-upn voert u de User Principal Name (UPN) van de gebruiker in die met het domein kan worden geverifieerd. Bijvoorbeeld username@example.com. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Voer het wachtwoord van de bindingsgebruiker in. 5 Klik op Opslaan en Volgende. De pagina met de lijst domeinen verschijnt. VMware, Inc. 29

30 6 Voor Active Directory over LDAP worden de domeinen vermeld met een vinkje. Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding. Opmerking Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven. Klik op Volgende. 7 Controleer of de kenmerknamen van de VMware Identity Manager-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende. 8 Selecteer de groepen die u vanuit Active Directory wilt synchroniseren met de VMware Identity Manager-directory. Optie Geef de DN's van de groep op Geneste groepsleden synchroniseren Beschrijving Als u groepen wilt selecteren, kunt u een of meer groeps-dn's opgeven en de onderliggende groepen selecteren. a b c Klik op + en geef de groeps-dn op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com. Belangrijk Geef de groeps-dn's op onder de basis-dn die u hebt ingevoerd. Als een groeps-dn buiten de basis-dn ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. Klik op Groepen zoeken. De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren. Opmerking Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd. De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u hebt geselecteerd om te synchroniseren. Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directoryconfiguraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren. 9 Klik op Volgende. 30 VMware, Inc.

31 Hoofdstuk 3 Met Active Directory integreren 10 Geef zo nodig extra gebruikers op om te synchroniseren. a Klik op + en voer de gebruikers-dn's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Belangrijk Geef de gebruikers-dn's op onder de basis-dn die u hebt ingevoerd. Als een gebruikers-dn buiten de basis-dn ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. b (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde. 11 Klik op Volgende. 12 Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken. Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie. 13 Klik op Directory synchroniseren om synchroniseren naar de directory te starten. De verbinding met Active Directory is gemaakt en gebruikers en groepen worden gesynchroniseerd van de Active Directory naar de directory van VMware Identity Manager. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager. Wat nu te doen Als u een directory hebt gemaakt die DNS Service Location ondersteunt, wordt er een bestand domain_krb.properties gemaakt en automatisch ingevuld met een lijst domeincontrollers. Bekijk het bestand om de lijst domeincontrollers te controleren of te bewerken. Zie Domeincontrollers selecteren (bestand domain_krb.properties), op pagina 19. Stel verificatiemethoden in. Nadat gebruikers en groepen met de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector. Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle toepassingen in alle netwerkbereiken toegang te verlenen tot de webbrowser, met een sessietime-out van acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietimeout van 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken. Pas aangepaste merkvermelding toe op de beheerconsole, de portalpagina's van gebruikers en het aanmeldscherm. Gebruikers de mogelijkheid geven om Active Directory-wachtwoorden te wijzigen U kunt gebruikers de mogelijkheid geven om hun Active Directory-wachtwoorden op elk gewenst moment te wijzigen via de Workspace ONE-portal of -app. Gebruikers kunnen ook hun Active Directorywachtwoorden opnieuw instellen vanaf de VMware Identity Manager-aanmeldingspagina als het wachtwoord is verlopen of als de Active Directory-beheerder het wachtwoord opnieuw heeft ingesteld, waardoor de gebruiker het wachtwoord bij de volgende aanmelding moet wijzigen. U kunt deze optie per directory inschakelen door de optie Wijziging van wachtwoord toestaan te selecteren op de pagina Directory-instellingen. VMware, Inc. 31

32 Wanneer gebruikers zich hebben aangemeld bij de portal Workspace ONE kunnen zij hun wachtwoord wijzigen door op hun naam in de rechterbovenhoek te klikken, dan Account in het vervolgkeuzemenu te selecteren en vervolgens op de koppeling Wachtwoord wijzigen te klikken. In de app Workspace ONE kunnen gebruikers hun wachtwoord wijzigen door op het menupictogram met drie streepjes te klikken en Wachtwoord te selecteren. Verlopen wachtwoorden of wachtwoorden die door de beheerder in Active Directory opnieuw zijn ingesteld, kunnen vanaf de aanmeldingspagina worden gewijzigd. Wanneer een gebruiker zich probeert aan te melden met een verlopen wachtwoord, wordt de gebruiker gevraagd het wachtwoord opnieuw in te stellen. De gebruiker moet het oude wachtwoord en het nieuwe wachtwoord invoeren. De vereisten voor het nieuwe wachtwoord worden bepaald aan de hand van het beleid inzake Active Directory-wachtwoorden. Het toegestane aantal pogingen hangt ook af van het beleid inzake Active Directory-wachtwoorden. De volgende beperkingen zijn van toepassing. Let op: de optie Wijziging van wachtwoord toestaan is alleen beschikbaar bij connectorversie en hoger als u extra, externe virtual appliances met een connector gebruikt. Wanneer een directory aan VMware Identity Manager wordt toegevoegd als globale catalogus, is de optie Wijziging van wachtwoord toestaan niet beschikbaar. Directory's kunnen worden toegevoegd als Active Directory via LDAP of Geïntegreerde Windows-verificatie, met de poort 389 of 636. Het wachtwoord van een gebruiker van een bindings-dn kan niet opnieuw worden ingesteld via VMware Identity Manager, zelfs niet als het is verlopen of als de Active Directory-beheerder het opnieuw heeft ingesteld. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Wachtwoorden van gebruikers met aanmeldingsnamen die uit multibyte-tekens (geen ASCII-tekens) bestaan, kunnen niet opnieuw worden ingesteld vanuit VMware Identity Manager. Vereisten Als u de optie Wijziging van wachtwoord toestaan wilt inschakelen, moet u een gebruikersaccount van de bindings-dn gebruiken en moet u over schriftelijke toestemming voor Active Directory beschikken. Poort 464 moet open zijn in de domeincontroller. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Op het tabblad Directory's klikt u op de directory. 3 In het gedeelte Wijziging van wachtwoord toestaan schakelt u het selectievakje Wijziging van wachtwoord inschakelen in. 4 Geef het wachtwoord van de bindings-dn op in het gedeelte Details van bindingsgebruiker en klik op Opslaan. 32 VMware, Inc.

33 Hoofdstuk 3 Met Active Directory integreren Beveiligingen voor directorysynchronisatie instellen Drempelwaarden voor synchronisatiebeveiligingen kunnen worden geconfigureerd in de directory om te voorkomen dat de configuratie van de gebruikers en groepen die via Active Directory met de directory worden gesynchroniseerd, onbedoeld wordt gewijzigd. De drempelwaarden voor synchronisatiebeveiliging die worden ingesteld beperken hoe vaak de gebruikers en groepen tijdens de synchronisatie van de directory kunnen worden gewijzigd. Als er aan van de drempelwaarden voor directorybeveiliging is voldaan, stopt de directorysynchronisatie en wordt een bericht weergegeven op de pagina Synchronisatielogboek van de directory. Wanneer SMTP is geconfigureerd in de VMware Identity Manager-beheerconsole, ontvangt u een bericht wanneer de synchronisatie is mislukt vanwege de schending van een beveiliging. Wanneer synchronisatie is mislukt, kunt u naar de pagina Synchronisatie-instellingen > Synchronisatielogboek van de directory gaan om een beschrijving te vinden van het type beveiligingsschending. Als u de synchronisatie voltooit, kunt u de procentuele drempelwaarde van de beveiliging verhogen via de pagina Instellingen synchronisatiebeveiliging, of een synchronisatietest uitvoeren en de optie Beveiligingen negeren te selecteren. Wanneer u ervoor kiest de drempelwaarde voor de beveiliging te negeren, worden de drempelwaarden voor de beveiliging alleen voor deze synchronisatiesessie niet afgedwongen. Wanneer u directorysynchronisatie voor de eerste keer uitvoert, worden de drempelwaarden voor synchronisatiebeveiliging niet afgedwongen. Opmerking Wanneer u de functie Beveiligingen synchroniseren niet wilt gebruiken, verwijdert u de waarden uit het vervolgkeuzemenu. Als de tekstvakken van de drempels voor Beveiligingen synchroniseren leeg zijn, wordt Beveiligingen synchroniseren niet ingeschakeld. Synchronisatieveiligheidsvoorzieningen van de directory configureren Configureer de drempelinstellingen van de synchronisatieveiligheidsvoorzieningen om het aantal wijzigingen te beperken dat aan de gebruikers en groepen kan worden aangebracht wanneer de directory wordt gesynchroniseerd. Opmerking Wanneer u de functie Beveiligingen synchroniseren niet wilt gebruiken, verwijdert u de waarden uit het vervolgkeuzemenu. Als de tekstvakken van de drempels voor Beveiligingen synchroniseren leeg zijn, wordt Beveiligingen synchroniseren niet ingeschakeld. 1 Als u de instellingen van de veiligheidsvoorzieningen wilt wijzigen, selecteert u in het tabblad Identiteits- en toegangsbeheer Beheren > Directory s. 2 Selecteer de directory om de veiligheidsvoorzieningen in te stellen en klik op Instellingen synchroniseren. 3 Klik op Veiligheidsvoorzieningen. 4 Stel het percentage wijzigingen in dat het mislukken van de synchronisatie activeert. 5 Klik op Opslaan. VMware, Inc. 33

34 Beveiligingsinstellingen negeren om synchroniseren met de map te voltooien Wanneer u een melding ontvangt dat het synchroniseren niet is voltooid vanwege een schending van de beveiliging, kunt u een synchronisatietest plannen en Beveiligingen negeren selecteren om de beveiligingsinstelling op te heffen en de synchronisatie te voltooien. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Mappen. 2 Selecteer de map waarvoor de synchronisatie niet is voltooid en ga naar de pagina Synchronisatielogboek. 3 Bekijk het type schending van de beveiliging in de kolom Gegevens Synchronisatie en klik op Het voltooien van de synchronisatie is mislukt. Controleer de beveiligingen. 4 Klik op OK. 5 Klik op Nu synchroniseren om verder te gaan met de synchronisatie zonder de beveiligingsinstellingen te wijzigen. 6 Selecteer het selectievakje Beveiligingen negeren op de pagina Controleren. 7 Klik op Directory synchroniseren. De map wordt gesynchroniseerd en de drempelinstellingen voor de beveiliging worden alleen voor deze sessie genegeerd. 34 VMware, Inc.

35 Met LDAP-directory's integreren 4 U kunt uw bedrijfs-ldap-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service. Zie ook Belangrijke concepten met betrekking tot de integratie van directory's, op pagina 15. Dit hoofdstuk omvat de volgende onderwerpen: Beperkingen van LDAP-directory-integratie, op pagina 35 Een LDAP-directory met de service integreren, op pagina 36 Beperkingen van LDAP-directory-integratie Voor de integratiefunctie van de LDAP-directory gelden momenteel de volgende beperkingen. U kunt slechts één domein van een LDAP-directory-omgeving integreren Om meerdere domeinen van een LDAP-directory te integreren, moet u extra VMware Identity Manager-mappen aanmaken, één voor elk domein. De volgende verificatiemethoden worden niet ondersteund voor VMware Identity Manager-mappen van het type LDAP-directory. Kerberos-verificatie Adaptieve RSA-verificatie ADFS als een externe identiteitsprovider SecurID Radiusverificatie met Vasco en SMS-wachtwoordcodeserver U kunt niet worden toegevoegd aan een LDAP-domein. Integratie met View of gepubliceerde Citrix-bronnen wordt niet ondersteund voor VMware Identity Manager-mappen van het type LDAP-directory. Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken op de pagina Gebruikerskenmerken markeert als zijnde vereist, behalve username dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service. VMware, Inc. 35

36 Wanneer uw LDAP-directory meerdere groepen met dezelfde naam bevat, moet u voor deze groepen unieke namen specificeren in de VMware Identity Manager-service. U kunt de namen specificeren wanneer u de groepen selecteert die moeten worden gesynchroniseerd. De optie die gebruikers toestaat om verlopen wachtwoorden opnieuw in te stellen, is niet beschikbaar. Het bestand domain_krb.properties wordt niet ondersteund. Een LDAP-directory met de service integreren U kunt uw bedrijfs-ldap-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service. Om uw LDAP-directory te integreren, maakt u een overeenkomstige VMware Identity Manager-directory aan en synchroniseert u gebruikers en groepen van uw LDAP-directory met de VMware Identity Managerdirectory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates. U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan VMware Identity Manager-kenmerken. De configuratie van uw LDAP-directory kan worden gebaseerd op standaardschema's of u kunt aangepaste schema's gebruiken. Wellicht hebt u ook gedefinieerde aangepaste kenmerken. Om VMware Identity Manager uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory. In het bijzonder dient u de volgende informatie op te geven. LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker LDAP-kenmerknamen voor groepslidmaatschap, UUID en distinguished name Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie, op pagina 35. Vereisten Let op: de mogelijkheid om LDAP-directory's te integreren is alleen beschikbaar bij connectorversie en hoger als u extra, externe virtual appliances met een connector gebruikt. Controleer de kenmerken op de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken en voeg extra kenmerken toe die u wilt synchroniseren. U wijst deze VMware Identity Manager-kenmerken later toe aan uw LDAP-directorykenmerken wanneer u de directory maakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory. Opmerking Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken markeert als zijnde vereist, behalve het kenmerk username dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service. Een Bind-DN-gebruikersaccount. Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben. In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen. U kunt dit kenmerk toewijzen aan het kenmerk van het VMware Identity Manager domein wanneer u de VMware Identity Manager-directory aanmaakt. 36 VMware, Inc.

37 Hoofdstuk 4 Met LDAP-directory's integreren Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker. Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userprincipalname en adreskenmerken. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Klik op de pagina Mappen op Map toevoegen en selecteer LDAP-directory toevoegen. 3 Voer de vereiste informatie in op de pagina LDAP-directory toevoegen. Optie Directorynaam Directory synchroniseren en verificatie Beschrijving Een naam voor de VMware Identity Manager-map. a In het veld Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen te synchroniseren van uw LDAP-directory naar de directory van VMware Identity Manager. Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Managerapparaten installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die apparaten in de lijst. U hebt geen afzonderlijke connector nodig voor een LDAP-directory. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP. b Zie 'Extra connectorappliances installeren' in de installatiehandleiding voor VMware Identity Manager voor de scenario's waarin u extra connectors nodig hebt. In het veld Verificatie selecteert u Ja wanneer u deze LDAP-directory wilt gebruiken voor het verifiëren van gebruikers. Serverlocatie c Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen. In het veld Zoekkenmerk directory specificeert u het LDAPdirectorykenmerk dat voor de gebruikersnaam wordt gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de kenmerknaam. Bijvoorbeeld cn. Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myldapserver.example.com of Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in. VMware, Inc. 37

38 Optie LDAP-configuratie Beschrijving Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-ldapschema. LDAP-vragen Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen. Bijvoorbeeld: (objectclass=group) Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden. Bijvoorbeeld: (objectclass=person) Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren. Bijvoorbeeld:(&(objectClass=user)(objectCategory=person)) Kenmerken Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren. Bijvoorbeeld: lid Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren. Bijvoorbeeld: entryuuid Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAPdirectory voor de kenmerkende naam van een gebruiker of groep. Bijvoorbeeld: entrydn Certificaten Gegevens van bindingsgebruiker Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DNgebruiker. 4 Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen. Als de verbinding niet is gelukt, controleert u de informatie die u hebt ingevoerd en brengt u passende wijzigingen aan. 5 Klik op Opslaan en Volgende. 6 Verifieer op de pagina Domeinen of het juiste domein wordt weergegeven en klik dan op Volgende. 7 Verifieer op de pagina Kenmerken toewijzen of de VMware Identity Manager-kenmerken zijn toegewezen aan de juiste LDAP-kenmerken. Belangrijk U moet een toewijzing specificeren voor het domein-kenmerk. U kunt kenmerken toevoegen aan de lijst via de pagina Gebruikerskenmerken. 8 Klik op Volgende. 38 VMware, Inc.

39 Hoofdstuk 4 Met LDAP-directory's integreren 9 Op de groepspagina klikt u op + om de groepen te selecteren die u van de LDAP-directory wilt synchroniseren met de VMware Identity Manager-directory. Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina. De optie Geneste groepsgebruikers synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de directory van VMware Identity Manager verschijnen deze gebruikers als leden van de bovenste groep die u hebt geselecteerd om te synchroniseren. Hierdoor wordt de hiërarchie onder een geselecteerde groep platter en worden gebruikers op alle niveaus weergegeven in VMware Identity Manager als leden van de geselecteerde groep. Als deze optie is uitgeschakeld, wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers gesynchroniseerd die direct tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel middelen en tijd kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren. 10 Klik op Volgende. 11 Klik op + om extra gebruikers toe te voegen. Voer bijvoorbeeld CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com in Om gebruikers uit te sluiten, maakt u een filter om sommige typen gebruikers uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde. Klik op Volgende. 12 Geef de pagina weer om te controleren hoe veel gebruikers en groepen worden gesynchroniseerd met de directory en om het standaard synchronisatieschema te bekijken. Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie. 13 Klik op Directory synchroniseren om de synchronisatie van de directory te starten. De verbinding met de LDAP-directory wordt tot stand gebracht en gebruikers en groepen worden gesynchroniseerd van de LDAP-directory met de VMware Identity Manager-directory. De Bind DNgebruiker heeft standaard een beheerdersrol in VMware Identity Manager. VMware, Inc. 39

40 40 VMware, Inc.

41 Lokale directory's gebruiken 5 Een lokale directory is een van de typen directory's die u in de VMware Identity Manager-service kunt maken. Met een lokale directory kunt u lokale gebruikers in de service inrichten en toegang geven tot specifieke applicaties zonder dat u deze aan uw bedrijfsdirectory hoeft toe te voegen. Een lokale directory is niet verbonden met een bedrijfsdirectory en gebruikers en groepen worden niet via een bedrijfsdirectory gesynchroniseerd. In plaats daarvan maakt u lokale gebruikers rechtstreeks in de lokale directory aan. In de service is een standaard lokale directory met de naam Systeemdirectory beschikbaar. U kunt ook meerdere nieuwe lokale directory's maken. Systeemdirectory De Systeemdirectory is een lokale directory die automatisch in de service wordt gemaakt wanneer deze wordt ingesteld. Deze directory heeft het domein Systeemdomein. U kunt de naam of het domein van de Systeemdirectory niet wijzigen, en geen nieuwe domeinen eraan toevoegen. Bovendien kunt u de Systeemdirectory of het Systeemdomein niet verwijderen. De lokale beheerder die wordt gemaakt wanneer u voor de eerste keer de applicatie VMware Identity Manager instelt, wordt gemaakt in het Systeemdomein van de Systeemdirectory. U kunt andere gebruikers aan de Systeemdirectory toevoegen. Standaard wordt de Systeemdirectory gebruikt om een paar lokale beheerders in te stellen om de service te beheren. Om eindgebruikers en extra beheerders in te richten en deze rechten te geven tot applicaties, raden wij u aan om een nieuwe lokale directory te maken. Lokale directory's U kunt meerdere lokale directory's maken. Elke lokale directory kan een of meerdere domeinen bevatten. Wanneer u een lokale gebruiker maakt, specificeert u de directory en het domein voor de gebruiker. U kunt ook kenmerken selecteren voor alle gebruikers in de lokale directory. Gebruikerskenmerken zoals Gebruikersnaam, Achternaam en Voornaam worden op het algemene niveau in de VMware Identity Manager-service gespecificeerd. Er is een standaardlijst met kenmerken beschikbaar en u kunt aangepaste kenmerken toevoegen. Algemene gebruikerskenmerken gelden voor alle directory's in de service, inclusief lokale directory's. Op het niveau van de lokale directory kunt u selecteren welke kenmerken vereist zijn voor de directory. Op deze manier kunt u een aangepaste set met kenmerken hebben voor verschillende lokale directory's. Houd er rekening mee dat voor lokale directory's Gebruikersnaam, Achternaam, Voornaam en het adres altijd vereist zijn. Opmerking De mogelijkheid om gebruikerskenmerken op directoryniveau aan te passen, is alleen beschikbaar voor lokale directory's, niet voor Active Directory- of LDAP-directory's. VMware, Inc. 41

42 Lokale directory's maken is handig in de volgende scenario's. U kunt een lokale directory maken voor een specifiek type gebruiker dat geen deel uitmaakt van uw bedrijfsdirectory. Bijvoorbeeld: u kunt een lokale directory maken voor partners die doorgaans geen deel uitmaken van uw bedrijfsdirectory en hen toegang geven tot alleen de specifieke applicaties die ze nodig hebben. U kunt meerdere lokale directory's maken als u verschillende gebruikerskenmerken of verificatiemethoden wilt voor verschillende sets gebruikers. U kunt bijvoorbeeld een lokale directory voor distributeurs maken die gebruikerskenmerken bevat zoals regio en marktaandeel, en een andere directory voor leveranciers met kenmerken zoals productcategorie en type leverancier. Identiteitsprovider voor Systeemdirectory en Lokale directory's Standaard wordt de Systeemdirectory die hoort bij een identiteitsprovider, Systeemidentiteitsprovider genoemd. De methode met een wachtwoord (cloud-directory) wordt standaard ingeschakeld bij deze identiteitsprovider en geldt voor het beleid default_access_policy_set voor het netwerkbereik ALL RANGES en het apparaattype Webbrowser. U kunt extra verificatiemethoden configureren en het verificatiebeleid instellen. Wanneer u een nieuwe lokale directory maakt, hoort deze niet bij een identiteitsprovider. Nadat u de directory hebt gemaakt, maakt u een nieuwe identiteitsprovider van het type Embedded en koppelt u de directory aan deze provider. Schakel de verificatiemethode Wachtwoord (clouddirectory) in voor de identiteitsprovider. Meerdere lokale directory's kunnen aan dezelfde identiteitsprovider worden gekoppeld. De VMware Identity Manager-connector is niet vereist voor de Systeemdirectory of voor lokale directory's die u maakt. Raadpleeg "Gebruikersverificatie in VMware Identity Manager configureren" in VMware Identity Managerbeheer voor meer informatie. Wachtwoord beheren voor gebruikers van lokale directory's Standaard kunnen alle gebruikers van lokale directory's hun wachtwoord wijzigen in de portal of app Workspace ONE. U kunt een wachtwoordbeleid voor lokale gebruikers instellen. Indien nodig, kunt u ook wachtwoorden van lokale gebruikers resetten. Wanneer gebruikers zich hebben aangemeld bij de portal Workspace ONE kunnen zij hun wachtwoord wijzigen door op hun naam in de rechterbovenhoek te klikken, dan Account in het vervolgkeuzemenu te selecteren en vervolgens op de koppeling Wachtwoord wijzigen te klikken. In de app Workspace ONE kunnen gebruikers hun wachtwoord wijzigen door op het menupictogram met drie streepjes te klikken en Wachtwoord te selecteren. Raadpleeg "Gebruikers en Groepen beheren" in VMware Identity Manager-beheer voor informatie over het beleid voor het instellen van wachtwoorden en het resetten van wachtwoorden van lokale gebruikers. Dit hoofdstuk omvat de volgende onderwerpen: Een lokale directory maken, op pagina 42 Instellingen voor lokale directory wijzigen, op pagina 47 Een lokale directory verwijderen, op pagina 48 Verificatiemethode voor systeembeheerders configureren, op pagina 49 Een lokale directory maken Als u een lokale directory wilt maken, geeft u de gebruikerskenmerken op voor de directory, maakt u de directory en identificeert u deze met een identiteitsprovider. 42 VMware, Inc.

43 Hoofdstuk 5 Lokale directory's gebruiken Gebruikerskenmerken instellen op globaal niveau Voordat u een lokale directory maakt, bekijkt u de globale gebruikerskenmerken op de pagina Gebruikerskenmerken en voegt u zo nodig aangepaste kenmerken toe. Gebruikerskenmerken, zoals voornaam, achternaam, adres en domein, maken deel uit van het profiel van een gebruiker. In de VMware Identity Manager-service worden gebruikerskenmerken gedefinieerd op het globale niveau en toegepast op alle directory's in de service, waaronder lokale directory's. Op het lokale directoryniveau kunt u overschrijven dat een kenmerk vereist of optioneel is voor gebruikers in die lokale directory, maar u kunt geen aangepaste kenmerken toevoegen. Als een kenmerk is vereist, moet u er een waarde voor opgeven wanneer u een gebruiker maakt. De volgende woorden kunnen niet worden gebruikt wanneer u aangepaste kenmerken maakt. Tabel 5 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken actief adressen kostencentrum afdeling weergavenaam divisie s medewerkersnummer rechten externe id groepen id ims plek manager meta naam bijnaam organisatie wachtwoord telefoonnummer foto's voorkeurstaal profiel-url rollen tijdzone titel username type gebruiker x509-certificaat Opmerking De mogelijkheid om gebruikerskenmerken over te schrijven op directoryniveau is alleen van toepassing op lokale directory's, niet op Active Directory of LDAP-directory's. 1 Klik in de beheerconsole op de tab Identiteits- en toegangsbeheer. 2 Klik op Instellen en klik vervolgens op de tab Gebruikerskenmerken. 3 Bekijk de lijst met gebruikerskenmerken en voeg zo nodig extra kenmerken toe. Opmerking Hoewel u op deze pagina kunt selecteren welke kenmerken zijn vereist, wordt u aanbevolen de selectie voor lokale directory's te maken op het niveau van de lokale directory. Als een kenmerk op deze pagina is gemarkeerd als vereist, is het van toepassing op alle directory's in de service, inclusief Active Directory- of LDAP-directory's. 4 Klik op Opslaan. Wat nu te doen Maak de lokale directory. VMware, Inc. 43

44 Lokale directory maken Nadat u de algemene gebruikerskenmerken heeft gecontroleerd en ingesteld, maakt u de lokale directory. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer en klik dan op het tabblad Directory's. 2 Klik op Directory toevoegen en selecteer Lokale gebruikersdirectory toevoegen via het vervolgkeuzemenu. 3 Op de pagina Directory toevoegen, voert u een directorynaam in en specificeert u minimaal één domeinnaam. De domeinnaam moet uniek zijn voor alle directory's in de service. Bijvoorbeeld: 44 VMware, Inc.

45 Hoofdstuk 5 Lokale directory's gebruiken 4 Klik op Opslaan. 5 Klik op de pagina Directory's op de nieuwe directory. 6 Klik op het tabblad Gebruikerskenmerken. Alle kenmerken van de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken worden voor de lokale directory vermeld. Kenmerken die op deze pagina als vereist zijn aangeduid, worden ook als vereist weergegeven op de pagina van de lokale directory. 7 Kenmerken voor de lokale directory aanpassen. U kunt specificeren welke kenmerken vereist en welke kenmerken optioneel zijn. U kunt ook de volgorde wijzigen waarin de kenmerken worden weergegeven. Belangrijk De kenmerken Gebruikersnaam, Voornaam, Achternaam en adres zijn altijd vereist voor lokale directory's. Om een kenmerk vereist te maken, selecteert u het selectievakje naast de naam van het kenmerk. Om een kenmerk optioneel te maken, deselecteert u het selectievakje naast de naam van het kenmerk. Om de volgorde van de kenmerken te wijzigen, klikt u op een kenmerk en sleept u het naar de nieuwe locatie. VMware, Inc. 45

46 Wanneer een kenmerk vereist is, moet u een waarde voor het kenmerk specificeren wanneer u een gebruiker maakt. Bijvoorbeeld: 8 Klik op Opslaan. Wat nu te doen Koppel de lokale directory aan de identiteitsprovider die u wilt gebruiken om de gebruikers in de directory te verifiëren. De lokale directory koppelen aan een identiteitsprovider Koppel de lokale directory aan een identiteitsprovider zodat gebruikers in de directory kunnen worden geverifieerd. Maak een nieuwe identiteitsprovider van het type Embedded en schakel de verificatiemethode Wachtwoord (lokale directory) hiervoor in. Opmerking Gebruik niet de ingebouwde identiteitsprovider. Het inschakelen van de verificatiemethode Wachtwoord (lokale directory) voor de ingebouwde identiteitsprovider wordt niet aanbevolen. 1 Klik op het tabblad Identiteits- en toegangsbeheer op de tab Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer Ingebouwde IdP maken. 3 Geef de volgende informatie op. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden KDC-certificaat exporteren Beschrijving Geef een naam op voor de identiteitsprovider. Selecteer de lokale directory die u hebt gemaakt. Selecteer de netwerken voor toegang tot deze identiteitsprovider. Selecteer Wachtwoord (lokale directory). U hoeft het certificaat niet te downloaden tenzij u mobiele SSO configureert voor ios-apparaten die worden beheerd met AirWatch. 46 VMware, Inc.

47 Hoofdstuk 5 Lokale directory's gebruiken 4 Klik op Toevoegen. De identiteitsprovider wordt gemaakt en gekoppeld aan de lokale directory. Later kunt u andere verificatiemethoden configureren voor deze identiteitsprovider. Zie "Gebruikersverificatie configureren in VMware Identity Manager" in Beheer VMware Identity Manager voor meer informatie over verificatie. U kunt dezelfde identiteitsprovider gebruiken voor meerdere lokale directory's. Wat nu te doen Maak lokale gebruikers en groepen. U maakt lokale gebruikers en groepen op het tabblad Gebruikers en groepen van de beheerconsole. Zie 'Gebruikers en groepen beheren' in Beheer VMware Identity Manager Administration voor meer informatie. Instellingen voor lokale directory wijzigen Nadat u een lokale directory hebt gemaakt, kunt u de bijbehorende instellingen op elk gewenst moment wijzigen. U kunt de volgende instellingen wijzigen. Wijzig de directorynaam. Voeg of verwijder domeinen of wijzig hun naam. De domeinnamen moeten uniek zijn voor alle directory's in de service. Wanneer u een domeinnaam wijzigt, worden de gebruikers die waren gekoppeld aan het oude domein, gekoppeld aan het nieuwe domein. De directory moet ten minste één domein hebben. U kunt geen domein toevoegen aan de systeemdirectory of het systeemdomein verwijderen. Voeg nieuwe gebruikerskenmerken toe of maak een bestaand kenmerk vereist of optioneel. Als de lokale directory nog geen gebruikers heeft, kunt u nieuwe kenmerken toevoegen als optioneel of vereist en bestaande kenmerken wijzigen in vereist of optioneel. Als u al gebruikers hebt gemaakt in de lokale directory, kunt u nieuwe kenmerken alleen toevoegen als optionele kenmerken en bestaande kenmerken wijzigen van vereist in optioneel. U kunt een optioneel kenmerk niet vereist maken nadat gebruikers zijn gemaakt. VMware, Inc. 47

48 De kenmerken Gebruikersnaam, Voornaam, Achternaam en adres zijn altijd vereist voor lokale directory's. Omdat gebruikerskenmerken worden gedefinieerd op algemeen niveau in de VMware Identity Manager-service, worden alle nieuwe kenmerken die u toevoegt, weergegeven in alle directory's in de service. Wijzig de volgorde waarin kenmerken worden weergegeven. 1 Klik op de tab Identiteits- en toegangsbeheer. 2 Klik op de pagina Directory's op de directory die u wilt bewerken. 3 Bewerk de instellingen voor de lokale directory. Optie Actie De directorynaam wijzigen a Bewerk de directorynaam op het tabblad Instellingen. b Klik op Opslaan. Een domein toevoegen, verwijderen of hernoemen Gebruikerskenmerken toevoegen aan de directory Een kenmerk vereist of optioneel maken voor de directory De volgorde van de kenmerken wijzigen a b c d a b c a b c d a b c d Bewerk de lijst Domeinen op het tabblad Instellingen. Klik op het groene pluspictogram om een domein toe te voegen. Klik op het rode verwijderpictogram om een domein te verwijderen. Bewerk de domeinnaam in het tekstvak om de naam van een domein te wijzigen. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op Installatie. Klik op de tab Gebruikerskenmerken. Voeg kenmerken toe aan de lijst Andere kenmerken toevoegen om te gebruiken en klik op Opslaan. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. Klik op de naam van de lokale directory en klik op de tab Gebruikerskenmerken. Schakel het selectievakje in naast een kenmerk om het vereist te maken of schakel het selectievakje uit om het kenmerk optioneel te maken. Klik op Opslaan. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. Klik op de naam van de lokale directory en klik op de tab Gebruikerskenmerken. Klik en sleep de kenmerken naar de nieuwe positie. Klik op Opslaan. Een lokale directory verwijderen U kunt een lokale directory verwijderen die u hebt gemaakt in de VMware Identity Manager-service. U kunt de systeemdirectory verwijderen, die standaard wordt gemaakt wanneer u de service voor het eerst instelt. Voorzichtig Wanneer u een directory verwijdert, worden ook alle gebruikers in de directory verwijderd uit de service. 1 Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. 2 Klik op de directory die u wilt verwijderen. 3 Klik op Directory verwijderen op de directorypagina. 48 VMware, Inc.

49 Hoofdstuk 5 Lokale directory's gebruiken Verificatiemethode voor systeembeheerders configureren Wachtwoord (lokale directory) is de standaard verificatiemethode waarmee beheerders zich aanmelden via de Systeemdirectory. Het standaard toegangsbeleid wordt geconfigureerd met Wachtwoord (lokale directory) als reservemethode zodat beheerders zich kunnen aanmelden op de beheerconsole van VMware Identity Manager en de portal Workspace ONE Wanneer u toegangsbeleidsregels maakt voor specifieke web- en bureaubladapplicaties waarvoor systeembeheerders rechten hebben, moeten deze beleidsregels worden geconfigureerd zodat deze Wachtwoord (lokale directory) als reserve-verificatiemethode bevatten. Anders kunnen beheerders zich niet aanmelden op de applicatie. VMware, Inc. 49

50 50 VMware, Inc.

51 Just-in-Time-gebruikers-provisioning 6 Met Just-in-Time-gebruikers-provisioning kunt u tijdens het aanmelden op een dynamische manier gebruikers maken in de VMware Identity Manager-service, met behulp van SAML-bevestigingen die zijn verzonden door een externe identiteitsprovider. Just-in-Time-gebruikers-provisioning is alleen beschikbaar voor externe identiteitsproviders. Dit is niet beschikbaar voor de VMware Identity Manager-connector. Dit hoofdstuk omvat de volgende onderwerpen: Over Just-in-Time-gebruikers-provisioning, op pagina 51 Voorbereiden voor just-in-time provisioning, op pagina 52 Just-in-Time-gebruikersprovisioning configureren, op pagina 54 Vereisten voor SAML-bevestigingen, op pagina 55 Just-in-time gebruikersprovisioning uitschakelen, op pagina 56 Een Just-in-time-map verwijderen, op pagina 56 Foutmeldingen, op pagina 57 Over Just-in-Time-gebruikers-provisioning De Just-in-Time-provisioning biedt een andere manier om gebruikers te voorzien van de VMware Identity Manager-service. In plaats van gebruikers te synchroniseren vanaf een exemplaar van Active Directory, worden gebruikers met de Just-in-Time-provisioning dynamisch gemaakt en bijgewerkt wanneer ze zich aanmelden op basis van SAML-bevestigingen die door de identiteitsprovider worden verzonden. In dit scenario werkt de VMware Identity Manager als een SAML-serviceprovider (SP). De configuratie van Just-in-Time kan alleen worden geconfigureerd voor externe identiteitsproviders. Deze configuratie is niet beschikbaar voor de connector. Met een Just-in-Time-configuratie hoeft u geen connector te installeren op locatie, omdat het maken en beheren van gebruikers wordt behandeld via SAML-bevestigingen en verificatie wordt behandeld door de externe identiteitsprovider. Maken en beheren van gebruikers Als de Just-in-Time-gebruikers-provisioning is ingeschakeld en een gebruiker naar de aanmeldingspagina van de VMware Identity Manager-service gaat en een domein selecteert, stuurt de pagina de gebruiker door naar de juiste identiteitsprovider. De gebruiker meldt zich aan, wordt geverifieerd en wordt door de identiteitsprovider teruggestuurd naar de VMware Identity Manager-service met een SAML-bevestiging. De VMware, Inc. 51

52 kenmerken in de SAML-bevestiging worden gebruikt om de gebruiker in de service aan te maken. Er worden alleen eigenschappen gebruikt die overeenkomen met de kenmerken van de gebruiker die in de service worden gedefinieerd; overige kenmerken worden genegeerd. De gebruiker wordt ook toegevoegd aan groepen op basis van de kenmerken en krijgt de rechten die voor die groepen zijn ingesteld. Wanneer de gebruiker zich later aanmeldt, wordt hij/zij, als er wijzigingen zijn in de SAML-bevestiging, in de service bijgewerkt. Gebruikers voorzien van Just-in-Time kunnen niet worden verwijderd. Om gebruikers te verwijderen, moet u de directory van Just-in-Time verwijderen. Let op dat alle gebruikersbeheer wordt behandeld via SAML-bevestigingen. U kunt deze gebruikers niet direct vanaf de service aanmaken of bijwerken. Gebruikers van Just-in-Time kunnen niet worden gesynchroniseerd vanaf Active Directory. Raadpleeg Vereisten voor SAML-bevestigingen, op pagina 55 voor informatie over de kenmerken die vereist zijn in de SAML-bevestiging. Just-in-Time-directory De externe identiteitsprovider moet een Just-in-Time-directory hebben die eraan is gekoppeld in de service. Wanneer u de Just-in-Time-provisioning voor een identiteitsprovider voor het eerst inschakelt, maakt u een nieuwe Just-in-Time-directory aan en specificeert u één of meer domeinen ervoor. Gebruikers die tot deze domeinen behoren, worden toegevoegd aan de directory. Als meerdere domeinen voor de directory zijn geconfigureerd, moeten SAML-bevestigingen een domeinkenmerk bevatten. Als één domein voor de directory wordt geconfigureerd, is een domeinkenmerk niet vereist in SAML-bevestigingen. Als het echter wordt gespecificeerd, moet de waarde overeenkomen met de domeinnaam. Er kan slechts één directory, van het type Just-in-Time, worden gekoppeld aan een identiteitsprovider met ingeschakelde Just-in-Time-provisioning. Voorbereiden voor just-in-time provisioning Voordat u just-in-time gebruikersiprovisioning configureert, moet u de instellingen van uw groepen, groepsrechten en gebruikerskenmerken controleren en indien nodig aanpassen. Identificeer ook de domeinen die u wilt gebruiken voor de just-in-time map. Lokale groepen maken Gebruikers ingericht via Just-in-Time-provisioning worden aan groepen toegevoegd op basis van hun gebruikerskenmerken en verkrijgen hun bronrechten van de groepen waartoe zij behoren. Controleer of er lokale groepen in de service aanwezig zijn voordat u Just-in-Time-provisioning configureert. Maak een of meerdere lokale groepen, afhankelijk van uw behoeften. Stel voor elke groep de regels voor groepslidmaatschap in en voeg rechten toe. 1 Selecteer het tabblad Gebruikers en groepen in de beheerconsole. 2 Klik op Groep maken, geef een naam en een omschrijving op voor de groep en klik op Toevoegen. 3 Klik op de pagina Groepen op de nieuwe groep. 4 Stel gebruikers in voor de groep. a b Selecteer Gebruikers in deze groep in het linkerdeelvenster. Klik op Gebruikers in deze groep aanpassen en stel de regels in voor groepslidmaatschap. 52 VMware, Inc.

53 Hoofdstuk 6 Just-in-Time-gebruikers-provisioning 5 Voeg rechten voor de groep toe. a b c Selecteer Rechten in het linkerdeelvenster. Klik op Rechten toevoegen en selecteer de applicaties en de implementatiemethode voor elke applicatie. Klik op Opslaan. Gebruikerskenmerken controleren Controleer de gebruikerskenmerken die worden ingesteld voor alle VMware Identity Manager-directory's op de pagina Gebruikerskenmerken en pas ze waar nodig aan. Wanneer een gebruiker via just-in-time provisioning wordt ingericht, wordt de SAML-assertie gebruikt om de gebruiker te maken. Alleen de kenmerken in de SAML-assertie die overeenkomen met de kenmerken die op de pagina Gebruikerskenmerken staan, worden gebruikt. Belangrijk Als een kenmerk op de pagina Gebruikerskenmerken als vereist is gemarkeerd, moet de SAML-assertie het kenmerk bevatten, anders mislukt de aanmelding. Wanneer u de gebruikerskenmerken wijzigt, moet u er rekening mee houden dat dit invloed heeft op andere directory's en configuraties in uw tenant. De pagina Gebruikerskenmerken is van applicatie op alle directory's in uw tenant. Opmerking U hoeft het vereiste domain-kenmerk niet te markeren. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Klik op Setup en klik op Gebruikerskenmerken. 3 Controleer de kenmerken en wijzig deze zo nodig. VMware, Inc. 53

54 Just-in-Time-gebruikersprovisioning configureren U configureert Just-in-Time-gebruikersprovisioning voor een externe identiteitsprovider tijdens het aanmaken of bijwerken van de identiteitsprovider in de VMware Identity Manager-service. Wanneer u Just-in-Time-provisioning inschakelt, maakt u een nieuwe Just-in-Time-map aan en specificeert u hiervoor een of meerdere domeinen. Gebruikers die bij deze domeinen horen, worden toegevoegd aan de map. U moet ten minste één domein opgeven. De domeinnaam moet uniek zijn voor alle mappen in de VMware Identity Manager-service. De SAML-asserties moeten het domeinkenmerk bevatten wanneer u meerdere domeinen specificeert. Wanneer u een enkel domein specificeert, wordt dit gebruikt als het domein voor SAML-asserties zonder een domeinkenmerk. Wanneer een domeinkenmerk is gespecificeerd, moet de waarde daarvan overeenkomen met een van de domeinen anders lukt aanmelden niet. 1 Meld u aan op de beheerconsole van de VMware Identity Manager-service. 2 Klik op het tabblad Identiteits- en toegangsbeheer en klik dan op Identiteitsproviders. 3 Klik op Identiteitsprovider toevoegen of selecteer een identiteitsprovider. 4 Klik in het gedeelte Just-in-Time-gebruikersprovisioning op Inschakelen. 54 VMware, Inc.

55 Hoofdstuk 6 Just-in-Time-gebruikers-provisioning 5 Specificeer de volgende informatie. Een naam voor de nieuwe Just-in-Time-map. Een of meerdere domeinen. Belangrijk De domeinnamen moeten uniek zijn voor alle mappen in de tenant. Bijvoorbeeld: 6 Vul de rest van de pagina in en klik op Toevoegen of Opslaan. Zie Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers, op pagina 80 voor informatie. Vereisten voor SAML-bevestigingen Wanneer Just-in-Time-gebruikers-provisioning is ingeschakeld voor een externe identiteitsprovider, worden gebruikers tijdens het aanmelden gemaakt of bijgewerkt in de VMware Identity Manager-service op basis van SAML-bevestigingen. SAML-bevestigingen die door de identiteitsprovider zijn verzonden, moeten bepaalde kenmerken bevatten. De SAML-bevestiging moet het username-kenmerk bevatten. De SAML-bevestiging moet alle gebruikerskenmerken die als vereist zijn gemarkeerd in de VMware Identity Manager-service. Als u de gebruikerskenmerken in het beheerconsole wilt bekijken of bewerken, klikt u op het tabblad Identiteits- en toegangsbeheer, op Installatie en vervolgens op Gebruikerskenmerken. Belangrijk Zorg ervoor dat de toetsen in de SAML-bevestiging exact overeenkomt met de kenmerknamen, waaronder het hoofdlettergebruik. Als u meerdere domeinen voor de Just-in-Time-directory configureert, moet de SAML-bevestiging het kenmerk domain bevatten. De waarde van het kenmerk moet overeenkomen met de domeinen die voor de directory zijn geconfigureerd. Als de waarde niet overeenkomt of als er geen domein is opgegeven, kunt u zich niet aanmelden. Als u een enkel domein configureert voor de Just-in-Time-directory, kunt u optioneel het kenmerk domain in de SAML-bevestiging opgeven. Als u het kenmerk domain opgeeft, zorgt u dat de waarde overeenkomt met het domein dat is geconfigureerd voor de directory. Als de SAML-bevestiging geen domeinkenmerk bevat, is de gebruiker gekoppeld aan het domein dat is geconfigureerd voor de directory VMware, Inc. 55

56 Als u wilt dat gebruikersnamen worden bijgewerkt, geeft u het kenmerk ExternalId op in de SAMLbevestiging. De gebruiker wordt geïdentificeerd door de ExternalId. Als de SAML-bevestiging bij de eerstvolgende aanmelding een andere gebruikersnaam bevat, wordt de gebruiker nog steeds op de juiste manier geïdentificeerd, slaagt de aanmelding, en wordt de gebruikersnaam bijgewerkt in de Identity Manager-service. Kenmerken van de SAML-bevestiging worden als volgt gebruikt om gebruikers te maken of bij te werken. Er worden kenmerken in de Identity Manager-service gebruikt die vereist of optioneel zijn (zoals wordt vermeld op de pagina Gebruikerskenmerken). Kenmerken die niet overeenkomen met kenmerken op de pagina Gebruikerskenmerken worden genegeerd. Kenmerken zonder waarde worden genegeerd Just-in-time gebruikersprovisioning uitschakelen U kunt Just-in-Time-gebruikersprovisioning uitschakelen. Wanneer de optie is uitgeschakeld, worden nieuwe gebruikers niet gemaakt en worden bestaande gebruikers niet bijgewerkte tijdens het aanmelden. Bestaande gebruikers blijven geverifieerd door de identiteitsprovider. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer en klik dan op Identiteitsproviders. 2 Klik op de identiteitsprovider die u wilt bewerken. 3 Deselecteer in het gedeelte Just-in-Time-gebruikersprovisioning het selectievakje Inschakelen. Een Just-in-time-map verwijderen Een Just-in-Time-map is de map van een externe identiteitsprovider die Just-in-Timegebruikersprovisioning heeft ingeschakeld. Wanneer u de map verwijdert, worden alle gebruikers in de map verwijderd en wordt de Just-in-Time-configuratie uitgeschakeld. Omdat een Just-in-Timeidentiteitsprovider slechts één map heeft, kan de identiteitsprovider niet meer worden gebruikt wanneer u de map verwijdert. U moet een nieuwe map maken wanneer u Just-in-Time-configuratie voor de identiteitsprovider opnieuw wilt inschakelen. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Zoek op de pagina Mappen de map op die u wilt verwijderen. U kunt de Just-in-Time-mappen herkennen door naar het maptype in de kolom Type te kijken. 3 Klik op de naam van de map. 4 Klik op Map verwijderen. 56 VMware, Inc.

57 Hoofdstuk 6 Just-in-Time-gebruikers-provisioning Foutmeldingen Beheerders of eindgebruikers kunnen fouten zien in verband met de Just-in-Time-provisioning. Als er bijvoorbeeld een vereist kenmerk ontbreekt in de SAML-bevestiging, treedt er een fout op en kan de gebruiker zich niet aanmelden. De volgende foutmeldingen kunnen in de beheerconsole worden weergegeven: Foutmelding Als JIT-gebruikers-provisioning is ingeschakeld, moet er minimaal één directory aan de identiteitsprovider worden gekoppeld. Oplossing Er is geen directory aan de identiteitsprovider gekoppeld. Aan een identiteitsprovider die de optie Just-in-Time-provisioning heeft ingeschakeld, moet een Just-in-Time-directory zijn gekoppeld. 1 Op het tabblad Identiteits- en toegangsbeheer in de beheerconsole klikt u op Identiteitsproviders en klikt u op de identiteitsprovider. 2 In het gedeelte Just-in-Time-gebruikers-provisioning geeft u een directorynaam en één of meer domeinen op. 3 Klik op Opslaan. Er wordt een Just-in-Time-directory gemaakt. De volgende foutmeldingen kunnen op de aanmeldingspagina worden weergegeven: Foutmelding Gebruikerskenmerk ontbreekt: naam. Het domein ontbreekt en dit kan niet worden afgeleid. Oplossing Er ontbreekt een vereist gebruikerskenmerk in de SAMLbevestiging die door de externe identiteitsprovider is verzonden. Alle kenmerken die op de pagina Gebruikerskenmerken als vereist zijn gemarkeerd, moeten in de SAML-bevestiging worden ingevoegd. Wijzig de instellingen voor de externe identiteitsprovider om de juiste SAML-bevestigingen te verzenden. De SAML-bevestiging bevat geen domeinkenmerk en het domein kan niet worden vastgesteld. In de volgende gevallen is er een domeinkenmerk vereist: Als er meerdere domeinen zijn geconfigureerd voor de Just-in-Time-directory. Als het domein op de pagina Gebruikerskenmerken is gemarkeerd als vereist kenmerk. Als er een domeinkenmerk is opgegeven, moet de waarde overeenkomen met een van de domeinen die is opgegeven voor de directory. Wijzig de instellingen voor de externe identiteitsprovider om de juiste SAML-bevestigingen te verzenden. VMware, Inc. 57

58 Foutmelding Naam van kenmerk: naam, waarde: waarde. Kan een JIT-gebruiker niet maken of bijwerken. Oplossing Het kenmerk in de SAML-bevestiging komt niet overeen met de kenmerken op de pagina Gebruikerskenmerken in de tenant en wordt genegeerd. De gebruiker kan niet worden gemaakt in de service. Mogelijke oorzaken hiervoor zijn onder andere de volgende: Er ontbreekt een vereist kenmerk in de SAMLbevestiging. Controleer de kenmerken op de pagina Gebruikerskenmerken en zorg ervoor dat de SAMLbevestiging alle vereiste kenmerken bevat. Het domein van de gebruiker kan niet worden bepaald. Geef het domeinkenmerk op in de SAML-bevestiging en zorg ervoor dat de waarde ervan overeenkomt met een van de domeinen die zijn geconfigureerd voor de Just-in-Time-directory. 58 VMware, Inc.

59 Gebruikersverificatie configureren in 7 VMware Identity Manager VMware Identity Manager ondersteunt meerdere verificatiemethoden. U kunt één verificatiemethode configureren en u kunt een geketende, tweeledige verificatie instellen. U kunt ook een verificatiemethode gebruiken die extern is voor RADIUS- en SAML-protocollen. De identiteitsproviderinstantie die u met de VMware Identity Manager-service gebruikt, creëert een federatie-autoriteit in het netwerk die met de service communiceert met behulp van SAML 2.0- bevestigingen. Wanneer u voor het eerst de VMWare Identity Manager-service implementeert, is de connector de eerste identiteitsprovider voor de service. Uw bestaande infrastructuur van Active Directory wordt gebruikt voor gebruikersverificatie en -beheer. De volgende verificatiemethoden worden ondersteund. U configureert deze verificatiemethoden vanaf de beheerconsole. Verificatiemethoden Wachtwoord (implementatie op locatie) Kerberos voor desktops Certificaat (implementatie op locatie) RSA SecurID (implementatie op locatie) RADIUS (implementatie op locatie) Beschrijving Zonder een configuratie nadat Active Directory is geconfigureerd, ondersteunt VMware Identity Manager Active Directory-wachtwoordverificatie. Deze methode verifieert gebruikers direct op Active Directory. Kerberos-verificatie biedt domeingebruikers met Single Sign-In toegang tot hun appsportal. Gebruikers hoeven niet opnieuw aan te melden op hun apps-portal nadat ze hebben aangemeld op het netwerk. Er kunnen twee Kerberos-verificatiemethoden worden geconfigureerd: Kerberos-verificatie voor desktop met geïntegreerde Windows-verificatie, en ingebouwde Kerberos-verificatie voor ios 9 mobiel apparaat wanneer een vertrouwde relatie is ingesteld tussen Active Directory en AirWatch. Op certificaat gebaseerde verificatie kan worden geconfigureerd om clients toe te staan verificatie uit te voeren met certificaten op hun desktop- en mobiele apparaten of om een smartcardadapter te gebruiken voor verificatie. Op certificaat gebaseerde verificatie is gebaseerd op wat de gebruiker heeft en wat de persoon kent. Een X.509-certificaat gebruikt de openbare sleutelinfrastructuurstandaard om te verifiëren of een openbare sleutel in het certificaat van een gebruiker is. Als RSA SecurID-verificatie is geconfigureerd, is VMware Identity Manager geconfigureerd als de verificatieagent in de RSA SecurID-server. RSA SecurID-verificatie vereist dat gebruikers een tokengebaseerd verificatiesysteem gebruiken. RSA SecurID is een verificatiemethode voor gebruikers die VMware Identity Manager openen van buiten het bedrijfsnetwerk. RADIUS-verificatie biedt tweeledige verificatieopties. U stelt de RADIUS-server in die toegankelijk is voor de VMware Identity Manager-service. Als gebruikers zich aanmelden met hun gebruikersnaam en wachtwoordcode, wordt een toegangsaanvraag naar de RADIUS-server verzonden voor verificatie. VMware, Inc. 59

60 Verificatiemethoden RSA adaptieve verificatie (implementatie op locatie) Mobiele SSO (voor ios) Mobiele SSO (voor Android) Wachtwoord (AirWatchconnector) VMware Verify Wachtwoord (lokale directory) Beschrijving RSA-verificatie biedt een sterkere, meervoudige verificatie dan alleen de verificatie met gebruikersnaam en wachtwoord op Active Directory. Wanneer RSA adaptieve verificatie is ingeschakeld, worden de risico-indicatoren die in het risicobeleid zijn gespecificeerd in de RSA-beleidsbeheerapplicatie ingesteld. De configuratie van de VMware Identity Managerservice van adaptieve verificatie wordt gebruikt om de vereiste verificatievragen te bepalen. Mobiele SSO voor ios-verificatie wordt gebruikt voor de verificatie van Single Sign-On voor door AirWatch beheerde ios-apparaten. Mobiele SSO (voor ios-)verificatie gebruikt een hoofddistributiecentrum (HDC) dat onderdeel uitmaakt van de Identity Manager-service. U moet de HDC-service initialiseren in de VMware Identity Manager-service voordat u deze verificatiemethode inschakelt. Mobiele SSO voor Android-verificatie wordt gebruikt voor verificatie van Single Sign-On voor door AirWatch beheerde Android-apparaten. Een proxy-service wordt ingesteld tussen de VMware Identity Manager-service en AirWatch om het certificaat op te halen van AirWatch voor verificatie. De AirWatch Cloud Connector kan met de VMware Identity Manager-service worden geïntegreerd voor de verificatie van het gebruikerswachtwoord. U configureert de VMware Identity Manager-service om gebruikers van de AirWatch-directory te synchroniseren. VMware Verify kan worden gebruikt als de tweede verificatiemethode wanneer tweestapsverificatie wordt vereist. De eerste verificatiemethode is gebruikersnaam en wachtwoord en de tweede verificatiemethode is een VMware Verify verzoekgoedkeuring of -code. VMware Verify gebruikt een cloudservice van derden om deze functie te leveren op de apparaten van gebruikers. Om dit te doen, wordt gebruikersinformatie zoals naam, e- mailadres en telefoonnummer opgeslagen in de service, maar deze informatie wordt uitsluitend gebruikt om de functie te leveren. De methode Wachtwoord (lokale directory) wordt standaard ingeschakeld voor de identiteitsprovider Systeem-IDP die wordt gebruikt bij de Systeemdirectory. Deze wordt toegepast op het standaard toegangsbeleid. Nadat de verificatiemethoden zijn geconfigureerd, maakt u toegangsbeleidsregels die de te gebruiken verificatiemethoden per apparaattype specificeren. Gebruikers worden geverifieerd op basis van de verificatiemethoden, de standaard toegangsbeleidsregels, netwerkbereiken en de identiteitsproviderinstantie die u configureert. Zie Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina 82. Dit hoofdstuk omvat de volgende onderwerpen: Kerberos configureren voor VMware Identity Manager, op pagina 61 SecurID configureren voor VMware Identity Manager, op pagina 65 RADIUS configureren voor VMware Identity Manager, op pagina 67 RSA adaptieve verificatie configureren in VMware Identity Manager, op pagina 69 Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager, op pagina 72 VMware Verify configureren voor tweeledige verificatie, op pagina 75 Een ingebouwde identiteitsprovider configureren, op pagina 77 Extra Workspace-identiteitsproviders configureren, op pagina 79 Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers, op pagina 80 Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina VMware, Inc.

61 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Kerberos configureren voor VMware Identity Manager Kerberos-verificatie biedt gebruikers die zijn aangemeld bij hun domein toegang tot hun applicatieportal zonder dat ze om aanvullende verificatiegegevens worden gevraagd. Het Kerberos-verificatieprotocol kan worden geconfigureerd in de Identity Manager-service voor desktops met ingebouwde Windows-verificatie om de interactie tussen de browsers van gebruikers en de Identity Manager-service te beveiligen, en voor one-touch single sign-in op ios 9-mobiele apparaten die worden beheerd in AirWatch. Zie Mobiele Single Sign-in-verificatie implementeren voor door AirWatch beheerde ios-apparaten, op pagina 135 voor meer informatie over Kerberos-verificatie op ios 9-apparaten. Kerberos voor desktops implementeren met ingebouwde Windows-verificatie Om Kerberos-verificatie voor desktops in te stellen, schakelt u Ingebouwde Windows-verificatie in zodat het Kerberos-protocol de interactie tussen de browsers van gebruikers en de Identity Manager-service kan beveiligen. Wanneer Kerberos-verificatie is ingeschakeld voor desktops, valideert de Identity Manager-service de verificatiegegevens van de gebruiker van de desktop met behulp van Kerberos-tickets die worden gedistribueerd door het Key Distribution Center (KDC) en die zijn geïmplementeerd als een domeinservice in Active Directory. U hoeft Active Directory niet direct te configureren om Kerberos in uw implementatie te laten werken. U moet de webbrowsers van eindgebruikers configureren om uw Kerberos-verificatiegegevens naar de service te verzenden wanneer gebruikers zich aanmelden. Zie Uw browser configureren voor Kerberos, op pagina 62. Kerberos-verificatie configureren voor desktops met ingebouwde Windowsverificatie Als u de VMware Identity Manager-service wilt configureren voor Kerberos-verificatie voor desktops, moet u deelnemen aan het domein en Kerberos-verificatie inschakelen op de VMware Identity Managerconnector. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik op de pagina Connectoren voor de connector die wordt geconfigureerd voor Kerberos-verificatie op Aan domein toevoegen. 3 Voer op de pagina Aan domein toevoegen de informatie in voor het Active Directory-domein. Optie Domein Domeingebru iker Domeinwacht woord Beschrijving Voer de volledig gekwalificeerde domeinnaam van de Active Directory in. De domeinnaam die u invoert, moet hetzelfde Windows-domein zijn als de connectorserver. Voer de gebruikersnaam in van een account in de Active Directory dat rechten heeft om systemen aan dat Active Directory-domein toe te voegen. Voer het wachtwoord in dat aan de AD-gebruikersnaam is gekoppeld. Dit wachtwoord wordt niet opgeslagen door VMware Identity Manager. Klik op Opslaan. De pagina Aan domein toevoegen wordt vernieuwd en geeft een bericht weer dat u aan het domein bent toegevoegd. 4 Klik in de kolom Werker voor de connector op Verificatieadapters. VMware, Inc. 61

62 5 Klik op Kerberos-IDP-adapter U wordt omgeleid naar de aanmeldingspagina van identiteitsbeheer. 6 Klik op Bewerken in de rij Kerberos-IDP-adapter en configureer de Kerberos-verificatiepagina. Optie Naam Directory- UID-kenmerk Windowsverificatie inschakelen NTLM inschakelen Omleiden inschakelen Beschrijving Een naam is vereist. De standaardnaam is Kerberos-IDP-adapter. U kunt dit wijzigen. Voer het accountkenmerk in dat de gebruikersnaam bevat Selecteer deze om verificatie-interacties uit te breiden tussen de browsers van gebruikers en VMware Identity Manager. Selecteer deze optie alleen om op het NTLM-protocol (NT LAN Manager) gebaseerde verificatie in te schakelen als uw Active Directory-infrastructuur vertrouwt op NTLM-verificatie. Selecteer deze als round robin-dns en load-balancers geen Kerberos-ondersteuning hebben. Verificatieaanvragen worden omgeleid naar de hostnaam voor omleiding. Als deze is geselecteerd, voert u de hostnaam voor omleiding in het tekstvak Hostnaam omleiding in. Deze is doorgaans de hostnaam van de service. 7 Klik op Opslaan. Wat nu te doen Voeg de verificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om de Kerberos-verificatiemethode toe te voegen aan de regel in de juiste verificatievolgorde. Uw browser configureren voor Kerberos Wanneer Kerberos is ingeschakeld, moet u de webbrowsers configureren om uw Kerberosverificatiegegevens naar de service te verzenden wanneer gebruikers zich aanmelden. U kunt de volgende webbrowsers configureren om uw Kerberos-verificatiegegevens te verzenden naar de Identity Manager-service op computers met Windows: Firefox, Internet Explorer en Chrome. Alle browsers moeten nog verder worden geconfigureerd. Internet Explorer configureren voor toegang tot de webinterface U moet de Internet Explorer-browser configureren als Kerberos is geconfigureerd voor uw implementatie en u gebruikers toegang wilt verlenen tot de webinterface via Internet Explorer. Kerberos-verificatie werkt samen met VMware Identity Manager op Windows-besturingssystemen. Opmerking Implementeer deze stappen voor Kerberos niet op andere besturingssystemen. Vereisten Configureer de Internet Explorer-browser voor elke gebruiker of bied gebruikers instructies voor configuratie nadat u Kerberos hebt geconfigureerd. 1 Controleer of u bij Windows bent aangemeld als gebruiker in het domein. 2 Schakel automatische aanmelding in Internet Explorer in. a b Selecteer Extra > Internetopties > Beveiliging. Klik op Aangepast niveau. 62 VMware, Inc.

63 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager c d Selecteer Alleen automatisch aanmelden in de intranetzone. Klik op OK. 3 Controleer of deze instantie van de virtuele toepassing van de connector onderdeel uitmaakt van de lokale intranetzone. a b Gebruik Internet Explorer om de aanmeldings-url voor de VMware Identity Manager- te openen via Controleer de zone in de rechterbenedenhoek, op de statusbalk van het browservenster. Als de zone Lokaal intranet is, is de configuratie van Internet Explorer voltooid. 4 Als de zone niet Lokaal intranet is, voegt u de aanmeldings-url voor de VMware Identity Managertoe aan de intranetzone. a b Selecteer Extra > Internetopties > Beveiliging > Lokaal intranet > Sites. Selecteer Intranetnetwerk automatisch detecteren. Als deze optie niet eerder was ingeschakeld, is inschakelen mogelijk voldoende voor het toevoegen van de aan de intranetzone. c d (Optioneel) Als u Intranetnetwerk automatisch detecteren hebt geselecteerd, klikt u op OK totdat alle dialoogvensters zijn gesloten. Klik op Geavanceerd in het dialoogvenster Lokaal intranet. Een tweede dialoogvenster met de naam Lokaal intranet wordt geopend. e Voer de -URL van VMware Identity Manager in het tekstvak Deze website aan de zone toevoegen in. f Klik op Toevoegen > Sluiten > OK. 5 Controleer of Internet Explorer de Windows-verificatie mag doorgeven aan de vertrouwde site. a b Klik in het dialoogvenster Internetopties op het tabblad Geavanceerd. Selecteer Geïntegreerde Windows-verificatie inschakelen. Deze optie wordt pas van kracht nadat u Internet Explorer opnieuw hebt gestart. c Klik op OK. 6 Meld u aan bij de webinterface om toegang te controleren. Als Kerberos-verificatie slaagt, gaat de test-url naar de webinterface. Het Kerberos-protocol beveiligt alle interacties tussen deze instantie van de Internet Explorer-browser en VMware Identity Manager. Gebruikers kunnen vervolgens Single Sign-On-toegang gebruiken voor hun Workspace ONE-portal. Firefox configureren voor toegang tot de webinterface U moet de Firefox-browser configureren als Kerberos is geconfigureerd voor uw implementatie en u gebruikers toegang wilt verlenen tot de webinterface via Firefox. Kerberos-verificatie werkt samen met VMware Identity Manager op Windows-besturingssystemen. Vereisten Configureer de Firefox-browser voor elke gebruiker of biedt gebruikers instructies voor configuratie nadat u Kerberos hebt geconfigureerd. VMware, Inc. 63

64 1 Voer about:config in het URL-tekstvak van de Firefox-browser in om toegang te krijgen tot de geavanceerde instellingen. 2 Klik op Ik zal voorzichtig zijn, dat beloof ik!. 3 Dubbelklik op network.negotiate-auth.trusted-uris in de kolom met de naam van de voorkeur. 4 Voer de -URL voor VMware Identity Manager in het tekstvak in. 5 Klik op OK. 6 Dubbelklik op network.negotiate-auth.delegation-uris in de kolom met de naam van de voorkeur. 7 Voer de -URL voor VMware Identity Manager in het tekstvak in. 8 Klik op OK. 9 Test de Kerberos-functies door u via de Firefox-browser aan te melden met de aanmeldings-url van de. Bijvoorbeeld: Als Kerberos-verificatie slaagt, gaat de test-url naar de webinterface. Het Kerberos-protocol beveiligt alle interacties tussen deze instantie van de Firefox-browser en VMware Identity Manager. Gebruikers kunnen vervolgens Single Sign-On-toegang gebruiken voor hun Workspace ONE-portal. De Chrome-browser configureren voor toegang tot de webinterface U moet de Chrome-browser configureren wanneer Kerberos voor uw implementatie is geconfigureerd en u gebruikers toegang wilt geven tot de webbrowser met behulp van de Chrome-browser. Kerberos-verificatie werkt samen met VMware Identity Manager op Windows-besturingssystemen. Opmerking Implementeer deze stappen voor Kerberos niet op andere besturingssystemen. Vereisten Kerberos configureren. Omdat Chrome de configuratie van Internet Explorer gebruikt om Kerberos-verificatie in te schakelen, moet u Internet Explorer configureren zodat Chrome de configuratie van Internet Explorer kan gebruiken. Zie de documentatie van Google voor informatie over het configureren van Chrome voor Kerberos-verificatie. 1 Test de Kerberos-functionaliteit door de Chrome-browser te gebruiken. 2 Meld u aan op VMware Identity Manager via Wanneer Kerberos-verificatie goed werkt, maakt de test-url verbinding met de webinterface. Als alle betreffende Kerberos-configuraties goed zijn, beveiligt het relatieve protocol (Kerberos) alle interacties tussen deze Chrome-browserinstantie en VMware Identity Manager. Gebruikers kunnen Single Sign-On gebruiken voor toegang tot hun Workspace ONE-portal. 64 VMware, Inc.

65 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager SecurID configureren voor VMware Identity Manager Wanneer u een RSA SecurID-server configureert, moet u de informatie voor de VMware Identity Manager - service toevoegen als verificatieagent op de RSA SecurID-server en de RSA SecurID-servergegevens configureren voor de VMware Identity Manager -service. Wanneer u SecurID configureert voor het leveren van aanvullende beveiliging, moet u controleren of het netwerk correct is geconfigureerd voor uw VMware Identity Manager-implementatie. Met name voor SecurID moet u nagaan of de juiste poort open staat, zodat SecurID gebruikers van buiten uw netwerk kan verifiëren. Nadat u de Setup-wizard voor VMware Identity Manager hebt uitgevoerd en de Active Directoryverbinding hebt geconfigureerd, beschikt u over de vereiste informatie voor het voorbereiden van de RSA SecurID-server. Nadat u de RSA SecurID-server hebt voorbereid voor VMware Identity Manager, schakelt u SecurID in de beheerconsole in. De RSA SecurID-server voorbereiden op pagina 65 De RSA SecurID-server moet worden geconfigureerd met informatie over de VMware Identity Manager- toepassing als de verificatieagent. De vereiste informatie bestaat uit de hostnaam en de IP-adressen voor netwerkinterfaces. RSA SecurID-verificatie configureren op pagina 66 Nadat de VMware Identity Manager-toepassing is geconfigureerd als de verificatieagent in de RSA SecurID-server, moet u de RSA SecurID-configuratie-informatie aan de connector toevoegen. De RSA SecurID-server voorbereiden De RSA SecurID-server moet worden geconfigureerd met informatie over de VMware Identity Managertoepassing als de verificatieagent. De vereiste informatie bestaat uit de hostnaam en de IP-adressen voor netwerkinterfaces. Vereisten Controleer of een van de volgende RSA Authentication Manager-versies is geïnstalleerd en werkt op het bedrijfsnetwerk: RSA AM 6.1.2, 7.1 SP2 en hoger en 8.0 en hoger. De server van VMware Identity Manager gebruikt AuthSDK_Java_v _03_11_03_16_51 (Agent API 8.1 SP1), dat alleen de voorafgaande versies van RSA Authentication Manager (de RSA SecurID-server) ondersteunt. Raadpleeg de RSA-documentatie voor meer informatie over het installeren en configureren van RSA Authentication Manager (RSA SecurID-server). 1 Voeg de VMware Identity Manager-connector als verificatieagent toe op een ondersteunde versie van de RSA SecurID-server. Geef de volgende informatie op. Optie Hostnaam IP-adres Alternatief IP-adres Beschrijving De hostnaam van VMware Identity Manager. Het IP-adres van VMware Identity Manager. Als verkeer van de connector wordt doorgeleid door een NAT-apparaat (Network Address Translation) voordat het de RSA SecurID-server bereikt, voert u het privé IP-adres in van de toepassing. 2 Download het gecomprimeerde configuratiebestand en extraheer het bestand sdconf.rec. Dit bestand moet u later uploaden wanneer u RSA SecurID in VMware Identity Manager configureert. VMware, Inc. 65

66 Wat nu te doen Ga naar de beheerconsole en selecteer de connector op de setup-pagina's van het tabblad Identiteits- en toegangsbeheer. Selecteer de connector en configureer SecurID op de pagina Verificatieadapter. RSA SecurID-verificatie configureren Nadat de VMware Identity Manager-toepassing is geconfigureerd als de verificatieagent in de RSA SecurIDserver, moet u de RSA SecurID-configuratie-informatie aan de connector toevoegen. Vereisten Controleer of de RSA Authentication Manager (de RSA SecurID-server) correct is geïnstalleerd en geconfigureerd. Download het gecomprimeerde bestand van de RSA SecurID-server en pak het serverconfiguratiebestand uit. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd met RSA SecurID. 3 Klik op Verificatieadapters en klik vervolgens op SecurID-IDP-adapter. U wordt omgeleid naar de aanmeldingspagina van identiteitsbeheer. 4 Klik op de pagina Verificatieadapters in de rij SecurID-IDP-adapter op Bewerken. 5 Configureer de pagina SecurID-verificatieadapter. De informatie die wordt gebruikt en de bestanden die worden gegenereerd op de RSA SecurID-server, zijn vereist wanneer u de SecurID-pagina configureert. Optie Naam SecurID inschakelen Aantal toegestane verificatiepogi ngen Connectoradr es Agent-IPadres Actie Een naam is vereist. De standaardnaam is SecurID-IDP-adapter. U kunt dit wijzigen. Schakel dit vakje in om SecurID-verificatie in te schakelen. Voer het maximum aantal mislukte aanmeldingspogingen in bij het gebruik van het RSA SecurIDtoken. De standaardwaarde is vijf pogingen. Opmerking Wanneer meer dan één directory is geconfigureerd en u RSA SecurID-verificatie implementeert met extra directory's, configureert u Aantal toegestane verificatiepogingen met dezelfde waarde voor elke RSA SecurID-configuratie. Als de waarde niet identiek is, mislukt de SecurID-verificatie. Voer het IP-adres van de connectorinstantie in. De waarde die u invoert, moet overeenkomen met de waarde die u hebt gebruikt toen u de connectorappliance als verificatieagent hebt toegevoegd aan de RSA SecurID-server. Als voor uw SecurID-server een waarde is toegewezen aan de prompt Alternatief IP-adres, dan voert u deze waarde in als het IP-adres van de connector. Als er geen alternatief IP-adres is toegewezen, voert u de waarde in die is toegewezen aan de prompt IP-adres. Voer de waarde in die is toegewezen aan de prompt IP-adres in de RSA SecurID-server. 66 VMware, Inc.

67 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Optie Serverconfigu ratie Knooppuntge heim Actie Upload het RSA SecurID-serverconfiguratiebestand. Eerst moet u het gecomprimeerde bestand downloaden van de RSA SecurID-server en het serverconfiguratiebestand, dat standaard sdconf.rec wordt genoemd, uitpakken. Als u het veld voor het knooppuntgeheim leeg laat, kan het knooppuntgeheim automatisch worden gegenereerd. Wij raden u aan het knooppuntgeheimbestand op de RSA SecurID-server te wissen en het knooppuntgeheimbestand niet opzettelijk te uploaden. Zorg ervoor dat het knooppuntgeheimbestand op de RSA SecurID-server en op de serverconnectorinstantie altijd overeenkomen. Als u het knooppuntgeheim op één locatie wijzigt, moet u dit ook op de andere locatie wijzigen. 6 Klik op Opslaan. Wat nu te doen Voeg de verificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om de SecurID-verificatiemethode toe te voegen aan de regel. Zie Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina 82. RADIUS configureren voor VMware Identity Manager U kunt VMware Identity Manager zo configureren dat van gebruikers wordt vereist dat ze RADIUSverificatie (Remote Authentication Dial-In User Service) gebruiken. U configureert de RADIUSserverinformatie met de VMware Identity Manager-service. RADIUS-ondersteunt een groot aantal alternatieve opties voor tweeledige op tokens gebaseerde verificatie. Omdat tweeledige verificatieoplossingen als RADIUS werken met verificatiebeheerders die op afzonderlijke servers geïnstalleerd zijn, moet u de RADIUS-server configureren en toegankelijk maken voor de identiteitsbeheerservice. Wanneer gebruikers zich aanmelden bij hun Workspace ONE-portal en RADIUS-verificatie is ingeschakeld, wordt een speciaal aanmeldingsvenster weergegeven in de browser. Gebruikers voeren hun gebruikersnaam en wachtwoord voor RADIUS-verificatie in dit dialoogvenster in. Als de RADIUS-server antwoordt met een toegangscontrole, wordt door de identiteitsbeheerservice een dialoogvenster weergegeven waarin om een tweede wachtwoordcode wordt gevraagd. Ondersteuning voor RADIUStoegangscontrole is momenteel beperkt tot het vragen om tekstinvoer. Nadat een gebruiker verificatiegegevens heeft opgegeven in het dialoogvenster kan de RADIUS-server een sms-bericht, een of een tekst met behulp van een ander out-of-band-mechanisme sturen naar de mobiele telefoon van de gebruiker met een code. De gebruiker kan deze tekst en code in het aanmeldingsdialoogvenster invoeren om de verificatie te voltooien. Als de RADIUS-server de mogelijkheid biedt om gebruikers uit Active Directory te importeren, kan eindgebruikers worden gevraagd om Active Directory-verificatiegegevens op te geven voordat ze worden gevraagd om de gebruikersnaam en de wachtwoordcode voor RADIUS-verificatie. De RADIUS-server voorbereiden Stel de RADIUS-server in en configureer de RADIUS-server vervolgens zodanig dat RADIUS-aanvragen van de VMware Identity Manager-service worden geaccepteerd. Raadpleeg de installatiehandleidingen van uw RADIUS-leverancier voor informatie over het instellen van de RADIUS-server. Schrijf de RADIUS-configuratiegegevens op, omdat u deze informatie gebruikt bij het configureren van RADIUS in de service. Ga naar RADIUS-verificatie configureren in VMware Identity Manager, op pagina 68 voor informatie over het type RADIUS-informatie dat u nodig hebt om VMware Identity Manager te configureren. VMware, Inc. 67

68 U kunt een secundaire RADIUS-verificatieserver instellen die moet worden gebruikt voor het leveren van hoge beschikbaarheid. Als de primaire RADIUS-server niet reageert binnen de servertime-out die is geconfigureerd voor RADIUS-verificatie, wordt de aanvraag omgeleid naar de secundaire server. Als de primaire server niet reageert, ontvangt de secundaire server alle toekomstige verificatieaanvragen. RADIUS-verificatie configureren in VMware Identity Manager U schakelt RADIUS-verificatie in en configureert de RADIUS-instellingen in de VMware Identity Managerbeheerconsole. Vereisten Installeer en configureer de RADIUS-software op een verificatieserver. Voor RADIUS-verificatie volgt u de configuratiedocumentatie van de leverancier. U moet de volgende RADIUS-serverinformatie kennen om RADIUS op de service te configureren. IP-adres of DNS-naam van de RADIUS-server. Verificatiepoortnummers. De verificatiepoort is doorgaans Verificatietype. De verificatietypen omvatten PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versies 1 en 2). Specifieke waarden voor time-outs en nieuwe pogingen die nodig zijn voor RADIUS-verificatie 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd voor RADIUS-verificatie. 3 Klik op Verificatieadapters en klik vervolgens op RADIUS-verificatieadapter. U wordt omgeleid naar de aanmeldpagina van het identiteitsbeheer. 4 Klik op Bewerken om deze velden te configureren op de pagina Verificatieadapter. Optie Naam RADIUS gedeeld geheim dat wordt gebruikt voor versleuteling en ontsleuteling in RADIUSprotocolberichten. RADIUSadapter inschakelen Aantal toegestane verificatiepogi ngen Aantal pogingen voor RADIUSserver Hostnaam/ad res van RADIUSserver Actie Een naam is vereist. De standaardnaam is RADIUS-verificatieadapter. U kunt dit wijzigen. Schakel dit vakje in om RADIUS-verificatie in te schakelen. Voer het maximum aantal mislukte aanmeldingspogingen in bij het gebruik van RADIUS bij de aanmelding. De standaardwaarde is vijf pogingen. Geef het totale aantal nieuwe pogingen op. Als de primaire server niet reageert, wacht de service gedurende de geconfigureerde tijd voordat een nieuwe poging wordt gedaan. Voer de hostnaam of het IP-adres van de RADIUS-server in. 68 VMware, Inc.

69 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Optie Verificatiepoo rt Accountingpo ort Verificatietyp e Gedeeld geheim Servertimeout in seconden Voorvoegsel van realm Achtervoegsel van realm Hint voor wachtwoordzi n van aanmeldpagin a Actie Voer het RADIUS-verificatiepoortnummer in. Dit is doorgaans Voer 0 in voor het poortnummer. De accountingpoort wordt op dit ogenblik niet gebruikt. Voer het verificatieprotocol in dat door de RADIUS-server wordt ondersteund. PAP, CHAP, MSCHAP1, of MSCHAP2. Voer het gedeeld geheim in dat wordt gebruikt tussen de RADIUS-server en de VMware Identity Manager-service. Voer de RADIUS-servertime-out in seconden in, waarna een nieuwe poging wordt verzonden als de RADIUS-server niet reageert. (Optioneel) De gebruikersaccountlocatie wordt de realm genoemd. Als u een tekenreeks voor het realmvoorvoegsel opgeeft, wordt de tekenreeks aan het begin van de gebruikersnaam geplaatst wanneer de naam naar de RADIUS-server wordt verzonden. Als de gebruikersnaam bijvoorbeeld wordt ingevoerd als jdoe en het realmvoorvoegsel DOMAIN-A\ wordt opgegeven, dan wordt de gebruikersnaam DOMAIN-A\jdoe naar de RADIUS-server verzonden. Als u deze velden niet configureert, dan wordt alleen de ingevoerde gebruikersnaam verzonden. (Optioneel) Als u een realmachtervoegsel opgeeft, wordt de tekenreeks aan het einde van de gebruikersnaam geplaatst. Als het achtervoegsel is, dan wordt de gebruikersnaam jdoe@myco.com naar de RADIUS-server verzonden. Voer de teksttekenreeks in die moet worden weergegeven in het bericht op de gebruikersaanmeldpagina om gebruikers te vragen de juiste RADIUS-wachtwoordcode in te voeren. Als dit veld bijvoorbeeld is geconfigureerd met Eerst AD-wachtwoord en vervolgens SMS-wachtwoordcode, dan bevat het bericht op de aanmeldpagina Voer eerst uw ADwachtwoord in en vervolgens de SMS-wachtwoordcode. De standaard teksttekenreeks is RADIUS-wachtwoordcode. 5 U kunt een secundaire RADIUS-server voor hoge beschikbaarheid inschakelen. Configureer de secundaire server zoals beschreven in stap 4. 6 Klik op Opslaan. Wat nu te doen Voeg de RADIUS-verificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om de RADIUS-verificatiemethode toe te voegen aan de regel. Zie Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina 82. RSA adaptieve verificatie configureren in VMware Identity Manager RSA adaptieve verificatie kan worden geïmplementeerd voor een krachtiger verificatie met meerdere factoren dan slechts verificatie van de gebruikersnaam en het wachtwoord voor de Active Directory. Adaptieve verificatie bewaakt en verifieert de aanmeldpogingen van een gebruiker gebaseerd op risiconiveaus en het beleid. Wanneer adaptieve verificatie is ingeschakeld, worden de risico-indicatoren in het risicobeleid dat is ingesteld in de applicatie RSA-beleidsbeheer en de configuratie van adaptieve verificatie in de VMware Identity Manager-service gebruikt om te bepalen of een gebruiker is geverifieerd met de gebruikersnaam en het wachtwoord, en of er aanvullende informatie nodig is om de gebruiker te verifiëren. VMware, Inc. 69

70 Ondersteunde verificatiemethoden voor RSA adaptieve verificatie De sterke verificatiemethoden van RSA adaptieve verificatie ondersteund in de VMware Identity Managerservice zijn out-of-band verificatie via de telefoon, een - of SMS-tekstbericht en uitdagingsvragen. Op de service schakelt u de beschikbare methoden voor RSA adaptieve verificatie in. Het beleid van RSA adaptieve verificatie bepaalt welke tweede verificatiemethode wordt gebruikt. Out-of-band verificatie is een proces waarbij is vereist dat een extra verificatie samen met de gebruikersnaam en het wachtwoord wordt verzonden. Wanneer gebruikers zich registreren in een RSA adaptieve verificatieserver, geven zij een adres, een telefoonnummer of beide op, afhankelijk van de serverconfiguratie. Wanneer een extra verificatie is vereist, verzendt de RSA adaptieve verificatieserver een eenmalige wachtwoordcode via het geboden kanaal. Gebruikers voeren die wachtwoordcode in samen met hun gebruikersnaam en wachtwoord. Bij uitdagingsvragen moet de gebruiker een aantal vragen beantwoorden wanneer deze zich registreert bij de RSA adaptieve verificatieserver. U kunt configureren hoe veel vragen voor registratie en hoe veel uitdagingsvragen op de aanmeldingspagina moeten worden weergegeven. Gebruikers met de RSA adaptieve verificatieserver registreren Gebruikers moeten zijn ingericht in de RSA adaptieve verificatiedatabase om adaptieve verificatie als verificatie te kunnen gebruiken. Wanneer gebruikers zich voor de eerste keer aanmelden met hun gebruikersnaam en wachtwoord, worden ze toegevoegd aan de RSA adaptieve verificatiedatabase. Afhankelijk van hoe u RSA adaptieve verificatie in de service hebt geconfigureerd, kunnen gebruikers wanneer ze zich aanmelden worden gevraagd om hun adres, telefoonnummer, sms-nummer op te geven, of gebruikers kunnen worden gevraagd om te antwoorden op de uitdagingsvragen. Opmerking Internationale tekens in gebruikersnamen zijn bij RSA adaptieve verificatie niet toegestaan. Neem contact op met RSA Support om RSA adaptieve verificatie en de RSA Authentication Manager te configureren wanneer u multi-byte tekens in de gebruikersnamen wilt toestaan. RSA adaptieve verificatie configureren in Identity Manager Als u RSA adaptieve verificatie wilt configureren voor de service, schakelt u RSA adaptieve verificatie in, selecteert u de adaptieve verificatiemethoden die u wilt toepassen en voegt u de Active Directoryverbindingsinformatie en het certificaat toe. Vereisten RSA adaptieve verificatie correct geconfigureerd met de verificatiemethoden voor gebruik als secundaire verificatie. Details over het SOAP-endpointadres en de SOAP-gebruikersnaam. Informatie over Active Directory-configuratie en het beschikbare Active Directory SSL-certificaat. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connector in de kolom Werkers de koppeling voor de connector die wordt geconfigureerd. 3 Klik op Verificatieadapters en klik vervolgens op RSAAAldpAdapter. U wordt omgeleid naar de pagina van de verificatieadapter voor identiteitsbeheer. 4 Klik op de link Bewerken naast de RSAAAldpAdapter. 70 VMware, Inc.

71 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager 5 Selecteer de geschikte instellingen voor uw omgeving. Opmerking Een sterretje geeft aan dat dit veld moet worden ingevuld. De overige velden zijn optioneel. Optie *Naam RSA AA-adapter inschakelen *SOAP-endpoint *SOAP-gebruikersnaam RSA-domein OOB-mail inschakelen OOB-sms inschakelen SecurID inschakelen Geheime vraag inschakelen *Aantal aanmeldingsvragen *Aantal verificatievragen *Aantal toegestane verificatiepogingen Soort directory Serverpoort Serverhost SSL gebruiken DNS-servicelocatie gebruiken Basis-DN Bindings-DN Wachtwoord Bind Zoekkenmerk Directorycertificaat Beschrijving Een naam is vereist. De standaardnaam is RSAAAldpAdapter. U kunt deze naam wijzigen. Schakel het selectievakje in om RSA adaptieve verificatie in te schakelen. Voer het SOAP-endpointadres voor integratie in tussen de RSA adaptieve verificatieadapter en de service. Voer de gebruikersnaam en het wachtwoord in die worden gebruikt om SOAP-berichten te ondertekenen. Voer het domeinadres van de adaptieve verificatieserver in. Schakel dit selectievakje in als u out-of-band-verificatie wilt inschakelen zodat een bericht met een eenmalige wachtwoordcode wordt verzonden naar de eindgebruiker. Schakel dit selectievakje in als u out-of-band-verificatie wilt inschakelen zodat een sms-bericht met een eenmalige wachtwoordcode wordt verzonden naar de eindgebruiker. Schakel dit selectievakje in om SecurID-verificatie in te schakelen. Gebruikers worden gevraagd om hun RSA-token en wachtwoordcode in te voeren. Schakel dit selectievakje in als u aanmeldings- en verificatievragen wilt gebruiken voor verificatie. Voer het aantal vragen in dat de gebruiker moet instellen wanneer die zich inschrijft op de verificatieadapterserver. Voer het aantal verificatievragen in die gebruikers moeten beantwoorden om zich te kunnen aanmelden. Voer in hoe vaak verificatievragen moeten worden weergegeven voor een gebruiker die zich probeert aan te melden, voordat de verificatie mislukt. Alleen Active Directory wordt ondersteund als directory. Voer het poortnummer van de Active Directory in. Voer de hostnaam van de Active Directory in. Schakel dit selectievakje in als u SSL gebruikt voor uw directoryverbinding. U voegt het Active Directory SSL-certificaat toe aan het veld Directorycertificaat. Schakel dit selectievakje in als DNS-servicelocatie wordt gebruikt voor directoryverbinding. Voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Voer het account in waarmee u kunt zoeken naar gebruikers. Bijvoorbeeld CN=bindgebruiker,OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Voer het wachtwoord in voor het BindDN-account. Voer het accountkenmerk in dat de gebruikersnaam bevat. Als u veilige SSL-verbindingen tot stand wilt brengen, voegt het directoryservercertificaat toe aan het tekstvak. Als er meerdere servers zijn, voegt u het basiscertificaat van de certificaatautoriteit toe. 6 Klik op Opslaan. VMware, Inc. 71

72 Wat nu te doen Schakel de verificatiemethode RSA adaptieve verificatie in de ingebouwde identiteitsprovider in via Identiteits- en toegangsbeheer > tabblad Beheren. Zie Een ingebouwde identiteitsprovider configureren, op pagina 77. Voeg de verificatiemethode RSA adaptieve verificatie toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om adaptieve verificatie toe te voegen. Zie Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina 82. Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager U kunt x509-certificaatverificatie configureren, zodat clients zich kunnen verifiëren met certificaten op hun desktop en mobiele apparaten of een smartcardadapter kunnen gebruiken voor verificatie. De certificaatverificatie wordt gebaseerd op wat de gebruiker heeft (de privésleutel of smartcard) en wat de persoon weet (het wachtwoord voor de privésleutel of de pincode van de smartcard). Een X.509-certificaat maakt gebruik van de PKI-standaard (Public Key Infrastructure) om te controleren of een openbare sleutel in het certificaat eigendom is van de gebruiker. Bij smartcardverificatie sluiten gebruikers de smartcard aan op de computer en voeren ze een pincode in. De smartcardcertificaten worden gekopieerd naar het lokale certificaatarchief op de computer van de gebruiker. De certificaten in het lokale certificaatarchief zijn beschikbaar voor alle browsers die actief zijn op de computer van deze gebruiker, met enkele uitzonderingen, en zijn daarom beschikbaar voor een VMware Identity Manager-instantie in de browser. Opmerking Wanneer certificaatverificatie is geconfigureerd en de serviceapparaat is ingesteld achter een load-balancer, moet u zich ervan verzekeren dat in de configuratie van de VMware Identity Manager Connector is SSL pass-through bij de load-balancer is opgenomen, en niet het beëindigen van SSL bij de load-balancer. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector. Wanneer uw load-balancer is geconfigureerd om SSL te beëindigen bij de load-balancer, kunt u een tweede connector implementeren achter een andere loadbalancer om certificaatverificatie te ondersteunen. Zie de VMware Identity Manager Installatie- en configuratiehandleiding voor informatie over het toevoegen van een tweede connector. User Principal Name gebruiken voor certificaatverificatie U kunt certificaattoewijzing gebruiken in Active Directory. Aanmeldingen met een certificaat en smartcard gebruiken de UPN (User Principal Name) om gebruikersaccounts te valideren. De Active Directoryaccounts van gebruikers die verificatie proberen uit te voeren in de VMware Identity Manager-service, moeten een geldige UPN hebben die overeenkomt met de UPN in het certificaat. U kunt de VMware Identity Manager configureren zodat een adres wordt gebruikt voor het valideren van het gebruikersaccount als de UPN niet bestaat in het certificaat. U kunt ook een alternatief UPN-type inschakelen dat moet worden gebruikt. 72 VMware, Inc.

73 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Certificeringsinstantie vereist voor verificatie Als u aanmelden via certificaatverificatie wilt toestaan, moeten basis- en tussencertificaten worden geüpload naar de VMware Identity Manager-. De certificaten worden gekopieerd naar het lokale certificaatarchief op de computer van de gebruiker. De certificaten in het lokale certificaatarchief zijn beschikbaar voor alle browsers die actief zijn op de computer van deze gebruiker, met enkele uitzonderingen, en zijn daarom beschikbaar voor een VMware Identity Manager-instantie in de browser. Voor smartcardverificatie verzendt de VMware Identity Manager-service een lijst met vertrouwde certificeringsinstanties (CA of Certificate Authority) naar de browser wanneer een gebruiker een verbinding initieert met de VMware Identity Manager-instantie. De browser vergelijkt de lijst met vertrouwde CA's met de beschikbare gebruikerscertificaten, selecteert een geschikt certificaat en vraagt de gebruiker de pincode voor een smartcard in te voeren. Als er meerdere geldige gebruikerscertificaten beschikbaar zijn, wordt de gebruiker gevraagd een certificaat te selecteren. Als een gebruiker geen verificatie kan uitvoeren, zijn de basis-ca en de tussenliggende CA mogelijk niet correct ingesteld. Het kan ook zijn dat de service niet opnieuw is opgestart nadat de basis- en tussenliggende CA's naar de server zijn geüpload. In deze gevallen kan de browser de geïnstalleerde certificaten niet weergeven, kan de gebruiker geen correct certificaat selecteren en mislukt de certificaatverificatie. Certificaatintrekkingscontrole gebruiken U kunt certificaatintrekkingscontrole configureren om te voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Certificaten worden vaak ingetrokken wanneer een gebruiker een organisatie verlaat, een smartcard verliest of van de ene naar de andere afdeling verhuist. Certificaatintrekkingscontrole met certificaatintrekkingslijsten (CRL's) en met het Online Certificate Status Protocol (OCSP) wordt ondersteund. Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificaatautoriteit die de certificaten heeft uitgegeven. OCSP is een certificaatvalidatieprotocol dat wordt gebruikt om de intrekkingsstatus van een certificaat te verkrijgen. U kunt zowel CRL als OCSP configureren in dezelfde configuratie van de certificaatverificatieadapter. Wanneer u beide typen van certificaatintrekking configureert en het selectievakje CRL gebruiken als OCSP mislukt is ingeschakeld, wordt OCSP eerst ingeschakeld. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt. Aanmelden met CRL-controle Als u certificaatintrekking inschakelt, dan gebruikt de VMware Identity Manager -server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen. Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat. Aanmelden met OCSP-certificaatcontrole Als u OCSP-intrekkingscontrole configureert, dan verzendt VMware Identity Manager een aanvraag naar een OCSP-responder om de intrekkingsstatus van een specifiek gebruikerscertificaat te bepalen. De VMware Identity Manager -server gebruikt het OCSP-handtekeningcertificaat om te controleren of de antwoorden die van de OCSP-responder worden ontvangen, authentiek zijn. Als het certificaat is ingetrokken, mislukt de verificatie. U kunt de verificatie configureren zodat deze terugvalt op CRL-controle als deze geen antwoord van de OCSP-responder ontvangt of als het antwoord ongeldig is. VMware, Inc. 73

74 Certificaatverificatie configureren voor VMware Identity Manager U kunt certificaatverificatie inschakelen en configureren vanaf de VMware Identity Manager-beheerconsole. Vereisten Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend. (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie. Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server. (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord. Inhoud van instemmingsformulier wanneer een instemmingsformulier vóór verificatie wordt weergegeven. 1 Selecteer Installatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd. 3 Klik op Verificatieadapters en klik vervolgens op Certificaatverificatieadapter. 4 Configureer de pagina Certificaatverificatieadapter. Opmerking Een sterretje geeft aan dat dit veld moet worden ingevuld. De overige velden zijn optioneel. Optie *Naam Certificaatadapter inschakelen *Basis- en tussen-ca-certificaten Geüploade CA-certificaten gebruiken indien certificaat geen UPN bevat Certificaatbeleid geaccepteerd Intrekken certificaat inschakelen CRL van certificaten gebruiken CRL-locatie Intrekken OCSP inschakelen Beschrijving Een naam is vereist. De standaardnaam is Certificaatverificatieadapter. U kunt deze naam wijzigen. Schakel het selectievakje in om certificaatverificatie in te schakelen. Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-ca-certificaten en tussen-ca-certificaten die gecodeerd zijn als DER of PEM, selecteren. De geüploade certificaatbestanden worden weergegeven in de sectie Geüploade CA-certificaten van het formulier. Als de primaire naam van de gebruiker (User Principal Name, UPN) niet bestaat in het certificaat, schakelt u dit selectievakje in om het kenmerk E- mailadres te gebruiken als de extensie van de Alternatieve naam voor onderwerp om gebruikersaccounts te valideren. Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies. Voer de object-id's (OID's) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen. Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Intrekkingscontrole voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die werd gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat, ingetrokken of niet-ingetrokken, te valideren. Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald. Schakel het selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen. 74 VMware, Inc.

75 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Optie CRL gebruiken bij OCSP-fout OCSP Nonce verzenden OCSP-URL Ondertekeningscertificaat van OCSP-responder Toestemmingsformulier inschakelen vóór verificatie Inhoud van toestemmingsformulier Beschrijving Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is. Schakel dit selectievakje in als u wilt dat de unieke id van de OCSPaanvraag in het antwoord wordt verzonden. Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in. Voer het pad in naar het OCSP-certificaat voor de responder, /path/to/file.cer. Schakel dit selectievakje in om een pagina met een toestemmingsformulier te laten weergeven voordat gebruikers zich bij de Workspace ONE-portal aanmelden met behulp van certificaatverificatie. Typ in dit tekstvak de tekst die in het toestemmingsformulier moet worden weergegeven. 5 Klik op Opslaan. Wat nu te doen Voeg de certificaatverificatiemethode toe aan het standaardtoegangsbeleid. Ga naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleid en bewerk de standaardbeleidsregels om het certificaat toe te voegen. Zie Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina 82. Als Certificaatverificatie is geconfigureerd en de serverapparaat wordt ingesteld achter een loadbalancer, dan zorgt u ervoor dat de VMware Identity Manager Connector is geconfigureerd met SSLpassthrough op de load-balancer en dat deze niet is geconfigureerd om SSL op de load-balancer te beëindigen. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector. VMware Verify configureren voor tweeledige verificatie In de VMware Identity Manager-beheerconsole kunt u de service VMware Verify inschakelen als tweede verificatiemethode wanneer tweeledige verificatie is vereist. Schakel VMware Verify in in de ingebouwde identiteitsprovider in de beheerconsole en voeg het VMware Verify-beveiligingstoken toe dat u ontvangt van VMware Support. U kunt tweestapsverificatie configureren in de toegangsbeleidregels zodat gebruikers zich met twee verificatiemethoden moeten laten verifiëren. Gebruikers installeren de VMware Verify-applicatie op hun apparaten en geven een telefoonnummer op om hun apparaat te registreren bij de VMware Verify-service. Het apparaat en telefoonnummer worden ook geregistreerd in het gebruikersprofiel bij Gebruiker en groepen in de beheerconsole. Gebruikers registreren hun account wanneer zij zich eerst aanmelden met wachtwoordverificatie en dan de wachtwoordcode van VMware Verify invoeren dat op hun apparaat wordt weergegeven. Na de eerste verificatie kunnen gebruikers zich laten verifiëren aan de hand van een van deze drie methoden. Push-goedkeuring met OneTouch-notificatie Gebruikers keuren toegang via VMware Identity Manager goed of af met één klik. Gebruikers klikken op Goedkeuren of Weigeren in het bericht dat ze ontvangen. Time-based One Time Password (TOTP)-wachtwoordcode. Iedere 20 seconden wordt een eenmalige wachtwoordcode gegenereerd. Gebruikers voeren deze wachtwoordcode in op het aanmeldscherm. Tekstbericht. Sms via telefoon wordt gebruikt om een eenmalige verificatiecode in een tekstbericht te verzenden naar het geregistreerde telefoonnummer. Gebruikers voeren deze verificatiecode in op het aanmeldscherm. VMware, Inc. 75

76 VMware Verify gebruikt een cloudservice van derden om deze functie te leveren op de apparaten van gebruikers. Om dit te doen, wordt gebruikersinformatie zoals naam, adres en telefoonnummer opgeslagen in de service, maar deze informatie wordt uitsluitend gebruikt om de functie te leveren. VMware Verify inschakelen Als u de tweeledige verificatie wilt inschakelen met de VMware Verify-service, moet u een beveiligingstoken toevoegen aan de pagina VMware Verify en VMware Verify inschakelen in de ingebouwde identiteitsprovider. Vereisten Maak een supportticket bij VMware of AirWatch Support om het beveiligingstoken te ontvangen waarmee u VMware Verify kunt inschakelen. De medewerkers van het supportteam behandelen uw verzoek en werken het supportticket bij met instructies en een beveiligingstoken. U voegt dit beveiligingstoken toe aan de pagina VMware Verify. (Optioneel) Pas het logo en pictogram aan dat wordt weergegeven in de VMware Verify-applicatie op de apparaten. Zie Merkvermelding voor de applicatie VMware Verify aanpassen, op pagina Selecteer in de beheerconsole op het tabblad Identiteits- en toegangsbeheer Beheren > Identiteitsproviders. 2 Selecteer de identiteitsprovider met de naam Ingebouwd. 3 Klik op het VMware Verify-tandwielpictogram. 4 Schakel het selectievakje Multi-factorverificatie inschakelen in. 5 Plak het beveiligingstoken dat u hebt ontvangen van het AirWatch-supportteam, in het tekstvak Beveiligingstoken. 6 Klik op Opslaan. Wat nu te doen Maak een toegangsbeleidsregel in het standaardtoegangsbeleid om de VMware Verify-verificatiemethode toe te voegen als tweede verificatiemethode in de regel. Zie Verificatiemethoden beheren die op gebruikers worden toegepast, op pagina 82. Pas aangepaste bands toe op de aanmeldpagina van VMware Verify. Zie Merkvermelding voor de applicatie VMware Verify aanpassen, op pagina 126. Eindgebruikers registreren met VMware Verify Wanneer VMware Verify-verificatie is vereist voor tweeledige verificatie, installeren en gebruiken gebruikers de VMware Verify-app om hun apparaat te registreren. Opmerking De VMware Verify-applicatie kan worden gedownload uit de app stores. Wanneer tweeledige verificatie van VMware Verify is ingeschakeld, worden gebruikers de eerste keer dat ze zich aanmelden bij de Workspace ONE-app, gevraagd om hun gebruikersnaam en wachtwoord in te voeren. Wanneer de gebruikersnaam en het wachtwoord worden geverifieerd, worden gebruikers gevraagd het telefoonnummer van hun apparaat in te voeren om zich in te schrijven bij VMware Verify. Wanneer ze op Registreren klikken, wordt het telefoonnummer van het apparaat geregistreerd bij VMware Verify. Als ze de applicatie nog niet hebben gedownload, worden ze gevraagd de VMware Verify-applicatie te downloaden. 76 VMware, Inc.

77 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Wanneer de applicatie is geïnstalleerd, worden gebruikers gevraagd om hetzelfde telefoonnummer in te voeren dat eerder is ingevoerd, en een meldingsmethode te selecteren om een eenmalige registratiecode te ontvangen. De registratiecode wordt ingevoerd op de pagina voor de registratiepincode. Nadat het telefoonnummer van het apparaat is geregistreerd, kunnen gebruikers een Time-Based One-Timewachtwoordcode gebruiken die in de VMware Verify-applicatie wordt weergegeven, om zich aan te melden bij Workspace ONE. De wachtwoordcode is een uniek nummer dat wordt gegenereerd op het apparaat en dat voortdurend verandert. Gebruikers kunnen meer dan één apparaat registreren. De VMware Verify-wachtwoordcode wordt automatisch gesynchroniseerd naar elk van de geregistreerde apparaten. Geregistreerd telefoonnummer verwijderen uit gebruikersprofiel Als u problemen met het aanmelden bij Workspace ONE wilt oplossen, kunt u het telefoonnummer van de gebruiker verwijderen in het gebruikersprofiel van de VMware Identity Manager-beheerconsole. 1 Klik op Gebruikers en groepen in de beheerconsole. 2 Selecteer de gebruikersnaam die u opnieuw wilt instellen op de pagina Gebruiker. 3 Klik op VMware Verify opnieuw instellen op het tabblad VMware Verify. Het telefoonnummer wordt verwijderd uit het gebruikersprofiel en in de lijst met gebruikers wordt N.v.t. weergegeven in de kolom Telefoonnummer in VMware Verify. De registratie van telefoonnummer is ongedaan gemaakt in de VMware Verify-service. Wanneer de gebruiker zich aanmeldt bij de Workspace ONE-app, wordt die gevraagd het telefoonnummer in te voeren om zich opnieuw in te schrijven bij de VMware Verify-service. Een ingebouwde identiteitsprovider configureren Er is één ingebouwde identiteitsprovider beschikbaar in de beheerconsole op de pagina Identiteits- en toegangsbeheer > Identiteitsproviders. U kunt aanvullende ingebouwde identiteitsproviders maken. De beschikbare identiteitsprovider kan worden geconfigureerd om verificatiemethoden te bieden waarvoor geen connector is vereist. Verificatiemethoden die zijn geconfigureerd op een connector die achter de DMZ is geïmplementeerd in een alleen-uitgaande verbindingsmodus met de VMware Identity Manager-service. De volgende verificatiemethoden die in de connector zijn geconfigureerd, kunnen worden ingeschakeld in de ingebouwde identiteitsproviders die u toevoegt. U hoeft geen verificatiemethoden te configureren in de ingebouwde identiteitsproviders die u toevoegt. De volgende verificatiemethoden vereisen geen connector en worden geconfigureerd via de ingebouwde standaardidentiteitsprovider. Mobiele SSO voor ios Certificaat (implementatie in de cloud) Wachtwoord met de AirWatch Connector VMware Verify voor tweeledige verificatie Mobiele SSO voor Android Compliance van apparaat met AirWatch Wachtwoord (lokale directory) Opmerking De alleen-uitgaande verbindingsmodus vereist niet dat een firewallpoort is geopend. VMware, Inc. 77

78 Wanneer deze verificatiemethoden worden geconfigureerd in de ingebouwde identiteitsprovider en als gebruikers en groepen zich in een bedrijfsdirectory bevinden, moet u de gebruikers en groepen synchroniseren naar de VMware Identity Manager-service voordat deze verificatiemethoden worden gebruikt. Nadat u de verificatiemethoden hebt ingeschakeld, kunt u toegangsbeleid maken om deze verificatiemethoden toe te passen. Ingebouwde identiteitsproviders configureren Configureer de standaard ingebouwde identiteitsprovider met de verificatiemethoden waarvoor geen connector nodig is. Verificatiemethoden die u hier configureert, kunnen worden ingeschakeld op andere ingebouwde identiteitsproviders die u aan uw omgeving toevoegt. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Identiteitsproviders. 2 Selecteer de identiteitsprovider met de naam Ingebouwd en configureer de informatie van de identiteitsprovider. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden Beschrijving Voer de naam in van deze ingebouwde identiteitsproviderinstantie. Selecteer welke gebruikers u wilt verifiëren. De geconfigureerde directory's worden weergegeven. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IP-adressen, die u voor verificatie wilt omleiden naar deze identiteitsproviderinstantie. Om een verificatiemethode te configureren, klikt u op de tandwielpictogrammen en configureert u de verificatiemethoden. Wanneer u AirWatch integreert met VMware Identity Manager, kunt u de verificatiemethoden selecteren die u wilt gebruiken. Zorg voor Compliance van apparaat (met AirWatch) en Wachtwoord (AirWatch Connector) dat de optie is ingeschakeld op de pagina AirWatchconfiguratie. 3 Wanneer u de verificatiemethoden heeft gemaakt, selecteert u de selectievakjes voor de verificatiemethoden die u wilt gebruiken met deze ingebouwde identiteitsprovider. 4 Als u ingebouwde Kerberos-verificatie gebruikt, downloadt u het KDC-uitgevercertificaat voor gebruik bij de AirWatch-configuratie van het ios-apparaatbeheerprofiel. 5 Klik op Toevoegen. De verificatiemethoden die u heeft geconfigureerd kunnen in andere ingebouwde identiteitsproviders die u toevoegt, worden ingeschakeld zonder dat deze verder moeten worden geconfigureerd. Een ingebouwde identiteitsprovider configureren bij een alleen uitgaande connector Voor een alleen uitgaande verbinding met de VMware Identity Manager-cloudservice schakelt u in de ingebouwde identiteitsprovider de verificatiemethoden in die u in de connector heeft geconfigureerd. Vereisten Gebruikers en groepen in een bedrijfsdirectory moeten worden gesynchroniseerd naar de VMware Identity Manager-directory. 78 VMware, Inc.

79 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager Lijst met de netwerkbereiken die u naar de ingebouwde identiteitsproviderinstantie wilt leiden voor verificatie. Om verificatiemethoden van de ingebouwde identiteitsprovider in te schakelen, moeten de verificatiemethoden in de connector zijn geconfigureerd. 1 Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Identiteitsproviders. 2 Selecteer de identiteitsprovider met de naam Ingebouwd en configureer de informatie van de identiteitsprovider. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden Connector(en) Verificatiemethoden voor connector Beschrijving Voer de naam in van deze ingebouwde identiteitsproviderinstantie. Selecteer welke gebruikers u wilt verifiëren. De geconfigureerde directory's worden weergegeven. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IP-adressen, die u voor verificatie wilt omleiden naar deze identiteitsproviderinstantie. Wanneer u AirWatch integreert met VMware Identity Manager, kunt u de verificatiemethoden selecteren die u wilt gebruiken. Klik op het tandwielpictogram voor de verificatiemethoden die u wilt configureren. Zorg voor Compliance van apparaat (met AirWatch) en Wachtwoord (AirWatch Connector) dat de optie is ingeschakeld op de pagina AirWatchconfiguratie. (Optioneel) Selecteer de connector die is geconfigureerd in een alleen uitgaande verbindingsmodus. Verificatiemethoden die zijn geconfigureerd voor de connector, worden weergegeven in dit gedeelte. Schakel het selectievakje in om verificatiemethoden in te schakelen. 3 Als u ingebouwde Kerberos-verificatie gebruikt, downloadt u het KDC-uitgevercertificaat voor gebruik bij de AirWatch-configuratie van het ios-apparaatbeheerprofiel. 4 Klik op Opslaan. Extra Workspace-identiteitsproviders configureren Wanneer eerst de VMware Identity Manager Connector is geconfigureerd en u de connector inschakelt om gebruikers te verifiëren, wordt een Workspace-IdP aangemaakt als de identiteitsprovider en wordt wachtwoordverificatie ingeschakeld. Achter verschillende load-balancers kunnen extra connectoren worden geconfigureerd. Wanneer in uw omgeving meerdere load-balancers aanwezig zijn, kunt u een andere Workspace-identiteitsprovider voor verificatie configureren in elke configuratie van load-balancers. Zie het onderwerp Extra connectorapparaten installeren in de gids VMware Identity Manager installeren en configureren. De verschillende Workspace-identiteitsproviders kunnen aan dezelfde map worden gekoppeld, of wanneer u meerdere mappen hebt geconfigureerd, kunt u selecteren welke map gebruikt moet worden. 1 Selecteer in de beheerconsole op het tabblad Identiteits- en toegangsbeheer Beheren > Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer Workspace-IdP maken. VMware, Inc. 79

80 3 Bewerk de instellingen van de identiteitsproviderinstantie. Optie Naam van identiteitsprovider Gebruikers Connector(en) Netwerk Beschrijving Voer een naam in voor deze Workspace-identiteitsproviderinstantie. Selecteer de VMware Identity Manager-directory van de gebruikers die via deze Workspace-identiteitsprovider kunnen verifiëren. Connectoren die niet zijn gekoppeld aan de door u geselecteerde map, staan in een lijst. Selecteer de connector die u wilt koppelen aan de map. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IPadressen, die u wilt omleiden naar deze identiteitsproviderinstantie voor verificatie. 4 Klik op Toevoegen. Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers U kunt een externe identiteitsprovider configureren die wordt gebruikt voor het verifiëren van gebruikers in de VMware Identity Manager-service. Voer de volgende taken uit voordat u de beheerconsole gebruikt voor het toevoegen van de externe identiteitsproviderinstantie. Controleer of de instanties van derden compatibel zijn met SAML 2.0 en of de service de instantie van derden kan bereiken. Zorg dat u de vereiste metagegevensinformatie van derden hebt en deze kunt toevoegen wanneer u de identiteitsprovider configureert in de beheerconsole. De metagegevensinformatie die u verkrijgt uit de instantie van derden is de URL voor de metagegevens of zijn de volledige metagegevens zelf. Houd rekening met de vereisten voor SAML-asserties wanneer Just-in-Time-provisioning is ingeschakeld voor deze identiteitsprovider. SAML-bevestigingen die door de identiteitsprovider zijn verzonden, moeten bepaalde kenmerken bevatten. Zie Vereisten voor SAML-bevestigingen, op pagina 55. Een identiteitsproviderinstantie toevoegen en configureren Door identiteitsprovidersinstanties toe te voegen en te configureren voor de implementatie van uw VMware Identity Manager, kunt u een hoge beschikbaarheid bieden, extra verificatiemethoden van gebruikers ondersteunen en flexibiliteit toevoegen op de manier waarop u het verificatieproces van de gebruiker beheert op basis van de IP-adresbereiken van gebruikers. Vereisten Configureer het netwerkbereik dat u wilt doorverwijzen naar deze identiteitsproviderinstantie voor verificatie. Zie Een netwerkbereik toevoegen of bewerken, op pagina 82. Toegang tot het document met metagegevens van derden. Dit kan de URL naar de metagegevens zijn of kunnen de metagegevens zelf zijn. 1 In de beheerconsole selecteert u op het tabblad Identiteits- en toegangsbeheer Beheren > Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer IdP van derden maken. Bewerk de instellingen van de identiteitsproviderinstantie. 80 VMware, Inc.

81 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager 3 Bewerk de instellingen van de identiteitsproviderinstantie. Formulieritem Naam van identiteitsprovider SAML-metagegevens Just-in-Timeprovisioning Gebruikers Netwerk Verificatiemethoden Configuratie voor eenmalig afmelden SAMLhandtekeningcertificaat IdP-hostnaam Beschrijving Voer een naam in voor deze identiteitsproviderinstantie. Voeg het op XML gebaseerde metagegevensdocument van IdPs van derden toe om vertrouwen met de identiteitsprovider tot stand te brengen. 1 Voer de URL voor de SAML-metagegevens of de XML-inhoud in het tekstvak in. 2 Klik op IdP-metagegevens verwerken. De NameID-indelingen die worden ondersteund door de IdP worden geëxtraheerd uit de metagegevens en worden toegevoegd aan de tabel Naam-id-indeling. 3 Selecteer in de kolom Naam-id-waarde het gebruikerskenmerk in de service dat moet worden toegewezen aan de weergegeven id-indelingen. U kunt aangepaste indelingen voor de naam-id van derden toevoegen en toewijzen aan de waarden voor de gebruikerskenmerken in de service. 4 (Optioneel) Selecteer de stringindeling voor de NameIDPolicy-antwoord-id. Configureer de Just-in-Time-provisioning om dynamisch gebruikers te maken in de identiteitsbeheerservice wanneer ze zich voor het eerst aanmelden. Een JIT-directory wordt aangemaakt en de kenmerken in de SAML-bevestiging worden gebruikt om de gebruiker in de service te maken. Zie Hoofdstuk 6, Just-in-Time-gebruikersprovisioning, op pagina 51. Selecteer de directory s van de gebruikers die kunnen verifiëren met behulp van deze identiteitsprovider. De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie. Voeg de verificatiemethoden toe die worden ondersteund door de derde identiteitsprovider. Selecteer de contextklasse voor SAML-verificatie die de verificatiemethode ondersteunt. Schakel eenmalig afmelden in om gebruikers af te melden van hun identiteitsprovidersessie wanneer ze zich afmelden. Als eenmalig afmelden niet is ingeschakeld, is de identiteitsprovidersessie van gebruikers nog steeds actief wanneer ze zich afmelden. (Optioneel) Als de identiteitsprovider het eenmalige afmeldprofiel van SAML ondersteunt, schakelt u eenmalig afmelden in en laat u het tekstveld URL omleiden leeg. Als de identiteitsprovider het eenmalige afmeldprofiel van SAML niet ondersteunt, schakelt u eenmalig afmelden in en voert u de afmeld-url in van de identiteitsprovider waarnaar gebruikers worden doorverwezen wanneer ze zich afmelden bij VMware Identity Manager. Als u de omleidings-url hebt geconfigureerd en u wilt dat gebruikers teruggaan naar de aanmeldingspagina van VMware Identity Manager nadat ze zijn doorverwezen naar de afmeld-url van de identiteitsprovider, voert u de parameternaam in die wordt gebruikt door de omleidings-url van de identiteitsprovider. Klik op Metagegevens van serviceprovider (SP) om de URL weer te geven naar de metagegevens van de SAML-serviceprovider van VMware Identity Manager. Kopieer de URL en sla deze op. Deze URL wordt geconfigureerd wanneer u de SAML-bevestiging bewerkt in de externe identiteitsprovider voor het toewijzen van VMware Identity Manager-gebruikers. Als het tekstveld Hostnaam wordt weergegeven, voert u de hostnaam in waar de identiteitsprovider naar wordt doorverwezen voor verificatie. Als u een andere poort gebruikt dan de standaard poort 443, kunt u de hostnaam instellen als Hostname:Port. Bijvoorbeeld: myco.example.com: Klik op Toevoegen. VMware, Inc. 81

82 Wat nu te doen Voeg de verificatiemethode van de identiteitsprovider toe aan het standaardbeleid voor de services. Zie Verificatiemethoden toepassen op beleidsregels, op pagina 84. Bewerk de configuratie van de externe identiteitsprovider om de URL van het SAMLhandtekeningencertificaat toe te voegen die u hebt opgeslagen. Verificatiemethoden beheren die op gebruikers worden toegepast De VMware Identity Manager-service probeert gebruikers te verifiëren op basis van de verificatiemethoden, het standaardtoegangsbeleid, de netwerkbereiken en de identiteitsproviderinstanties die u configureert. Wanneer gebruikers zich proberen aan te melden, evalueert de service de regels van het standaardtoegangsbeleid om de beleidsregel te selecteren die moet worden toegepast. De verificatiemethoden worden toegepast in de volgorde waarin ze in de regel worden weergegeven. De eerste identiteitsproviderinstantie die aan de vereisten van de regel voor de verificatiemethode en het netwerkbereik voldoet, wordt geselecteerd. Het verzoek om gebruikersverificatie wordt doorgestuurd naar de identiteitsproviderinstantie voor verificatie. Als de verificatie mislukt, wordt de volgende verificatiemethode die in de regel is geconfigureerd, toegepast. U kunt regels toevoegen die de verificatiemethoden die moeten worden gebruikt, specificeren op basis van het apparaattype of op basis van het apparaattype en een specifiek netwerkbereik. U kunt bijvoorbeeld een regel configureren die vereist dat gebruikers die zich aanmelden via ios-apparaten via een specifiek netwerk, zich moeten verifiëren via RSA SecurID. Configureer vervolgens een andere regel die vereist dat gebruikers die zich op een willekeurig type apparaat aanmelden via het IP-adres van het interne netwerk, zich verifiëren met hun wachtwoord. Een netwerkbereik toevoegen of bewerken Maak netwerkbereiken aan om de IP-adressen via welke gebruikers zich kunnen aanmelden te definiëren. U kunt de netwerkbereiken die u maakt toevoegen aan specifieke identiteitsprovidersinstanties en aan de regels van het toegangsbeleid. Eén netwerkbereik, met de naam ALL RANGES, wordt als standaardbereik gemaakt. Dit netwerkbereik omvat elk IP-adres dat op internet beschikbaar is, van tot Als uw implementatie maar één identiteitsproviderinstantie heeft, kunt u het IP-adresbereik wijzigen en andere bereiken toevoegen, met als doel het uitsluiten of toevoegen van specifieke IP-adressen van of aan het standaardnetwerkbereik. U kunt andere netwerkbereiken maken met specifieke IP-adressen die u voor een bepaald doeleinde kunt toepassen. Opmerking Het standaardnetwerkbereik, ALL RANGES, en de beschrijving hiervan, 'een netwerk voor alle bereiken', kunt u bewerken. U kunt de naam en omschrijving wijzigen en hiervoor zelfs een andere taal gebruiken door de functie Bewerken op de pagina Netwerkbereiken te gebruiken. Vereisten Definieer netwerkbereiken voor uw VMware Identity Manager-implementatie op basis van uw netwerktopologie. Wanner View in de service is ingeschakeld, kunt u de View-URL op basis van het netwerkbereik specificeren. Noteer de toegangs-url van de Horizon Client en het poortnummer voor het netwerkbereik om een netwerkbereik toe te voegen wanneer de module View is ingeschakeld. Zie de documentatie van View voor meer informatie. Zie Bronnen instellen in VMware Identity Manager, hoofdstuk Toegang tot View-desktopgroepen en - applicatiestools. 82 VMware, Inc.

83 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager 1 Selecteer Installatie > Netwerkbereiken op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Bewerk een bestaand netwerkbereik of voeg een nieuw netwerkbereik toe. Optie Een bestaand bereik bewerken Een bereik toevoegen Beschrijving Klik op de naam van het netwerkbereik dat u wilt bewerken. Klik op Netwerkbereik toevoegen om een nieuw bereik toe te voegen. 3 Bewerk de pagina Netwerkbereik toevoegen. Formulieritem Naam Beschrijving Pods weergeven IP-bereiken Beschrijving Geef een naam op voor het netwerkbereik. Geef een omschrijving op voor het netwerkbereik. De optie Pods weergeven is alleen zichtbaar wanneer de weergavemodule is ingeschakeld. URL voor clienttoegang van host. Geef de juiste toegangs-url voor de Horizon Client voor het netwerkbereik op. Poort voor clienttoegang Geef het juiste toegangspoortnummer voor de Horizon Client voor het netwerkbereik op. Wijzig IP-bereiken of voeg IP-bereiken toe totdat alle gewenste (en geen ongewenste) IP-adressen zijn opgenomen. Wat nu te doen Koppel elk netwerkbereik aan de identiteitsproviderinstantie. Koppel netwerkbereiken naar wens aan een toegangsbeleidsregel. Zie Hoofdstuk 8, Toegangsbeleid beheren, op pagina 87. Het standaardtoegangsbeleid toepassen De VMware Identity Manager-service omvat een standaardtoegangsbeleid dat de toegang van gebruikers tot hun Workspace ONE-portals en hun webapplicaties regelt. U kunt het beleid wijzigen door de beleidsregels naar wens aan te passen. Wanneer u verificatiemethoden inschakelt die geen wachtwoorden verifiëren, moet u het standaardbeleid bewerken en de ingeschakelde verificatiemethode toevoegen aan de beleidsregels. Voor elke regel in het standaardtoegangsbeleid moet aan een set criteria worden voldaan. Als dit het geval is, krijgt de gebruiker toegang tot de applicatiesportal. U past een netwerkbereik toe, selecteert welk type gebruiker toegang heeft tot inhoud en selecteert de verificatiemethoden die moeten worden gebruikt. Zie Hoofdstuk 8, Toegangsbeleid beheren, op pagina 87. Het aantal pogingen dat een service doet om een gebruiker aan te melden met een bepaalde verificatiemethode varieert. De service doet slechts een verificatiepoging voor Kerberos- of certificaatverificatie. Als de gebruiker niet bij de poging kan worden aangemeld, wordt de volgende verificatiemethode in de regel geprobeerd. Het maximale aantal mislukte aanmeldingspogingen voor Active Directory-wachtwoordverificatie en RSA SecurID-verificatie is standaard ingesteld op vijf. Wanneer voor een gebruiker vijf mislukte aanmeldingspogingen worden bereikt, probeert de service de gebruiker aan te melden met de volgende verificatiemethode in de lijst. Wanneer de verificatiemethoden zijn uitgeput, wordt door de service een foutbericht weergegeven. VMware, Inc. 83

84 Verificatiemethoden toepassen op beleidsregels In de standaardbeleidsregels wordt alleen de verificatiemethode voor wachtwoorden geconfigureerd. U moet de beleidsregels bewerken om andere verificatiemethoden die u hebt geconfigureerd te selecteren en om de volgorde in te stellen waarin de verificatiemethoden worden gebruikt voor verificatie. U kunt toegangsbeleidsregels instellen die vereisen dat gebruikers verificatiegegevens via twee verificatiemethoden opgeven voordat ze zich kunnen aanmelden. Zie Instellingen configureren voor toegangsbeleid, op pagina 87. Vereisten Schakel de verificatiemethoden in die door uw organisatie worden ondersteund en configureer deze. Zie Hoofdstuk 7, Gebruikersverificatie configureren in VMware Identity Manager, op pagina Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik om het standaardtoegangsbeleid om dit te bewerken. 3 In het gedeelte Beleidsregels klikt u op de verificatiemethode die u wilt bewerken, of waaraan u een nieuwe beleidsregel wilt toevoegen, en klik dan op het pictogram +. a b c Controleer of het netwerkbereik juist is. Selecteer het netwerkbereik voor de beleidsregel wanneer u een nieuwe regel wilt toevoegen. Selecteer het apparaat dat deze regel beheert in het vervolgkeuzemenu en de gebruiker probeert inhoud te openen van... Configureer de verificatievolgorde. In het vervolgkeuzemenu dan moet de gebruiker verifiëren met behulp van de volgende methode... selecteert u de verificatiemethode die als eerste moet worden toegepast. Om ervoor te zorgen dat gebruikers moeten verifiëren via twee verificatiemethoden, klikt u op + en selecteert u in het vervolgkeuzemenu een tweede verificatiemethode. d (Optioneel) Om extra alternatieve verificatiemethoden te configureren in het vervolgkeuzemenu Als de bovenstaande verificatiemethode mislukt, dan:, selecteert u een andere ingeschakelde verificatiemethode. U kunt meerdere alternatieve verificatiemethoden aan een regel toevoegen. e f g In het vervolgkeuzemenu Herverifiëren na selecteert u de duur van de sessie waarna de gebruikers opnieuw moeten verifiëren. (Optioneel) Maak een aangepaste melding voor toegang geweigerd die wordt getoond als gebruikersverificatie mislukt. U kunt maximaal 4000 tekens gebruiken, dit is ongeveer 650 woorden. Wanneer u gebruikers naar een andere pagina wilt doorsturen, voert u in het tekstvak Koppelings-URL het adres van de koppelings-url in. Voer in tekstvak Koppelingtekst de tekst in die moet worden weergegeven als de koppeling. Wanneer u dit tekstvak leeg laat, wordt het woord Doorgaan weergegeven. Klik op Opslaan. 84 VMware, Inc.

85 Hoofdstuk 7 Gebruikersverificatie configureren in VMware Identity Manager 4 Klik op Opslaan. VMware, Inc. 85

86 86 VMware, Inc.

87 Toegangsbeleid beheren 8 Om beveiligde toegang te bieden tot de app-portal van gebruikers en om web- en desktopapplicaties te starten, configureert u toegangsbeleidsregels die de criteria specificeren waaraan moet worden voldaan om zich aan te melden op de app-portal en om de bronnen te kunnen gebruiken. Beleidsregels wijzen het IP-adres toe dat het verzoek indient bij netwerkbereiken en geven het type apparaat aan dat gebruikers kunnen gebruiken om zich aan te melden. De regel definieert de verificatiemethoden en het aantal uur dat de verificatie geldig is. De VMware Identity Manager bevat een standaardbeleid die de toegang regelt tot de service als geheel. Dit beleid is ingesteld om toegang toe te staan tot alle netwerkbereiken vanaf alle apparaattypen met een sessietime-out van acht uur en waarbij de verificatiemethode wachtwoordverificatie is. U kunt het standaardbeleid bewerken. Opmerking Het beleid beheert de duur van een applicatiesessie niet. Het beleid beheert de hoeveelheid tijd die gebruikers krijgen om een applicatie te starten. Dit hoofdstuk omvat de volgende onderwerpen: Instellingen configureren voor toegangsbeleid, op pagina 87 Web- en desktopapplicatiespecifiek beleid beheren, op pagina 90 Een web- of desktopapplicatiespecifiek beleid toevoegen, op pagina 91 Aangepast foutbericht configureren voor toegang geweigerd, op pagina 92 Een toegangsbeleid bewerken, op pagina 93 Persistente cookie inschakelen op mobiele apparaten, op pagina 93 Instellingen configureren voor toegangsbeleid Een beleid bevat een of meer toegangsregels. Elke regel bestaat uit instellingen die u kunt configureren om de toegang van gebruikers tot hun Workspace ONE-portal als geheel of tot specifieke web- en desktopapplicaties te beheren. Een beleidsregel kan worden geconfigureerd om acties te ondernemen zoals blokkeren, toestaan, opvoeren van verificatie van gebruikers op basis van omstandigheden, zoals netwerk, apparaattype, aanmelding en compliance van het AirWatch-apparaat, of op de applicatie waartoe toegang wordt verkregen. Netwerkbereik U bepaalt de gebruikersbasis voor elke regel door een netwerkbereik op te geven. Een netwerkbereik bestaat uit een of meer IP-bereiken. U maakt netwerkbereiken via het tabblad Identiteits- en toegangsbeheer, Instellen > pagina Netwerkbereiken voordat u toegangsbeleidssets configureert. VMware, Inc. 87

88 Elke identiteitsproviderinstantie in uw implementatie koppelt netwerkbereiken aan verificatiemethoden. Wanneer u een beleidsregel configureert, zorgt u ervoor dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie. U kunt specifieke netwerkbereiken configureren om te beperken waar gebruikers zich kunnen aanmelden en toegang hebben tot hun applicaties. Apparaattype Selecteer het type apparaat dat de regel beheert. De clienttypen zijn Webbrowser, Workspace ONE-app, ios, Android, Windows 10, OS X en Alle apparaattypen. U kunt regels configureren om op te geven welk apparaattype toegang heeft tot de inhoud en dat alle verificatieverzoeken afkomstig van dat apparaattype de beleidsregel gebruiken. Verificatiemethoden In de beleidsregel stelt u de volgorde in waarin de verificatiemethoden worden toegepast. De verificatiemethoden worden toegepast in de volgorde waarin ze worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de configuratie van de verificatiemethode en het netwerkbereik, wordt geselecteerd. De aanvraag voor gebruikersverificatie wordt voor verificatie doorgestuurd naar de identiteitsproviderinstantie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd. U kunt toegangsbeleidsregels configureren om te eisen dat gebruikers verificatiegegevens via twee verificatiemethoden opgeven voordat ze zich kunnen aanmelden. Als een of beide verificatiemethoden mislukken en er ook alternatieve methoden zijn geconfigureerd, dan worden de gebruikers gevraagd om hun verificatiegegevens in te voeren voor de volgende verificatiemethoden die zijn geconfigureerd. De volgende twee scenario's beschrijven hoe deze verificatieketens werken. In het eerste scenario is de toegangsbeleidsregel geconfigureerd zodat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun Kerberos-verificatiegegevens. Alternatieve verificatie wordt ingesteld om het wachtwoord en de RADIUS-verificatiegegevens te vereisen voor verificatie. Een gebruiker voert het wachtwoord correct in, maar voert niet de juiste Kerberos-verificatiegegevens in. Omdat de gebruiker het juiste wachtwoord heeft ingevoerd, geldt de alternatieve verificatieaanvraag alleen voor de RADIUS-verificatiegegevens. De gebruiker hoeft het wachtwoord niet opnieuw in te voeren. In het tweede scenario is de toegangsbeleidsregel geconfigureerd zodat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun Kerberos-verificatiegegevens. Alternatieve verificatie wordt ingesteld om RSA SecurID en een RADIUS te vereisen voor verificatie. Een gebruiker voert het wachtwoord correct in, maar voert niet de juiste Kerberos-verificatiegegevens in. De alternatieve verificatieaanvraag geldt zowel voor de RSA SecurID-verificatiegegevens als voor de RADIUSverificatiegegevens. Om een toegangsbeleidrsegel te configureren waarvoor verificatie en controle van apparaatcompliance vereist zijn, moet Apparaatcompliance met AirWatch in de pagina ingebouwde identiteitsprovider ingeschakeld zijn. Zie Toegangsbeleidsregel configureren voor compliancecontrole, op pagina 149. Lengte van verificatiesessie Voor elke regel stelt u het aantal uur in waarin deze verificatie geldig is. De waarde Herverifiëren na bepaalt de maximale tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portal, of om een specifieke applicatie te starten. Bijvoorbeeld: een waarde van 4 in een webapplicatiesregel geeft gebruikers vier uur tijd om de webapplicatie te starten tenzij ze een andere verificatiegebeurtenis starten die de tijd verlengt. 88 VMware, Inc.

89 Hoofdstuk 8 Toegangsbeleid beheren Aangepast foutbericht voor toegang geweigerd Wanneer een gebruiker probeert om zich aan te melden en dit mislukt door onjuiste verificatiegegevens, een onjuiste configuratie of een systeemfout, wordt het bericht Toegang geweigerd weergegeven. Het standaardbericht is Toegang geweigerd aangezien geen geldige verificatiemethodes zijn gevonden. U kunt een aangepast foutbericht voor elke toegangsbeleidsregel aanmaken dat het standaardbericht overschrijft. Het aangepaste bericht kan tekst en een koppeling bevatten voor een oproep tot actie-bericht. Bijvoorbeeld: u zou in een beleidsregel voor mobiele apparaten die u wilt beheren, het volgende aangepaste foutbericht kunnen maken dat verschijnt wanneer een gebruiker zich probeert aan te melden via een verwijderd apparaat. Klik op de koppeling aan het einde van dit bericht om uw apparaat te registreren om toegang tot bedrijfsbronnen te krijgen. Als uw apparaat al is geregistreerd, neem dan contact op met Support voor assistentie. Voorbeeld van standaardbeleid Het volgende beleid is een voorbeeld van hoe u het standaardbeleid kunt configureren om toegang tot de app-portal en webapplicaties te beheren waaraan geen specifiek beleid is toegewezen. De beleidsregels worden geëvalueerd in de volgorde opgegeven in het beleid. U kunt de volgorde van de regels wijzigen door de regel in het gedeelte Beleidsregels te slepen en neer te zetten. 1 Voor het interne netwerk worden twee verificatiemethoden geconfigureerd voor de regel, namelijk Kerberos en wachtwoordverificatie als de alternatieve methode. Om toegang tot de portal met apps te krijgen vanaf een intern netwerk, probeert de service eerst gebruikers te verifiëren met Kerberosverificatie, omdat dit de eerste verificatiemethode is die in de regel wordt weergegeven. Als dit mislukt, worden de gebruikers gevraagd om hun Active Directory-wachtwoord in te voeren. Gebruikers melden zich aan met een browser en hebben nu toegang tot hun gebruikersportals voor een sessie van acht uur. Voor toegang vanaf het externe netwerk (alle bereiken) wordt slechts één verificatiemethode geconfigureerd, namelijk RSA SecurID. Om toegang tot de portal met apps te krijgen vanaf een extern netwerk, moeten gebruikers zich aanmelden met SecurID. Gebruikers melden zich aan met een browser en hebben nu toegang tot hun portals met apps voor een sessie van vier uur. 2 Dit standaardbeleid geldt voor alle web- en desktopapplicaties zonder een specifiek beleid voor elke applicatie. VMware, Inc. 89

90 Web- en desktopapplicatiespecifiek beleid beheren Wanneer u web- en desktopapplicaties toevoegt aan de catalogus, kunt u applicatiespecifiek toegangsbeleid maken. U kunt bijvoorbeeld een beleid maken met regels voor een webapplicatie dat bepaalt welke IPadressen toegang hebben tot de applicatie, met welke verificatiemethoden en hoe lang ze toegang hebben voordat ze opnieuw moeten worden geverifieerd. Het volgende voor webapplicaties specifieke beleid biedt een voorbeeld van een beleid dat u kunt maken voor het beheer van toegang tot opgegeven webapplicaties. Voorbeeld 1 Strikt webapplicatiespecifiek beleid In dit voorbeeld wordt een nieuw beleid gemaakt en toegepast op een gevoelige webapplicatie. 1 Om toegang te krijgen tot de service van buiten het bedrijfsnetwerk, moet de gebruiker zich aanmelden met RSA SecurID. De gebruiker meldt zich aan met een browser en heeft nu toegang tot de app-portal voor een sessie van vier uur, zoals geboden door de standaardtoegangsregel. 2 Na vier uur probeert de gebruiker een webapplicatie te starten waarop het beleid voor gevoelige webapplicaties is toegepast. 3 De service controleert de regels in het beleid en past het beleid toe met het netwerkbereik ALLE BEREIKEN, omdat de gebruikersaanvraag afkomstig is uit een webbrowser en uit het netwerkbereik ALLE BEREIEKN. De gebruiker heeft zich aangemeld met de RSA SecurID-verificatiemethode, maar de sessie is zojuist verlopen. De gebruiker wordt omgeleid, zodat deze zich opnieuw kan verifiëren. Dankzij de hernieuwde verificatie heeft de gebruiker opnieuw een sessie van vier uur en kan deze de applicatie starten. Tijdens de volgende vier uur kan de gebruiker doorgaan met het uitvoeren van de applicatie zonder dat die zich opnieuw moet verifiëren. 90 VMware, Inc.

91 Hoofdstuk 8 Toegangsbeleid beheren Voorbeeld 2 Strikter webapplicatiespecifiek beleid Als u een striktere regel wilt toepassen op extra gevoelige webapplicaties, kunt u na een uur hernieuwde verificatie met SecurID vereisen op elk willekeurig apparaat. Hieronder volgt een voorbeeld van hoe dit type toegangsbeleidsregel wordt geïmplementeerd. 1 De gebruiker meldt zich van binnen het bedrijfsnetwerk aan met de Kerberos-verificatiemethode. De gebruiker heeft nu acht uur lang toegang tot de app-portal, zoals ingesteld in Voorbeeld 1. 2 De gebruiker probeert onmiddellijk een webapplicatie te starten waarop de beleidsregel uit voorbeeld 2 is toegepast. Hiervoor is RSA SecurID-verificatie vereist. 3 De gebruiker wordt omgeleid naar de aanmeldingspagina van RSA SecurID-verificatie. 4 Nadat de gebruiker zich heeft aangemeld, wordt de applicatie door de service gestart en wordt de verificatiegebeurtenis opgeslagen. De gebruiker kan een uur lang doorgaan met het starten van deze applicatie, maar wordt na een uur gevraagd zich opnieuw te verifiëren, zoals bepaald in de beleidsregel. Een web- of desktopapplicatiespecifiek beleid toevoegen U kunt een applicatiespecifiek beleid maken om de toegang van gebruikers tot specifieke web- en desktopapplicaties te beheren. Vereisten Configureer het juiste netwerkbereik voor uw implementatie. Zie Een netwerkbereik toevoegen of bewerken, op pagina 82. Configureer de juiste verificatiemethoden voor uw implementatie. Zie Hoofdstuk 7, Gebruikersverificatie configureren in VMware Identity Manager, op pagina 59. Als u het standaardbeleid wilt bewerken (om gebruikerstoegang tot de service als geheel te beheren), moet u dit configureren voordat u een applicatiespecifiek beleid maakt. VMware, Inc. 91

92 Voeg de web- en desktopapplicaties toe aan de catalogus. Er moet minimaal één applicatie op de pagina Catalogus worden weergegeven voordat u een applicatiespecifiek beleid kunt toevoegen. 1 Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik op Beleid toevoegen om een nieuw beleid toe te voegen. 3 Voeg een beleidsnaam en -beschrijving toe in de respectievelijke tekstvakken. 4 Klik op Selecteren in het gedeelte Van toepassing op en selecteer de applicaties die zijn gekoppeld aan dit beleid. 5 Klik op + om een regel toe te voegen in het gedeelte Beleidsregels. De pagina Een beleidsregel toevoegen wordt weergegeven. a b c d e Selecteer het netwerkbereik dat op deze regel moet worden toegepast. Selecteer het type apparaat dat toegang heeft tot de applicaties voor deze regel. Selecteer de verificatiemethoden die moeten worden gebruikt in de volgorde waarin de verificatiemethoden moeten worden toegepast. Geef het aantal uur op dat een applicatiesessie actief mag zijn. Klik op Opslaan. 6 Configureer naar wens aanvullende regels. 7 Klik op Opslaan. Aangepast foutbericht configureren voor toegang geweigerd U kunt voor elke beleidsregel een aangepast foutbericht voor toegang geweigerd aanmaken dat wordt weergegeven wanneer gebruikers zich proberen aan te melden en hun verificatiegegevens niet geldig zijn. Het aangepaste bericht kan tekst en een koppeling naar een andere URL bevatten om gebruikers te helpen bij het oplossen van hun problemen. U kunt maximaal 4000 tekens gebruiken, dit is ongeveer 650 woorden. 1 Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik op het toegangsbeleid om dit te bewerken. 3 Om een beleidsregelpagina te openen, klikt u op de verificatienaam in de kolom Verificatiemethode voor de regel die moet worden bewerkt. 4 In het tekstvak Aangepast foutbericht voert u de foutmelding in. 5 Voer in het vak Koppelingtekst een omschrijving van de koppeling in en voer in de Koppelings-URL de URL in. De koppeling wordt weergegeven aan het eind van het aangepaste bericht. Wanneer u geen tekst maar een URL toevoegt aan het vak Koppelingtekst, geeft de tekstkoppeling het volgende weer: Doorgaan. 6 Klik op Opslaan. Wat nu te doen Maak aangepaste foutberichten voor andere beleidsregels. 92 VMware, Inc.

93 Hoofdstuk 8 Toegangsbeleid beheren Een toegangsbeleid bewerken U kunt het standaard toegangsbeleid bewerken om de beleidsregels te wijzigen, en u kunt beleidsregels die specifiek voor een applicatie zijn bewerken om applicaties toe te voegen of te verwijderen, en om de beleidsregels te wijzigen. U kunt op elk moment een applicatiespecifiek toegangsbeleid verwijderen. Het standaardtoegangsbeleid is permanent. U kunt het standaardbeleid niet verwijderen. Vereisten Configureer het juiste netwerkbereik voor uw implementatie. Zie Een netwerkbereik toevoegen of bewerken, op pagina 82. Configureer de juiste verificatiemethoden voor uw implementatie. Hoofdstuk 7, Gebruikersverificatie configureren in VMware Identity Manager, op pagina 59 1 Selecteer Beheren > Beleid op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Klik op het beleid dat u wilt bewerken. 3 Als dit beleid geldt voor web- of bureaubladapplicaties, klikt u op Apps bewerken om applicaties in dit beleid toe te voegen of te verwijderen. 4 Selecteer de regel die u wilt bewerken in de kolom Verificatiemethode in het gedeelte Beleidsregels. De pagina Een beleidsregel bewerken met de bestaande configuratie wordt weergegeven. 5 Als u de verificatievolgorde wilt configureren, selecteert u in het vervolgkeuzemenu dan moet de gebruiker verificatie uitvoeren met de volgende methode de verificatiemethode die als eerste moet worden toegepast. 6 (Optioneel) Als u een alternatieve verificatiemethode wilt configureren als de eerste verificatie mislukt, selecteert u een andere ingeschakelde verificatiemethode in het volgende vervolgkeuzemenu. U kunt meerdere alternatieve verificatiemethoden aan een regel toevoegen. 7 Klik op Opslaan en klik opnieuw op Opslaan op de pagina Beleid. Het bewerkte beleid wordt direct toegepast. Wat nu te doen Als het beleid een toegangsbeleid is voor een specifieke applicatie, kunt u het beleid dat is ingesteld voor de applicaties ook toepassen via de pagina Catalogus. Zie Een web- of desktopapplicatiespecifiek beleid toevoegen, op pagina 91. Persistente cookie inschakelen op mobiele apparaten Schakel persistente cookie in voor single sign-on bij de systeembrowser en systeemeigen apps en voor een single sign-on tussen systeemeigen apps als u Safari View Controller gebruikt op ios-apparaten en Chrome Custom Tabs op Android-apparaten. De persistente cookie slaat informatie over de aanmeldsessies van gebruikers op zodat gebruikers hun verificatiegegevens niet opnieuw te hoeven invoeren wanneer zij hun beheerde bronnen openen via VMware Identity Manager. De cookie time-out kan worden geconfigureerd in de toegangsbeleidregels die u hebt ingesteld voor ios- en Android-apparaten. Opmerking Cookies zijn kwetsbaar en ontvankelijk voor diefstal in algemene browsers en cross-site scriptaanvallen. VMware, Inc. 93

94 Persistente cookie inschakelen De persistente cookie slaat informatie op over de aanmeldsessies van gebruikers zodat gebruikers hun verificatiegegevens niet opnieuw te hoeven invoeren wanneer zij hun beheerde bronnen via hun ios- of Android mobiele apparaten openen. 1 Selecteer op het tabblad Identiteits- en toegangsbeheer in de beheerconsole Installatie > Voorkeuren. 2 Selecteer Persistente cookie inschakelen. 3 Klik op Opslaan. Wat nu te doen Om een time-out van de sessie van de persistente cookie in te stellen, werkt u de waarde bij voor het opnieuw verifiëren in de toegangsbeleidsregels voor apparaten met ios en Android. 94 VMware, Inc.

95 Gebruikers en groepen beheren 9 Gebruikers en groepen in de VMware Identity Manager-service worden geïmporteerd uit uw bedrijfsdirectory of worden gemaakt als lokale gebruikers en groepen in de VMware Identity Managerbeheerconsole. De pagina Gebruikers en groepen in de beheerconsole biedt een op gebruikers en groepen gerichte weergave van de service. U kunt rechten voor gebruikers en groepen, groepsaffiliaties en VMware Verifytelefoonnummers beheren. Voor lokale gebruikers kunt u ook het wachtwoordbeleid beheren. Dit hoofdstuk omvat de volgende onderwerpen: Typen gebruikers en groepen, op pagina 95 Gebruikersnamen en groepsnamen, op pagina 96 Gebruikers beheren, op pagina 97 Groepen maken en groepsregels configureren, op pagina 98 Groepsregels bewerken, op pagina 101 Bronnen toevoegen aan groepen, op pagina 101 Lokale gebruikers toevoegen, op pagina 102 Wachtwoorden beheren, op pagina 104 Typen gebruikers en groepen Gebruikers in de VMware Identity Manager-service kunnen gebruikers zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory, lokale gebruikers die u inricht in de beheerconsole of gebruikers die worden gemaakt met just-in-time provisioning. Groepen in de VMware Identity Manager-service kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory en lokale groepen die u maakt in de beheerconsole. Gebruikers en groepen die worden geïmporteerd uit uw bedrijfsdirectory, worden bijgewerkt in de VMware Identity Manager-directory op basis van het synchronisatieschema voor uw server. U kunt de gebruikers- en groepsaccounts bekijken op de pagina's Gebruiker en Groepen. U kunt deze gebruikers en groepen niet bewerken of verwijderen. U kunt lokale gebruikers en groepen maken. Lokale gebruikers worden toegevoegd aan een lokale directory. U beheert de kenmerktoewijzing en het wachtwoordbeleid voor lokale gebruikers. U kunt lokale groepen maken om gebruikersrechten voor bronnen te beheren. VMware, Inc. 95

96 Gebruikers die worden gemaakt met just-in-time provisioning, worden dynamisch gemaakt en bijgewerkt wanneer deze gebruikers zich aanmelden, op basis van SAML-verklaringen die worden verzonden door de identiteitsprovider. Alle gebruikersbeheer wordt behandeld via SAML-verklaringen. Als u just-in-time provisioning wilt gebruiken, raadpleegt u Hoofdstuk 6, Just-in-Time-gebruikers-provisioning, op pagina 51. Gebruikersnamen en groepsnamen In de VMware Identity Manager-service worden gebruikers en groepen geïdentificeerd aan de hand van hun naam en domein. Op deze manier kunnen er meerdere gebruikers of groepen zijn met dezelfde naam in verschillende Active Directory-domeinen. Gebruikersnamen en groepen binnen een domein moeten uniek zijn. Gebruikersnamen De VMware Identity Manager-service ondersteunt meerdere gebruikers met dezelfde naam in verschillende Active Directory-domeinen. Gebruikersnamen binnen een domein moeten uniek zijn. Gebruiker Jane kan bijvoorbeeld in domein eng.example.com zijn toegevoegd en een andere gebruiker Jane in domein sales.example.com. Gebruikers worden afzonderlijk geïdentificeerd aan de hand van de gebruikersnaam en het domein. Het kenmerk username in VMware Identity Manager wordt gebruikt voor gebruikersnamen en wordt standaard toegewezen aan het kenmerk samaccountname in Active Directory. Het domeinkenmerk wordt gebruikt voor domeinen en wordt standaard toegewezen aan het kenmerk canonicalname in Active Directory. Tijdens de synchronisatie van de directory worden gebruikers met dezelfde gebruikersnaam, maar met verschillende domeinen correct gesynchroniseerd. Als er een gebruikersnaamconflict binnen een domein is, wordt de eerste gebruiker gesynchroniseerd en vindt er een fout plaats voor de volgende gebruikers met dezelfde gebruikersnaam. Opmerking Wanneer u een bestaande VMware Identity Manager-directory hebt waarin het gebruikersdomein onjuist is of ontbreekt, controleert u de domeininstellingen en synchroniseert u de directory opnieuw. Zie Directory synchroniseren met juiste domeininformatie, op pagina 97. In de beheerconsole kunt u gebruikers en groepen identificeren aan de hand van hun gebruikersnaam en domein. Bijvoorbeeld: Op het tabblad Dashboard, in de kolom Gebruikers en groepen, worden gebruikers vermeld als gebruiker (domein). Bijvoorbeeld: jane (sales.example.com). Op het tabblad Gebruikers en groepen op de pagina Gebruiker geeft de kolom DOMEIN het domein aan waartoe de gebruiker behoort. Rapporten met gebruikersinformatie, zoals het Rapport over rechten voor bronnen, bevatten een kolom DOMEIN. Wanneer eindgebruikers zich aanmelden op de gebruikersportal, selecteren zij op de aanmeldingspagina het domein waartoe zij behoren. Wanneer gebruikers dezelfde gebruikersnaam hebben, kan elke gebruiker zich succesvol aanmelden met het juiste domein. Opmerking Deze informatie geldt voor gebruikers die zijn gesynchroniseerd via Active Directory. Zie Hoofdstuk 6, Just-in-Time-gebruikers-provisioning, op pagina 51 voor informatie wanneer u een externe identiteitsprovider gebruikt en Just-in-Time-gebruikersprovisioning hebt geconfigureerd. Just-in-Timegebruikersprovisioning ondersteunt ook meerdere gebruikers met dezelfde gebruikersnaam in verschillende domeinen. 96 VMware, Inc.

97 Hoofdstuk 9 Gebruikers en groepen beheren Groepsnamen De VMware Identity Manager-service ondersteunt meerdere groepen met dezelfde naam in verschillende Active Directory-domeinen. Groepsnamen binnen een domein moeten uniek zijn. U kunt bijvoorbeeld een groep allusers in het domein eng.example.com en een andere groep allusers in het domein sales.example.com hebben. Groepen worden afzonderlijk geïdentificeerd aan de hand van de naam en het domein. Tijdens de synchronisatie van de directory worden groepen met dezelfde groepsnaam, maar met verschillende domeinen correct gesynchroniseerd. Als er een groepsnaamconflict binnen een domein is, wordt de eerste groep gesynchroniseerd en vindt er een fout plaats voor volgende groepen met dezelfde naam. Op het tabblad Gebruikers en groepen van de beheerconsole worden op de pagina Groepen Active Directory-groepen weergegeven op groepsnaam en domein. Op deze manier kunt u onderscheid maken tussen groepen met dezelfde naam. Groepen die lokaal zijn gemaakt in de VMware Identity Managerservice, worden weergegeven op groepsnaam. Het domein wordt aangeduid als Lokale gebruikers. Directory synchroniseren met juiste domeininformatie Wanneer u een bestaande VMware Identity Manager-directory hebt waarin het gebruikersdomein onjuist is of ontbreekt, moet u de domeininstellingen controleren en de directory opnieuw synchroniseren. Controle van de domeininstelling is vereist zodat gebruikers of groepen met dezelfde naam in verschillende Active Directory-domeinen correct worden gesynchroniseerd met de VMware Identity Manager-directory en gebruikers zich kunnen aanmelden. 1 Ga in de beheerconsole naar de pagina Identiteits- en toegangsbeheer > Directory's. 2 Selecteer de directory die u wilt synchroniseren, klik vervolgens op Synchronisatie-instellingen en klik op de tab Toegewezen kenmerken. 3 Controleer op de pagina Toegewezen kenmerken of het VMware Identity Manager-kenmerk domein is toegewezen aan de juiste kenmerknaam in Active Directory. Het domeinkenmerk wordt doorgaans toegewezen aan het kenmerk canonicalname in Active Directory. Het domeinkenmerk is niet gemarkeerd als Vereist. 4 Klik op Opslaan en synchroniseren om de directory te synchroniseren. Gebruikers beheren De pagina Gebruikers in de beheerconsole bevat informatie over elke gebruiker, waaronder de gebruikers- ID, het domein, groepen waarvan de gebruiker lid is, het VMware Verify-telefoonnummer en of de gebruiker is ingeschakeld in VMware Identity Manager. Selecteer een gebruikersnaam om gedetailleerde gebruikersinformatie te bekijken. Details die moeten worden gecontroleerd zijn het gebruikersprofiel, groepsaffiliaties, apparaten die zijn ingeschakeld via VMware Verify en gebruikersrechten. VMware, Inc. 97

98 Gebruikersprofiel De pagina Gebruikersprofiel bevat de persoonlijke gegevens die bij de gebruiker horen en de toegewezen rol, Gebruiker of Admin. Gebruikersinformatie die wordt gesynchroniseerd vanaf een externe directory, kan ook de principal name, distinguished name en externe ID-gegevens bevatten. De profielpagina van een lokale gebruiker bevat de beschikbare gebruikerskenmerken voor gebruikers in de directory van de lokale gebruiker. De gegevens op de pagina Gebruikersprofiel voor gebruikers die worden gesynchroniseerd vanaf uw externe directory, kunnen niet worden bewerkt. U kunt de rol van de gebruiker wijzigen. Op de profielpagina's van een lokale gebruiker kunt u de kenmerkinformatie bewerken, de gebruiker uitschakelen zodat die zich niet kan aanmelden en de gebruiker verwijderen. Groepsaffiliaties Een lijst met de groepen waartoe de gebruiker behoort, wordt weergegeven op de pagina Groepen. U kunt op een groepsnaam klikken om de pagina met details voor die groep weer te geven. Geregistreerd met VMware Verify Op de pagina VMware Verify wordt het telefoonnummer weergegeven dat de gebruiker heeft geregistreerd bij VMware Verify, evenals de geregistreerde apparaten. U ziet ook wanneer het account voor het laatst is gebruikt. U kunt het telefoonnummer van de gebruiker verwijderen. Wanneer u VMware Verify opnieuw instelt, moeten gebruikers hun telefoonnummer opnieuw invoeren om zich opnieuw in te schrijven bij Verify. Zie Geregistreerd telefoonnummer verwijderen uit gebruikersprofiel, op pagina 77. Apprechten U kunt op Recht toevoegen klikken om de gebruiker rechten te geven voor bronnen die beschikbaar zijn in uw catalogus. Vervolgens kunt u instellen hoe de applicatie aan hun Workspace ONE-portal wordt toegevoegd. Stel in dat de implementatie Automatisch moet zijn zodat de applicatie automatisch wordt weergegeven in de Workspace ONE-portal. Selecteer Door gebruiker geactiveerd als u de gebruiker de app wilt laten activeren voordat de applicatie via de cataloguscollectie aan de Workspace ONE-portal wordt toegevoegd. Voor brontypen die over de knop X beschikken, kunt u op de X klikken om de toegang van de gebruiker voor die bron te verwijderen. Groepen maken en groepsregels configureren U kunt groepen maken, leden toevoegen aan groepen en groepsregels maken waarmee u groepen kunt vullen op basis van regels die u definieert. Gebruik groepen om meer dan één gebruiker tegelijkertijd rechten te verlenen voor dezelfde bronnen, in plaats van elke gebruiker afzonderlijk rechten te verlenen. Een gebruiker kan tot meerdere groepen behoren. Als u bijvoorbeeld een groep Sales en een groep Management maakt, kan een salesmanager tot beide groepen behoren. U kunt opgeven welke beleidsinstellingen van toepassing zijn op de leden van een groep. Gebruikers in groepen worden gedefinieerd door de regels die u instelt voor een gebruikerskenmerk. Als een kenmerkwaarde voor een gebruiker verandert ten opzichte van de waarde van de gedefinieerde groepsregelwaarde, wordt de gebruiker verwijderd uit de groep. 98 VMware, Inc.

99 Hoofdstuk 9 Gebruikers en groepen beheren 1 Klik op Groepen op het tabblad Gebruikers en groepen van de beheerconsole. 2 Klik op Groep toevoegen. 3 Voer een groepsnaam en een beschrijving voor de groep in. Klik op Volgende. 4 Als u gebruikers wilt toevoegen aan de groep, voert u de eerste letters van de gebruikersnaam in. Wanneer u tekst invoert, wordt een lijst met overeenkomende namen weergegeven. 5 Selecteer de gebruikersnaam en klik op +Gebruiker toevoegen. Ga verder met het toevoegen van leden aan de groep. 6 Klik op Volgende nadat de gebruikers zijn toegevoegd aan de groep. 7 Selecteer op de pagina Groepsregels hoe groepslidmaatschap wordt toegekend. Selecteer een van de of alle. Optie Een van de Alles Actie Kent lidmaatschap toe wanneer is voldaan aan een van de voorwaarden voor groepslidmaatschap. Deze actie werkt zoals de voorwaarde OR. Bijvoorbeeld: als u Een van de selecteert voor de regels Groep is Sales en Groep is Marketing, wordt lidmaatschap van deze groep toegekend aan de sales- en marketingmedewerkers. Kent lidmaatschap toe wanneer is voldaan aan alle voorwaarden voor groepslidmaatschap. De optie Alle werkt zoals de voorwaarde AND. Bijvoorbeeld: als u Alle volgende selecteert voor de regels Groep is Sales en begint met 'westelijke_regio', wordt lidmaatschap van de groep alleen toegekend aan salesmedewerkers in de westelijke regio. Aan salesmedewerkers in andere regio's wordt geen lidmaatschap toegekend. VMware, Inc. 99

100 8 Configureer een of meer regels voor uw groep. U kunt regels nesten. Optie Kenmerk Kenmerkregels Kenmerk Een van de of Alle gebruiken Beschrijving Selecteer een van de kenmerken uit het vervolgkeuzemenu van de eerste kolom. Selecteer Groep als u een bestaande groep wilt toevoegen aan de groep die u maakt. U kunt andere typen kenmerken toevoegen om te beheren welke gebruikers in de groepen leden zijn van de groep die u maakt. De volgende regels zijn beschikbaar afhankelijk van het kenmerk dat u hebt geselecteerd. Selecteer is om een groep of directory te selecteren die u wilt koppelen aan deze groep. Geef een naam op in het tekstvak. Wanneer u typt, wordt een lijst met de beschikbare groepen of directory's weergegeven. Selecteer is niet om een groep of directory te selecteren die u wilt uitsluiten. Geef een naam op in het tekstvak. Wanneer u typt, wordt een lijst met de beschikbare groepen of directory's weergegeven. Selecteer komt overeen met om groepslidmaatschap toe te kennen aan vermeldingen die exact overeenkomen met de criteria die u invoert. Bijvoorbeeld: uw organisatie heeft mogelijk een afdeling voor zakelijke reizen die een centraal telefoonnummer gebruikt. Als u toegang tot een applicatie voor het boeken van reizen wilt toekennen aan alle medewerkers die dat telefoonnummer delen, kunt u een regel maken zoals Telefoonnummer komt overeen met Selecteer komt niet overeen met om groepslidmaatschap toe te kennen aan alle directoryserververmeldingen met uitzondering van de vermeldingen die overeenkomen met de criteria die u invoert. Bijvoorbeeld: als een van uw afdelingen een centraal telefoonnummer deelt, kunt u die afdeling uitsluiten van toegang tot een applicatie voor sociale netwerken door een regel te maken zoals Telefoonnummer komt niet overeen met Directoryserververmeldingen met andere telefoonnummers hebben toegang tot de applicatie. Selecteer begint met om groepslidmaatschap voor directoryserververmeldingen toe te kennen die beginnen met de criteria die u invoert. Bijvoorbeeld: de adressen van de organisatie beginnen mogelijk met de naam van de afdeling, zoals sales_gebruikersnaam@example.com. Als u toegang tot een applicatie wilt verlenen aan iedereen in uw salesteam, kunt u een regel maken, zoals begint met sales_. Selecteer begint niet met om groepslidmaatschap toe te kennen aan alle directoryserververmeldingen met uitzondering van de vermeldingen die beginnen met de criteria die u invoert. Bijvoorbeeld: als de adressen van uw HR-afdeling de notatie hr_gebruikersnaam@example.com hebben, kunt u toegang tot een applicatie weigeren door een regel in te stellen, zoals begint niet met hr_. Directoryserververmeldingen met andere adressen hebben toegang tot de applicatie. (Optioneel) Als u de kenmerken Een van de of Alle wilt gebruiken in de groepsregel, voegt u deze regel aan het einde toe. Selecteer Een van de voor groepslidmaatschap dat u wilt toekennen wanneer wordt voldaan een van de voorwaarden voor groepslidmaatschap voor deze regel. Het gebruik van Een van de is een manier om regels te nesten. U kunt bijvoorbeeld een regel maken zoals Alle volgende: Groep is Sales; Groep is Noord-Holland. Voor Groep is Noord-Holland, Een van de volgende: Telefoonnummer begint met 020; Telefoonnummer begint met Het groepslid moet behoren tot uw medewerkersteam in Noord-Holland en een telefoonnummer hebben dat begint met 020 of Selecteer Alle voor alle voorwaarden waaraan moet worden voldaan voor deze regel. Dit is een manier om regels te nesten. U kunt bijvoorbeeld een regel maken zoals Een van de volgende: Groep is Managers; Groep is Klantenservice. Voor Groep is Klantenservice, alle 100 VMware, Inc.

101 Hoofdstuk 9 Gebruikers en groepen beheren Optie Beschrijving volgende: begint met ks_; Telefoonnummer begint met De groepsleden kunnen managers of medewerkers van de klantenservice zijn, maar medewerkers van de klantenservice moeten een hebben die begint met ks en een telefoonnummer dat begint met (Optioneel) Voer een gebruikersnaam in het tekstvak in en klik op Gebruiker uitsluiten als u specifieke gebruikers wilt uitsluiten. 10 Klik op Volgende en bekijk de groepsinformatie. Klik op Groep maken. Wat nu te doen Voeg de bronnen toe waarvoor de groep gebruiksrechten heeft. Groepsregels bewerken U kunt groepsregels bewerken om de groepsnaam te wijzigen, gebruikers toevoegen en verwijderen en de groepsregels wijzigen. 1 Klik in de beheerconsole op Gebruikers en groepen > Groepen. 2 Klik op de groepsnaam om te beginnen met bewerken. 3 Klik op Gebruikers in groep bewerken. 4 Klik door de pagina's om wijzigingen aan te brengen in de naam, gebruikers in de groep en regels. 5 Klik op Opslaan. Bronnen toevoegen aan groepen De meest effectieve manier om gebruikers rechten te verlenen voor bronnen is de rechten toevoegen aan een groepen. Alle leden van de groep hebben toegang tot de applicaties waarvoor rechten zijn verleend aan de groep.. Vereisten Applicaties worden toegevoegd aan de pagina Catalogus. 1 Klik in de beheerconsole op Gebruikers en groepen > Groepen. Op de pagina wordt een lijst met de groepen weergegeven.. 2 Klik op de groepsnaam om bronnen toe te voegen aan een groep. 3 Klik op het tabblad Apps en klik vervolgens op Recht toevoegen. 4 Selecteer in het vervolgkeuzemenu het type applicatie waarvoor u rechten wilt verlenen. De applicatietypen die beschikbaar zijn in het vervolgkeuzemenu zijn gebaseerd op de applicatietypen die worden toegevoegd aan de catalogus. 5 Selecteer de applicaties om rechten te verlenen aan de groep. U kunt zoeken naar een specifieke applicatie of u kunt het selectievakje naast Applicaties inschakelen om alle weergegeven applicaties te selecteren. Als er als rechten voor een applicatie zijn verleend aan de groep, wordt de applicatie niet weergegeven. 6 Klik op Opslaan. VMware, Inc. 101

102 De applicaties worden weergegeven op de pagina Apps en gebruikers in de groep ontvangen onmiddellijk rechten voor de bronnen. Lokale gebruikers toevoegen U kunt lokale gebruikers maken in de VMware Identity Manager-service om gebruikers toe te voegen en te beheren die niet zijn ingericht in uw bedrijfsdirectory. U kunt verschillende lokale directory's maken en de kenmerktoewijzingen voor elke directory aanpassen. U maakt een directory en selecteert kenmerken en maakt aangepaste kenmerken voor die lokale directory. De vereiste gebruikerskenmerken Gebruikersnaam, Achternaam, Voornaam en adres zijn opgegeven op het algemene niveau van de pagina Identiteits- en toegangsbeheer > Gebruikerskenmerken. In de lijst met gebruikerskenmerken voor de lokale directory kunt u andere vereiste kenmerken selecteren en aangepaste kenmerken maken om voor verschillende lokale directory's aangepaste sets kenmerken te gebruiken. Zie 'Lokale directory's gebruiken' in de handleiding 'VMware Identity Manager installeren en configureren'. Maak lokale gebruikers als u wilt dat gebruikers uw applicaties kunnen openen, maar als u ze niet wilt toevoegen aan uw bedrijfsdirectory. U kunt een lokale directory maken voor een specifiek type gebruiker dat geen deel uitmaakt van uw bedrijfsdirectory. Bijvoorbeeld: u kunt een lokale directory maken voor partners die doorgaans geen deel uitmaken van uw bedrijfsdirectory en hen toegang geven tot alleen de specifieke applicaties die ze nodig hebben. U kunt meerdere lokale directory's maken als u verschillende gebruikerskenmerken of verificatiemethoden wilt voor verschillende sets gebruikers. U kunt bijvoorbeeld een lokale directory voor leveranciers maken met de gebruikerskenmerken 'regio' en 'marktgrootte'. U maakt een andere lokale directory voor leveranciers met het gebruikerskenmerk 'productcategorie'. U configureert de verificatiemethode die lokale gebruikers gebruiken om zich aan te melden bij de website van uw bedrijf. Een wachtwoordbeleid wordt afgedwongen voor het lokale gebruikerswachtwoord. U kunt de wachtwoordbeperkingen en wachtwoordbeheerregels definiëren. Nadat u een gebruiker hebt ingericht, wordt een bericht verzonden met informatie over hoe de gebruiker zich kan aanmelden om het account in te schakelen. Wanneer de gebruiker zich aanmeldt, kan deze een wachtwoord maken en wordt het account ingeschakeld. Lokale gebruikers toevoegen U maakt gebruikers één voor één. Wanneer u de gebruiker toevoegt, selecteert u de lokale directory die is geconfigureerd met de lokale gebruikerskenmerken en het domein waarbij de gebruiker zich aanmeldt. U voegt niet alleen gebruikersinformatie toe, maar selecteert ook de gewenste gebruikersrol: gebruiker of beheerder. Met de beheerdersrol krijgt de gebruiker toegang tot de beheerconsole om de VMware Identity Manager-services te beheren. Vereisten Lokale directory gemaakt Domein geïdentificeerd voor lokale gebruikers Gebruikerskenmerken die zijn vereist, geselecteerd op de pagina Gebruikerskenmerken voor de lokale directory Wachtwoordbeleid geconfigureerd SMTP-server op het tabblad Apparaatinstellingen geconfigureerd om een melding te verzenden naar nieuw gemaakte lokale gebruikers 102 VMware, Inc.

103 Hoofdstuk 9 Gebruikers en groepen beheren 1 Klik op Gebruiker toevoegen op het tabblad Gebruikers en groepen van de beheerconsole. 2 Selecteer de lokale directory voor deze gebruiker op de pagina Een gebruiker toevoegen. De pagina wordt uitgevouwen om de gebruikerskenmerken weer te geven die u kunt configureren. 3 Selecteer het domein waaraan deze gebruiker is toegewezen en vul de vereiste gebruikersinformatie in. 4 Selecteer Beheerder in het tekstvak Gebruiker voor de rol van beheerder. 5 Klik op Toevoegen. De lokale gebruiker is gemaakt. De gebruiker wordt in een gevraagd het account in te schakelen en een wachtwoord te maken. De koppeling in de verloopt volgens de waarde die is ingesteld op de pagina Wachtwoordbeleid. Dit is standaard zeven dagen. Wanneer de koppeling verloopt, kunt u op Wachtwoord opnieuw instellen klikken om de melding opnieuw te verzenden. Een gebruiker wordt toegevoegd aan bestaande groepen op basis van de regels voor groepskenmerken die zijn geconfigureerd. Wat nu te doen Ga naar het lokale gebruikersaccount om het profiel te bekijken, de gebruiker toe te voegen aan groepen en de gebruiker rechten te geven voor de te gebruiken bronnen. Wanneer u een admingebruiker in de systeemdirectory heeft gemaakt die rechten heeft op bronnen die door een specifiek toegangsbeleid worden beheerd, controleer dan of de beleidsregels van de applicatie ook Wachtwoord (lokale directory) als alternatieve verificatiemethode bevatten. Als Wachtwoord (lokale directory) niet is geconfigureerd, kan de beheerder zich niet aanmelden op de app. Lokale gebruikers uit- of inschakelen U hoeft lokale gebruikers niet te verwijderen, maar kunt ze uitschakelen om te voorkomen dat die gebruikers zich aanmelden en toegang krijgen tot de portal en bronnen waarvoor ze rechten hebben. 1 Klik op Gebruikers en groepen in de beheerconsole. 2 Selecteer de gebruiker op de pagina Gebruikers. De pagina Gebruikersprofiel wordt weergegeven. 3 Afhankelijk van status van de lokale gebruiker, doet u een van de volgende. a b Schakel het selectievakje Inschakelen uit als u het account wilt uitschakelen. Selecteer Inschakelen als u het account wilt inschakelen. Uitgeschakelde gebruikers kunnen zich niet aanmelden bij de portal of de bronnen waarvoor ze rechten hadden. Als ze werken in een bron waarvoor ze rechten hebben, wanneer de lokale gebruiker wordt uitgeschakeld, kan de lokale gebruiker toegang krijgen tot de bron tot de sessie eindigt. Lokale gebruikers verwijderen U kunt lokale gebruikers verwijderen. 1 Klik op Gebruikers en groepen in de beheerconsole. VMware, Inc. 103

104 2 Selecteer de gebruiker die u wilt verwijderen. De pagina Gebruikersprofiel wordt weergegeven. 3 Klik op Gebruiker verwijderen. 4 Klik op OK in het bevestigingsvenster. De gebruiker is verwijderd uit de lijst Gebruikers. Verwijderde gebruikers kunnen zich niet aanmelden bij de portal of de bronnen waarvoor ze rechten hebben. Wachtwoorden beheren U kunt een wachtwoordbeleid maken om lokale gebruikerswachtwoorden te beheren. Lokale gebruikers kunnen hun wachtwoord wijzigen volgens de beleidsregels voor wachtwoorden. Lokale gebruikers kunnen hun wachtwoord wijzigen via de portal Workspace ONE in het gedeelte Account via het vervolgkeuzemenu door hun naam op te zoeken. Wachtwoordbeleid voor lokale gebruikers configureren Het wachtwoordbeleid voor lokale gebruikers bestaat uit een reeks van regels en beperkingen voor de notatie en vervaldatum van de wachtwoorden voor lokale gebruikers. Het wachtwoordbeleid is alleen van toepassing op lokale gebruikers die u hebt gemaakt in de VMware Identity Manager-beheerconsole. Het wachtwoordbeleid kan bestaan uit wachtwoordbeperkingen, een maximale levensduur voor een wachtwoord en voor het opnieuw instellen van wachtwoorden, de maximale levensduur van het tijdelijke wachtwoord. In het standaardbeleid zijn zes tekens voor wachtwoorden vereist. De wachtwoordbeperkingen kunnen bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens om een sterk wachtwoord te vereisen. 1 Selecteer Gebruikers en groepen > Instellingen in de beheerconsole. 2 Klik op Wachtwoordbeleid om de parameters voor wachtwoordbeperkingen te bewerken. Optie Minimale lengte voor wachtwoorden Kleine letters Beschrijving De minimale lengte is zes tekens, maar u kunt vereisen dat meer dan zes tekens worden gebruikt. De minimale lengte mag niet minder zijn dan de gecombineerde minimale vereisten voor letters, cijfers en speciale tekens. Het minimale aantal kleine letters. Klein van a tot z Hoofdletters Het minimale aantal hoofdletters. Groot van A tot Z. Numerieke tekens (0-9) Het minimale aantal numerieke tekens. Tien basiscijfers (0-9) Speciale tekens Minimale aantal niet-alfanumerieke tekens, bijvoorbeeld & # % $! Opeenvolgende identieke tekens Maximale aantal identieke opeenvolgende tekens. Als u bijvoorbeeld 1 invoert, is het volgende wachtwoord toegestaan: p@s$word, maar het volgende wachtwoord niet: p@$$word. Wachtwoordgeschiedenis Aantal vorige wachtwoorden dat niet kan worden geselecteerd. Bijvoorbeeld: als een gebruiker geen van de laatste zes wachtwoorden opnieuw mag gebruiken, typt u 6. Als u deze functie wilt uitschakelen, stelt u de waarde in op VMware, Inc.

105 Hoofdstuk 9 Gebruikers en groepen beheren 3 Bewerk de parameters voor de levensduur van het wachtwoord in het gedeelte Wachtwoordbeheer. Optie Levensduur tijdelijk wachtwoord Levensduur wachtwoord Wachtwoordherinnering Frequentie herinneringsmelding wachtwoord Beschrijving Aantal uur dat een koppeling voor het opnieuw instellen van een wachtwoord of vergeten wachtwoord geldig is. De standaardwaarde is 168 uur. Maximale aantal dagen dat een wachtwoord kan bestaan voordat de gebruiker het moet wijzigen. Aantal dagen vóór de vervaldatum van het wachtwoord dat een melding over het verlopen van het wachtwoord wordt verzonden. Hoe vaak herinneringen moeten worden verzonden nadat de eerste melding over het verlopen van het wachtwoord is verzonden. Elk vak moet een waarde hebben om het beleid voor de levensduur van het wachtwoord in te stellen. Als u geen beleidsoptie wilt instellen, voert u 0 in. 4 Klik op Opslaan. VMware, Inc. 105

106 106 VMware, Inc.

107 De catalogus beheren 10 De catalogus is de opslagplaats van alle bronnen waarvoor u gebruikers rechten kunt verlenen. U kunt toepassingen direct aan de catalogus toevoegen op het tabblad Catalogus. Als u de toepassingen wilt bekijken die zijn toegevoegd aan de catalogus, klikt u in de beheerconsole op de tab Catalogus. Op de pagina Catalogus kunt u de volgende taken uitvoeren: Nieuwe bronnen toevoegen aan uw catalogus. De bronnen bekijken waarvoor u op dat moment gebruikers rechten kunt verlenen. Informatie openen over elke bron in uw catalogus. U kunt via de pagina Catalogus rechtstreeks webapplicaties toevoegen aan uw catalogus. Voor andere brontypen moet u actie buiten de Beheerconsole ondernemen. Zie de Bronnen instellen in VMware Identity Manager voor informatie over het instellen van bronnen. Bron Webapplicatie Gevirtualiseerde Windowsapplicatie vastgelegd als ThinApp-pakket View-desktopgroep Door View gehoste applicaties Op Citrix gebaseerde applicatie Bron in uw catalogus bekijken Selecteer op de pagina Catalogus van de beheerconsole het applicatiestype webapplicaties. Synchroniseer via de Beheerconsole ThinApp-pakketten met uw catalogus via de pagina Verpakte apps - ThinApp. Selecteer op de pagina Catalogus van de beheerconsole het applicatiestype ThinApp-pakketten. Synchroniseer View-groepen met uw catalogus via de Beheerconsole, pagina Viewgroepen. Selecteer op de pagina Catalogus van de beheerconsole het applicatiestype View-desktopgroepen. Synchroniseer door View gehoste applicaties met uw catalogus via de Beheerconsole, pagina View-groeps. Selecteer op de pagina Catalogus van de beheerconsole het applicatiestype Door View gehoste applicatie. Synchroniseer via de Beheerconsole op Citrix gebaseerde applicaties met uw catalogus via de pagina Gepubliceerde apps - Citrix. Selecteer op de pagina Catalogus van de beheerconsole het applicatiestype Gepubliceerde Citrix-applicaties. Dit hoofdstuk omvat de volgende onderwerpen: Bronnen in de catalogus, op pagina 108 Bronnen in categorieën indelen, op pagina 111 Catalogusinstellingen beheren, op pagina 113 VMware, Inc. 107

108 Bronnen in de catalogus Voordat u uw gebruikers rechten kunt verlenen voor een specifieke bron, moet u uw catalogus met die bron vullen. De methode die u gebruikt om uw catalogus met een bron te vullen, hangt af van welk type bron wordt gebruikt. De typen bronnen die u in uw catalogus voor rechten en distributie naar gebruikers kunt definiëren, zijn webapplicaties, Windows-applicaties die als VMware ThinApp-pakketten zijn vastgelegd, Horizon Viewdesktoppools en door View gehoste applicaties of op Citrix gebaseerde applicaties. Als u View-desktoppools en -applicatiepools, gepubliceerde Citrix-bronnen of applicaties in een ThinApppakket wilt integreren en inschakelen, gebruikt u het menu Desktopapplicaties beheren op het tabblad Catalogus. Zie Bronnen instellen in VMware Identity Manager voor informatie, vereisten, installatie en configuratie van deze bronnen. webapplicaties U vult uw catalogus met webapplicaties rechtstreeks op de pagina Catalogus van de beheerconsole. Wanneer u op een webapplicatie klikt die op de pagina Catalogus wordt weergegeven, wordt informatie over die applicatie weergegeven. Vanaf de weergegeven pagina kunt u de webapplicatie configureren, bijvoorbeeld door de van applicatie zijnde SAML-kenmerken op te geven voor de configuratie van single sign-on tussen VMware Identity Manager en de beoogde webapplicatie. Wanneer de webapplicatie wordt geconfigureerd, kunt u op dat moment gebruikers en groepen rechten verlenen voor die webapplicatie. Zie Webapplicaties toevoegen aan uw catalogus, op pagina 108. Webapplicaties toevoegen aan uw catalogus U kunt webapplicaties rechtstreeks toevoegen aan uw catalogus via de pagina Catalogus in de beheerconsole. Zie het hoofdstuk Toegang verlenen aan webapplicaties in Bronnen instellen in VMware Identity Manager voor gedetailleerde instructies over het toevoegen van een webapplicatie aan uw catalogus. De volgende instructies bieden een overzicht van de stappen voor het toevoegen van deze brontypen aan uw catalogus. 1 In de beheerconsole klikt u op het tabblad Catalogus. 108 VMware, Inc.

109 Hoofdstuk 10 De catalogus beheren 2 Klik op + Applicatie toevoegen. 3 Klik op een optie afhankelijk van het brontype en de locatie van de applicatie. Linknaam Brontype Beschrijving Webapplicatie...uit de catalogus met cloudapplicaties Webapplicatie...maak een nieuwe Webapplicatie... een ZIP- of JAR-bestand importeren Webapplicatie Webapplicatie Webapplicatie VMware Identity Manager omvat toegang tot standaard webapplicaties die beschikbaar zijn in de catalogus met cloudapplicaties die u als bronnen kunt toevoegen aan uw catalogus. Door het passende formulier in te vullen, kunt u een applicatierecord maken voor de webapplicaties die u als bronnen aan uw catalogus wilt toevoegen. U kunt een webapplicatie importeren die u eerder hebt geconfigureerd. Misschien wilt u deze methode gebruiken om een implementatie van inrichting naar productie te brengen. In een dergelijke situatie exporteert u een webapplicatie uit de inrichting als een ZIP-bestand. Vervolgens importeert u het ZIPbestand naar de implementatie van de productie. 4 Volg de vragen om het toevoegen van bronnen aan de catalogus af te sluiten. webapplicaties toevoegen aan uw catalogus Wanneer u een webapplicatie toevoegt aan de catalogus, maakt u een invoer aan dat indirect naar de webapplicatie verwijst. De invoer wordt gedefinieerd door het applicatiesrecord en dit is een formulier met een URL naar de webapplicatie. 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Klik op applicatie toevoegen > Webapplicatie...uit de applicatiecatalogus in de cloud. 3 Klik op het pictogram van de webapplicatie die u wilt toevoegen. Het applicatiesrecord wordt toegevoegd aan uw catalogus en de pagina Details wordt weergegeven waarbij de naam en het verificatieprofiel al zijn gespecificeerd. 4 (Optioneel) U kunt de informatie op de pagina Details aanpassen aan de behoeften van uw organisatie. Items op de pagina worden gevuld met informatie die specifiek is voor de webapplicatie. U kunt sommige items bewerken, dit is afhankelijk van de applicatie. Formulieritem Naam Beschrijving Pictogram Categorieën Beschrijving De naam van de applicatie. Een omschrijving van de applicatie die gebruikers kunnen lezen. Klik op Bladeren om een pictogram voor de applicatie te uploaden. Pictogrammen in de bestandsindelingen PNG, JPG en ICON tot maximaal 4 MB worden ondersteund. Pictogrammen die zijn geüpload, worden vergroot/verkleind naar 80px X 80px. Om vervorming te voorkomen, uploadt u pictogrammen waarvan de hoogte en breedte aan elkaar gelijk zijn en die zo dicht mogelijk bij de afmetingen 80px X 80px komen. Selecteer een categorie in het vervolgkeuzemenu om de applicatie te laten weergeven tijdens het doorzoeken van categorieën in de catalogusbronnen. De categorie moet u eerder hebben aangemaakt. 5 Klik op Opslaan. VMware, Inc. 109

110 6 Klik op Configuratie, bewerk de configuratie-informatie van het applicatiesrecord en klik op Opslaan. Sommige items op het formulier worden vooraf gevuld met informatie die specifiek is voor de webapplicatie. Sommige vooraf gevulde items kunnen worden bewerkt, andere niet. De vereiste informatie is afhankelijk van de applicatie. Voor sommige applicaties heeft het formulier een gedeelte voor applicatiesparameters. Wanneer het gedeelte aanwezig is voor een applicatie en een parameter in het gedeelte geen standaardwaarde heeft, voert u een waarde in om de applicatie te kunnen laten starten. Als er al een standaardwaarde staat, kunt u deze waarde bewerken. 7 Selecteer de tabbladen Rechten, Licenties en Provisioning en pas de informatie op passende wijze aan. Tabblad Rechten Toegangsbeleid Licenties Provisioning Beschrijving Geef gebruikers en groepen recht op de applicatie. U kunt rechten configureren terwijl u de applicatie voor het eerst configureert of op elk moment in de toekomst. Een toegangsbeleid toepassen om gebruikerstoegang voor de applicatie te beheren. Goedkeuring bijhouden configureren. Voeg licentie-informatie voor de applicatie toe om het licentiegebruik in rapporten bij te houden. Goedkeuringen moeten ingeschakeld en geconfigureerd zijn in de pagina Catalogus > Instellingen. U moet ook de callback-uri van de goedkeuringsverzoekenverwerker registreren. Een webapplicatie inrichten om specifieke informatie van de VMware Identity Manager-service op te halen. Wanneer inrichting is geconfigureerd voor een webapplicatie wanneer u een gebruiker rechten geeft voor een applicatie, wordt de gebruiker ingericht in de webapplicatie. Op dit moment is een inrichtingsadapater beschikbaar voor Google Apps en Office 365. Ga naar VMware Identity Manager Integrations via voor configuratierichtlijnen voor deze applicaties. View-desktop en gehoste applicaties toevoegen U kunt uw catalogus vullen met View-desktopgroepen en door View gehoste applicaties en uw VMware Identity Manager-implementatie integreren met Horizon View. Wanneer u op View-applicatie klikt via het menu Catalogus > Desktopapplicaties beheren, wordt u omgeleid naar de pagina View-groeps. Selecteer View-groepen inschakelen om View-pods toe te voegen, een directorysynchronisatie voor View uit te voeren en het type implementatie te configureren die de service gebruikt om gebruikers rechten te geven voor View-bronnen. Wanneer u deze taken hebt uitgevoerd, zijn de View-desktops en gehoste applicaties waarvoor u gebruikers van Horizon View rechten hebt verleend als bronnen beschikbaar in uw catalogus. U kunt op elk moment terugkeren naar de pagina om de View-configuratie te wijzigen, of om View-pods toe te voegen of te verwijderen. Zie Toegang bieden tot View-desktops in de gids Bronnen instellen voor meer informatie over het integreren van View met VMware Identity Manager. Gepubliceerde Citrix-applicaties toevoegen U kunt VMware Identity Manager gebruiken om te integreren met bestaande Citrix-implementaties om vervolgens uw catalogus te vullen met op Citrix gebaseerde applicaties. Wanneer u op Gepubliceerde Citrix-applicatie klikt via het menu Catalogus > Desktopsapplicaties beheren, wordt u naar de pagina Gepubliceerde apps - Citrix geleid. Selecteer Op Citrix gebaseerde applicaties inschakelen om communicatie tot stand te brengen, en plan de synchronisatiefrequentie tussen de VMware Identity Manager en de Citrix-serverfarm. Zie Toegang bieden tot gepubliceerde Citrix-bronnen in de gids Bronnen instellen voor meer informatie over het integreren van gepubliceerde Citrix-applicaties met VMware Identity Manager. 110 VMware, Inc.

111 Hoofdstuk 10 De catalogus beheren ThinApp-applicaties toevoegen Met VMware Identity Manager kunt u vanuit een centraal punt ThinApp-pakketten distribueren en beheren. U moet VMware Identity Manager inschakelen om de opslagplaats waar de ThinApp-pakketten zich bevinden te lokaliseren en de pakketten te synchroniseren met VMware Identity Manager. Door de volgende taken uit te voeren, kunt u uw catalogus vullen met Windows-applicaties die zijn vastgelegd als ThinApp-pakketten. 1 Als de ThinApp-pakketten waarvoor u gebruikers toegang wilt bieden nog niet bestaan, maakt u ThinApp-pakketten aan die compatibel zijn met VMware Identity Manager. Zie de documentatie van VMware ThinApp. 2 Maak een netwerkshare en vul deze met compatibele ThinApp-pakketten. 3 Configureer VMware Identity Manager om deze te laten integreren met de pakketten op de netwerkshare. Wanneer u op ThinApp-applicatie klikt via het menu Catalogus > Desktopapplicaties beheren, wordt u omgeleid naar de pagina Verpakte apps - ThinApp. Selecteer Verpakte applicaties inschakelen. Voer de locatie van de ThinApp-opslagplaats in en configureer de synchronisatiefrequentie. Wanneer u deze taken hebt uitgevoerd, zijn de ThinApp-pakketten die u aan de netwerkshare hebt toegevoegd nu als bronnen beschikbaar in uw catalogus. Zie Toegang bieden tot VMware ThinApp-pakketten in de gids Bronnen instellen voor gedetailleerde informatie over het configureren van VMware Identity Manager om ThinApp-pakketten te distribueren en te beheren. Bronnen in categorieën indelen U kunt bronnen indelen in logische categorieën om het voor gebruikers gemakkelijker te maken de benodigde bron te vinden in de werkruimte van hun Workspace ONE-portal. Wanneer u categorieën maakt, overweegt u de structuur van uw organisatie, de taakfunctie van de bronnen en het type bron. U kunt meerdere categorieën aan een bron toewijzen. U kunt bijvoorbeeld een categorie met de naam Tekstverwerker en een andere categorie met de naam Aanbevolen bronnen maken. Wijs Tekstverwerker toe aan alle tekstverwerkingsbronnen in uw catalogus en wijs ook Aanbevolen bronnen toe aan een specifieke tekstverwerkingsbron waarvan u graag wilt dat uw gebruikers deze gebruiken. Een broncategorie maken U kunt een broncategorie maken zonder deze direct toe te passen, of u kunt een categorie maken en deze tegelijkertijd toepassen op de bron. 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Om tegelijkertijd categorieën te maken en toe te passen, selecteert u de selectievakjes van de applicaties waarop de nieuwe categorie moet worden toegepast. 3 Klik op Categorieën. 4 Voer in het tekstvak een nieuwe categorienaam in. 5 Klik op Categorie toevoegen... Er wordt een nieuwe categorie gemaakt, maar deze wordt niet toegepast op een bron. VMware, Inc. 111

112 6 Om de categorie toe te passen op de geselecteerde bronnen, selecteert u het selectievakje voor de nieuwe categorienaam. De categorie wordt toegevoegd aan de applicatie en wordt weergegeven in de kolom Categorieën. Wat nu te doen Pas de categorie toe op andere applicaties. Zie Een categorie toepassen op bronnen, op pagina 112. Een categorie toepassen op bronnen Wanneer u een categorie hebt aangemaakt, kunt u die categorie toepassen op een willekeurige bron in de catalogus. U kunt meerdere categorieën toepassen op dezelfde bron. Vereisten Een categorie aanmaken 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Selecteer de selectievakjes van alle applicaties waarop de categorie moet worden toegepast. 3 Klik op Categorieën en selecteer de naam van de categorie die moet worden toegepast. De categorie wordt toegepast op de geselecteerde applicaties. Een categorie uit een applicatie verwijderen U kunt een categorie ontkoppelen van een applicatie. 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Schakel de selectievakjes in van applicaties waarvan u een categorie wilt verwijderen. 3 Klik op Categorieën. De categorieën die op de applicaties zijn toegepast, worden geselecteerd. 4 Deselecteer de categorie die u wilt verwijderen uit de applicatie en sluit het menuvak. De categorie wordt verwijderd uit categorieënlijst van de applicatie. Een categorie verwijderen U kunt een categorie permanent uit de catalogus verwijderen. 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Klik op Categorieën. 3 Ga op de categorie staan die moet worden gewist. Er wordt een x weergegeven. Klik op de x. 4 Klik op OK om de categorie te verwijderen. De categorie wordt niet meer in het vervolgkeuzemenu Categorieën, of als label van een applicatie waarop u het label eerder had toegepast, weergegeven. 112 VMware, Inc.

113 Hoofdstuk 10 De catalogus beheren Catalogusinstellingen beheren U kunt de pagina Catalogusinstellingen gebruiken om bronnen in de catalogus te beheren, een SAMLcertificaat te downloaden, de gebruikersportal aan te passen en algemene instellingen in te stellen. SAML-certificaten downloaden om met afhankelijke applicaties te configureren Wanneer u webapplicaties configureert, moet u het SAML-ondertekeningscertificaat van uw organisatie kopiëren en het naar de afhankelijke applicaties verzenden zodat deze de gebruikersaanmeldingen via de service kunnen accepteren. Het SAML-certificaat wordt gebruikt om gebruikersaanmeldingen van de service op de afhankelijke applicaties, zoals WebEx of Google Apps, te verifiëren U kopieert het SAML-ondertekend certificaat en de metadata van de SAML-serviceprovider van de service en bewerkt de SAML-assertie in de externe identiteitsprovider om VMware Identity Manager-gebruikers toe te wijzen. 1 Meld u aan op de beheerconsole. 2 Selecteer Instellingen > SAML-metadata op het tabblad Catalogus. 3 Kopieer het SAML-ondertekend certificaat dat wordt weergegeven en sla het op. a b Kopieer de certificaatgegevens in het gedeelte Certificaat ondertekenen. Sla de certificaatgegevens op in een tekstbestand zodat deze later kunnen worden gebruikt wanneer u de externe identiteitsproviderinstantie configureert. 4 Maak de SAML-SP-metadata beschikbaar voor de externe identiteitsproviderinstantie. a b Klik op de pagina SAML-certificaat downloaden op Metagegevens voor serviceprovider. Kopieer de weergegeven informatie en sla deze op met behulp van de methode die het best bij uw organisatie past. Gebruik deze gekopieerde informatie op een later moment wanneer u de externe identiteitsprovider configureert. 5 Bepaal hoe gebruikers moeten worden toegewezen van de externe identiteitsproviderinstantie aan VMware Identity Manager. Bewerk de SAML-assertie in de externe identiteitsprovider om VMware Identity Manager-gebruikers toe te wijzen wanneer u de externe identiteitsprovider configureert. NameID Format urn:oasis:names:tc:saml: 1.1:nameid-format: Address urn:oasis:names:tc:saml: 1.1:nameid-format:unspecified Gebruiker toewijzen De waarde NameID in de SAML-assertie wordt toegewezen aan het kenmerk van het adres in VMware Identity Manager. De waarde NameID in de SAML-assertie wordt toegewezen aan het kenmerk van de gebruikersnaam in VMware Identity Manager. Wat nu te doen Pas de informatie toe die u voor deze taak hebt gekopieerd om de externe identiteitsproviderinstantie te configureren. VMware, Inc. 113

114 Prompt uitschakelen voor het downloaden van Helper-applicaties Voor View-desktops, gepubliceerde Citrix-apps en ThinApp-bronnen moeten de volgende helperapplicaties zijn geïnstalleerd op de computers of apparaten van gebruikers. View-desktops gebruiken Horizon Client. Voor gepubliceerde Citrix-apps is Citrix Receiver vereist. Voor ThinApp-bronnen is VMware Identity Manager voor Desktops vereist. De eerste keer dat gebruikers applicaties van deze brontypen starten, worden zij gevraagd om helperapplicaties te downloaden op hun desktop of apparaat. U kunt deze prompt volledig uitschakelen om te voorkomen dat deze elke keer wordt weergegeven wanneer de bron wordt gestart. Dit doet u via de pagina Catalogus > Instellingen > Algemene instellingen. Het uitschakelen van de prompt om te voorkomen dat deze wordt weergegeven, is een goede optie wanneer computers of apparaten worden beheerd, en u weet dat de helper-applicaties op de lokale image van de gebruiker aanwezig zijn. 1 Selecteer Catalogus > Instellingen in de beheerconsole. 2 Selecteer Algemene instellingen. 3 Selecteer de besturingssystemen die niet moeten vragen of de helper-applicaties moeten worden gestart. 4 Klik op Opslaan. Clients maken om toegang tot externe applicaties in te schakelen U kunt één client maken om één applicatie te kunnen laten registreren bij VMware Identity Manager zodat gebruikers toegang hebben tot een specifieke applicatie in de beheerconsole op de pagina Catalogus > Instellingen. De SDK gebruikt op OAuth-gebaseerde verificatie om verbinding te maken met VMware Identity Manager. U moet in de beheerconsole een client-id-waarde en een clientsecret-waarde maken. Externe toegang tot een enkele catalogusbron maken U kunt een client maken om één applicatie te laten registreren bij VMware Identity Manager zodat gebruikers toegang hebben tot een specifieke applicatie. 1 Op het tabblad Catalogus in de beheerconsole selecteert u Instellingen > App-toegang op afstand. 2 Klik op de pagina Clients op Client maken. 3 Voer op de pagina Client maken de volgende informatie in over de applicatie. Label Toegangstype Client-id Applicatie bereik Beschrijving U kunt kiezen tussen toegangstoken gebruiker en clienttoken service. Voer een unieke client-id in voor de bron die moet worden geregistreerd met VMware Identity Manager. Selecteer Identity Manager. Selecteer het passende bereik. Wanneer u NAAPS selecteert, wordt OpenID ook geselecteerd. 114 VMware, Inc.

115 Hoofdstuk 10 De catalogus beheren Label URI-verwijzing Beschrijving Voer de geregistreerde URI-verwijzing in. Geavanceerde sectie Gedeeld geheim Vernieuwde token uitgeven Tokentype Lengte van token Vernieuwde token uitgeven Token TTL openen Vernieuwde token TTL Gebruikerstoekenning Klik op Gedeeld geheim genereren om een geheim te genereren dat wordt gedeeld tussen deze service en de service van de applicatiesbron. Kopieer het clientgeheim en sla het op om het te configureren in de applicatiesinstellingen. Het clientgeheim moet geheim blijven. Wanneer een geïmplementeerde app het geheim niet geheim kan houden, wordt het geheim niet gebruikt. Voor apps die op een webbrowser zijn gebaseerd, wordt het gedeeld geheim niet gebruikt. Deselecteer het selectievakje. Specifiek netwerk Laat de standaardinstelling staan, 32 bytes. Vernieuwde token controleren. (Optioneel) Wijzig de instellingen van het Toegangstoken Time-To-Live. (Optioneel) Gebruikers vragen om toegang niet selecteren. 4 Klik op Toevoegen. De clientconfiguratie wordt samen met het gegenereerde gedeeld geheim weergegeven op de pagina OAuth2-client. Wat nu te doen Voer de client-id en het gedeeld geheim op de configuratiepagina's in van de bronnen. Zie de documentatie van de applicatie. Sjabloon voor toegang op afstand maken U kunt een sjabloon maken om een groep cliënten in staat te stellen zich dynamisch te registreren op de VMware Identity Manager-service zodat gebruikers toegang krijgen tot een specifieke applicatie. 1 Op het tabblad Catalogus in de beheerconsole selecteert u Instellingen > App-toegang op afstand. 2 Klik op Sjablonen. 3 Klik op Sjabloon maken. 4 Op de pagina Sjabloon maken voert u de volgende informatie in over de applicatie. Label Sjabloon-ID Applicatie bereik URI-verwijzing Beschrijving Voer een unieke identificator in voor deze bron. Selecteer Identity Manager Selecteer het passende bereik. Wanneer u NAAPS selecteert, wordt OpenID ook geselecteerd. Voer de geregistreerde URI-verwijzing in. Geavanceerde sectie Tokentype Lengte van token Vernieuwde token uitgeven Specifiek netwerk Laat de standaardinstelling staan, 32 bytes. Vernieuwde token controleren. VMware, Inc. 115

116 Label Token TTL openen Vernieuwde token TTL Gebruikerstoekenning Beschrijving (Optioneel) (Optioneel) Gebruikers vragen om toegang niet selecteren. 5 Klik op Toevoegen. Wat nu te doen In de bronapplicatie stelt u de URL van de VMware Identity Manager-service in als de website die geïntegreerde verificatie ondersteunt. ICA-eigenschappen bewerken in gepubliceerde Citrix-applicaties U kunt de instellingen voor afzonderlijke gepubliceerde Citrix-applicaties en -desktops bewerken in uw VMware Identity Manager-implementatie via de pagina's Catalogus > Instellingen > Gepubliceerde Citrixapplicatie. De pagina ICA-configuratie wordt geconfigureerd voor afzonderlijke applicaties. De tekstvakken voor ICAeigenschappen voor afzonderlijke applicaties zijn leeg totdat u handmatig eigenschappen toevoegt. Wanneer u de leveringseigenschappen voor applicaties, de ICA-eigenschappen of een afzonderlijke gepubliceerde Citrix-bron bewerkt, hebben die instellingen prioriteit boven de algemene instellingen. Op de pagina Netscaler-configuratie kunt u de service met de betreffende instellingen configureren zodat het verkeer via Netscaler naar de XenApp-server wordt geleid wanneer gebruikers op Citrix gebaseerde applicaties starten. Wanneer u de ICA-eigenschappen bewerkt op het tabblad Gepubliceerde Citrix-applicaties > NetScaler ICAconfiguratie, worden de instellingen toegepast op het startverkeer van de applicatie dat wordt geleid via Netscaler. Zie het onderwerp Netscaler configureren en het onderwerp Leveringsinstellingen bewerken van VMware Identity Manager-applicatie voor een enkele gepubliceerde Citrix-bron in het documentatiecentrum. ThinApp-meldingen controleren ThinApp-applicatiesmeldingen in het instellingenmenu van de catalogi sturen u door naar de pagina Waarschuwingen voor verpakte apps. Alle eventuele fouten die zijn gevonden tijdens de synchronisatie van ThinApp-pakketten met VMware Identity Manager, staan op de pagina vermeld. applicatiesgoedkeuring inschakelen voor het gebruik van bronnen U kunt de toegang beheren tot applicaties waarvoor goedkeuring van uw organisatie is vereist voordat u de app kunt gebruiken. U schakelt Goedkeuringen in op de pagina Instellingen catalogus en u moet de URL configureren om het goedkeuringsverzoek te ontvangen. Wanneer u applicaties toevoegt waarvoor u goedkeuring voor de catalogus nodig hebt, schakelt u de optie Licenties in. Wanneer de licentieoptie is geconfigureerd, zien gebruikers de applicatie in hun Workspace ONE-catalogus en moeten zij goedkeuring voor het gebruik van de applicatie aanvragen. 116 VMware, Inc.

117 Hoofdstuk 10 De catalogus beheren VMware Identity Manager stuurt het bericht met het goedkeuringsverzoek naar de geconfigureerde goedkeurings-url van de organisatie. Het verzoek wordt via het workflowproces van de server gecontroleerd en er wordt een bericht teruggestuurd dat het verzoek is goedgekeurd of afgewezen. Zie Applicatiegoedkeuringen beheren in de VMware Identity Manager-handleiding voor de configuratiestappen. U kunt het brongebruik van de VMware Identity Manager en de rapporten met bronrechten bekijken om te zien hoeveel goedgekeurde applicaties worden gebruikt. Goedkeuringswerkstroom instellen en de goedkeuringsengine configureren U kunt kiezen uit twee typen opties voor goedkeuringswerkstromen U kunt uw bijschrift REST URI registreren om uw beheersysteem voor applicaties te integreren met VMware Identity Manager, of u kunt integreren via de VMware Identity Manager-connector. Vereisten Wanneer u de REST API configureert, moet uw beheersysteem voor applicaties geconfigureerd zijn en de URI beschikbaar via de bijschrift REST API die verzoeken ontvangt van de VMware Identity Manager. Configureer de REST API via Connector wanneer de goedkeuringswerkstroomsystemen zich bevinden in datacentra ter plaatse. De connector kan goedkeuringsverzoekberichten van de VMware Identity Managercloudservice leiden naar een goedkeuringsapplicatie ter plaatse en het antwoordbericht terug communiceren. 1 Selecteer op het tabblad Catalogus in de beheerconsole Instellingen > Goedkeuringen. 2 Selecteer Goedkeuringen inschakelen. 3 In het vervolgkeuzemenu van de goedkeuringsengine selecteert u welke REST API-goedkeuringsengine moet worden gebruikt: REST API via uw webserver of REST API via de connector. 4 Configureer de volgende tekstvakken. Optie URI Gebruikersnaam Beschrijving Voer de URI-goedkeuringsverzoekenverwerker van de REST API in die bijschriftverzoeken waarneemt. (Optioneel) Als voor de REST API een gebruikersnaam en een wachtwoord nodig is om toegang te krijgen, voert u de naam hier in. U kunt gebruikersnaam en wachtwoord leeg laten wanneer er geen verificatie is vereist. VMware, Inc. 117

118 Optie Wachtwoord SSL-certificaat PEM-indeling Beschrijving (Optioneel) Voer het wachtwoord van de gebruiker in. (Optioneel) Wanneer u REST API heeft geselecteerd en uw REST API SSL gebruikt en op een server staat die niet beschikt over een openbaar SSLcertificaat, plakt u hier het REST API SSL-certificaat met PEM-indeling. Wat nu te doen Ga naar de pagina Catalogus en configureer de licentiefunctie voor die apps waarvoor goedkeuring is vereist voordat gebruikers de app kunnen gebruiken. 118 VMware, Inc.

119 In het dashboard werken van de 11 beheerconsole In de beheerconsole zijn twee dashboards beschikbaar. Het dashboard voor gebruikersbetrokkenheid kan worden gebruikt om gebruikers en bronnen te monitoren. Het dashboard voor systeemdiagnostiek kan worden gebruikt om de status van de VMware Identity Manager-service te monitoren. Dit hoofdstuk omvat de volgende onderwerpen: Gebruikers en bronverbruik controleren via het dashboard, op pagina 119 Systeeminformatie en -status controleren, op pagina 120 Rapporten weergeven, op pagina 121 Gebruikers en bronverbruik controleren via het dashboard Op het dashboard voor gebruikersbetrokkenheid wordt informatie over gebruikers en bronnen weergegeven. U kunt zien wie zich heeft aangemeld, welke applicaties worden gebruikt en hoe vaak de applicaties worden geopend. U kunt rapporten maken om de activiteiten van gebruikers en groepen, en bronverbruik te volgen. De tijd die in het dashboard voor gebruikersbetrokkenheid wordt weergegeven, is gebaseerd op de tijdzone die voor de browser is ingesteld. Het dashboard wordt elke minuut bijgewerkt. In de kop ziet u het aantal unieke gebruikers dat zich op die dag heeft aangemeld en een tijdlijn met het aantal dagelijkse aanmeldgebeurtenissen in een periode van zeven dagen. Om de waarde bij Gebruikers vandaag aangemeld staat een cirkel met daarin het percentage gebruikers dat is aangemeld. In de schuifbare grafiek Aanmeldingen worden de aanmeldgebeurtenissen van deze week weergegeven. Wijs naar een van de punten in de grafiek voor het aantal aanmeldingen op die dag. In het gedeelte Gebruikers en groepen ziet u het aantal gebruikersaccounts en groepen dat is ingesteld in VMware Identity Manager. De gebruikers die zich het meest recent hebben aangemeld, worden eerst weergegeven. U kunt op Zie volledige rapporten klikken om het rapport Auditgebeurtenissen te maken. In dit rapport worden de gebruikers weergegeven die zich op meerdere dagen hebben aangemeld. In het gedeelte Populariteit app ziet u een staafdiagram, gesorteerd op apptype met het aantal keren dat apps zijn gestart gedurende een periode van zeven dagen. Wijs naar een specifieke dag voor knopinfo over welk type apps is gebruikt en hoe vaak deze apps op die dag zijn gestart. In de lijst onder het diagram staat hoe vaak de specifieke apps zijn gestart. Vouw de pijl aan de rechterkant uit om te selecteren of u deze informatie wilt weergeven van een dag, een week, een maand of een periode van twaalf weken. Klik op Zie volledige rapporten om het rapport Bronverbruik te maken. In dit rapport staat de activiteiten per app, brontype en aantal gebruikers binnen een bepaalde periode. VMware, Inc. 119

120 In het gedeelte App-acceptatie wordt een staafdiagram weergegeven met het percentage personen dat de apps heeft geopend waarop ze recht hebben. Wijs naar de app om de knopinfo te zien met het daadwerkelijke aantal acceptaties en rechten. In het cirkeldiagram Gestarte apps staan de bronnen die zijn gestart, als percentage van het geheel. Wijs naar een specifiek gedeelte in het cirkeldiagram voor het daadwerkelijke aantal, verdeeld op brontype. Vouw de pijl aan de rechterkant uit om te selecteren of u deze informatie wilt weergeven van een dag, een week, een maand of een periode van twaalf weken. In het gedeelte Clients wordt het aantal Identity Manager Desktops dat in gebruik is, weergegeven. Systeeminformatie en -status controleren Op het dashboard voor systeemdiagnose van VMware Identity Manager wordt een gedetailleerd overzicht van de status van de VMware Identity Manager-apparaten in uw omgeving en informatie over de services weergegeven. U ziet de algemene status in de hele VMware Identity Manager-databaseserver, virtual machines en de beschikbare services op elke virtual machine. Via het dashboard voor systeemdiagnose kunt u de virtual machine selecteren die u wilt bewaken en de status zien van de services op die virtual machine, inclusief de geïnstalleerde versie van VMware Identity Manager. Als er zich problemen voordoen met de database of virtual machine, wordt de status van het apparaat in het rood op de werkbalk weergegeven. Als u de problemen wilt weergeven, selecteert u de virtual machine die in het rood wordt getoond. Vervaldatum gebruikerswachtwoord. De vervaldatums voor wachtwoorden voor aanmelden op het apparaat zelf en extern aanmelden bij de VMware Identity Manager-apparaat worden weergegeven. Als een wachtwoord vervalt, gaat u naar de pagina Instellingen en selecteert u VA-configuraties. Open de pagina Systeembeveiliging om het wachtwoord te wijzigen. Certificaten. Hier worden de uitgever van het certificaat en de begin- en einddatum weergegeven. Als u het certificaat wilt beheren, gaat u naar de pagina Instellingen en selecteert u VA-configuraties. Open de pagina Certificaat installeren. Configurator - Implementatiestatus van applicatie. Hier wordt informatie weergegeven over de apparaatconfiguratorservices. Onder Status webserver wordt weergegeven of de Tomcat-server wordt uitgevoerd. Onder Status webapplicatie ziet u of u toegang hebt tot de pagina Apparaatconfigurator. Bij de apparatenversie ziet u de versie van de geïnstalleerde VMware Identity Manager-apparaat. Application Manager - Implementatiestatus van applicatie. Hier wordt de verbindingsstatus van de VMware Identity Manager-apparaat weergegeven. Connector - Implementatiestatus van applicatie. Hier wordt de verbindingsstatus van Beheerconsole weergegeven. Wanneer het bericht Verbinding gelukt wordt weergegeven, hebt u toegang tot de Beheerconsole-pagina's. FQDN van VMware Identity Manager. Hier wordt de Fully Qualified Domain Name weergegeven die gebruikers moeten invoeren voor toegang tot hun VMware Identity Manager App-portal. De FQDN van VMware Identity Manager verwijst naar de load-balancer (wanneer die wordt gebruikt). Application Manager - Ingebouwde componenten. Hier ziet u informatie over de verbinding met de VMware Identity Manager-database, auditservices en verbinding met analysehulpmiddelen. Connector - Ingebouwde componenten. Hier wordt informatie weergegeven over de services die via de beheerpagina's van de connectorservices worden beheerd. U ziet informatie over bronnen voor ThinApp, View en de Gepubliceerde Citrix-apps. Modules. Hier worden de bronnen weergegeven die zijn ingeschakeld in VMware Identity Manager. Klik op Ingeschakeld om naar de beheerpagina voor connectorservices voor die bron te gaan. 120 VMware, Inc.

121 Hoofdstuk 11 In het dashboard werken van de beheerconsole Rapporten weergeven U kunt rapporten maken om de activiteiten van gebruikers en groepen, en bronverbruik te volgen. U kunt de rapporten weergeven op de pagina Dashboard > Rapporten van de beheerconsole. U kunt rapporten exporteren in een door komma's gescheiden bestandsindeling (csv). Tabel Rapporttypen Rapport Recente activiteit Bronverbruik Bronrechten Bronactiviteit Groepslidmaatschap Roltoewijzing Gebruikers Gelijktijdige gebruikers Apparaatgebruik Auditgebeurtenissen Beschrijving Recente activiteit is een rapport over de acties die gebruikers de afgelopen dag, de afgelopen week, de afgelopen maand of de afgelopen 12 weken via hun Workspace ONE-portal hebben uitgevoerd. Dit zijn activiteiten met gebruikersinformatie zoals hoeveel unieke gebruikersaanmeldingen of hoeveel algemene aanmeldingen en broninformatie zoals het aantal gestarte bronnen of de toegevoegde bronrechten. U kunt op Gebeurtenissen weergeven klikken om de datum, tijd en gebruikersdetails voor de activiteit te zien. Bronverbruik is een rapport van alle bronnen in de catalogus, met details voor elke bron over het aantal gebruikers, het aantal keren dat de bron is gestart en licenties. U kunt selecteren om de activiteiten van de afgelopen dag, de afgelopen week, de afgelopen maand of de afgelopen 12 weken weer te geven. Bronrechten is een rapport waarin per bron het aantal gebruikers met rechten voor die bron, het aantal keren dat de bron is gestart en het aantal gebruikte licenties wordt weergegeven. U kunt het rapport Bronactiviteit voor alle gebruikers of een specifieke groep gebruikers maken. Bij de informatie over bronactiviteit vindt u de gebruikersnaam, de bron waarvoor de gebruiker rechten heeft en de datum waarop de bron voor het laatst is geopend, en informatie over het type apparaat dat de gebruiker heeft gebruikt voor toegang tot de bron. Groepslidmaatschap is een lijst met leden van een groep die u opgeeft. Roltoewijzing geeft een lijst met de gebruikers die ofwel beheerders met alleen APIrechten zijn, of beheerders en hun adressen. In het rapport Gebruikers staan alle gebruikers en gegevens over elke gebruiker, zoals het adres, de rol en groepsaffiliaties van de gebruiker. Het rapport Gelijktijdige gebruikers toont het aantal gebruikerssessies die op een bepaald moment zijn geopend en de datum en tijd waarop dat gebeurde. In het rapport Apparaatgebruik wordt het apparaatgebruik voor alle gebruikers of een specifieke groep gebruikers weergegeven. De apparaatinformatie wordt per afzonderlijke gebruiker vermeld en bevat de gebruikersnaam, de apparaatnaam, informatie over het besturingssysteem en de datum waarop het apparaat voor het laatst is gebruikt. In het rapport Auditgebeurtenissen staan de gebeurtenissen met betrekking tot een gebruiker die u opgeeft, zoals gebruikersaanmeldingen van de afgelopen 30 dagen. U kunt ook details over de auditgebeurtenis weergeven. Deze functie is nuttig bij het oplossen van problemen. Als u rapporten over auditgebeurtenissen uitvoert, moet auditing zijn ingeschakeld op de pagina Catalogus > Instellingen > Auditing. Zie Een auditgebeurtenisrapport genereren, op pagina 121. Een auditgebeurtenisrapport genereren U kunt een rapport genereren met auditgebeurtenissen die u specificeert. Auditgebeurtenisrapporten kunnen handig zijn bij het oplossen van problemen. VMware, Inc. 121

122 Vereisten Auditing moet zijn ingeschakeld. Ga in de beheerconsole naar de pagina Catalogus > Instellingen en selecteer Auditing om te verifiëren of auditing is ingeschakeld. 1 Selecteer in de beheerconsole Rapporten > Auditgebeurtenissen 2 Selecteer de criteria voor de auditgebeurtenis. Criteria auditgebeurtenis Gebruiker Type Actie Object Datumbereik Beschrijving Met dit tekstvak kunt u het zoeken naar auditgebeurtenissen beperken tot gebeurtenissen die door een specifieke gebruiker zijn gegenereerd. In dit vervolgkeuzemenu kunt u het zoeken naar auditgebeurtenissen beperken tot een specifiek type auditgebeurtenis. In het vervolgkeuzemenu worden niet alle potentiële typen auditgebeurtenissen weergegeven. In de lijst worden alleen typen gebeurtenissen weergegeven die in uw implementatie hebben plaatsgevonden. Typen auditgebeurtenissen die in hoofdletters worden weergegeven zijn toegangsgebeurtenissen, zoals AANMELDEN en STARTEN. Deze gebeurtenissen genereren geen wijzigingen in de database. Andere typen auditgebeurtenissen genereren wel wijzigingen in de database. Met dit vervolgkeuzemenu kunt u uw zoekopdracht beperken tot specifieke acties. De lijst toont gebeurtenissen die specifieke wijzigingen aanbrengen in de database. Wanneer u een toegangsgebeurtenis selecteert in het vervolgkeuzemenu Type die een niet-actie-gebeurtenis aanduidt, geeft u geen actie op in het vervolgkeuzemenu Actie. Met dit tekstvak kunt u het zoeken naar auditgebeurtenissen beperken tot een specifiek object. Voorbeelden van objecten zijn groepen, gebruikers en apparaten. Objecten worden aangeduid met een naam of een id-nummer. Met deze tekstvakken kunt u uw zoekopdracht beperken tot een datumbereik. De indeling is "Van dagen geleden tot dagen geleden". Het maximale datumbereik is 30 dagen. Van 90 dagen geleden tot 60 dagen geleden is bijvoorbeeld een geldig bereik, terwijl 90 dagen geleden tot 45 dagen geleden een ongeldig bereik is omdat het maximale bereik van 30 dagen wordt overschreden. 3 Klik op Weergeven. Er wordt een auditgebeurtenisrapport weergegeven dat is samengesteld volgens de door u opgegeven criteria. Opmerking Op de pagina Auditgebeurtenissen kan een foutbericht worden weergegeven en kan het zijn dat het rapport niet wordt aangemaakt, wanneer het auditing-subsysteem opnieuw wordt opgestart. Wanneer een dergelijk foutbericht over het niet aanmaken van een rapport wordt weergegeven, wacht u een paar minuten en probeert u het daarna opnieuw. 4 Klik op Details weergeven voor meer informatie over die auditgebeurtenis. 122 VMware, Inc.

123 Aangepaste merkinformatie van VMware Identity Manager-services 12 U kunt de logo's, lettertypen en de achtergrond aanpassen die worden weergegeven in de beheerconsole, de aanmeldschermen voor gebruikers en beheerders, de webweergave van de Workspace ONE-app-portal en de webweergave van de Workspace ONE-app op mobiele apparaten. U kunt het hulpprogramma voor aanpassing gebruiken om het uiterlijk en de uitstraling van uw bedrijfskleuren, -logo's en -ontwerp af te stemmen. Het tabblad browseradres en de aanmeldingspagina's worden aangepast via de pagina's Identiteits- en toegangsbeheer > Installatie > Aangepaste merkinformatie. Voeg een logo toe en pas de webportal voor gebruikers voor weergave op mobiele apparaten en tablets aan via de pagina's Catalogus > Instellingen > Merkvermelding in gebruikersportal. Dit hoofdstuk omvat de volgende onderwerpen: Aangepaste merkinformatie in VMware Identity Manager, op pagina 123 Aangepaste merkinformatie voor het gebruikersportal, op pagina 125 Merkvermelding voor de applicatie VMware Verify aanpassen, op pagina 126 Aangepaste merkinformatie in VMware Identity Manager U kunt uw bedrijfsnaam, productnaam en favicon toevoegen aan de adresbalk voor de beheerconsole en de gebruikersportal. U kunt ook de aanmeldingspagina aanpassen om achtergrondkleuren in te stellen die overeenkomen met de kleuren en het logo-ontwerp van uw bedrijf. Ga in de beheerconsole naar Catalogus > Instellingen > Merkvermelding in gebruikersportal om uw bedrijfslogo toe te voegen. 1 Selecteer Installatie > Aangepaste merkinformatie op het tabblad Identiteits- en toegangsbeheer van de beheerconsole. 2 Bewerk de volgende instellingen op het formulier naar wens. Opmerking Wanneer een instelling niet in de tabel wordt weergegeven, wordt die instelling niet gebruikt en kan deze niet worden aangepast. VMware, Inc. 123

124 Formulierveld Beschrijving Namen en logo's Bedrijfsnaam Productnaam Favicon De optie Bedrijfsnaam kan worden gebruikt voor desktops en voor mobiele apparaten. U kunt uw bedrijfsnaam toevoegen zodat deze als titel wordt weergegeven op het tabblad van de browser. Voer een nieuwe bedrijfsnaam in over de bestaande bedrijfsnaam om de naam te wijzigen. De optie Productnaam kan worden gebruikt voor desktops en voor mobiele apparaten. De productnaam wordt na de bedrijfsnaam weergegeven op het tabblad van de browser. Voer een productnaam in over de bestaande productnaam om de naam te wijzigen. Een favicon is een pictogram dat bij een URL hoort die wordt weergegeven in de adresbalk van de browser. De afbeelding van de favicon mag maximaal 16 x 16 px groot zijn. De indeling kan JPEG, PNG, GIF of ICO zijn. Klik op Uploaden om een nieuwe afbeelding te uploaden om de huidige favicon te vervangen. U wordt verzocht om de wijziging te bevestigen. De wijziging wordt direct doorgevoerd. Aanmeldscherm Logo Achtergrondkleur Achtergrondkleur vakje Achtergrondkleur aanmeldingsknop Tekstkleur aanmeldingsknop Klik op Uploaden om een nieuw logo te uploaden om het huidige logo op de aanmeldschermen te vervangen. De wijziging wordt direct doorgevoerd wanneer u op Bevestigen klikt. Het aanbevolen minimale formaat van de afbeelding is 350 x 100 px. Wanneer u afbeeldingen uploadt die groter zijn dan 350 x 100 px, wordt de afbeelding aangepast zodat de grootte 350 x 100 px is. De indeling kan JPEG, PNG of GIF zijn. De kleur die wordt weergegeven voor de achtergrond van het aanmeldscherm. Voer de hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode om achtergrondkleur te wijzigen. De vakkleur van het aanmeldscherm kan worden aangepast. Voer de hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode. De kleur van de aanmeldingsknop kan worden aangepast. Voer de hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode. De kleur van de tekst die op de aanmeldingsknop wordt weergegeven kan worden aangepast. Voer de hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode. Wanneer u het aanmeldscherm aanpast, kunt u via het voorbeeldvenster eerst uw wijzigingen bekijken voordat u deze opslaat. 3 Klik op Opslaan. Wanneer u op Opslaan klikt, worden updates van aangepaste merkinformatie in de beheerconsole en op aanmeldingspagina's binnen vijf minuten doorgevoerd. Wat nu te doen Controleer hoe de gewijzigde merkvermelding wordt weergegeven in de verschillende interfaces. Werk de weergave bij van de Workspace ONE-portal voor de eindgebruiker en de weergave op mobiele apparaten en tablets. Zie Aangepaste merkinformatie voor het gebruikersportal, op pagina VMware, Inc.

125 Hoofdstuk 12 Aangepaste merkinformatie van VMware Identity Manager-services Aangepaste merkinformatie voor het gebruikersportal U kunt een logo toevoegen, de achtergrondkleuren wijzigen en afbeeldingen toevoegen om de Workspace ONE-portal aan te passen. 1 Selecteer Instellingen > Merkvermelding in gebruikersportal op het tabblad Catalogi in de VMware Identity Manager-beheerconsole. 2 Bewerk de instellingen op het formulier naar wens. Formulieritem Logo Beschrijving Voeg een impressumlogo toe dat als banner gaat dienen aan de bovenzijde van de beheerconsole en op de webpagina's van de Workspace ONE-portal. De afbeelding mag maximaal 220 x 40 px groot zijn. De indeling kan JPEG, PNG of GIF zijn. Portal Achtergrondkleur voor impressum Tekstkleur voor impressum Achtergrondkleur Kleur van naam en pictogram Lettereffect Afbeelding (optioneel) Voer een hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode om de achtergrondkleur van het impressum te wijzigen. De achtergrondkleur in het voorbeeldscherm van de app-portal wijzigt wanneer u een nieuwe kleurcode invoert. Voer een hexadecimale kleurcode van zes cijfers in over de bestaande kleurcode om de tekstkleur in het impressum te wijzigen. De kleur die wordt weergegeven voor de achtergrond van het scherm Webportal. Voer een nieuwe hexadecimale kleurcode van zes cijfers in om de bestaande achtergrondkleur te wijzigen in de nieuwe achtergrondkleur. De achtergrondkleur in het voorbeeldscherm van de app-portal wijzigt wanneer u een nieuwe kleurcode invoert. Selecteer Achtergrondmarkering om de achtergrondkleur te accentueren. Wanneer deze optie is ingeschakeld, geven browsers die meerdere achtergrondafbeeldingen ondersteunen, de overlay weer in de start- en cataloguspagina's. Selecteer Achtergrondpatroon om het kant-en-klare driehoekpatroon in de achtergrondkleur in te stellen. U kunt de tekstkleur selecteren voor namen die worden weergegeven onder de pictogrammen op de app-portalpagina's. Voer een hexadecimale kleurcode in over de bestaande kleurcode om de kleur van de lettertypen te wijzigen. Selecteer het lettertype dat moet worden gebruikt voor de tekst op de schermen van de Workspace ONE-portal. Upload een afbeelding om deze toe te voegen aan de achtergrond van het appportalscherm in plaats van een kleur. 3 Klik op Opslaan. Updates van aangepaste merkinformatie voor de gebruikersportal worden iedere 24 uur vernieuwd. Om de wijzigingen eerder door te voeren, kunt u als de beheerder een nieuw tabblad openen en deze URL invoeren, waarbij u uw domeinnaam vervangt door myco.example.com. Wat nu te doen Controleer hoe de gewijzigde merkvermelding wordt weergegeven in de verschillende interfaces. VMware, Inc. 125

126 Merkvermelding voor de applicatie VMware Verify aanpassen Wanneer u VMware Verify voor tweestapsverificatie heeft ingeschakeld, kunt u op de aanmeldpagina uw bedrijfslogo laten weergeven. Vereisten VMware Verify ingeschakeld. 1 Selecteer Instellingen > Merkvermelding in gebruikersportal op het tabblad Catalogi in de VMware Identity Manager-beheerconsole. 2 Bewerk het gedeelte VMware Verify. Formulieritem Pictogram Logo Beschrijving Upload het bedrijfslogo dat wordt weergegeven op de goedkeuringsverzoekpagina's. Het formaat van de afbeelding is 540 x 170 px., PNG-bestandsindeling en 128 kb of kleiner. Upload een pictogram dat wordt weergegeven op het apparaat wanneer VMware Verify wordt gestart. Het formaat van de afbeelding is 81 x 81 px., PNG-bestandsindeling en 128 kb of kleiner. 3 Klik op Opslaan. 126 VMware, Inc.

127 AirWatch met VMware Identity Manager integreren 13 AirWatch biedt Enterprise Mobility Management voor apparaten en VMware Identity Manager biedt Single Sign-On en identiteitsbeheer voor gebruikers. Wanneer AirWatch en VMware Identity Manager zijn geïntegreerd, kunnen gebruikers waarvan apparaten zijn geregistreerd in AirWatch, zich veilig aanmelden bij hun ingeschakelde apps zonder meerdere wachtwoorden in te vullen. Wanneer AirWatch is geïntegreerd met VMware Identity Manager kunt u de volgende integraties configureren met AirWatch. Een AirWatch-directory die AirWatch-gebruikers en -groepen synchroniseert met een directory in de VMware Identity Manager-service en vervolgens een wachtwoordverificatie instellen via de AirWatch Cloud Connector. Single Sign-On op een uniforme catalogus met apps waarvoor rechten zijn verleend en die door AirWatch en door VMware Identity Manager worden beheerd. Single Sign-On met Kerberos-verificatie op ios 9-apparaten. Toegangsbeleidsregels om te controleren of door AirWatch beheerde ios 9-apparaten voldoen aan de compliance. Dit hoofdstuk omvat de volgende onderwerpen: AirWatch instellen voor integratie met VMware Identity Manager, op pagina 127 AirWatch-instantie instellen in VMware Identity Manager, op pagina 131 Uniforme catalogus voor AirWatch inschakelen, op pagina 133 Verificatie implementeren met AirWatch Cloud Connector, op pagina 133 Mobiele Single Sign-in-verificatie implementeren voor door AirWatch beheerde ios-apparaten, op pagina 135 Mobiele Single Sign-On-verificatie implementeren voor Android-apparaten, op pagina 143 Compliancecontrole inschakelen voor door AirWatch beheerde apparaten, op pagina 149 AirWatch instellen voor integratie met VMware Identity Manager U configureert instellingen in de AirWatch-beheerconsole om te communiceren met VMware Identity Manager voordat u AirWatch-instellingen in de VMware Identity Manager-beheerconsole configureert. Als u AirWatch en VMware Identity Manager integreert, is het volgende vereist. De organisatiegroep in AirWatch waarvoor u VMware Identity Manager configureert is Klant. VMware, Inc. 127

128 Er worden een REST API-beheerderssleutel voor communicatie met de VMware Identity Managerservice en een API-sleutel voor via REST ingeschreven gebruikers voor AirWatch Cloud Connectorwachtwoordverificatie gemaakt in dezelfde organisatiegroep waarin VMware Identity Manager is geconfigureerd. De instellingen voor het API-beheerdersaccount en het verificatiecertificaat voor de beheerder worden via AirWatch toegevoegd aan de AirWatch-instellingen in de VMware Identity Manager-beheerconsole. Er worden Active Directory-gebruikersaccounts ingesteld in dezelfde organisatiegroep waarin VMware Identity Manager is geconfigureerd. Als eindgebruikers in een onderliggende organisatiegroep worden geplaatst van waaruit VMware Identity Manager na registratie en inschrijving wordt geconfigureerd, moet u toewijzing van gebruikersgroepen in de AirWatch-inschrijvingsconfiguratie gebruiken om gebruikers en hun respectieve apparaten te filteren naar de van applicatie zijnde organisatiegroep. Het volgende wordt ingesteld in de AirWatch-beheerconsole. API-sleutel voor REST-beheerder voor communicatie met de VMware Identity Manager-service API-beheerdersaccount voor VMware Identity Manager en het verificatiecertificaat van de beheerder dat uit AirWatch wordt geëxporteerd en wordt toegevoegd aan de AirWatch-instellingen in VMware Identity Manager API-sleutel voor via REST ingeschreven gebruikers die is gebruikt voor AirWatch Cloud Connectorwachtwoordverificatie REST API-sleutels maken in AirWatch API-toegang tot REST-beheer en toegang van geregistreerde gebruikers moeten zijn ingeschakeld in de AirWatch-beheerconsole om VMware Identity Manager te integreren met AirWatch. Wanneer u APItoegang inschakelt, wordt een API-sleutel gegenereerd. 1 Selecteer in de AirWatch-beheerconsole de organisatiegroep via Algemeen >Klantniveau en navigeer naar Groepen en instellingen > Alle instellingen > Systeem > Geavanceerd > API > Rest API. 2 Klik op het tabblad Algemeen op Toevoegen om de API-sleutel te genereren die moet worden gebruikt in de VMware Identity Manager-service. Het accounttype moet Beheerder zijn. Geef een unieke servicenaam op. Voeg een omschrijving toe, zoals AirWatchAPI voor IDM. 3 Klik opnieuw op Toevoegen om de API-sleutel voor de geregistreerde gebruiker te genereren. 4 Selecteer Aanmelding gebruiker in het vervolgkeuzemenu Accounttype. Geef een unieke servicenaam op. Voeg een omschrijving toe, zoals GebruikerAPI voor IDM. 128 VMware, Inc.

129 Hoofdstuk 13 AirWatch met VMware Identity Manager integreren 5 Kopieer de twee API-sleutels en sla de sleutels op in een bestand. U kunt deze sleutels toevoegen wanneer u AirWatch instelt in de VMware Identity Managerbeheerconsole. 6 Klik op Opslaan. Beheerdersaccount en certificaat maken in AirWatch Wanneer de beheer-api-sleutel is gemaakt, voegt u het beheerdersaccount toe en stelt u certificaatverificatie in de AirWatch-beheerconsole in. Voor verificatie op basis van een REST API-certificaat, wordt een certificaat op gebruikersniveau gegenereerd via de AirWatch-beheerconsole. Het gebruikte certificaat is een automatisch ondertekend AirWatch-certificaat dat via het AirWatch-beheerbroncertificaat is gegenereerd. Vereisten De AirWatch REST-beheer-API-sleutel wordt gemaakt. 1 Selecteer in de AirWatch-beheerconsole de organisatiegroep via Algemeen > Klantniveau en navigeer naar Accounts > Beheerders > Lijstweergave. 2 Klik op Toevoegen > Beheerder toevoegen. VMware, Inc. 129

130 3 Voer op het tabblad Basis de gebruikersnaam en het wachtwoord van de certificaatbeheerder in de vereiste tekstvakken in. 4 Selecteer het tabblad Rollen en kies de huidige organisatiegroep, klik op het tweede tekstvak en selecteer AirWatch-beheerder. 5 Selecteer het tabblad API en selecteer Certificaten in het tekstvak Verificatie. 6 Voer het certificaatwachtwoord in. Het wachtwoord is hetzelfde wachtwoord dat voor de beheerder op het tabblad Basic is ingevoerd. 7 Klik op Opslaan. Het nieuwe beheerdersaccount en het clientcertificaat worden aangemaakt. 8 Op de pagina Lijstweergave selecteert u de beheerder die u heeft gemaakt en opent u opnieuw het tabblad API. De certificatenpagina toont informatie over het certificaat. 130 VMware, Inc.

131 Hoofdstuk 13 AirWatch met VMware Identity Manager integreren 9 Voer het wachtwoord in dat u heeft ingesteld in het tekstvak Certificaatwachtwoord, klik op Clientcertificaat exporteren en sla het bestand op. Het clientcertificaat wordt als een.p12-bestandstype opgeslagen. Wat nu te doen Configureer uw URL-instellingen van AirWatch in de VMware Identity Manager-beheerconsole. AirWatch-instantie instellen in VMware Identity Manager Nadat u de instellingen hebt geconfigureerd in de AirWatch-beheerconsole, voert u op de pagina Identiteitsen toegangsbeheer van de VMware Identity Manager-beheerconsole de AirWatch-URL, de APIsleutelwaarden en het certificaat in. Wanneer de AirWatch-instellingen zijn geconfigureerd, kunt u functieopties beschikbaar met AirWatch-integratie instellen. AirWatch-instellingen toevoegen aan VMware Identity Manager Configureer AirWatch-instellingen in VMware Identity Manager om AirWatch te integreren met VMware Identity Manager en de integratieopties van de AirWatch-functie in te schakelen. De API-sleutel en het certificaat van AirWatch worden toegevoegd voor VMware Identity Manager-verificatie met AirWatch. Vereisten AirWatch-server-URL die de beheerder gebruikt om zich aan te melden op de AirWatch-beheerconsole. API-sleutel voor AirWatch-beheer die wordt gebruikt om API-verzoeken van VMware Identity Manager in te dienen bij de AirWatch-server om integratie in te stellen. AirWatch-certificaatbestand dat wordt gebruikt om API-oproepen te doen en het certificaatwachtwoord te maken. Het certificaatbestand moet de bestandsindeling.p12 hebben. API-sleutel van in AirWatch ingeschreven gebruiker. AirWatch-groeps-id voor uw tenant die de tenant-id in AirWatch is. 1 Klik in de VMware Identity Manager-beheerconsole op het tabblad Identiteits- en toegangsbeheer, op Instellen > AirWatch. VMware, Inc. 131

132 2 Voer de AirWatch-integratie-instellingen in de volgende velden in. Veld AirWatch API-URL AirWatch API-certificaat Certificaatwachtwoord API-sleutel van AirWatch-beheer API-sleutel van in AirWatch ingeschreven gebruiker Groeps-id AirWatch. Beschrijving Voer de AirWatch-URL in. Bijvoorbeeld: Upload het certificaatbestand dat wordt gebruikt om API-oproepen te doen. Voer het certificaatwachtwoord in. Voer de beheer-api-sleutelwaarde in. Voorbeeld van een APIsleutelwaarde FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs= Voer de API-sleutelwaarde in van de ingeschreven gebruiker. Voer de groeps-id van AirWatch in voor de organisatiegroep waarin de API-sleutel en het beheeraccount zijn aangemaakt. 3 Klik op Opslaan. Wat nu te doen Schakel Uniforme catalogus in om de applicatiesconfiguratie in de AirWatch-catalogus samen te voegen met de uniforme catalogus. Schakel Compliancecontrole in om te controleren of door AirWatch beheerde apparaten voldoen aan het compliancebeleid van AirWatch. Zie Compliancecontrole inschakelen voor door AirWatch beheerde apparaten, op pagina VMware, Inc.

133 Hoofdstuk 13 AirWatch met VMware Identity Manager integreren Uniforme catalogus voor AirWatch inschakelen Wanneer u VMware Identity Manager met uw AirWatch-instantie configureert, kunt u de uniforme catalogus inschakelen zodat eindgebruikers alle apps waarvoor zij rechten hebben kunnen zien via zowel VMware Identity Manager als AirWatch. Wanneer AirWatch niet met de uniforme catalogus is geïntegreerd, kunnen eindgebruikers alleen de apps waarvoor zij rechten hebben zien via de VMware Identity Manager-service. Vereisten AirWatch is geconfigureerd in VMware Identity Manager. 1 Klik in de beheerconsole, in tabblad Identiteits- en toegangsbeheer op Installatie > AirWatch. 2 Selecteer Inschakelen in het gedeelte Uniforme catalogus op deze pagina. 3 Klik op Opslaan. Wat nu te doen Informeer eindgebruikers van AirWatch over hoe zij toegang kunnen krijgen tot de uniforme catalogus en hoe zij hun Workspace ONE-portal via VMware Identity Manager kunnen bekijken. Verificatie implementeren met AirWatch Cloud Connector Om verificatie met een gebruikerswachtwoord te gebruiken, kunt u uw AirWatch Cloud Connector integreren met de VMware Identity Manager-service. U kunt de VMware Identity Manager-service configureren om gebruikers van de AirWatch-directory te synchroniseren in plaats van dat u een VMware Identity Manager connector implementeert. Om AirWatch Cloud Connector-verificatie te implementeren, schakelt u AirWatch Cloud Connectorwachtwoordverificatie in op de pagina van de ingebouwde identiteitsprovider in de VMware Identity Manager-beheerconsole. Opmerking Voor verificatie met VMware Identity Manager moet de AirWatch Cloud Connector zijn geconfigureerd op AirWatch versie 8.3 en later. Verificatie via een gebruikersnaam en een wachtwoord zijn geïntegreerd in de implementatie van de AirWatch Cloud Connector. De VMware Identity Manager Connector moet worden geconfigureerd om gebruikers te verifiëren van andere door VMware Identity Manager ondersteunde verificatiemethoden. Toewijzing van gebruikerskenmerken beheren U kunt de toewijzing van gebruikerskenmerken configureren tussen de AirWatch-directory en de VMware Identity Manager-directory. De pagina Gebruikerskenmerken in de beheerconsole van VMware Identity Manager, Identiteits-en toegangsbeheer > Installatie > Gebruikerskenmerken geeft een overzicht weer van de standaard directorykenmerken die kunnen worden toegewezen aan AirWatch-directorykenmerken. Kenmerken die zijn vereist, zijn gemarkeerd met een asterisk. Gebruikers bij wie een vereist kenmerk in het profiel ontbreekt, worden niet met de VMware Identity Manager-service gesynchroniseerd. VMware, Inc. 133

134 Tabel Standaardtoewijzing van AirWatch-directorykenmerken Gebruikerskenmerknaam van de VMware Identity Manager userprincipalname distinguishedname employeeid domain disabled (externe gebruiker uitgeschakeld) phone lastname firstname username Standaardtoewijzing aan AirWatch-gebruikerskenmerk userprincipalname distinguishedname employeeid Domein uitgeschakeld telephonenumber achternaam* voornaam* * gebruikersnaam* Gebruikers en groepen van AirWatch-directory synchroniseren met VMware Identity-directory U configureert de instellingen voor VMware Identity Manager in de AirWatch-beheerconsole om een verbinding tussen uw organisatiegroepinstantie van de AirWatch-directory en de VMware Identity Manager tot stand te brengen. Deze verbinding wordt gebruikt om gebruikers en groepen te synchroniseren met een directory in de VMware Identity Manager-service. De VMware Identity Manager-directory kan worden gebruikt met de AirWatch Cloud Connector voor wachtwoordverificatie. Gebruikers en groepen kunnen aanvankelijk handmatig worden gesynchroniseerd met de VMware Identity Manager-directory. De AirWatch-synchronisatieplanning bepaalt wanneer gebruikers en groepen worden gesynchroniseerd met de VMware Identity Manager-directory. Wanneer een gebruiker of een groep wordt toegevoegd aan of verwijderd van de AirWatch-server, wordt de wijziging meteen weergegeven in de VMware Identity Manager-service. Vereisten Lokale beheerdersnaam en wachtwoord van VMware Identity Manager. Identificeer kenmerkwaarden om toe te wijzen vanuit de AirWatch-directory. Zie Toewijzing van gebruikerskenmerken beheren, op pagina Ga naar de pagina Alle instellingen onder Groepen en instellingen in de AirWatch-beheerconsole, selecteer Algemeen > Organisatiegroep op klantniveau en navigeer naar Systeem > Bedrijfsintegratie >VMware Identity Manager. 2 Klik in het servergedeelte op Configureer. Opmerking De configuratieknop is alleen beschikbaar wanneer de directoryservice ook is geconfigureerd voor dezelfde organisatiegroep. Als de knop Configureren niet zichtbaar is, bevindt u zich niet in de juiste organisatiegroep. U kunt de organisatiegroep wijzigen in vervolgkeuzemenu Algemeen. 134 VMware, Inc.

135 Hoofdstuk 13 AirWatch met VMware Identity Manager integreren 3 Voer de VMware Identity Manager-instellingen in. Optie URL Gebruikersnaam beheerder Wachtwoord beheerder Beschrijving Voer de VMware-URL van uw tenant in. Bijvoorbeeld, Voer de naam van de beheerdersgebruiker van VMware Identity Manager in. Voer het wachtwoord van de beheerdersgebruiker van VMware Identity Manager in. 4 Klik op Volgende. 5 Schakel aangepaste toewijzing in om de toewijzing van gebruikerskenmerken van AirWatch te configureren voor de VMware Identity Manager-service. 6 Klik op Verbinding testen om te verifiëren of de instellingen goed zijn. 7 Klik op Nu synchroniseren om alle gebruikers en groepen handmatig met de VMware Identity Manager-service te synchroniseren. Opmerking Als u de systeembelasting wilt bedienen, kunt u handmatige synchronisatie uitsluitend vier uur na een eerdere synchronisatie uitvoeren. U kunt een AirWatch-directory maken in de VMware Identity Manager-service en de gebruikers en groepen synchroniseren met een directory in VMware Identity Manager. Wat nu te doen Raadpleeg het tabblad Gebruikers en groepen in de VMware Identity Manager-beheerconsole om te controleren of de gebruikers- en groepsnamen zijn gesynchroniseerd. VMware Identity Manager bijwerken nadat AirWatch is bijgewerkt Wanneer u AirWatch bijwerkt naar een nieuwe versie, moet u de configuratieopties Uniforme catalogus en Gebruikerswachtwoordverificatie via AirWatch bijwerken in de VMware Identity Manager-service. Wanneer u deze optie opslaat nadat u AirWatch hebt bijgewerkt, worden de AirWatch-instellingen in de VMware Identity Manager-service bijgewerkt met de nieuwe versie van AirWatch. 1 Meld u aan op de beheerconsole van VMware Identity Manager nadat u AirWatch hebt bijgewerkt. 2 Klik op het tabblad Identiteits- en toegangsbeheer op Installatie > AirWatch. 3 Blader op de pagina omlaag naar het gedeelte Uniforme catalogus en klik op Opslaan. 4 Blader op de pagina omlaag naar het gedeelte Gebruikerswachtwoordverificatie via AirWatch en klik op Opslaan. De AirWatch-configuratie wordt bijgewerkt met de nieuwe versie in de VMware Identity Manager-service. Mobiele Single Sign-in-verificatie implementeren voor door AirWatch beheerde ios-apparaten Voor ios-apparaatverificatie gebruikt VMware Identity Manager een identiteitsprovider die is ingebouwd in de identiteitsproviderservice om toegang te bieden tot Mobiele SSO-verificatie. Deze verificatiemethode gebruikt een Key Distribution Center (KDC) zonder een connector of een onafhankelijk systeem te gebruiken. Voordat u Kerberos inschakelt in de beheerconsole moet u de KDC-service initialiseren in de ingebouwde identiteitsprovider van de VMware Identity Manager. VMware, Inc. 135

136 Om de Mobiele SSO-verificatie te implementeren voor door AirWatch beheerde ios 9-apparaten, moeten de volgende configuratiestappen worden uitgevoerd. Opmerking Mobiele SSO-verificatie wordt ondersteund op ios-apparaten met ios 9 of later. Initialiseer het Key Distribution Center (KDC) in het VMware Identity Manager-apparaat. Zie het hoofdstuk Voorbereidingen om Kerberos-verificatie te gebruiken op ios-apparaten in de Installatiegids. Wanneer u Active Directorycertificaatservices gebruikt, configureert u een certificaatautoriteitsjabloon voor de distributie van het Kerberos-certificaat in de Active Directorycertificaatservices. Vervolgens configureert u AirWatch om de Active Directorycertificaatautoriteit te gebruiken. Voeg het certificaatsjabloon toe in de AirWatch-beheerconsole. Download het uitgevercertificaat om Mobiele SSO voor ios te configureren. Wanneer u AirWatch-certificaatautoriteit gebruikt, schakelt u Certificaten op de pagina VMware Identity Manager Integraties in. Download het uitgevercertificaat om Mobiele SSO voor ios te configureren. Configureer de ingebouwde identiteitsprovider en configureer Mobiele SSO voor ios-verificatie in de VMware Identity Manager-beheerconsole en schakel deze in. Configureer het ios-apparaatprofiel en schakel Single Sign-in via de AirWatch-beheerconsole in. Active Directory-certificaatautoriteit configureren in AirWatch Om Single Sign-On-verificatie op door AirWatch beheerde ios 9-mobiele apparaten in te stellen, kunt u een vertrouwensrelatie instellen tussen de Active Directory en AirWatch, en de mobiele SSO voor iosverificatiemethode in VMware Identity Manager inschakelen. Wanneer u de certificaatautoriteit en het certificaatsjabloon voor de certificaatdistributie van Kerberos hebt geconfigureerd in de Active Directory-certificaatservices, schakelt u AirWatch in om het voor certificatie gebruikte certificaat aan te vragen en voegt u de certificaatautoriteit toe aan de beheerconsole van AirWatch. 1 Navigeer in het hoofdmenu van de beheerconsole van AirWatch naar Apparaten > Certificaten > Certificaatautoriteiten. 2 Klik op Toevoegen. 3 Configureer het volgende op de pagina Certificaatautoriteit. Opmerking Controleer of Microsoft AD CS is geselecteerd als het Autoriteittype voordat u begint met het voltooien van dit formulier. Optie Naam Autoriteittype Protocol Hostnaam van de server Autoriteitnaam Beschrijving Voer een naam in voor de nieuwe Certificaatautoriteit. Controleer of Microsoft ADCS is geselecteerd. Selecteer ADCS als het protocol. Voer de URL van de server in. Voer de hostnaam in met de notatie De site kan http of https zijn, afhankelijk van hoe de site is ingesteld. De URL moet aan het einde een / bevatten. Opmerking Als de verbinding mislukt wanneer u de URL test, verwijdert u of uit het adres en test u de verbinding opnieuw. Voer de naam van de certificaatautoriteit in waarmee het ADCS-eindpunt mee is verbonden. Deze naam kunt u vinden door de applicatie Certificatieautoriteit op de certificaatautoriteitserver te starten. 136 VMware, Inc.

137 Hoofdstuk 13 AirWatch met VMware Identity Manager integreren Optie Verificatie Gebruikersnaam en wachtwoord Beschrijving Controleer of Serviceaccount is geselecteerd. Voer de gebruikersnaam en het wachtwoord van het beheeraccount van AD CS in en zorg dat AirWatch toegang heeft om certificaten aan te vragen en uit te geven. 4 Klik op Opslaan. Wat nu te doen Configureer het certificaatsjabloon in AirWatch. AirWatch configureren om de Active Directory-certificaatautoriteit te gebruiken U moet uw certificaatautoriteitssjabloon goed configureren voor distributie van Kerberos-certificaten. In de Active Directory-certificaatservices (AD CS) kunt u het bestaande Kerberos-verificatiesjabloon dupliceren om een nieuw certificaatautoriteitssjabloon te configureren voor de ios Kerberos-verificatie. Wanneer u het Kerberos-verificatiesjabloon via de AD CS dupliceert, moet u de volgende informatie configureren in het dialoogvenster Eigenschappen van nieuw sjabloon. Figuur Dialoogvenster Eigenschappen van nieuw sjabloon voor Active Directory-certificaatsservices Tabblad Algemeen. Voer de weergavenaam van het sjabloon en de sjabloonnaam in. Bijvoorbeeld: ioskerberos. Dit is de weergavenaam die wordt weergegeven in de snap-ins Certificaatsjablonen, Certificaten en Certificaatautoriteit. Tabblad Onderwerpnaam. Selecteer het keuzerondje Levering in de aanvraag. De onderwerpnaam wordt geleverd door AirWatch wanneer AirWatch het certificaat aanvraagt. Tabblad Extensies. Definieer de applicatiesbeleidsregels. Selecteer Beleidsregels voor applicaties en klik op Bewerken om een nieuw applicatiesbeleid toe te voegen. Geef dit beleid de naam Kerberos-clientverificatie. Voeg het object-id (OID) als volgt toe: Wijzig dit id niet. Verwijder in de lijst Beschrijving van beleidsregels voor applicatie alle beleidsregels die worden genoemd, met uitzondering van het Kerberos-clientverificatiebeleid en het SmartCardverificatiebeleid. Tabblad Beveiliging. Voeg het AirWatch-account toe aan de lijst met gebruikers die het certificaat mogen gebruiken. Stel de machtigingen in voor het account. Stel Volledige controle zo in dat de beveiligingsprincipal alle kenmerken van een certificaatsjabloon kan aanpassen, inclusief de machtigingen voor het certificaatsjabloon. Stel de machtigingen anders in volgens de vereisten van uw organisatie. Sla de wijzigingen op. Voeg het sjabloon toe aan de lijst met sjablonen die door de Active Directorycertificaatautoriteit worden gebruikt. Configureer in AirWatch de certificaatautoriteit en voeg het certificaatsjabloon toe. VMware, Inc. 137