Handleiding Beheer VMware Identity Manager (Cloud) SEPT 2018 VMware Identity Manager

Vergelijkbare documenten
Beheer VMware Identity Manager. Mei 2018 VMware Identity Manager 3.2

Beheer VMware Identity Manager. APRIL 2019 VMware Identity Manager 19.03

Beheer VMware Identity Manager. December 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

Beheer VMware Identity Manager. VMware Identity Manager 2.9.1

VMware Identity Manager Desktop gebruiken. VMware Identity Manager 2.8 VMware Identity Manager 2.9.1

Beheer VMware Identity Manager. VMware Identity Manager 2.8

Bronnen instellen in VMware Identity Manager 3.1 (op locatie) December 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

Bronnen instellen in VMware Identity Manager (cloud) september 2018 VMware Identity Manager

VMware Workspace ONE integreren met Okta. April 2019 VMware Workspace ONE

Bronnen instellen in VMware Identity Manager 3.2 (op locatie) Aangepast in mei 2018 VMware Identity Manager 3.2

Handleiding voor het implementeren van VMware Workspace ONE met VMware Identity Manager. SEPT 2018 VMware Workspace ONE

VMware Identity Manager Desktop Client gebruiken. September 2017 VMware Identity Manager 3.0 VMware AirWatch 9.2

Handleiding voor het implementeren van VMware Workspace ONE. September 2017 VMware AirWatch 9.2 VMware Identity Manager 3.0

Snelstartgids voor VMware Workspace ONE. September 2017 VMware AirWatch 9.2 VMware Identity Manager 3.0

VMware Identity Manager voor Windows migreren naar Mei 2018 VMware Identity Manager 3.2

VMware Identity Managercloudimplementatie. september 2018 VMware Identity Manager

Bronnen instellen in VMware Identity Manager. VMware Identity Manager 2.9.1

VMware Workspace ONE Intelligent Hub uitrollen. APRIL 2019 VMware Workspace ONE

Bronnen instellen in VMware Identity Manager. Gewijzigd op 3 november 2017 VMware Identity Manager 2.9.1

VMware Identity Manager implementeren in de DMZ. VMware Identity Manager VMware Identity Manager 2.8

VMware Identity Manager implementeren in de DMZ. september 2018 VMware Identity Manager 3.3

Upgraden naar VMware Identity Manager 3.3 (Windows) SEPT 2018 VMware Identity Manager 3.3

Snelstartgids voor VMware Workspace ONE. Vernieuwd in mei 2018 VMware Workspace ONE VMware Identity Manager 3.2 VMware AirWatch 9.

VMware Identity Manager Connector (Windows) installeren. OKTOBER 2018 VMware Identity Manager VMware Identity Manager 3.

Snel aan de slag met Novell Vibe Mobile

VMware Identity Manager Connector upgraden. VMware Identity Manager 2.8 VMware Identity Manager 2.9.1

Novell Vibe-invoegtoepassing

Novell Vibe 4.0. Maart Snel aan de slag. Novell Vibe starten. Kennismaken met de interface en functies van Novell Vibe

Beheerportal Version 7.8

Applicatiebeheer voor Windows. VMware Workspace ONE UEM 1907

VMware Remote Console voor vrealize Automation

Handleiding voor gebruikers

Altijd en overal toegang tot en documenten. MijnOffice365 Beheerdershandleiding

Installatiehandleiding Office 365 Exchange Online. Microsoft Outlook 2007, 2010, 2013, Mac OS X Mail, Android, ios, BlackBerry

bizhub Evolution SECURITY CUBE bizhub Evolution Installatiehandleiding Versie: 1.0

Snel aan de slag met Cisco Unity Connection Postvak IN Web (versie 9.x)

Single Sign-On in ZIVVER met Microsoft Azure AD

Adobe -volumelicenties

Cloudplatform. Versie 1.0. Gebruikershandleiding

Handleiding: Telewerken op Windows

VMware Identity Manager Connector upgraden. Gewijzigd op 12 oktober 2017 VMware Identity Manager 2.9.2

Inhoudsopgave web2work Pagina 1 van 16

Gebruikers en groepen configureren

Introductie Werken met Office 365

Qlik Sense Cloud. Qlik Sense Copyright QlikTech International AB. Alle rechten voorbehouden.

AN0034-NL. Hoe voeg ik een camera toe aan Paxton10. Overzicht

Novell Messenger Mobiel Snel aan de slag

MijnOffice365 Beheerdershandleiding.

GroupWise Messenger 18 Mobiel Snel aan de slag

Gebruikershandleiding

Upgraden naar VMware Identity Manager Connector (Linux) Mei 2018 VMware Identity Manager 3.2 VMware Identity Manager

cbox UW BESTANDEN GAAN MOBIEL! VOOR ANDROID-SMARTPHONES EN -TABLETS GEBRUIKERSHANDLEIDING

VMware Remote Console voor vrealize Automation

Office 365 gebruiken op uw iphone of ipad

Deze MobiDM handleiding bekijkt de mogelijkheden voor de partner binnen de MobiDM Portal.

Externe toegang met ESET Secure Authentication. Daxis Versie 2.0

How To Do Gebruikersbeheer remote service portaal mbconnect24

cbox UW BESTANDEN GAAN MOBIEL! VOOR LAPTOPS EN DESKTOPS MET WINDOWS PRO GEBRUIKERSHANDLEIDING

Zakelijk Office 365 Aan de slag met Zakelijk Office 365

Rechten om herinneringssjablonen aan te maken, te bekijken, te wijzigen en te verwijderen

Quick start guide Office 365. Met deze handleiding maakt u Office 365 in een paar stappen klaar voor gebruik

Handleiding. Outlook Web App CLOUD. Versie: 22 oktober Toegang tot uw berichten via internet

Zakelijk Office 365 Snel aan de slag met Zakelijk Office 365 Professional Plus

Outlook Web App 2010 XS2office

Uitleg MijnKPN Grootzakelijk Aanmaken van accounts

Gebruikershandleiding MobiDM

Troubleshooting. Stap-voor-stap instructies augustus 2018

NAS 159 Time Machine Beste praktijk

Google Drive: uw bestanden openen en ordenen

PersonalSign 3 Pro. Handleiding voor het aanvragen en installeren van certificaten

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP)

Handleiding: instellen op uw persoonlijke apparaat

Spam Manager. Handboek voor quarantainebeheerders

Handleiding Office 365

Dell Command Integration Suite for System Center

Handleiding Office thuisgebruik

cbox UW BESTANDEN GAAN MOBIEL! WEBINTERFACE GEBRUIKERSHANDLEIDING

Handleiding. Opslag Online voor Windows Phone 8. Versie augustus 2014

Nero ControlCenter Handleiding

How To Do Gebruikersbeheer mbconnect24 V2

Gebruikershandleiding voor Cisco Unified Communications Self Care Portal, versie 12.0(1)

NETWERKHANDLEIDING. Afdruklogboek op netwerk opslaan. Versie 0 DUT

Start de applicatie op om naar het inlogscherm te gaan. Onthoudt mijn gegevens

ipad in beheer nemen met Mobile Iron

Handleiding apparaataanmelding

Inleiding Inloggen Generieke apps App Mijn goedkeuringen App Delegatie Self Service... 9

VIVA2.0. Opstarten. VIVA2.0 Opstart instructie

Handleiding online publiceren agenda Visual Rental Dynamics

Upgraden naar VMware Identity Manager Connector (Linux) september 2018 VMware Identity Manager 3.3 VMware Identity Manager

Met de andere QR-code opent u een Xerox-webpagina op uw mobiele apparaat, waarmee u naar mobiele Xerox-applicaties kunt zoeken.

Handleiding Gebruikersbeheer voor SuperUsers

Ga naar Heb je nog geen google account? Klik dan op: een account aanmaken (figuur 1) en volg de aanmeldprocedure.

Handleiding Ondersteuningsvraag

Micollab Mobiel handleiding

Verificatiemethoden voor gebruikers in ELMS 1.1

Office-bestanden en OneDrive

Handleiding Coligo Connect installatie en gebruik

Manager. Doro Experience. voor Doro PhoneEasy 740. Nederlands

Voer uw gegevens in en tik 'Account maken' Tik 'Akkoord' voor het accepteren van de gebruiksvoorwaarden

Transcriptie:

Handleiding Beheer VMware Identity Manager (Cloud) SEPT 2018 VMware Identity Manager

U vindt de recentste technische documentatie op de website van VMware: https://docs.vmware.com/nl/ Op de VMware-website vindt u tevens de nieuwste productupdates. Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware Nederland B.V. Key Office Papendorp 3e verdieping Orteliuslaan 850 Utrecht Nederland Tel: +31 (0) 30-2849500 Fax: +31 (0) 30-2849501 www.vmware.com/nl Copyright 2015 2018 VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc. 2

Inhoud Beheer VMware Identity Manager (cloud) 5 1 Werken in de VMware Identity Manager -console 6 Navigeren in de VMware Identity Manager-console 6 Overzicht van de instellingen voor identiteits- en toegangsbeheer 8 2 Beheerdersrollen beheren 11 Over de rollen voor toegang op basis van rollen 11 Een nieuwe beheerdersrol toevoegen 14 Gebruikers en groepen toewijzen aan een VMware Identity Manager-beheerdersrol 15 Beheerdersrollen verwijderen 16 Voorbeeld 1. Een rol voor het beheer van Office 365-toepassingen en rechten maken 18 Voorbeeld 2 Maak een rol aan om Wachtwoord opnieuw in stellen te beheren in de lokale directory 20 3 Lokale directory's gebruiken 22 Een lokale directory maken 24 Instellingen voor lokale directory wijzigen 29 Een lokale directory verwijderen 30 Verificatiemethode voor systeembeheerders configureren 31 4 Just-in-Time-gebruikers-provisioning 32 Over Just-in-Time-gebruikers-provisioning 32 Voorbereiden voor just-in-time provisioning 33 Just-in-Time-gebruikersprovisioning configureren 35 Vereisten voor SAML-bevestigingen 36 Just-in-time gebruikersprovisioning uitschakelen 37 Een Just-in-time-map verwijderen 38 Foutmeldingen 38 5 De aanmeldervaring voor gebruikers beheren 40 Een domein selecteren wanneer u zich aanmeldt 40 Aanmeldervaring met unieke ID 41 Aanmelding op basis van een unieke ID instellen 41 Gebruiksvoorwaarden vereisen voor toegang tot de Workspace ONE-catalogus 42 6 Gebruikersverificatie configureren in VMware Identity Manager 45 Kerberos configureren voor VMware Identity Manager 47 SecurID configureren voor VMware Identity Manager 51 VMware, Inc. 3

RADIUS configureren voor VMware Identity Manager 54 RSA adaptieve verificatie configureren in VMware Identity Manager 57 Een certificaat of smartcardadapter configureren voor gebruik met VMware Identity Manager 60 VMware Verify configureren voor tweeledige verificatie 65 Ingebouwde identiteitsproviders gebruiken 68 Inschakelen van het Out of Box Experience voor Workspace ONE op Dell Windows 10-toestellen 81 Extra Workspace-identiteitsproviders configureren 83 Een externe identiteitsproviderinstantie configureren voor verificatie van gebruikers 84 Verificatiemethoden beheren die op gebruikers worden toegepast 87 7 Toegangsbeleid beheren 88 Instellingen toegangsbeleid 89 Regels voor applicatie Workspace ONE toepassen op toegangsbeleid 92 Een netwerkbereik toevoegen of bewerken 93 Het Standaardtoegangsbeleid beheren 94 Een web- of desktopapplicatiespecifiek beleid toevoegen 99 Toevoegen Beleid voor weigeren van toegang 102 Aangepast foutbericht configureren voor toegang geweigerd 103 Compliancecontrole voor met Workspace ONE UEM beheerde apparaten inschakelen 104 Persistente cookie inschakelen op mobiele apparaten 106 Toegangsbeleid maken voor Workspace ONE Out-of-Box Experience-proces 107 8 Gebruikers en groepen beheren 109 Gebruikers beheren 110 Groepen beheren 112 Lokale gebruikers toevoegen 118 Wachtwoorden beheren 121 Directory synchroniseren met juiste domeininformatie 123 9 De catalogus beheren 124 Bronnen in categorieën indelen 124 Instellingen in de catalogus beheren 127 10 In het dashboard van de VMware Identity Manager -console werken 140 Gebruikers en bronverbruik controleren via het dashboard 140 Rapporten weergeven 141 11 Aangepaste merkvermelding voor services van VMware Identity Manager 144 Aangepaste merkinformatie voor de service van VMware Identity Manager 144 Aangepaste merkinformatie voor het gebruikersportal 145 Aangepaste Out-of-Box-merkvermelding voor Workspace ONE voor Windows 10 147 Merkvermelding voor de applicatie VMware Verify aanpassen 148 VMware, Inc. 4

Beheer VMware Identity Manager (cloud) De Beheergids voor VMware Identity Manager biedt informatie en instructies over het gebruiken en onderhouden van uw tenant met de VMware Identity Manager -service. De eerste taken die u vanuit uw VMware Identity Manager-console uitvoert, zijn het instellen van de synchronisatie van uw directory met uw Active Directory, het configureren van de verificatiemethoden die gebruikers toepassen om zich bij hun Workspace ONE-appsportal aan te melden, en het plaatsen van uw aangepaste merkinformatie op uw site. Na de eerste instelling is de belangrijkste taak die u uitvoert het toewijzen van rechten voor bronnen aan gebruikers. Overige taken ondersteunen deze belangrijke taak door u uitgebreidere controle te geven over welke gebruikers of groepen in aanmerking komen voor welke bronnen, en onder welke omstandigheden. De daadwerkelijke typen bronnen die u beheert, kunnen variëren afhankelijk van de behoeften van uw organisatie. Als u rechten wilt toewijzen aan een type bron, moet u eerst de voorconfiguratietaken uitvoeren zoals wordt beschreven in de handleiding Bronnen instellen. Doelgroep Deze informatie is bedoeld voor iedereen die een VMware Identity Manager-tenant wil configureren en beheren. Deze informatie is geschreven voor ervaren Windows- of Linux-systeembeheerders die bekend zijn met de technologie van virtual machines, identiteitsbeheer, Kerberos en directoryservices. Kennis van andere technologieën zoals VMware Horizon 7, Horizon Cloud, Citrix-applicatievirtualisatie en verificatiemethoden, zoals RSA SecurID, komt goed van pas wanneer u die onderdelen wilt implementeren. VMware, Inc. 5

Werken in de VMware Identity Manager - console 1 De VMware Identity Manager -console biedt u een gecentraliseerde beheerconsole waarmee u gebruikers en groepen kunt beheren, resources aan de catalogus kunt toevoegen, rechten voor resources kunt beheren in de catalogus, Workspace ONE UEM-integratie kunt configureren, en verificatie- en toegangsbeleid kunt instellen en beheren. De belangrijkste taken die u uitvoert via de VMware Identity Manager-console zijn het beheren van beleid voor gebruikersverificatie en toegangsbeleid en gebruikers rechten geven voor resources. Overige taken ondersteunen deze belangrijke taak door u uitgebreidere controle te geven over welke gebruikers of groepen in aanmerking komen voor welke bronnen, en onder welke omstandigheden. Eindgebruikers kunnen zich aanmelden bij hun VMware Workspace ONE -portal via hun desktop of hun mobiele apparaten om toegang te krijgen tot werkbronnen, waaronder desktops, browsers, gedeelde bedrijfsdocumenten en verschillende typen applicaties die u geschikt kunt maken voor hun gebruik. Dit hoofdstuk omvat de volgende onderwerpen: Navigeren in de VMware Identity Manager-console Overzicht van de instellingen voor identiteits- en toegangsbeheer Navigeren in de VMware Identity Manager-console De taken in de VMware Identity Manager-console zijn verdeeld over tabbladen. Als u over beheerdersprivileges beschikt, kunt u zich aanmelden bij de VMware Identity Manager-console van de pagina van uw Workspace ONE-portal. Als u zich rechtstreeks bij de console wilt aanmelden, kunnen beheerdergebruikers van VMware Identity Manager de volgende URL <example.com>/saas/login/0 invoeren. Het scherm voor de gebruikersnaam en het wachtwoord wordt weergegeven. VMware, Inc. 6

Tabblad Dashboard Gebruikers en groepen Catalogus Identiteits- en toegangsbeheer Functies Beschrijving U kunt het dashboard voor gebruikersbetrokkenheid gebruiken om gebruikersactiviteit en bronnen te controleren. Op dit dashboard wordt informatie weergegeven over wie zich heeft aangemeld, welke applicaties worden gebruikt en hoe vaak die applicaties worden gebruikt. U kunt rapporten maken om de activiteiten van gebruikers en groepen, bron- en apparaatgebruik en auditgebeurtenissen per gebruiker te volgen. Op het tabblad Gebruikers en groepen kunt u gebruikers en groepen beheren en controleren die u uit uw Active Directory of de LDAP-directory hebt geïmporteerd, lokale gebruikers en groepen maken en de gebruikers en groepen rechten voor bronnen verlenen. U kunt het wachtwoordbeleid voor lokale gebruikers configureren. De catalogus is een opslagplaats voor alle bronnen waarvan u de rechten aan gebruikers kunt verlenen. U kunt webapplicaties toevoegen en bestaande bronnen beheren op het tabblad Catalogus. Op de pagina Verzameling van virtuele apps kunt u Horizon-, Citrix-, Horizon Cloud- en ThinApp-desktops en - applicatie-integraties beheren. U kunt een nieuwe applicatie maken, applicaties in categorieën sorteren en toegang krijgen tot informatie over elke bron. Op de pagina Instellingen catalogus kunt u SAMLcertificaten downloaden, bronconfiguraties beheren en de vormgeving van de gebruikersportal aanpassen. Op het tabblad Identiteits- en toegangsbeheer kunt u de connectorservice instellen, Workspace ONE UEM-integratie configureren, verificatiemethoden instellen en aangepaste merkinformatie aanbrengen op de aanmeldingspagina en de VMware Identity Manager-console. U kunt directory-instellingen, identiteitsproviders en toegangsbeleid beheren. Ook kunt u externe identiteitsproviders configureren. U kunt beheerdersrollen beheren op het tabblad Rollen. Gebruikers kunnen als beheerders worden toegewezen aan de drie vooraf gedefinieerde beheerdersrollen en u kunt ook aangepaste rollen maken die beperkte rechten geven op specifieke services in devmware Identity Manager-console. Ondersteunde webbrowsers om toegang te krijgen tot de VMware Identity Manager -console De VMware Identity Manager-console is een webapplicatie die u gebruikt om uw tenant te beheren. U kunt de VMware Identity Manager-console benaderen vanaf de laatste versies van Mozilla Firefox, Google Chrome, Safari, Microsoft Edge en Internet Explorer 11. Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. Workspace ONE voor eindgebruikers Eindgebruikers hebben via hun Workspace ONE-portal toegang tot alle bronnen waarvoor ze rechten hebben. Workspace ONE is de standaardinterface die wordt gebruikt wanneer gebruikers bronnen waarvoor zij rechten hebben, openen en gebruiken via een browser. Wanneer Workspace ONE UEM wordt geïntegreerd met VMware Identity Manager, kunnen eindgebruikers alle applicaties zien waar ze recht op hebben. Systeemeigen applicaties die intern zijn ontwikkeld of openbaar beschikbaar zijn in app stores, kunnen op de Workspace ONE-portal beschikbaar worden gemaakt voor uw eindgebruikers. VMware, Inc. 7

Overzicht van de instellingen voor identiteits- en toegangsbeheer Via het tabblad Identiteits- en toegangsbeheer in de VMware Identity Manager-console kunt u de verificatiemethoden, het toegangsbeleid en de directoryservice instellen en beheren en de merkinformatie van de eindgebruikersportal en de VMware Identity Manager-console aanpassen. Hier volgt een omschrijving van de installatie-instellingen op het tabblad Identiteits- en toegangsbeheer. Tabel 1 1. Instellingen voor identiteits- en toegangsbeheer Instelling Installatie > Connectoren Beschrijving De pagina Connectoren geeft een overzicht van de connectoren die binnen uw bedrijfsnetwerk zijn geïmplementeerd. De connector wordt gebruikt om gebruikers- en groepsgegevens te synchroniseren tussen uw bedrijfsdirectory en de service. Als de connector wordt gebruikt als identiteitsprovider, verifieert deze gebruikers bij de service. Wanneer u een directory koppelt aan een connectorinstantie, wordt door de connector een partitie gemaakt voor de gekoppelde directory, die we een werker noemen. Aan een connectorinstantie kunnen meerdere werkers gekoppeld zijn. Elke werker fungeert als identiteitsprovider. U definieert en configureert verificatiemethoden per werker. De connector synchroniseert gebruikers- en groepsgegevens tussen uw bedrijfsdirectory en de service via een of meerdere werkers. Selecteer in de kolom Werker een werker om de gegevens van de connector weer te geven en ga naar de pagina Verificatieadapters om de status van de beschikbare verificatiemethoden weer te geven. Zie Hoofdstuk6Gebruikersverificatie configureren in VMware Identity Manager voor informatie over verificatie. Selecteer in de kolom Identiteitsprovider de IdP die u wilt weergeven, bewerken of uitschakelen. Zie Een identiteitsproviderinstantie toevoegen en configureren. Open in de kolom Gekoppelde directory de directory die aan deze werker is gekoppeld. Voordat u een connector kunt toevoegen, klikt u op Connector toevoegen om een activeringscode te genereren. U plakt deze activeringscode in de installatiewizard om communicatie met de connector tot stand te brengen. Installatie > Aangepaste merkinformatie Installatie > Gebruikerskenmerken Installatie > Automatische detectie Op de pagina Aangepaste merkinformatie kunt u het uiterlijk van de kop van de VMware Identity Manager-console en het aanmeldscherm aanpassen. Zie Aangepaste merkinformatie voor de service van VMware Identity Manager. Om de webportal en weergave op mobiele apparaten en tablets aan te passen voor eindgebruikers, gaat u naar Catalogus > Instellingen > Merkvermelding in gebruikersportal. Zie Aangepaste merkinformatie voor het gebruikersportal. Op de pagina Gebruikerskenmerken worden de standaard gebruikerskenmerken weergegeven die worden gesynchroniseerd in de directory. U kunt andere kenmerken toevoegen die u kunt toewijzen aan Active Directory-kenmerken. Zie de gids Directory Integration with VMware Identity Manager. Registreer uw e-maildomein om de service automatische detectie te gebruiken om het voor gebruikers eenvoudiger te maken om hun app-portal te openen via Workspace ONE. Eindgebruikers kunnen hun e-mailadressen invoeren in plaats van de URL van de organisatie wanneer zij hun app-portal willen openen via Workspace ONE. VMware, Inc. 8

Tabel 1 1. Instellingen voor identiteits- en toegangsbeheer (Vervolgd) Instelling Installatie > AirWatch Installatie > Voorkeuren Beschrijving Op deze pagina kunt u integratie met Workspace ONE UEM instellen. Wanneer de integratie is ingesteld en opgeslagen, kunt u de uniforme catalogus inschakelen om applicaties van de Workspace ONE-catalogus samen te voegen met de uniforme catalogus, compliancecontrole inschakelen om te verifiëren of de beheerde apparaten voldoen aan het compliancebeleid van Workspace ONE UEM en gebruikerswachtwoordverificatie via de AirWatch Cloud Connector (ACC) inschakelen. Zie de Guide to Deploying VMware Workspace ONE. De pagina Voorkeuren toont functies die de beheerder kan inschakelen. Deze pagina bevatten onder andere de volgende voorkeuren. Laat zien dat het systeemdomein op de aanmeldingspagina kan worden ingeschakeld. Het inschakelen van persistente cookies via deze pagina. Zie Persistente cookie inschakelen. Schakel Vervolgkeuzelijst voor domein verbergen in, wanneer u niet wilt vereisen dat gebruikers hun domein selecteren voordat ze zich aanmelden. Selecteer de optie Unieke ID voor gebruikersaanmelding om de pagina voor aanmelding op basis van een unieke ID weer te geven. Zie Hoofdstuk5De aanmeldervaring voor gebruikers beheren. 'Invoerinstructie voor aanmelding aanpassen' kan worden gebruikt om de instructie in het tekstvak voor de gebruiker op het aanmeldscherm aan te passen. Installatie > Gebruiksvoorwaarden Op deze pagina kunt u de Workspace ONE-gebruiksvoorwaarden instellen en ervoor zorgen dat eindgebruikers deze gebruiksvoorwaarden accepteren voordat ze de Workspace ONE-portal gebruiken. Hier volgt een omschrijving van de instellingen die worden gebruikt om de services te beheren op het tabblad Identiteits- en toegangsbeheer. Tabel 1 2. Beheerinstellingen voor identiteits- en toegangsbeheer Instelling Beheren > Directory's Beheren > Identiteitsproviders Beheren > Assistent wachtwoordherstel Beschrijving De pagina Directory's toont de mappen die u hebt gemaakt. U maakt een of meerdere directory s en vervolgens synchroniseert u deze directory met uw bedrijfsdirectory-implementatie. Op deze pagina kunt het aantal groepen en gebruikers zien dat wordt gesynchroniseerd met de directory en het laatste tijdstip waarop is gesynchroniseerd. U kunt op Nu synchroniseren klikken om het synchroniseren van directory's te starten. Zie de gids Directory Integration with VMware Identity Manager. Wanneer u op een naam van een directory klikt, kunt u de synchronisatie-instellingen bewerken, naar de pagina Identiteitsprovider gaan en het synchronisatielogboek bekijken. Op de pagina met synchronisatie-instellingen voor directory's kunt u de synchronisatiefrequentie plannen, de lijst weergeven met domeinen die aan deze directory gekoppeld zijn, de lijst met toegewezen kenmerken wijzigen, de lijst bijwerken met gebruikers en groepen die worden gesynchroniseerd en de beveiligingsdoelen instellen. De pagina Identiteitsproviders toont de identiteitsproviders die u hebt geconfigureerd. De connector is de eerste identiteitsprovider. U kunt externe identiteitsproviderinstanties toevoegen of een combinatie van beide gebruiken. De ingebouwde identiteitsprovider van VMware Identity Manager kan worden geconfigureerd voor verificatie. Zie Een identiteitsproviderinstantie toevoegen en configureren. Op de pagina Assistent wachtwoordherstel kunt u het standaardgedrag wijzigen wanneer de eindgebruiker klikt op "Wachtwoord vergeten" op het aanmeldscherm. VMware, Inc. 9

Tabel 1 2. Beheerinstellingen voor identiteits- en toegangsbeheer (Vervolgd) Instelling Beheren > Verificatiemethoden Beheren > Beleid Beschrijving De pagina Verificatiemethoden wordt gebruikt om verificatiemethoden te configureren die kunnen worden gekoppeld aan de ingebouwde identiteitsproviders. Nadat u de verificatiemethoden op deze pagina hebt geconfigureerd, koppelt u de verificatiemethode op de pagina van de ingebouwde identiteitsprovider. Op de pagina Beleid worden het standaardtoegangsbeleid en ander toegangsbeleid voor webapplicaties dat u hebt gemaakt, weergegeven. U configureert de netwerkbereiken om gebruikerstoegang via het IP-adressen toe te staan. Beleid bestaat uit een verzameling regels die criteria opgeven waaraan moet worden voldaan voordat gebruikers toegang krijgen tot hun Workspace ONE-portal of webapplicaties kunnen starten die voor deze gebruikers zijn ingeschakeld. U kunt het standaardbeleid bewerken, en als webapplicaties zijn toegevoegd aan de catalogus kunt u een nieuw beleid toevoegen om toegang tot deze webapplicaties te beheren. Zie Hoofdstuk7Toegangsbeleid beheren. VMware, Inc. 10

Beheerdersrollen beheren 2 VMware Identity Manager gebruikt op rollen gebaseerde toegangscontrole voor het beheren van de beheerdersrollen. Met een op rollen gebaseerde toegangscontrole, kunt u functionele rollen creëren die de toegang van beheerders tot taken in de VMware Identity Manager-console beheren en de rollen toewijzen aan een of meer gebruikers en groepen. Drie vooraf gedefinieerde beheerdersrollen zijn ingebouwd in de VMware Identity Manager-service. U kunt deze vooraf gedefinieerde rollen toewijzen aan gebruikers en groepen in uw service. U kunt deze rollen niet wijzigen of verwijderen. U kunt ook aangepaste beheerdersrollen maken die beperkte rechten voor specifieke services in de VMware Identity Manager console verlenen. In de service kunnen specifieke bewerkingen worden geselecteerd als het type actie dat kan worden uitgevoerd in de rol. Dit hoofdstuk omvat de volgende onderwerpen: Over de rollen voor toegang op basis van rollen Een nieuwe beheerdersrol toevoegen Gebruikers en groepen toewijzen aan een VMware Identity Manager-beheerdersrol Beheerdersrollen verwijderen Voorbeeld 1. Een rol voor het beheer van Office 365-toepassingen en rechten maken Voorbeeld 2 Maak een rol aan om Wachtwoord opnieuw in stellen te beheren in de lokale directory Over de rollen voor toegang op basis van rollen De volgende typen rollen kunnen op de VMware Identity Manager-server worden verleend. Er zijn drie vooraf gedefinieerde beheerdersrollen: De superbeheerdersrol die toegang heeft tot alle functies in de VMware Identity Manager-services en deze ook kan beheren. De eerste superbeheerder is de lokale beheerdergebruiker die door VMware Identity Manager wordt gemaakt wanneer u de service voor het eerst instelt. De service maakt de beheerder in het systeemdomein van de systeemdirectory. U kunt andere gebruikers aan de superbeheerdersrol toewijzen in de systeemdirectory. Als best practice wordt aanbevolen de superbeheerdersrol slechts aan een beperkt aantal gebruikers te verlenen. VMware, Inc. 11

Alleen-lezen beheerdersrol die de details op de pagina's van de VMware Identity Manager-console, zoals het dashboard en de rapporten, kan weergeven, maar niet kan wijzigen. De alleen-lezen rol wordt automatisch toegewezen aan alle beheerdersrollen. Opmerking Sommige pagina's van de identiteitsbeheerconsole zijn niet ingeschakeld om te worden bekeken door een beheerder aan wie alleen de rol alleen-lezen werd toegekend. Als alleen-lezen beheerders deze pagina's trachten te bekijken, worden zij omgeleid naar het dashboard. De directorybeheerdersrol die gebruikers, groepen en directory's kan beheren. De directorybeheerder kan integratie van directory's voor zowel de bedrijfsdirectory's als de lokale directory's binnen uw organisatie beheren. De directorybeheerder kan ook lokale gebruikers en groepen beheren. Figuur 2 1. Het tabblad Rollen van de VMware Identity Manager-console U kunt deze vooraf gedefinieerde rollen toewijzen aan gebruikers en groepen in uw service. U kunt deze rollen niet wijzigen of verwijderen. U kunt ook aangepaste beheerdersrollen maken die beperkte rechten voor specifieke services in de VMware Identity Manager console verlenen. In de service kunnen specifieke bewerkingen worden geselecteerd als het type actie dat kan worden uitgevoerd in de rol. Meerdere rollen kunnen aan dezelfde gebruikers en groepen worden toegewezen. Wanneer aan een gebruiker meer dan één rol wordt toegewezen, zijn altijd de meest uitgebreide rechten van de rollen van toepassing. Bijvoorbeeld: als aan een beheerder twee rollen zijn toegewezen, één met schrijftoegang tot beleidsbeheer en een andere zonder, heeft die beheerder toegang om het beleid te wijzigen. Toegangsbeheer op basis van rollen kan worden ingesteld voor het beheer van de volgende services in de beheerconsole. VMware, Inc. 12

Type service Catalogus Beschrijving van service De catalogus is de opslagplaats van alle Workspace ONE-bronnen waarvoor rechten kunnen worden verleend aan gebruikers. De catalogusservice kan de volgende typen acties beheren. Webapplicaties Appbronnen Applicaties van derden ThinApp-verzameling van virtuele apps Verzameling van virtuele apps die Horizon-, Horizon Cloud- en Citrix-gebaseerde applicaties bevat. Opmerking Een superbeheerder is vereist om de procedure Aan de slag op de pagina Verzameling van virtuele apps in de catalogus te starten. Na de eerste procedure Aan de slag kunnen beheerdersrollen met de catalogusservice ThinApp-pakketten en desktopapplicaties beheren. Zie 'Verzamelingen van virtuele apps voor desktopintegraties gebruiken' in de handleiding 'Bronnen instellen in VMware Identity Manager 3.2'. Directorybeheer Gebruikers en groepen De service Directorybeheer kan de volgende typen acties beheren voor de organisatie of voor specifieke directory's in uw organisatie. Bedrijfsdirectory. De beheerder kan directory's in de service toevoegen, bewerken en verwijderen. Het bewerken van een directory omvat het beheren van directoryinstellingen, waaronder de synchronisatie-instellingen. Lokale directory. De beheerder kan lokale directory's maken, bewerken en verwijderen. Het bewerken van een directory omvat het beheren van instellingen en het maken, bewerken en verwijderen van lokale gebruikers en groepen. Wanneer de service Directorybeheer is opgenomen in een rol, moet de service Identiteits- en toegangsbeheer ook worden geconfigureerd in de rol. De service Gebruikers en groepen kan de volgende typen acties in uw hele organisatie of voor specifieke domeinen in uw organisatie beheren. Groepen Gebruikers Wachtwoord opnieuw instellen voor lokale gebruikers Rechten De service Rechten kan gebruikers toewijzen aan web- en virtuele applicaties. De volgende typen rechtenacties kunnen worden beheerd. Voor elk van deze acties kunt u de rol configureren om gebruikers en groepen aan alle bronnen in uw organisatie of aan specifieke applicaties toe te wijzen. U kunt ook rechten voor applicaties verlenen aan gebruikers en groepen in specifieke domeinen. Webrechten Rechten van derden VMware, Inc. 13

Type service Rollenbeheer Identiteits- en toegangsbeheer Beschrijving van service De service Rollenbeheer kan de toewijzing van de beheerdersrol aan gebruikers beheren. Wanneer u een rol met de service Rollenbeheer maakt, moet u de service Gebruikers en groepen configureren en de acties Gebruikers beheren en Groepen beheren selecteren. Beheerders waaraan deze rol is toegewezen, kunnen gebruikers en groepen promoveren naar de beheerdersrol en kunnen de beheerdersrol van gebruikers of groepen verwijderen. De service Identiteits- en toegangsbeheer kan de instellingen op het tabblad Identiteits- en toegangsbeheer beheren. Voor het beheer van de directoryinstellingen is ook de service Directorybeheer vereist. Opmerking Beheerders met de rol Identiteits- en toegangsbeheer kunnen VMware Identity Manager integreren in Workspace ONE UEM en de directory maken vanuit de Workspace ONE UEM-console. Wanneer u een rol toevoegt, kunt u de service selecteren en bepalen welke acties kunnen worden uitgevoerd in de service. In sommige van de services kunt u ervoor kiezen om alle bronnen voor de geselecteerde actie of sommige bronnen te beheren. Alleen-lezen toegang beheren Alleen-lezen toegang wordt verleend met elke rol die wordt toegewezen aan een beheerder. U kunt ook gebruikers en groepen aan de alleen-lezen rol toewijzen via de pagina met rollen voor alleen-lezen beheerders. De rol alleen-lezen beheerder geeft gebruikers beheerderstoegang om de VMware Identity Managerconsole weer te geven. Maar tenzij aan een beheerder een andere rol met aanvullende toegang is toegewezen, kan deze alleen de inhoud in de VMware Identity Manager-console weergeven. Wanneer u de alleen-lezen rol als een afzonderlijke rol toewijst, kunt u de rol via de pagina voor het toewijzen van de rol Alleen-lezen beheerder of via de pagina met het gebruikers- of groepsprofiel verwijderen. Een nieuwe beheerdersrol toevoegen Met toegangscontrole op basis van rollen kunt u een rol maken om een of meer acties te beheren. Wanneer u een rol maakt, kunt u een of meer services toevoegen aan de rol. U geeft de rol een naam, selecteert het type services en de specifieke acties in de service die de rol kan beheren. Wanneer u een rol met de service Directorybeheer maakt, moet de service Identiteits- en toegangsbeheer ook worden geconfigureerd in de rol. Wanneer u een rol met de service Rollenbeheer maakt, moet de service Gebruikers en groepen ook worden geconfigureerd met de acties om de geselecteerde gebruikers en groepen te beheren. Voorwaarden Als u een rol wilt maken, moet u een superbeheerder zijn, of een beheerder waaraan de rol is toegewezen die is geconfigureerd met de service Rollenbeheer. VMware, Inc. 14

1 Klik op Toevoegen op het tabblad Rollen van de VMware Identity Manager-console. 2 Voer een beschrijvende rolnaam in en voeg een beschrijving toe in het tekstvak Rolnaam. De naam van elke rol in uw omgeving moet uniek zijn. 3 Klik op Volgende. 4 Selecteer de service die door deze rol moeten worden beheerd. 5 Selecteer het type acties die kunnen worden beheerd, in het vervolgkeuzemenu Acties. 6 Selecteer Alle bronnen om alle bronnen binnen de actie te beheren, of selecteer Enkele en selecteer vervolgens de voorwaarde die kan worden beheerd in het vervolgkeuzemenu Voorwaarden. 7 Klik op + om extra acties toe te voegen die door deze rol moeten worden beheerd, en voltooi de configuratie. 8 Klik op Opslaan. Op de pagina Services wordt de configuratie weergegeven die u hebt ingesteld. 9 Als u een andere service aan deze rol wilt toevoegen, selecteert u de service en voltooit u configuratiestappen 5-8. 10 Wanneer u klaar bent, klikt u op Opslaan op de pagina Configuratie. Wat nu te doen Wijs deze rol toe aan gebruikers om ze beheerders van deze service te maken. Gebruikers en groepen toewijzen aan een VMware Identity Manager-beheerdersrol Een VMware Identity Manager-superbeheerder of een rol die de services Rollenbeheer en Gebruikers en groepen bevat, kan gebruikers en groepen een rol toewijzen om ze te promoveren tot beheerders van die rol. Voorwaarden Voordat u een beheerdersrol Identity manager toevoegt aan een gebruiker die is gesynchroniseerd vanuit de Workspace ONE UEM-directory, zorgt u ervoor dat het gebruikersprofiel in de Workspace ONE UEM -console is geconfigureerd met een account Niveau van beheerdergebruiker verhogen. Wanneer gebruikers met het account 'Niveau van beheerdergebruiker verhogen' worden gesynchroniseerd naar VMware Identity Manager, worden ze als beheerders herkend en kan aan hen een rol in VMware Identity Managerworden toegewezen. Als een beheerder niet beschikbaar is in dit account in de UEM-console wanneer de Workspace ONE UEM-directory wordt gesynchroniseerd met de VMware Identity Manager-directory, wordt de beheerdersrol verwijderd uit het gebruikersprofiel. VMware, Inc. 15

1 Selecteer de rol op het tabblad Rollen van de VMware Identity Manager-console en klik op Toewijzen. 2 Voer een naam in het zoekvak in en selecteer de gebruiker of groep. Alleen de groepen met minder dan 500 gebruikers in de groep kunnen worden gepromoveerd naar een nieuwe beheerdersrol. 3 Klik op Opslaan. De gebruikers of groepen kunnen beheerders voor de rol worden. De pagina met het gebruikersprofiel wordt bijgewerkt om de rol weer te geven. Beheerdersrollen verwijderen Een nieuwe beheerdersrol kan op de pagina Toewijzen van de specifieke rol worden ingetrokken. Op de profielpagina van de gebruiker kunt u alle rollen die aan een gebruiker zijn toegewezen intrekken. U kunt de groep uit de rol verwijderen, om de rol voor alle leden van de groep in te trekken. U kunt niet een rol van een specifieke lid van de groep verwijderen. Als u alleen de gebruiker van de rol wilt verwijderen, kunt u de gebruiker uit de groep verwijderen. Beheerdersrol van individuele gebruikers verwijderen Een super-beheerder of een rolbeheerder kan een beheerder-gebruiker van een rol verwijderen. U kunt beginnen op de gebruikersprofielpagina in het tabblad Gebruikers en groepen voor het intrekken van de rol. Wanneer u op de profielpagina begint, klikt u op de link om de rol te verwijderen en wordt u omgeleid naar de pagina Rollen. Opmerking Beheerdersrollen kunnen rechtstreeks worden ingetrokken vanuit de pagina Toewijzen van de rol. 1 Selecteer Gebruikers in het tabblad Gebruikers en groepen van de VMware Identity Managerconsole. Selecteer vervolgens de gebruikersnaam. Op de profielpagina Rollen worden alle rollen vermeld die zijn toegewezen aan deze gebruiker. 2 Klik op hier in de rij Rollen. U wordt omgeleid naar de pagina Rollen. 3 Selecteer de rol en klik op Toewijzen. 4 Klik op X naast de naam. 5 Klik op Opslaan. De gebruiker van de rol is verwijderd en de rol is verwijderd uit het gebruikersprofiel. VMware, Inc. 16

Een groep van een rol verwijderen Wanneer u een groep van een rol verwijdert, wordt voor alle leden van de groep de toegang ingetrokken. De sectie Rollen van de gebruikers- en profielpagina's van de groep wordt bijgewerkt om de rol te verwijderen. Een individueel lid van een groep kan niet worden verwijderd uit een rol. Om een lid van een groep uit een rol te verwijderen, moet u de gebruiker uit de groep verwijderen. Als een gebruiker in de groep de rol direct toegewezen had gekregen, zal de gebruiker nadat de groep uit de rol is verwijderd de beheerdersrol behouden. Opmerking Beheerdersrollen voor groepen kunnen vanaf de pagina Toewijzen van de rol direct worden ingetrokken. 1 Selecteer Groepen op het tabblad Gebruikers en groepen van de VMware Identity Manager - console. Selecteer vervolgens de groepsnaam. Op de profielpagina Rollen worden alle rollen vermeld die aan deze groep zijn toegewezen. 2 Klik op hier in de rij Rollen. U wordt omgeleid naar de pagina Rollen. 3 Selecteer de rol en klik op Toewijzen. 4 Klik op X naast de groepsnaam. 5 Klik op Opslaan. De groep is verwijderd uit de rol. De rol wordt verwijderd van het groepsprofiel en van elk ledenprofiel. Voorbeeld:Voorbeeld van groepen uit een rol verwijderen Groep A, bestaande uit User1, User2 en User3, krijgt de rol van directorybeheerder toegewezen. De profielen van groep A, User1, User2 en User3, worden bijgewerkt om de rol van directorybeheerder in hun profielen weer te geven. User2 krijgt de rol van directorybeheerder ook direct toegewezen. Als u de toegang van groep A intrekt, worden groep A, User1 en User3 uit de rol verwijderd en wordt de rol van deze profielpagina's verwijderd. Omdat User2 de beheerdersrol direct kreeg toegewezen, heeft User2 nog steeds de rol van directorybeheerder. VMware, Inc. 17

Voorbeeld 1. Een rol voor het beheer van Office 365- toepassingen en rechten maken Met de op rollen gebaseerde toegangscontrole, kunt u de beheerderstoegang verlenen aan gebruikers en groepen, zodat ze specifieke applicaties kunnen beheren. De Superbeheerder kan bijvoorbeeld de dagelijkse rechten voor het beheren van de toepassing Office 365 in Workspace ONE aan een andere beheerder delegeren. U maakt een beheerdersrol voor het beheer van Office 365 in Workspace ONE en om de rechten voor de applicatie te beheren. 1 Klik op Toevoegen op de pagina Rollen van de VMware Identity Manager-console. Creëer een beschrijvende rolnaam en omschrijf het doel van de rol. Klik op Volgende. VMware, Inc. 18

2 Selecteer de catalogus-service in de configuratiepagina. Voor Acties selecteert u Webapplicaties beheren. Voor bronnen selecteert u Sommige. Voor Voorwaardenselecteert u Webapps en voert u Office 365 in het zoekvak in. Configuratie Opslaan. U kunt andere applicaties toevoegen om te beheren. Bijvoorbeeld, zoek naar SalesForce en voeg deze toe aan de lijst met webapplicaties die moeten worden beheerd in deze rol. 3 Selecteer op de configuratiepagina nu de Rechten-service. Voor Acties selecteert u Web-rechten beheren. Voor bronnen selecteert u Sommige. Voor Voorwaarden selecteert u Applicaties en in het zoekvak voert u Office 365 in om dezelfde applicatie te selecteren. Configuratie Opslaan. Als u een andere applicatie in de catalogus-service hebt toegevoegd, zorgt u ervoor dat u deze hier toevoegt als u wilt dat de beheerder de rechten beheert. 4 Op de configuratiepagina klikt u nogmaals op Opslaan. De rol voor hete beheren van de Office 365-applicatie is gemaakt en wordt weergegeven op de pagina Rollen. VMware, Inc. 19

5 Selecteer de rol die u hebt gemaakt en klik op Toewijzen. Voer in tekstvak Zoeken de gebruikers- of groepsnamen in aan wie u toegang wilt verlenen. Selecteer de gebruiker of groep en klik op Opslaan. De gebruiker of groep is nu de beheerder voor deze rol. De profielpagina is bijgewerkt om de toegewezen rol weer te geven. Voorbeeld 2 Maak een rol aan om Wachtwoord opnieuw in stellen te beheren in de lokale directory U kunt een eenvoudige beheerdersrol maken voor het beheer van wachtwoorden voor specifieke domeinen. 1 Klik op Toevoegen op de pagina Rollen in de VMware Identity Manager-console, voer een beschrijvende rolnaam in en omschrijf het doel van de rol. Klik op Volgende. VMware, Inc. 20

2 Selecteer de Gebruikers en groepen service in de configuratiepagina. Voor Acties selecteert u Wachtwoord opnieuw instellen. Voor bronnen selecteert u Sommige. Voor Voorwaardenselecteert u het lokale domein en voert u de naam van de lokale directory in het zoekvak om de lokale directory te selecteren. Configuratie Opslaan. 3 Selecteer de rol die u hebt gemaakt en klik op Toewijzen. Voer de naam van de gebruiker of gebruikersgroep in het tekstvak Zoeken in. Selecteer de gebruiker of groep en klik op Opslaan. De gebruikers of een groep is nu de beheerder van deze rol. De profielpagina is bijgewerkt om de toegewezen rol weer te geven. VMware, Inc. 21

Lokale directory's gebruiken 3 Een lokale directory is een van de typen directory's die u in de VMware Identity Manager-service kunt maken. Met een lokale directory kunt u lokale gebruikers in de service inrichten en toegang geven tot specifieke applicaties zonder dat u deze aan uw bedrijfsdirectory hoeft toe te voegen. Een lokale directory is niet verbonden met een bedrijfsdirectory en gebruikers en groepen worden niet via een bedrijfsdirectory gesynchroniseerd. In plaats daarvan maakt u lokale gebruikers rechtstreeks in de lokale directory aan. In de service is een standaard lokale directory met de naam Systeemdirectory beschikbaar. U kunt ook meerdere nieuwe lokale directory's maken. Systeemdirectory De Systeemdirectory is een lokale directory die automatisch in de service wordt gemaakt wanneer deze wordt ingesteld. Deze directory heeft het domein Systeemdomein. U kunt de naam of het domein van de Systeemdirectory niet wijzigen, en geen nieuwe domeinen eraan toevoegen. Bovendien kunt u de Systeemdirectory of het Systeemdomein niet verwijderen. Wanneer de tenant voor het eerst wordt ingesteld, wordt een lokale beheerder in het Systeemdomein van de Systeemdirectory gemaakt. De gegevens die u ontvangt wanneer u een nieuwe tenant krijgt, behoren bij deze lokale beheerder. U kunt andere gebruikers aan de Systeemdirectory toevoegen. Standaard wordt de Systeemdirectory gebruikt om een paar lokale beheerders in te stellen om de service te beheren. Om eindgebruikers en extra beheerders in te richten en deze rechten te geven tot applicaties, raden wij u aan om een nieuwe lokale directory te maken. Lokale directory's U kunt meerdere lokale directory's maken. Elke lokale directory kan een of meerdere domeinen bevatten. Wanneer u een lokale gebruiker maakt, specificeert u de directory en het domein voor de gebruiker. U kunt ook kenmerken selecteren voor alle gebruikers in de lokale directory. Gebruikerskenmerken zoals Gebruikersnaam, Achternaam en Voornaam worden op het algemene niveau in de VMware Identity Manager-service gespecificeerd. Er is een standaardlijst met kenmerken beschikbaar en u kunt aangepaste kenmerken toevoegen. Algemene gebruikerskenmerken gelden voor alle directory's in VMware, Inc. 22

de service, inclusief lokale directory's. Op het niveau van de lokale directory kunt u selecteren welke kenmerken vereist zijn voor de directory. Op deze manier kunt u een aangepaste set met kenmerken hebben voor verschillende lokale directory's. Houd er rekening mee dat voor lokale directory's Gebruikersnaam, Achternaam, Voornaam en het e-mailadres altijd vereist zijn. Opmerking De mogelijkheid om gebruikerskenmerken op directoryniveau aan te passen, is alleen beschikbaar voor lokale directory's, niet voor Active Directory- of LDAP-directory's. Lokale directory's maken is handig in de volgende scenario's. U kunt een lokale directory maken voor een specifiek type gebruiker dat geen deel uitmaakt van uw bedrijfsdirectory. Bijvoorbeeld: u kunt een lokale directory maken voor partners die doorgaans geen deel uitmaken van uw bedrijfsdirectory en hen toegang geven tot alleen de specifieke applicaties die ze nodig hebben. U kunt meerdere lokale directory's maken als u verschillende gebruikerskenmerken of verificatiemethoden wilt voor verschillende sets gebruikers. U kunt bijvoorbeeld een lokale directory voor distributeurs maken die gebruikerskenmerken bevat zoals regio en marktaandeel, en een andere directory voor leveranciers met kenmerken zoals productcategorie en type leverancier. Identiteitsprovider voor Systeemdirectory en Lokale directory's Standaard wordt de Systeemdirectory die hoort bij een identiteitsprovider, Systeemidentiteitsprovider genoemd. De methode met een wachtwoord (cloud-directory) wordt standaard ingeschakeld bij deze identiteitsprovider en geldt voor het beleid default_access_policy_set voor het netwerkbereik ALL RANGES en het apparaattype Webbrowser. U kunt extra verificatiemethoden configureren en het verificatiebeleid instellen. Wanneer u een nieuwe lokale directory maakt, hoort deze niet bij een identiteitsprovider. Nadat u de directory hebt gemaakt, maakt u een nieuwe identiteitsprovider van het type Embedded en koppelt u de directory aan deze provider. Schakel de verificatiemethode Wachtwoord (clouddirectory) in voor de identiteitsprovider. Meerdere lokale directory's kunnen aan dezelfde identiteitsprovider worden gekoppeld. De VMware Identity Manager-connector is niet vereist voor de Systeemdirectory of voor lokale directory's die u maakt. Raadpleeg "Gebruikersverificatie in VMware Identity Manager configureren" in VMware Identity Managerbeheer voor meer informatie. Wachtwoord beheren voor gebruikers van lokale directory's Standaard kunnen alle gebruikers van lokale directory's hun wachtwoord wijzigen in de portal of app Workspace ONE. U kunt een wachtwoordbeleid voor lokale gebruikers instellen. Indien nodig, kunt u ook wachtwoorden van lokale gebruikers resetten. VMware, Inc. 23

Wanneer gebruikers zich hebben aangemeld bij de portal Workspace ONE kunnen zij hun wachtwoord wijzigen door op hun naam in de rechterbovenhoek te klikken, dan Account in het vervolgkeuzemenu te selecteren en vervolgens op de koppeling Wachtwoord wijzigen te klikken. In de app Workspace ONE kunnen gebruikers hun wachtwoord wijzigen door op het menupictogram met drie streepjes te klikken en Wachtwoord te selecteren. Raadpleeg "Gebruikers en Groepen beheren" in VMware Identity Manager-beheer voor informatie over het beleid voor het instellen van wachtwoorden en het resetten van wachtwoorden van lokale gebruikers. Dit hoofdstuk omvat de volgende onderwerpen: Een lokale directory maken Instellingen voor lokale directory wijzigen Een lokale directory verwijderen Verificatiemethode voor systeembeheerders configureren Een lokale directory maken Als u een lokale directory wilt maken, geeft u de gebruikerskenmerken op voor de directory, maakt u de directory en identificeert u deze met een identiteitsprovider. Gebruikerskenmerken instellen op globaal niveau Voordat u een lokale directory maakt, bekijkt u de globale gebruikerskenmerken op de pagina Gebruikerskenmerken en voegt u zo nodig aangepaste kenmerken toe. Gebruikerskenmerken, zoals voornaam, achternaam, e-mailadres en domein, maken deel uit van het profiel van een gebruiker. In de VMware Identity Manager-service worden gebruikerskenmerken gedefinieerd op het globale niveau en toegepast op alle directory's in de service, waaronder lokale directory's. Op het lokale directoryniveau kunt u overschrijven dat een kenmerk vereist of optioneel is voor gebruikers in die lokale directory, maar u kunt geen aangepaste kenmerken toevoegen. Als een kenmerk is vereist, moet u er een waarde voor opgeven wanneer u een gebruiker maakt. De volgende woorden kunnen niet worden gebruikt wanneer u aangepaste kenmerken maakt. Tabel 3 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken actief adressen kostencentrum afdeling weergavenaam divisie e-mails medewerkersnummer rechten externe id groepen id ims plek manager meta naam bijnaam organisatie wachtwoord telefoonnummer foto's voorkeurstaal profiel-url VMware, Inc. 24

Tabel 3 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken (Vervolgd) rollen tijdzone titel username type gebruiker x509-certificaat Opmerking De mogelijkheid om gebruikerskenmerken over te schrijven op directoryniveau is alleen van toepassing op lokale directory's, niet op Active Directory of LDAP-directory's. 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer. 2 Klik op Instellen en klik vervolgens op de tab Gebruikerskenmerken. 3 Bekijk de lijst met gebruikerskenmerken en voeg zo nodig extra kenmerken toe. Opmerking Hoewel u op deze pagina kunt selecteren welke kenmerken zijn vereist, wordt u aanbevolen de selectie voor lokale directory's te maken op het niveau van de lokale directory. Als een kenmerk op deze pagina is gemarkeerd als vereist, is het van toepassing op alle directory's in de service, inclusief Active Directory- of LDAP-directory's. 4 Klik op Opslaan. Wat nu te doen Maak de lokale directory. Lokale directory maken Nadat u de algemene gebruikerskenmerken heeft gecontroleerd en ingesteld, maakt u de lokale directory. 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer en klik dan op het tabblad Directory's. 2 Klik op Directory toevoegen en selecteer Lokale gebruikersdirectory toevoegen via het vervolgkeuzemenu. VMware, Inc. 25

3 Op de pagina Directory toevoegen, voert u een directorynaam in en specificeert u minimaal één domeinnaam. De domeinnaam moet uniek zijn voor alle directory's in de service. Bijvoorbeeld: 4 Klik op Opslaan. 5 Klik op de pagina Directory's op de nieuwe directory. 6 Klik op het tabblad Gebruikerskenmerken. Alle kenmerken van de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken worden voor de lokale directory vermeld. Kenmerken die op deze pagina als vereist zijn aangeduid, worden ook als vereist weergegeven op de pagina van de lokale directory. 7 Kenmerken voor de lokale directory aanpassen. U kunt specificeren welke kenmerken vereist en welke kenmerken optioneel zijn. U kunt ook de volgorde wijzigen waarin de kenmerken worden weergegeven. Belangrijk De kenmerken Gebruikersnaam, Voornaam, Achternaam en E-mailadres zijn altijd vereist voor lokale directory's. Om een kenmerk vereist te maken, selecteert u het selectievakje naast de naam van het kenmerk. Om een kenmerk optioneel te maken, deselecteert u het selectievakje naast de naam van het kenmerk. Om de volgorde van de kenmerken te wijzigen, klikt u op een kenmerk en sleept u het naar de nieuwe locatie. VMware, Inc. 26

Wanneer een kenmerk vereist is, moet u een waarde voor het kenmerk specificeren wanneer u een gebruiker maakt. Bijvoorbeeld: 8 Klik op Opslaan. Wat nu te doen Koppel de lokale directory aan de identiteitsprovider die u wilt gebruiken om de gebruikers in de directory te verifiëren. VMware, Inc. 27

De lokale directory aan een identiteitsprovider koppelen Koppel de lokale directory aan een identiteitsprovider zodat gebruikers in de directory kunnen worden geverifieerd. Maak een identiteitsprovider van het type Embedded en schakel de verificatiemethode Wachtwoord (lokale directory) hiervoor in. Opmerking Gebruik niet de ingebouwde identiteitsprovider. Het inschakelen van de verificatiemethode Wachtwoord (lokale directory) voor de ingebouwde identiteitsprovider wordt niet aanbevolen. Voorwaarden De verificatiemethode Wachtwoord (lokale directory) moet worden geconfigureerd op de pagina Identiteits- en toegangsbeheer > Verificatiemethoden. 1 Klik op het tabblad Identiteits- en toegangsbeheer op de tab Identiteitsproviders. 2 Klik op Identiteitsprovider toevoegen en selecteer Ingebouwde IdP maken. 3 Geef de volgende informatie op. Optie Naam van identiteitsprovider Gebruikers Netwerk Verificatiemethoden KDC-certificaat exporteren Beschrijving Geef een naam op voor de identiteitsprovider. Selecteer de lokale directory die u hebt gemaakt. Selecteer de netwerken voor toegang tot deze identiteitsprovider. Selecteer Wachtwoord (lokale directory). U hoeft het certificaat niet te downloaden tenzij u mobiele SSO configureert voor ios-apparaten die worden beheerd met Workspace ONE UEM. VMware, Inc. 28

4 Klik op Toevoegen. De identiteitsprovider wordt gemaakt en gekoppeld aan de lokale directory. Later kunt u andere verificatiemethoden configureren voor deze identiteitsprovider. Zie "Gebruikersverificatie configureren in VMware Identity Manager" in Beheer VMware Identity Manager voor meer informatie over verificatie. U kunt dezelfde identiteitsprovider gebruiken voor meerdere lokale directory's. Wat nu te doen Maak lokale gebruikers en groepen. U maakt lokale gebruikers en groepen op het tabblad Gebruikers en groepen van de console van Identity manager. Zie 'Gebruikers en groepen beheren' in Beheer VMware Identity Manager Administration voor meer informatie. Instellingen voor lokale directory wijzigen Nadat u een lokale directory hebt gemaakt, kunt u de bijbehorende instellingen op elk gewenst moment wijzigen. U kunt de volgende instellingen wijzigen. Wijzig de directorynaam. Voeg of verwijder domeinen of wijzig hun naam. De domeinnamen moeten uniek zijn voor alle directory's in de service. Wanneer u een domeinnaam wijzigt, worden de gebruikers die waren gekoppeld aan het oude domein, gekoppeld aan het nieuwe domein. De directory moet ten minste één domein hebben. U kunt geen domein toevoegen aan de systeemdirectory of het systeemdomein verwijderen. Voeg nieuwe gebruikerskenmerken toe of maak een bestaand kenmerk vereist of optioneel. Als de lokale directory nog geen gebruikers heeft, kunt u nieuwe kenmerken toevoegen als optioneel of vereist en bestaande kenmerken wijzigen in vereist of optioneel. Als u al gebruikers hebt gemaakt in de lokale directory, kunt u nieuwe kenmerken alleen toevoegen als optionele kenmerken en bestaande kenmerken wijzigen van vereist in optioneel. U kunt een optioneel kenmerk niet vereist maken nadat gebruikers zijn gemaakt. De kenmerken Gebruikersnaam, Voornaam, Achternaam en E-mailadres zijn altijd vereist voor lokale directory's. Omdat gebruikerskenmerken worden gedefinieerd op algemeen niveau in de VMware Identity Manager-service, worden alle nieuwe kenmerken die u toevoegt, weergegeven in alle directory's in de service. Wijzig de volgorde waarin kenmerken worden weergegeven. 1 Klik op de tab Identiteits- en toegangsbeheer. VMware, Inc. 29

2 Klik op de pagina Directory's op de directory die u wilt bewerken. 3 Bewerk de instellingen voor de lokale directory. Optie Actie De directorynaam wijzigen a Bewerk de directorynaam op het tabblad Instellingen. Een domein toevoegen, verwijderen of hernoemen Gebruikerskenmerken toevoegen aan de directory Een kenmerk vereist of optioneel maken voor de directory De volgorde van de kenmerken wijzigen b a b c d a b c a b c d a b c d Klik op Opslaan. Bewerk de lijst Domeinen op het tabblad Instellingen. Klik op het groene pluspictogram om een domein toe te voegen. Klik op het rode verwijderpictogram om een domein te verwijderen. Bewerk de domeinnaam in het tekstvak om de naam van een domein te wijzigen. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op Installatie. Klik op de tab Gebruikerskenmerken. Voeg kenmerken toe aan de lijst Andere kenmerken toevoegen om te gebruiken en klik op Opslaan. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. Klik op de naam van de lokale directory en klik op de tab Gebruikerskenmerken. Schakel het selectievakje in naast een kenmerk om het vereist te maken of schakel het selectievakje uit om het kenmerk optioneel te maken. Klik op Opslaan. Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. Klik op de naam van de lokale directory en klik op de tab Gebruikerskenmerken. Klik en sleep de kenmerken naar de nieuwe positie. Klik op Opslaan. Een lokale directory verwijderen U kunt een lokale directory verwijderen die u hebt gemaakt in de VMware Identity Manager-service. U kunt de systeemdirectory verwijderen, die standaard wordt gemaakt wanneer u de service voor het eerst instelt. Voorzichtig Wanneer u een directory verwijdert, worden ook alle gebruikers in de directory verwijderd uit de service. 1 Klik op de tab Identiteits- en toegangsbeheer en klik vervolgens op de tab Directory's. 2 Klik op de directory die u wilt verwijderen. 3 Klik op Directory verwijderen op de directorypagina. VMware, Inc. 30

Verificatiemethode voor systeembeheerders configureren Wachtwoord (lokale directory) is de standaardverificatiemethode die beheerders invoeren om zich aan te melden via de Systeemdirectory. Het standaardtoegangsbeleid bevat een beleidsregel die is geconfigureerd met Wachtwoord (lokale directory) als alternatieve methode, zodat beheerders zich kunnen aanmelden bij de VMware Identity Manager-console en de Workspace ONE-portal. Wanneer u een toegangsbeleid maakt voor specifieke web- en desktopapplicaties waarvoor de systeembeheerdersrol rechten heeft, configureert u een regel in het beleid om Wachtwoord (lokale directory) als alternatieve verificatiemethode op te nemen. Anders kan een beheerder zich niet aanmelden bij de applicatie. VMware, Inc. 31

Just-in-Time-gebruikersprovisioning 4 Met Just-in-Time-gebruikers-provisioning kunt u tijdens het aanmelden op een dynamische manier gebruikers maken in de VMware Identity Manager-service, met behulp van SAML-bevestigingen die zijn verzonden door een externe identiteitsprovider. Just-in-Time-gebruikers-provisioning is alleen beschikbaar voor externe identiteitsproviders. Dit is niet beschikbaar voor de VMware Identity Managerconnector. Dit hoofdstuk omvat de volgende onderwerpen: Over Just-in-Time-gebruikers-provisioning Voorbereiden voor just-in-time provisioning Just-in-Time-gebruikersprovisioning configureren Vereisten voor SAML-bevestigingen Just-in-time gebruikersprovisioning uitschakelen Een Just-in-time-map verwijderen Foutmeldingen Over Just-in-Time-gebruikers-provisioning De Just-in-Time-provisioning biedt een andere manier om gebruikers te voorzien van de VMware Identity Manager-service. In plaats van gebruikers te synchroniseren vanaf een exemplaar van Active Directory, worden gebruikers met de Just-in-Time-provisioning dynamisch gemaakt en bijgewerkt wanneer ze zich aanmelden op basis van SAML-bevestigingen die door de identiteitsprovider worden verzonden. In dit scenario werkt de VMware Identity Manager als een SAML-serviceprovider (SP). De configuratie van Just-in-Time kan alleen worden geconfigureerd voor externe identiteitsproviders. Deze configuratie is niet beschikbaar voor de connector. Met een Just-in-Time-configuratie hoeft u geen connector te installeren op locatie, omdat het maken en beheren van gebruikers wordt behandeld via SAML-bevestigingen en verificatie wordt behandeld door de externe identiteitsprovider. VMware, Inc. 32

Maken en beheren van gebruikers Als de Just-in-Time-gebruikers-provisioning is ingeschakeld en een gebruiker naar de aanmeldingspagina van de VMware Identity Manager-service gaat en een domein selecteert, stuurt de pagina de gebruiker door naar de juiste identiteitsprovider. De gebruiker meldt zich aan, wordt geverifieerd en wordt door de identiteitsprovider teruggestuurd naar de VMware Identity Manager-service met een SAML-bevestiging. De kenmerken in de SAML-bevestiging worden gebruikt om de gebruiker in de service aan te maken. Er worden alleen eigenschappen gebruikt die overeenkomen met de kenmerken van de gebruiker die in de service worden gedefinieerd; overige kenmerken worden genegeerd. De gebruiker wordt ook toegevoegd aan groepen op basis van de kenmerken en krijgt de rechten die voor die groepen zijn ingesteld. Wanneer de gebruiker zich later aanmeldt, wordt hij/zij, als er wijzigingen zijn in de SAML-bevestiging, in de service bijgewerkt. Gebruikers voorzien van Just-in-Time kunnen niet worden verwijderd. Om gebruikers te verwijderen, moet u de directory van Just-in-Time verwijderen. Let op dat alle gebruikersbeheer wordt behandeld via SAML-bevestigingen. U kunt deze gebruikers niet direct vanaf de service aanmaken of bijwerken. Gebruikers van Just-in-Time kunnen niet worden gesynchroniseerd vanaf Active Directory. Raadpleeg Vereisten voor SAML-bevestigingen voor informatie over de kenmerken die vereist zijn in de SAML-bevestiging. Just-in-Time-directory De externe identiteitsprovider moet een Just-in-Time-directory hebben die eraan is gekoppeld in de service. Wanneer u de Just-in-Time-provisioning voor een identiteitsprovider voor het eerst inschakelt, maakt u een nieuwe Just-in-Time-directory aan en specificeert u één of meer domeinen ervoor. Gebruikers die tot deze domeinen behoren, worden toegevoegd aan de directory. Als meerdere domeinen voor de directory zijn geconfigureerd, moeten SAML-bevestigingen een domeinkenmerk bevatten. Als één domein voor de directory wordt geconfigureerd, is een domeinkenmerk niet vereist in SAML-bevestigingen. Als het echter wordt gespecificeerd, moet de waarde overeenkomen met de domeinnaam. Er kan slechts één directory, van het type Just-in-Time, worden gekoppeld aan een identiteitsprovider met ingeschakelde Just-in-Time-provisioning. Voorbereiden voor just-in-time provisioning Voordat u just-in-time gebruikersiprovisioning configureert, moet u de instellingen van uw groepen, groepsrechten en gebruikerskenmerken controleren en indien nodig aanpassen. Identificeer ook de domeinen die u wilt gebruiken voor de just-in-time map. VMware, Inc. 33

Lokale groepen maken Gebruikers ingericht via Just-in-Time-provisioning worden aan groepen toegevoegd op basis van hun gebruikerskenmerken en verkrijgen hun bronrechten van de groepen waartoe zij behoren. Controleer of er lokale groepen in de service aanwezig zijn voordat u Just-in-Time-provisioning configureert. Maak een of meerdere lokale groepen, afhankelijk van uw behoeften. Stel voor elke groep de regels voor groepslidmaatschap in en voeg rechten toe. 1 Klik op het tabblad Gebruikers en groepen van de VMware Identity Manager-console. 2 Klik op Groep maken, geef een naam en een omschrijving op voor de groep en klik op Toevoegen. 3 Klik op de pagina Groepen op de nieuwe groep. 4 Stel gebruikers in voor de groep. a b Selecteer Gebruikers in deze groep in het linkerdeelvenster. Klik op Gebruikers in deze groep aanpassen en stel de regels in voor groepslidmaatschap. 5 Voeg rechten voor de groep toe. a b c Selecteer Rechten in het linkerdeelvenster. Klik op Rechten toevoegen en selecteer de applicaties en de implementatiemethode voor elke applicatie. Klik op Opslaan. Gebruikerskenmerken controleren Controleer de gebruikerskenmerken die worden ingesteld voor alle VMware Identity Manager-directory's op de pagina Gebruikerskenmerken en pas ze waar nodig aan. Wanneer een gebruiker via just-in-time provisioning wordt ingericht, wordt de SAML-assertie gebruikt om de gebruiker te maken. Alleen de kenmerken in de SAML-assertie die overeenkomen met de kenmerken die op de pagina Gebruikerskenmerken staan, worden gebruikt. Belangrijk Als een kenmerk op de pagina Gebruikerskenmerken als vereist is gemarkeerd, moet de SAML-assertie het kenmerk bevatten, anders mislukt de aanmelding. Wanneer u de gebruikerskenmerken wijzigt, moet u er rekening mee houden dat dit invloed heeft op andere directory's en configuraties in uw tenant. De pagina Gebruikerskenmerken is van applicatie op alle directory's in uw tenant. Opmerking U hoeft het vereiste domain-kenmerk niet te markeren. 1 Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer. VMware, Inc. 34

2 Klik op Setup en klik op Gebruikerskenmerken. 3 Controleer de kenmerken en wijzig deze zo nodig. Just-in-Time-gebruikersprovisioning configureren U configureert Just-in-Time-gebruikersprovisioning voor een externe identiteitsprovider tijdens het aanmaken of bijwerken van de identiteitsprovider in de VMware Identity Manager-service. Wanneer u Just-in-Time-provisioning inschakelt, maakt u een nieuwe Just-in-Time-directory aan en specificeert u hiervoor een of meerdere domeinen. Gebruikers die bij deze domeinen horen, worden toegevoegd aan de directory. U moet ten minste één domein opgeven. De domeinnaam moet uniek zijn voor alle mappen in de VMware Identity Manager-service. De SAML-asserties moeten het domeinkenmerk bevatten wanneer u meerdere domeinen specificeert. Wanneer u een enkel domein specificeert, wordt dit gebruikt als het domein voor SAML-asserties zonder een domeinkenmerk. Wanneer een domeinkenmerk is gespecificeerd, moet de waarde daarvan overeenkomen met een van de domeinen anders lukt aanmelden niet. 1 Meld u aan bij de VMware Identity Manager-console. VMware, Inc. 35

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback