Download pdf - Administration de VMware Identity Manager - VMware ... · Exigences des assertions SAML 55 ... n « Présentation des paramètres de gestion des identités et des accès », page

Administration de VMware IdentityManager

VMware Identity Manager 2.8

Administration de VMware Identity Manager

2 VMware, Inc.

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

https://docs.vmware.com/fr/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

[email protected]

Copyright © 2013 – 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.100-101 Quartier Boieldieu92042 Paris La DéfenseFrancewww.vmware.com/fr

https://docs.vmware.com/fr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Table des matières

À propos de l'administration de VMware Identity Manager 7

1 Utilisation de la console d'administration de VMware Identity Manager 9

Navigation dans la console d'administration 9Présentation des paramètres de gestion des identités et des accès 10

2 Intégration à votre annuaire d'entreprise 15

Concepts importants relatifs à l'intégration d'annuaire 15

3 Intégration à Active Directory 17

Environnements Active Directory 17À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 19Gestion des attributs utilisateur synchronisés à partir d'Active Directory 24Autorisations requises pour joindre un domaine 25Configuration de la connexion Active Directory au service 26Autoriser les utilisateurs à modifier des mots de passe Active Directory 31Configuration de la sécurité des synchronisations d'annuaire 33

4 Intégration à des annuaires LDAP 35

Limites de l'intégration d'annuaire LDAP 35Intégrer un annuaire LDAP au service 36

5 Utilisation de répertoires locaux 41

Création d'un répertoire local 43Modification des paramètres du répertoire local 47Suppression d'un répertoire local 48Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système 49

6 Provisionnement d'utilisateurs juste-à-temps 51

À propos du provisionnement d'utilisateurs juste-à-temps 51Préparation du provisionnement juste-à-temps 52Configuration du provisionnement d'utilisateurs juste-à-temps 54Exigences des assertions SAML 55Désactivation du provisionnement d'utilisateurs juste-à-temps 56Suppression d'un répertoire juste-à-temps 56Messages d'erreur 57

7 Configuration de l'authentification des utilisateurs dans

VMware Identity Manager 59Configuration de Kerberos pour VMware Identity Manager 61Configuration de SecurID pour VMware Identity Manager 65

VMware, Inc. 3

Configuration de RADIUS pour VMware Identity Manager 67Configuration de RSA Adaptive Authentication dans VMware Identity Manager 70Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager 72Configuration de VMware Verify pour l'authentification à deux facteurs 76Configuration d'un fournisseur d'identité intégré 78Configurer des fournisseurs d'identité Workspace supplémentaires 80Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs 81Gestion des méthodes d'authentification à appliquer aux utilisateurs 83

8 Gestion des stratégies d'accès 87

Configuration de paramètres de stratégie d'accès 87Gestion des stratégies spécifiques à une application Web et de poste de travail 90Ajouter une stratégie spécifique à une application Web ou de poste de travail 92Configurer le message d'erreur d'accès refusé personnalisé 92Modifier une stratégie d'accès 93Activation du cookie persistant sur des périphériques mobiles 94

9 Gestion des utilisateurs et des groupes 95

Types d'utilisateurs et de groupes 95À propos des noms d'utilisateur et des noms de groupe 96Gestion des utilisateurs 97Créer des groupes et configurer des règles de groupe 98Modifier les règles du groupe 101Ajouter des ressources à des groupes 101Créer des utilisateurs locaux 102Gestion des mots de passe 104

10 Gestion du catalogue 107

Gestion des ressources dans le catalogue 108Groupement des ressources en catégories 111Gestion des paramètres du catalogue 113

11 Utiliser le tableau de bord de la console d'administration 119

Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord 119Surveiller les informations système et la santé 120Consultation des rapports 121

12 Personnaliser les informations de marque des services VMware Identity

Manager 123Personnalisation des informations de marque dans VMware Identity Manager 123Personnaliser les informations de marque pour le portail de l'utilisateur 125Personnaliser des informations de marque pour l'application VMware Verify 126

13 Intégration d'AirWatch à VMware Identity Manager 127

Configuration d'AirWatch pour l'intégrer à VMware Identity Manager 127Configuration d'une instance d'AirWatch dans VMware Identity Manager 131Activer le catalogue unifié pour AirWatch 132Implémentation de l'authentification avec AirWatch Cloud Connector 133


4 VMware, Inc.

Implémentation de l'authentification unique mobile pour des périphériques iOS gérés parAirWatch 135

Implémentation de l'authentification Mobile SSO pour périphériques Android 143Activer la vérification de la conformité pour les périphériques gérés par AirWatch 149

Index 151

Table des matières

VMware, Inc. 5


6 VMware, Inc.

À propos de l'administration de VMware IdentityManager

Administration de VMware Identity Manager fournit des informations et des instructions sur l'utilisation etla maintenance des services VMware Identity Manager. Avec VMware Identity Manager™, vous pouvezconfigurer et gérer des méthodes d'authentification et des stratégies d'accès, personnaliser un catalogue deressources pour les applications de votre entreprise et fournir un accès sécurisé, multi-périphérique géré parl'utilisateur à ces ressources. Ces ressources comprennent des applications Web, des applications Windowscapturées sous forme de modules ThinApp, des applications Citrix et des pools de postes de travail etd'applications View.

Public concernéCes informations sont destinées à toute personne souhaitant configurer et administrerVMware Identity Manager. Ces informations sont écrites à l'intention des administrateurs Windows ouLinux expérimentés et familiers avec la technologie des machines virtuelles, de la gestion d'identité, deKerberos et des services de dossiers. La connaissance d'autres technologies, telles que VMware ThinApp®,View, la virtualisation d'applications Citrix et les méthodes d'authentification, telles que RSA SecurID, estutile si vous prévoyez de mettre en œuvre ces fonctionnalités.

VMware, Inc. 7


8 VMware, Inc.

Utilisation de la consoled'administration deVMware Identity Manager 1

La console d'administration de VMware Identity Manager™ fournit une console de gestion centralisée aveclaquelle vous pouvez gérer des utilisateurs et des groupes, ajouter des ressources au catalogue, gérer desdroits pour des ressources dans le catalogue, configurer l'intégration AirWatch et configurer et gérer desstratégies d'authentification et d'accès.

Les tâches importantes que vous réalisez depuis la console d'administration sont la gestion des stratégiesd'authentification et d'accès et l'octroi de ressources à des utilisateurs. D'autres tâches soutiennent cettetâche principale en vous fournissant un contrôle plus précis sur les utilisateurs ou groupes qui sont attribuésà certaines ressources sous certaines conditions.

Les utilisateurs finaux peuvent se connecter à leur portail VMware Workspace™ ONE™ à partir de leurspériphériques de poste de travail ou mobiles pour accéder à des ressources de travail, notamment des postesde travail, des navigateurs, des documents d'entreprise partagés et divers types d'applications que vous leuroctroyez.

Ce chapitre aborde les rubriques suivantes :

n « Navigation dans la console d'administration », page 9

n « Présentation des paramètres de gestion des identités et des accès », page 10

Navigation dans la console d'administrationLes tâches de la console d'administration sont organisées par onglets.

Onglet Description

Tableau de bord Le tableau de bord Engagement de l'utilisateur permet de surveiller les utilisateurs et l'utilisation desressources. Ce tableau de bord affiche des informations sur les utilisateurs connectés, les applicationsutilisées et leur fréquence d'utilisation.Le tableau de bord Diagnostics du système affiche une présentation détaillée du service dans votreenvironnement et d'autres informations sur les services.Vous pouvez créer des rapports pour suivre les activités des utilisateurs et des groupes, l'utilisationdes ressources et des dispositifs, et les événements d'audit par utilisateur.

Utilisateurs etgroupes

Dans l'onglet Utilisateurs et groupes, vous pouvez gérer et surveiller les utilisateurs et les groupesimportés depuis votre annuaire Active Directory ou LDAP, créer des utilisateurs et des groupes etautoriser des utilisateurs et des groupes à utiliser des ressources. Vous pouvez configurer la stratégiede mot de passe pour des utilisateurs locaux.

Catalogue Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs.Dans l'onglet Catalogue, vous pouvez ajouter des applications Web, des modules ThinApp, des poolset des applications View, des postes de travail Horizon Air et des applications Citrix. Vous pouvezcréer une application, regrouper des applications en catégories et accéder à des informations surchaque ressource. Sur la page Paramètres du catalogue, vous pouvez télécharger des certificats SAML,gérer des configurations de ressource et personnaliser l'apparence du portail utilisateur.

VMware, Inc. 9

Onglet Description

Gestion desidentités et desaccès

Dans l'onglet Identité et gestion de l'accès, vous pouvez configurer le service de connecteur, configurerl'intégration AirWatch, configurer des méthodes d'authentification et appliquer des informations demarque personnalisées à la page de connexion et à la console d'administration. Vous pouvez gérer desparamètres de répertoire, des fournisseurs d'identité et des stratégies d'accès. Vous pouvez égalementconfigurer des fournisseurs d'identité tiers.

Paramètres dudispositif

Dans l'onglet Paramètres du dispositif, vous pouvez gérer la configuration du dispositif, notammentla configuration des certificats SSL du dispositif, modifier les mots de passe d'administrateur etsystème des services et gérer d'autres fonctions d'infrastructure. Vous pouvez également mettre à jourles paramètres de licence et configurer des paramètres SMTP.

Navigateurs pris en charge pour accéder à la console d'administrationLa console d'administration VMware Identity Manager est une application Web qui vous permet de gérervotre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants.

n Internet Explorer 11 pour systèmes Windows

n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac

n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac

n Safari 6.2.8 et version ultérieure pour les systèmes Mac

Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifiervia VMware Identity Manager.

Composants de l'utilisateur final de VMware Identity ManagerLes utilisateurs peuvent accéder aux ressources auxquelles ils ont droit depuis leur portail Workspace ONE.

Ils peuvent accéder aux applications Windows virtualisées capturées sous forme de modules ThinAppdepuis Identity Manager Desktop.

Tableau 1‑1. Composants client utilisateur

Composant utilisateur DescriptionPoints de terminaisondisponibles

Portail d'applications del'utilisateur Workspace ONE

Le portail d'applications est une application Web sansagent. Il s'agit de l'interface par défaut utilisée lorsqueles utilisateurs accèdent avec un navigateur auxressources qui leur ont été octroyées.Si un utilisateur final dispose d'applications ThinAppautorisées et emploie un ordinateur Windows surlequel l'application Identity Manager Desktop estinstallée et active, il peut voir et lancer les modulesThinApp qui lui ont été octroyés à l'aide de ce portaild'applications.

Le portail des applicationsWeb est disponible sur tousles points de terminaisonsystème pris en charge, telsque les ordinateursWindows, les ordinateursMac, les périphériques iOSet les périphériquesAndroid.

Identity Manager Desktop Lorsque ce programme est installé sur les ordinateursWindows des utilisateurs, ces derniers peuventtravailler avec leurs applications Windows virtualiséescapturées sous forme de modules ThinApp.

Ordinateurs Windows

Présentation des paramètres de gestion des identités et des accèsDans l'onglet Identité et gestion de l'accès de la console d'administration, vous pouvez configurer et gérer lesméthodes d'authentification, les stratégies d'accès, le service d'annuaire, et personnaliser l'apparence duportail de l'utilisateur final et de la console d'administration.

Voici une description des paramètres de configuration dans l'onglet Identité et gestion de l'accès.


10 VMware, Inc.

Figure 1‑1. Pages Configuration de l'onglet Identité et gestion de l'accès

Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès

Paramètre Description

Configuration >Connecteurs

La page Connecteurs répertorie les connecteurs qui sont déployés dans votre réseaud'entreprise. Le connecteur est utilisé pour synchroniser les données des utilisateurs et desgroupes entre votre répertoire d'entreprise et le service, et lorsqu'il est utilisé commefournisseur d'identité, il authentifie les utilisateurs sur le service.Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée unepartition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut êtreassociée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité.Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur.Le connecteur synchronise les données des utilisateurs et des groupes entre votre répertoired'entreprise et le service au moyen d'un ou de plusieurs travailleurs.n Dans la colonne Travailleur, sélectionnez un travailleur pour consulter les détails du

connecteur et accédez à la page Adaptateurs d'authentification pour afficher l'état desméthodes d'authentification disponibles. Pour de plus amples informations surl'authentification, reportez-vous au Chapitre 7, « Configuration de l'authentificationdes utilisateurs dans VMware Identity Manager », page 59.

n Dans la colonne Fournisseur d'identité, sélectionnez l'IdP à afficher, modifier oudésactiver. Voir « Ajouter et configurer une instance de fournisseur d'identité »,page 81.

n Dans la colonne Annuaire associé, accédez à l'annuaire associé à ce travailleur.Avant de pouvoir ajouter un nouveau connecteur, vous devez cliquer sur Ajouter unconnecteur pour générer un code d'activation que vous collez dans l'AssistantConfiguration pour établir une connexion avec le connecteur.Lien Joindre le domainen Vous devez cliquer sur Joindre le domaine pour joindre le connecteur à un domaine

Active Directory spécifique. Par exemple, lorsque vous configurez l'authentificationKerberos, vous devez joindre le domaine Active Directory contenant des utilisateurs ouayant une relation d'approbation avec les domaines contenant des utilisateurs.

n Lorsque vous configurez un annuaire avec un environnement Active Directory àauthentification Windows intégrée, le connecteur joint le domaine en fonction desdétails de configuration.

Configuration >Informations de marquepersonnalisées

Sur la page Informations de marque personnalisées, vous pouvez personnaliser l'apparencede l'en-tête de la console d'administration et de l'écran de connexion. Voir « Personnalisation des informations de marque dans VMware Identity Manager »,page 123.Pour personnaliser le portail Web de l'utilisateur final, les vues Mobile et Tablette, accédez àCatalogue > Paramètres > Informations de marque du portail de l'utilisateur. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125.

Configuration > Attributsutilisateur

La page Attributs utilisateur répertorie les attributs utilisateur par défaut qui sontsynchronisés dans l'annuaire et vous pouvez ajouter d'autres attributs et les mapper auxattributs Active Directory. Voir « Sélection des attributs à synchroniser avec l'annuaire »,page 24.

Configuration > Plagesréseau

Cette page répertorie les plages réseau que vous avez ajoutées. Vous pouvez configurer uneplage réseau pour accorder un accès aux utilisateurs via ces adresses IP. Vous pouvezajouter des plages réseau supplémentaires et modifier les plages existantes. Voir « Ajout oumodification d'une plage réseau », page 83.

Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager

VMware, Inc. 11

Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès (suite)


Configuration >Découverte automatique

Lorsque VMware Identity Manager et AirWatch sont intégrés, vous pouvez intégrer leservice Découverte automatique de Windows que vous avez déployé dans votreconfiguration d'AirWatch au service VMware Identity Manager. Pour plus de détails sur laconfiguration de la découverte automatique dans AirWatch, consultez la documentationd'AirWatch « VMware AirWatch Windows Autodiscovery Service Installation Guide »,disponible sur le site Web d'AirWatch, http://air-watch.comEnregistrez votre domaine de messagerie pour utiliser le service de découverteautomatique afin de faciliter l'accès des utilisateurs à leur portail d'applications avecWorkspace ONE. Les utilisateurs finaux peuvent entrer leurs adresses e-mail au lieu del'URL de l'organisation lorsqu'ils accèdent à leur portail d'applications via Workspace ONE.Pour plus d'informations sur la découverte automatique, consultez le guide Configurationde l'application VMware Workspace ONE sur des périphériques.

Configuration > AirWatch Sur cette page, vous pouvez configurer l'intégration à AirWatch. Une fois l'intégrationconfigurée et enregistrée, vous pouvez activer le catalogue unifié pour fusionner desapplications paramétrées dans le catalogue AirWatch avec le catalogue unifié, activer lavérification de la conformité afin de vérifier que les périphériques gérés respectent lesstratégies de conformité d'AirWatch et activer l'authentification par mot de passe utilisateurvia AirWatch Cloud Connector (ACC). Voir Chapitre 13, « Intégration d'AirWatch àVMware Identity Manager », page 127.

Configuration >Préférences

La page Préférences affiche des fonctionnalités que l'administrateur peut activer. Cela inclutn Les cookies persistants peuvent être activés sur cette page. Voir « Activer le cookie

persistant », page 94.n Lorsque des utilisateurs locaux sont configurés dans votre service, pour afficher

Utilisateurs locaux sous la forme d'une option de domaine sur la page de connexion,activez Afficher les utilisateurs locaux sur la page de connexion.

Voici une description des paramètres utilisés pour gérer les services dans l'onglet Identité et gestion del'accès.

Figure 1‑2. Pages Gérer de l'onglet Identité et gestion de l'accès


12 VMware, Inc.

Tableau 1‑3. Paramètres de gestion de l'onglet Identité et gestion de l'accès


Gérer > Annuaires La page Annuaires répertorie les annuaires que vous avez créés. Vous devez créer un ouplusieurs répertoires, puis les synchroniser avec le déploiement de votre répertoired'entreprise. Cette page présente le nombre de groupes et d'utilisateurs qui sontsynchronisés avec l'annuaire ainsi que l'heure de la dernière synchronisation. Vous pouvezcliquer sur Synchroniser maintenant afin de lancer la synchronisation de l'annuaire.Voir Chapitre 2, « Intégration à votre annuaire d'entreprise », page 15.Lorsque vous cliquez sur le nom d'un annuaire, vous pouvez modifier les paramètres desynchronisation, accéder à la page Fournisseurs d'identité et consulter le journal desynchronisation.Sur la page des paramètres de synchronisation des répertoires, vous pouvez programmer lafréquence de synchronisation, voir la liste de domaines associés à ce répertoire, modifier laliste d'attributs mappés, mettre à jour la liste des utilisateurs et des groupes qui sesynchronisent et définir les cibles de protection.

Gérer > Fournisseursd'identité

La page Fournisseurs d'identité répertorie les fournisseurs d'identité que vous avezconfigurés. Le connecteur est le fournisseur d'identité initial. Vous pouvez ajouter desinstances de fournisseurs d'identité tiers ou avoir une combinaison des deux. Lefournisseur d'identité intégré de VMware Identity Manager peut être configuré pourl'authentification.Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81.

Gérer > AssistantRécupération de mot depasse

Sur la page Assistant Récupération de mot de passe, vous pouvez modifier lecomportement par défaut lorsque l'utilisateur final clique sur le bouton « Mot de passeoublié » de l'écran de connexion.

Gérer > Stratégies La page Stratégies répertorie la stratégie d'accès par défaut et toute autre stratégie d'accèsaux applications Web que vous avez créées. Les stratégies sont des ensembles de règles quispécifient les critères à respecter pour que les utilisateurs accèdent à leur portail Mesapplications ou pour lancer des applications Web spécialement activées pour ces derniers.Vous pouvez modifier la stratégie par défaut et, si des applications Web sont ajoutées aucatalogue, vous pouvez ajouter de nouvelles stratégies pour gérer l'accès à ces applicationsWeb. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87.

Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager

VMware, Inc. 13


14 VMware, Inc.

Intégration à votre annuaired'entreprise 2

Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs etles groupes entre votre annuaire d'entreprise et le service VMware Identity Manager.

Les types d'annuaires suivants sont pris en charge.

n Active Directory via LDAP

n Active Directory, authentification Windows intégrée

n répertoire LDAP

Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes.

n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le serviceVMware Identity Manager.

n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaired'entreprise et spécifiez les détails de connexion.

n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire ActiveDirectory ou LDAP.

n Spécifiez les utilisateurs et les groupes à synchroniser.

n Synchronisez les utilisateurs et les groupes.

Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre àjour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation àtout moment.

Concepts importants relatifs à l'intégration d'annuairePlusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègreà votre environnement d'annuaire Active Directory ou LDAP.

ConnectorLe connecteur, composant du service, exécute les fonctions suivantes.

n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAPavec le service.

n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.

VMware, Inc. 15

Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseursd'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour untype d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers estpréférable en fonction de la stratégie de sécurité de votre entreprise.

Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur poursynchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à-temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMwareIdentity Manager pour plus d'informations.

AnnuaireLe service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaireActive Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir desutilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniseravec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans leservice.

n Active Directory

n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seulenvironnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, leconnecteur se lie à Active Directory via une authentification Bind simple.

n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez devous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteurse lie à Active Directory via l'authentification Windows intégrée.

Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, parexemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans laplupart des environnements, vous devez créer un seul annuaire.

n Annuaire LDAP

Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accèsdirect. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance.

TravailleurLorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pourl'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs.Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodesd'authentification pour chaque travailleur.

Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directoryou LDAP et le service au moyen d'un ou de plusieurs travailleurs.

Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory detype Authentification Windows intégrée.

Considérations de sécuritéPour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité,tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte,doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pasces paramètres.


16 VMware, Inc.

Intégration à Active Directory 3Vous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniserles utilisateurs et les groupes entre Active Directory et VMware Identity Manager.

Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15.


n « Environnements Active Directory », page 17

n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19

n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24

n « Autorisations requises pour joindre un domaine », page 25

n « Configuration de la connexion Active Directory au service », page 26

n « Autoriser les utilisateurs à modifier des mots de passe Active Directory », page 31

n « Configuration de la sécurité des synchronisations d'annuaire », page 33

Environnements Active DirectoryVous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine ActiveDirectory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dansdifférentes forêts Active Directory.

Environnement à un seul domaine Active DirectoryUn déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'unseul domaine Active Directory.

Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directoryvia LDAP.

Pour plus d'informations, voir :





VMware, Inc. 17

Environnement Active Directory à domaines multiples, forêt uniqueUn déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et desgroupes à partir de multiples domaines Active Directory au sein d'une forêt unique.

Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de typeAuthentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type ActiveDirectory via LDAP configuré avec l'option de catalogue global.

n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée àActive Directory unique.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory(Authentification Windows intégrée).






n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory,créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.

Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :

n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dansle schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributssont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schémapour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.

n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universelsuniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vouspouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.

n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doitdisposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).

Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes decatalogue global, les ports 3268 et 3269 sont utilisées.

Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actionssuivantes lors de la configuration.

n Sélectionnez l'option Active Directory via LDAP.

n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement duservice DNS.

n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cetteoption, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le NDde base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texteND de base n'apparaît pas.

n Ajoutez le nom d'hôte du serveur Active Directory.

n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaireexige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée.Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifiéà 3269.


18 VMware, Inc.

Environnement Active Directory à forêts multiples avec relations d'approbationUn déploiement Active Directory à forêts multiples avec relations d'approbation vous permet desynchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans desforêts où des relations d'approbation bidirectionnelles existent entre les domaines.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory(Authentification Windows intégrée).






Environnement Active Directory à forêts multiples sans relations d'approbationUn déploiement Active Directory à forêts multiples sans relations d'approbation vous permet desynchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans desforêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieursannuaires dans le service, à raison d'un annuaire par forêt.

Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines,sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptantqu'un seul domaine, sélectionnez l'option Active Directory via LDAP.






À propos de la sélection des contrôleurs de domaine (fichierdomain_krb.properties)

Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuairessur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient uneliste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérerpar la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV).

La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants :

n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNSsélectionnée

n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement duservice DNS est toujours activée

La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS estactivée, un fichier domain_krb.properties est automatiquement créé dans lerépertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domainepour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domainequi se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et quiréagissent le plus vite.

Chapitre 3 Intégration à Active Directory

VMware, Inc. 19

Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du serviceDNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windowsintégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier.

Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichierdomain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichierdomain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés àvotre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domainedans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche duconnecteur garantit une communication plus rapide avec Active Directory.

Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règlessuivantes s'appliquent.

n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans undéploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machinevirtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pourl'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peutcontenir qu'un seul fichier domain_krb.properties.

n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine,la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNSest activée.

n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter àActive Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pasaccessible, il teste le deuxième de la liste, etc.

n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche del'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaireAuthentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine leconcernant sont ajoutés au fichier.

Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Parexemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans lefichier et elle n'est pas mise à jour.

n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimezun annuaire, l'entrée de domaine n'est pas supprimée du fichier.

n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier etsupprimez-le.

n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pasremplacées.

Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section « Modification du fichier domain_krb.properties », page 22.

Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsquevous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plusd'informations, consultez la section « Modification du fichier domain_krb.properties », page 22 etl'article 2091744 de la base de connaissances.


20 VMware, Inc.

https://kb.vmware.com/kb/2091744

Mode de sélection des contrôleurs de domaine pour remplir automatiquementle fichier domain_krb.properties

Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sontsélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et dumasque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous-réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaineapproprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite.

Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a lesexigences suivantes :

n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous-réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélectionde sous-réseau par défaut », page 21.

Le sous-réseau est utilisé pour déterminer le site.

n La configuration Active Directory doit être liée au site.

Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site,la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et lefichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que cescontrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, cequi peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory.Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs dedomaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties »,page 22.

Exemple de fichier domain_krb.propertiesexample.com=host1.example.com:389,host2.example.com:389

Remplacement de la sélection de sous-réseau par défautPour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher lescontrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre leconnecteur et Active Directory.

Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de sonadresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le sitepour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou sivous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dansle fichier runtime-config.properties.

Procédure

1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.

Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à lamachine virtuelle de connecteur.

2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant.

siteaware.subnet.override=subnet

où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple :

siteaware.subnet.override=10.100.0.0/20


VMware, Inc. 21

3 Enregistrez et fermez le fichier.

4 Redémarrez le service.

service horizon-workspace restart

Modification du fichier domain_krb.propertiesLe fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliserpour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvezmodifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pourajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées.

Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellementdans les scénarios suivants.

n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration,modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser.

n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier.

n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier.

Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichierdomain_krb.properties) », page 19.

Procédure

1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.

Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à lamachine virtuelle de connecteur.

2 Modifiez les répertoires sur /usr/local/horizon/conf.

3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeursd'hôte.

Utilisez le format suivant :

domain=host:port,host2:port,host3:port

Par exemple :

example.com=examplehost1.example.com:389,examplehost2.example.com:389

Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, leconnecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste ledeuxième de la liste, etc.

Important Les noms de domaine doivent être en minuscules.

4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide dela commande suivante.

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5 Redémarrez le service.



22 VMware, Inc.

Suivant

Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Lefichier krb5.conf doit être cohérent avec le fichier domain_krb.properties.

1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeursdomaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties.Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichierdomain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vousdevez mettre à jour le fichier krb5.conf comme suit.

[realms]

GAUTO-QA.COM = {

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, cardans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdcsupplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.

2 Redémarrez le service workspace.


Consultez également l'article 2091744 de la base de connaissances.

Dépannage du fichier domain_krb.propertiesUtilisez les informations suivantes pour dépanner le fichier domain_krb.properties.

Erreur « Erreur lors de la résolution du domaine »Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer unannuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » seproduit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée dedomaine avant de créer l'annuaire.

Des contrôleurs de domaine sont inaccessiblesUne fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jourautomatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles,modifiez le fichier manuellement et supprimez-les.


VMware, Inc. 23

https://kb.vmware.com/kb/2091744

Gestion des attributs utilisateur synchronisés à partir d'ActiveDirectory

Lors de la configuration de répertoire du service VMware Identity Manager, vous devez sélectionner desattributs utilisateur et des filtres Active Directory pour sélectionner les utilisateurs à synchroniser dans lerépertoire VMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisentavec la console d'administration, onglet Gestion des identités et des accès, Configuration > Attributsutilisateur.

Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la pageAttributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sontmises à jour dans le répertoire lors de la synchronisation suivante à Active Directory.

La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributsActive Directory. Vous devez sélectionner les attributs obligatoires et ajouter les autres attributs que voussouhaitez synchroniser avec le répertoire. Lorsque vous ajoutez des attributs, le nom d'attribut que vousentrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des attributs différents.

Tableau 3‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire

Nom de l'attribut du répertoire de VMware IdentityManager Mappage par défaut vers l'attribut Active Directory

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

domaine canonicalName. Ajoute le nom de domaine complet de l'objet.

disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_DisableLorsqu'un compte est désactivé, les utilisateurs ne peuvent passe connecter pour accéder à leurs applications et à leursressources. Comme les ressources attribuées aux utilisateurs nesont pas supprimées du compte, lorsque l'indicateur estsupprimé du compte, les utilisateurs peuvent se connecter etaccéder aux ressources qui leur sont octroyées

phone telephoneNumber

lastName sn

firstName givenName

email mail

userName sAMAccountName.

Sélection des attributs à synchroniser avec l'annuaireLorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vousdevez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire,vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributssupplémentaires que vous souhaitez mapper aux attributs Active Directory.

Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez fairepasser les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire etajouter des attributs personnalisés.

Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvezsupprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'étatobligatoire.


24 VMware, Inc.

Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à lapage Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory.

Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créerl'annuaire VMware Identity Manager.

Procédure

1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration> Attributs utilisateur.

2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez lesmodifications souhaitées pour refléter les attributs obligatoires.

3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste.

4 Cliquez sur Enregistrer.

L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la listed'attributs mappés de l'annuaire.

5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire.

6 Cliquez sur Paramètres de synchronisation > Attributs mappés.

7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory àmapper.


L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory.

Autorisations requises pour joindre un domaineVous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour lesannuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pourles annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint audomaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournirdes informations d'identification.

Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilègepour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droitssuivants :

n Créer des objets Ordinateur

n Supprimer des objets Ordinateur

Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans ActiveDirectory, sauf si vous spécifiez une OU personnalisée.

Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes.

1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory,dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte duconnecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple,serveur.exemple.com.

Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans laconsole d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurspour afficher la page Connecteurs.


VMware, Inc. 25

2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dansla console d'administration de VMware Identity Manager.

La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant surIdentité et gestion de l'accès > Configuration > Connecteurs.

Option Description

Domaine Sélectionnez ou entrez le domaine Active Directory àjoindre. Vérifiez que vous entrez le nom de domainecomplet. Par exemple, server.example.com.

Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directorydisposant des droits de joindre des systèmes au domaineActive Directory.

Mot de passe du domaine Mot de passe de l'utilisateur.

Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur.Cette option crée un objet ordinateur dans l'OU spécifiéeplutôt que l'OU Ordinateurs par défaut.Par exemple, ou=testou,dc=test,dc=example,dc=com.

Configuration de la connexion Active Directory au serviceLa console d'administration permet de spécifier les informations requises pour vous connecter à votreannuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaireVMware Identity Manager.

Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windowsintégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche del'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devezconfigurer le domaine à joindre.

Prérequis

n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, surla page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24.

Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant decréer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjàcréé.

n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.

n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nomunique de liaison et le mot de passe du nom unique de liaison.

Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un motde passe sans date d'expiration.

n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresseet le mot de passe de l'UPN de l'utilisateur Bind du domaine.


n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racinedu contrôleur de domaine Active Directory est requis.


26 VMware, Inc.

n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaireActive Directory à forêts multiples et que le groupe local du domaine contient des membres dedomaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupeAdministrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres neseront pas présents dans le groupe local du domaine.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.

2 Sur la page Répertoires, cliquez sur Ajouter un répertoire.

3 Entrez un nom pour cet annuaire VMware Identity Manager.


VMware, Inc. 27

4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez lesinformations de connexion.

Option Description

Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez leconnecteur à utiliser pour la synchronisation avec Active Directory.

b Dans le champ Authentification, si cet annuaire Active Directory estutilisé pour authentifier des utilisateurs, cliquez sur Oui.

Si un fournisseur d'identité tiers est utilisé pour authentifier lesutilisateurs, cliquez sur Non. Après avoir configuré la connexionActive Directory pour synchroniser les utilisateurs et les groupes,accédez à la page Gestion des identités et des accès > Gérer >Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à desfins d'authentification.

c Dans le champ Attribut de recherche d'annuaire, sélectionnezl'attribut de compte qui contient le nom d'utilisateur.

d Si l'annuaire Active Directory utilise la recherche de l'emplacement duservice DNS, faites les sélections suivantes.n Dans la section Emplacement du serveur, cochez la case Ce

répertoire prend en charge l'emplacement du service DNS.

Un fichier domain_krb.properties, rempli automatiquementavec une liste de contrôleurs de domaine, sera créé lors de lacréation de l'annuaire. Voir « À propos de la sélection descontrôleurs de domaine (fichier domain_krb.properties) », page 19.

n Si l'annuaire Active Directory requiert le chiffrement STARTTLS,cochez la case Cet annuaire exige que toutes les connexionsutilisent SSL dans la section Certificats, puis copiez et collez lecertificat d'autorité de certification racine Active Directory dans lechamp Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».Remarque Si l'annuaire Active Directory requiert STARTTLS etque vous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

e Si l'annuaire Active Directory n'utilise pas la recherche del'emplacement du service DNS, faites les sélections suivantes.n Dans la section Emplacement du serveur, vérifiez que la case Cet

annuaire prend en charge l'emplacement du service DNS n'estpas cochée et entrez le nom d'hôte et le numéro de port du serveurActive Directory.

Pour configurer l'annuaire comme catalogue global, reportez-vousà la section Environnement Active Directory à forêt unique etdomaines multiples au chapitre « Environnements ActiveDirectory », page 17.

n Si l'annuaire Active Directory requiert un accès via SSL, cochez lacase Cet annuaire exige que toutes les connexions utilisent SSLdans la section Certificats, puis copiez et collez le certificatd'autorité de certification racine Active Directory dans le champCertificat SSL.


28 VMware, Inc.

Option DescriptionVérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».Remarque Si l'annuaire Active Directory requiert SSL et quevous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

f Dans le champ ND de base, entrez le ND à partir duquel voussouhaitez lancer les recherches de comptes. Par exemple :OU=myUnit,DC=myCorp,DC=com.

g Dans le champ ND Bind, entrez le compte pouvant rechercher desutilisateurs. Par exemple :CN=binduser,OU=myUnit,DC=myCorp,DC=com.Remarque Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.

h Après avoir entré le mot de passe Bind, cliquez sur Tester laconnexion pour vérifier que l'annuaire peut se connecter à votreannuaire Active Directory.

Active Directory (authentificationWindows intégrée)

a Dans le champ Connecteur de synchronisation, sélectionnez leconnecteur à utiliser pour la synchronisation avec Active Directory.

b Dans le champ Authentification, si cet annuaire Active Directory estutilisé pour authentifier des utilisateurs, cliquez sur Oui.

Si un fournisseur d'identité tiers est utilisé pour authentifier lesutilisateurs, cliquez sur Non. Après avoir configuré la connexionActive Directory pour synchroniser les utilisateurs et les groupes,accédez à la page Gestion des identités et des accès > Gérer >Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à desfins d'authentification.

c Dans le champ Attribut de recherche d'annuaire, sélectionnezl'attribut de compte qui contient le nom d'utilisateur.

d Si l'annuaire Active Directory requiert le chiffrement STARTTLS,cochez la case Cet annuaire a besoin de toutes les connexions pourpouvoir utiliser STARTTLS dans la section Certificats, puis copiez etcollez le certificat d'autorité de certification racine Active Directorydans le champ Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».

Si l'annuaire dispose de plusieurs domaines, ajoutez les certificatsd'autorité de certification racine pour tous les domaines, un par un.Remarque Si l'annuaire Active Directory requiert STARTTLS et quevous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

e Entrez le nom du domaine Active Directory à joindre. Entrez un nomd'utilisateur et un mot de passe disposant des droits pour joindre ledomaine. Voir « Autorisations requises pour joindre un domaine »,page 25 pour obtenir plus d'informations.

f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal del'utilisateur pouvant s'authentifier dans le domaine. Par exemple,[email protected] Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.

g Entrez le mot de passe de l'utilisateur Bind.

5 Cliquez sur Enregistrer et Suivant.

La page contenant la liste de domaines apparaît.


VMware, Inc. 29

6 Pour Active Directory via LDAP, les domaines sont signalés par une coche.

Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent êtreassociés à cette connexion Active Directory.

Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne ledétecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doitquitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbationapparaît dans la liste.

Cliquez sur Suivant.

7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributsActive Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.

8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaireVMware Identity Manager.

Option Description

Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe etsélectionnez les groupes situés en dessous.a Cliquez sur + et spécifiez le ND du groupe. Par exemple,

CN=users,DC=example,DC=company,DC=com.Important Spécifiez des ND du groupe qui se trouvent sous le nomunique de base que vous avez entré. Si un ND du groupe se trouve endehors du nom unique de base, les utilisateurs de ce ND serontsynchronisés, mais ne pourront pas se connecter.

b Cliquez sur Rechercher des groupes.

La colonne Groupes à synchroniser répertorie le nombre de groupestrouvés dans le ND.

c Pour sélectionner tous les groupes dans le ND, cliquez surSélectionner tout, sinon cliquez sur Sélectionner et sélectionnez lesgroupes spécifiques à synchroniser.

Remarque Lorsque vous synchronisez un groupe, les utilisateurs nedisposant pas d'Utilisateurs de domaine comme groupe principal dansActive Directory ne sont pas synchronisés.

Synchroniser les membres dugroupe imbriqué

L'option Synchroniser les membres du groupe imbriqué est activée pardéfaut. Lorsque cette option est activée, tous les utilisateurs quiappartiennent directement au groupe que vous sélectionnez, ainsi que lesutilisateurs qui appartiennent à des groupes imbriqués sous ce groupe,sont synchronisés. Notez que les groupes imbriqués ne sont passynchronisés ; seuls les utilisateurs qui appartiennent aux groupesimbriqués le sont. Dans l'annuaire VMware Identity Manager, cesutilisateurs seront des membres du groupe parent que vous avezsélectionné pour la synchronisation.Si l'option Synchroniser les membres du groupe imbriqué est désactivée,lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs quiappartiennent directement à ce groupe sont synchronisés. Les utilisateursqui appartiennent à des groupes imbriqués sous ce groupe ne sont passynchronisés. La désactivation de cette option est utile pour lesconfigurations Active Directory importantes pour lesquelles parcourir unearborescence de groupes demande beaucoup de ressources et de temps. Sivous désactivez cette option, veillez à sélectionner tous les groupes dontvous voulez synchroniser les utilisateurs.

9 Cliquez sur Suivant.


30 VMware, Inc.

10 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.

a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrezCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vousavez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ceND seront synchronisés, mais ne pourront pas se connecter.

b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains typesd'utilisateurs.

Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.


12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire etpour voir le planning de synchronisation.

Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,cliquez sur les liens Modifier.

13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire.

La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre ActiveDirectory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôled'administrateur dans VMware Identity Manager par défaut.

Suivant

n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichierdomain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine.Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de lasélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19.

n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avecl'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer desméthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identitéd'authentification, configurez ce dernier dans le connecteur.

n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière àpermettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec undélai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délaid'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défautet lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.

n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur età l'écran de connexion.

Autoriser les utilisateurs à modifier des mots de passe ActiveDirectory

Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portailou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent égalementréinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager sile mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui forcel'utilisateur à modifier le mot de passe lors de la prochaine connexion.

Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe surla page Paramètres de répertoire.


VMware, Inc. 31

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE encliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et encliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuventmodifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directorypeuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot depasse expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveaumot de passe.

Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'ActiveDirectory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'ActiveDirectory.

Les limites suivantes s'appliquent.

n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que l'optionAutoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 etultérieures.

n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'optionAutoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoiresen tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide desports 389 ou 636.

n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir deVMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise.


n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets(caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager.

Prérequis

n Pour activer l'option Autoriser la modification du mot de passe, vous devez utiliser un compted'utilisateur de nom unique de liaison et disposer d'autorisations d'accès en écriture pour ActiveDirectory.

n Le port 464 doit être ouvert sur le contrôleur de domaine.

Procédure


2 Dans l'onglet Répertoires, cliquez sur le répertoire.

3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification dumot de passe.

4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquezsur Enregistrer.


32 VMware, Inc.

Configuration de la sécurité des synchronisations d'annuaireDes limites de seuil de sécurité de synchronisation peuvent être configurées dans l'annuaire pour évitertoute modification accidentelle de la configuration par les utilisateurs et les groupes qui se synchronisentavec l'annuaire à partir d'Active Directory.

Les seuils de sécurité de synchronisation définis limitent le nombre de modifications pouvant être apportéesaux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Si un seuil de sécurité d'annuaire estatteint, la synchronisation d'annuaire s'arrête et un message s'affiche sur la page Journal de synchronisationde l'annuaire. Lorsque SMTP est configuré dans la console d'administration de VMware Identity Manager,vous recevez un e-mail lorsque la synchronisation échoue en raison d'une violation de la sécurité.

Lorsque la synchronisation échoue, vous pouvez accéder à la page Paramètres de synchronisation > Journalde synchronisation de l'annuaire pour voir une description du type de violation de la sécurité.

Pour terminer correctement la synchronisation, vous pouvez augmenter le pourcentage de seuil de lasécurité sur la page de paramètres Sécurité des synchronisations ou vous pouvez planifier une exécution detest de la synchronisation et cocher Ignorer la sécurité. Lorsque vous choisissez d'ignorer la valeur de seuilde la sécurité, les valeurs de sécurité ne sont pas appliquées pour cette session de synchronisationuniquement.

Lors de la première synchronisation d'annuaire, les valeurs de sécurité de la synchronisation ne sont pasappliquées.

Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez lesvaleurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides,les protections de synchronisation ne sont pas activées.

Configurer des protections de synchronisation d'annuaireConfigurez les paramètres de seuil de protection de synchronisation pour limiter le nombre demodifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise.

Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez lesvaleurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides,les protections de synchronisation ne sont pas activées.

Procédure

1 Pour modifier les paramètres de protection, dans l'onglet Gestion des identités et des accès, sélectionnezGérer > Annuaires.

2 Sélectionnez l'annuaire pour définir les protections et cliquez sur Paramètres de synchronisation

3 Cliquez sur Protections.

4 Définissez le pourcentage de modifications pour déclencher la synchronisation.



VMware, Inc. 33

Ignorer les paramètres de sécurité pour terminer la synchronisation avecl'annuaire

Lorsque vous recevez une notification indiquant que la synchronisation ne s'est pas terminée en raisond'une violation de la sécurité, vous pouvez planifier une exécution de test de la synchronisation et cocher lacase Ignorer la sécurité pour remplacer le paramètre de sécurité et terminer la synchronisation.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, sélectionnez Gérer > Annuaires.

2 Sélectionnez l'annuaire qui n'a pas terminé la synchronisation et accédez à la page Journal desynchronisation.

3 Pour voir le type de violation de la sécurité, dans la colonne Détails de la synchronisation, cliquez surÉchec de l'exécution de la synchronisation. Vérifiez la sécurité.

4 Cliquez sur OK.

5 Pour continuer la synchronisation sans modifier les paramètres de sécurité, cliquez sur Synchronisermaintenant.

6 Sur la page Vérification, cochez la case Ignorer la sécurité.

7 Cliquez sur Synchroniser l'annuaire.

La synchronisation d'annuaire est exécutée et les paramètres de seuil de sécurité sont ignorés pour cettesession de synchronisation uniquement.


34 VMware, Inc.

Intégration à des annuaires LDAP 4Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser desutilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.

Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15.


n « Limites de l'intégration d'annuaire LDAP », page 35

n « Intégrer un annuaire LDAP au service », page 36

Limites de l'intégration d'annuaire LDAPLes limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP.

n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine.

Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuairesVMware Identity Manager supplémentaires, un pour chaque domaine.

n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuairesVMware Identity Manager de type LDAP.

n authentification Kerberos

n RSA Adaptive Authentication

n ADFS en tant que fournisseur d'identité tiers

n SecurID

n Authentification Radius avec serveur Vasco et SMS Passcode

n Vous ne pouvez pas joindre un domaine LDAP.

n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuairesVMware Identity Manager de type LDAP.

n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.

n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer desattributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut êtremarqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuairesdans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont passynchronisés avec le service VMware Identity Manager.

VMware, Inc. 35

n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devezspécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les nomslorsque vous sélectionnez les groupes à synchroniser.

n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible.

n Le fichier domain_krb.properties n'est pas pris en charge.

Intégrer un annuaire LDAP au serviceVous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser desutilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.

Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant etsynchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaireVMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les misesà jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et lesmappez aux attributs VMware Identity Manager.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoircréé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour queVMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur oude groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votreannuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind

n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites del'intégration d'annuaire LDAP », page 35.

Prérequis

n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité àintégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures.

n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateuret ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs deVMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créezl'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.

Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autresannuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez àne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué commerequis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service.Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec leservice VMware Identity Manager.

n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateurde nom unique de liaison avec un mot de passe sans date d'expiration.

n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.

n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaireVMware Identity Manager.


36 VMware, Inc.

n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.

n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour lesattributs userPrincipalName et d'adresse électronique.

Procédure


2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.

3 Entrez les informations requises sur la page Ajouter un annuaire LDAP.

Option Description

Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.

Synchronisation et authentificationdu répertoire

a Dans le champ Synchroniser le connecteur, sélectionnez le connecteurque vous voulez utiliser pour synchroniser des utilisateurs et desgroupes de l'annuaire LDAP avec l'annuaireVMware Identity Manager.

Un composant de connecteur est toujours disponible avec le serviceVMware Identity Manager par défaut. Ce connecteur apparaît dans laliste déroulante. Si vous installez plusieurs dispositifsVMware Identity Manager pour la haute disponibilité, le composantde connecteur de chaque dispositif apparaît dans la liste.

Vous n'avez pas besoin d'un connecteur séparé pour un annuaireLDAP. Un connecteur peut prendre en charge plusieurs annuaires,qu'il s'agisse d'annuaires Active Directory ou LDAP.

Pour les scénarios dans lesquels vous avez besoin de connecteurssupplémentaires, consultez la section « Installation de dispositifs deconnecteur supplémentaires » dans le Guide d'installation de VMwareIdentity Manager.

b Dans le champ Authentification, si vous voulez utiliser cet annuaireLDAP pour authentifier des utilisateurs, sélectionnez Oui.

Si vous voulez utiliser un fournisseur d'identité tiers pour authentifierdes utilisateurs, sélectionnez Non. Après avoir ajouté la connexiond'annuaire pour synchroniser les utilisateurs et les groupes, accédez àla page Identité et gestion de l'accès > Gérer > Fournisseurs d'identitépour ajouter le fournisseur d'identité tiers à des fins d'authentification.

c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attributd'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'estpas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut.Par exemple, cn.

Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôtede serveur, vous pouvez spécifier le nom de domaine complet ou l'adresseIP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.Si vous disposez d'un cluster de serveurs derrière un équilibrage decharge, entrez les informations de ce dernier à la place.

Chapitre 4 Intégration à des annuaires LDAP

VMware, Inc. 37

Option Description

Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP queVMware Identity Manager peut utiliser pour interroger votre annuaireLDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAPprincipal.Requêtes LDAPn Obtenir des groupes : filtre de recherche pour obtenir des objets de

groupe.

Par exemple : (objectClass=group)n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet

d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison àl'annuaire.

Par exemple : (objectClass=person)n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à

synchroniser.

Par exemple :(&(objectClass=user)(objectCategory=person))Attributsn Appartenance : attribut utilisé dans votre annuaire LDAP pour définir

les membres d'un groupe.

Par exemple : membren UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir

l'UUID d'un utilisateur ou d'un groupe.

Par exemple : entryUUIDn Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom

unique d'un utilisateur ou d'un groupe.

Par exemple : entryDN

Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cetannuaire exige que toutes les connexions utilisent SSL, copiez et collez lecertificat SSL d'autorité de certification racine du serveur d'annuaire LDAP.Vérifiez que le certificat est au format PEM et incluez les lignes « BEGINCERTIFICATE » et « END CERTIFICATE ».

Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel voussouhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=comNom unique Bind : entrez le nom d'utilisateur à utiliser pour établir laliaison à l'annuaire LDAP.Remarque Il est recommandé d'utiliser un compte d'utilisateur de nomunique de liaison avec un mot de passe sans date d'expiration.Mot de passe du nom unique de liaison : entrez le mot de passe del'utilisateur de nom unique de liaison.

4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.

Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modificationsnécessaires.

5 Cliquez sur Enregistrer et Suivant.

6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.

7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappésaux bons attributs LDAP.

Important Vous devez spécifier un mappage pour l'attribut domain.

Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.



38 VMware, Inc.

9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entrel'annuaire LDAP et l'annuaire VMware Identity Manager.

Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devezspécifier des noms uniques sur la page des groupes.

L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette optionest activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsique les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notezque les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent auxgroupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent entant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation.En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveauxapparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.

Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs quiappartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à desgroupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utilepour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupesdemande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionnertous les groupes dont vous voulez synchroniser les utilisateurs.


11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrezCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vouspouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.

Cliquez sur Suivant.

12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire etpour voir le planning de synchronisation par défaut.

Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,cliquez sur les liens Modifier.

13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.

La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entrel'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison disposed'un rôle d'administrateur dans VMware Identity Manager par défaut.

Chapitre 4 Intégration à des annuaires LDAP

VMware, Inc. 39


40 VMware, Inc.

Utilisation de répertoires locaux 5Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le serviceVMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans leservice et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoired'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et lesgroupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez desutilisateurs locaux directement dans le répertoire local.

Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvezégalement créer plusieurs répertoires locaux.

Répertoire systèmeLe répertoire système est un répertoire local créé automatiquement dans le service lors de sa premièreconfiguration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom oule domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plussupprimer le répertoire système ou le domaine système.

L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpourla première fois est créé dans le domaine système du répertoire système.

Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisépour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner desutilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il estrecommandé de créer un répertoire local.

Répertoires locauxVous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieursdomaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pourl'utilisateur.

Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Lesattributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans leservice VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter desattributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, ycompris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sontobligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pourdifférents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujoursobligatoires pour les répertoires locaux.

Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponibleque pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP.

VMware, Inc. 41

Il est utile de créer des répertoires locaux dans les scénarios suivants.

n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie devotre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires,qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquementaux applications spécifiques dont ils ont besoin.

n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ouméthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer unrépertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, etun autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produitet type de fournisseur.

Fournisseur d'identité pour un répertoire système et des répertoireslocaux

Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identitésystème. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité ets'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type depériphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires etdéfinir des stratégies d'authentification.

Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé lerépertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthoded'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locauxpeuvent être associés au même fournisseur d'identité.

Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoireslocaux que vous créez.

Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware IdentityManager » dans Administration de VMware Identity Manager.

Gestion des mots de passe pour les utilisateurs du répertoire localPar défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans leportail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour desutilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE encliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et encliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuventmodifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots depasse d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMwareIdentity Manager.


n « Création d'un répertoire local », page 43

n « Modification des paramètres du répertoire local », page 47

n « Suppression d'un répertoire local », page 48

n « Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système »,page 49


42 VMware, Inc.

Création d'un répertoire localPour créer un répertoire local, spécifiez les attributs utilisateur pour le répertoire, créez le répertoire etidentifiez-le avec un fournisseur d'identité.

Définir des attributs utilisateur au niveau globalAvant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributs utilisateuret ajoutez des attributs personnalisés, si nécessaire.

Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur.Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global ets'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau durépertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dansce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut est obligatoire,vous devez lui fournir une valeur lorsque vous créez un utilisateur.

Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés.

Tableau 5‑1. Mots à ne pas utiliser comme noms d'attribut personnalisé

active addresses costCenter

department displayName division

emails employeeNumber droits

externalId groupes id

ims locale manager

meta name nickName

organization mot de passe phoneNumber

photos preferredLanguage profileUrl

rôles timezone title

userName userType x509Certificate

Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'auxrépertoires locaux, pas aux répertoires Active Directory ou LDAP.

Procédure


2 Cliquez sur Configuration, puis sur l'onglet Attributs utilisateur.

3 Examinez la liste d'attributs utilisateur et ajoutez des attributs supplémentaires, si nécessaire.

Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous estrecommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attribut estmarqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, y comprisles répertoires Active Directory ou LDAP.


Suivant

Créez le répertoire local.

Chapitre 5 Utilisation de répertoires locaux

VMware, Inc. 43

Créer un répertoire localAprès avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'ongletRépertoires.

2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans lemenu déroulant.

3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de

domaine.

Le nom de domaine doit être unique dans tous les répertoires du service.

Par exemple :


44 VMware, Inc.


5 Sur la page Répertoires, cliquez sur le nouveau répertoire.

6 Cliquez sur l'onglet Attributs utilisateur.

Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sontrépertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sontégalement sur la page Répertoire local.

7 Personnalisez les attributs pour le répertoire local.

Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvezégalement modifier l'ordre d'affichage des attributs.

Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour lesrépertoires locaux.

n Pour rendre un attribut obligatoire, cochez la case à côté du nom d'attribut.

n Pour rendre un attribut facultatif, décochez la case à côté du nom d'attribut.

n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvelemplacement.

Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pourl'attribut.

Par exemple :


VMware, Inc. 45


Suivant

Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier desutilisateurs dans le répertoire.

Associer le répertoire local à un fournisseur d'identitéAssociez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoirepuissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthoded'authentification Mot de passe (répertoire local) dessus.

Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthoded'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité.

2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP intégré.

3 Entrez les informations suivantes.

Option Description

Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité.

Utilisateurs Sélectionnez le répertoire local que vous avez créé.

Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à cefournisseur d'identité.

Méthodes d'authentification Sélectionnez Mot de passe (répertoire local).

Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurezMobile SSO pour des périphériques iOS gérés par AirWatch.


46 VMware, Inc.

4 Cliquez sur Ajouter.

Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurerd'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations surl'authentification, consultez « Configuration de l'authentification utilisateur dans VMware IdentityManager » dans Administration de VMware Identity Manager.

Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux.

Suivant

Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dans l'ongletUtilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez « Gestion desutilisateurs et des groupes » dans Administration de VMware Identity Manager.

Modification des paramètres du répertoire localUne fois que vous avez créé un répertoire local, vous pouvez modifier ses paramètres à tout moment.

Vous pouvez modifier les paramètres suivants.

n Modifier le nom du répertoire.

n Ajouter, supprimer ou renommer des domaines.

n Les noms de domaine doivent être uniques dans tous les répertoires du service.

n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'ancien domainesont associés au nouveau domaine.

n Le répertoire doit contenir au moins un domaine.

n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoire système.

n Ajouter de nouveaux attributs utilisateur ou rendre un attribut existant obligatoire ou facultatif.

n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveauxattributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires oufacultatifs.


VMware, Inc. 47

n Si vous avez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveauxattributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existantsobligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que lesutilisateurs ont été créés.

n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour lesrépertoires locaux.

n Comme les attributs utilisateur sont définis au niveau global dans le service VMware IdentityManager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires du service.

n Changer l'ordre d'apparition des attributs.

Procédure

1 Cliquez sur l'onglet Identité et gestion de l'accès.

2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier.

3 Modifiez les paramètres du répertoire local.

Option Action

Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire.b Cliquez sur Enregistrer.

Ajouter, supprimer ou renommer undomaine

a Dans l'onglet Paramètres, modifiez la liste Domaines.b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe

plus.c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge.d Pour renommer un domaine, modifiez le nom de domaine dans la

zone de texte.

Ajouter des attributs utilisateur aurépertoire

a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez surConfiguration.

b Cliquez sur l'onglet Attributs utilisateur.c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser

et cliquez sur Enregistrer.

Rendre un attribut obligatoire oufacultatif pour le répertoire

a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'ongletRépertoires.

b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributsutilisateur.

c Cochez la case à côté d'un attribut pour le rendre obligatoire oudécochez la case pour le rendre facultatif.

d Cliquez sur Enregistrer.

Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'ongletRépertoires.

b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributsutilisateur.

c Cliquez sur les attributs et faites-les glisser vers le nouvelemplacement.

d Cliquez sur Enregistrer.

Suppression d'un répertoire localVous pouvez supprimer un répertoire local que vous avez créé dans le service VMware Identity Manager.Vous ne pouvez pas supprimer le répertoire système, qui est créé par défaut lorsque vous configurez leservice pour la première fois.

Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sontégalement supprimés du service.


48 VMware, Inc.

Procédure

1 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires.

2 Cliquez sur le répertoire que vous voulez supprimer.

3 Sur la page Répertoire, cliquez sur Supprimer le répertoire.

Configuration d'une méthode d'authentification pour les utilisateursadministrateurs système

La méthode d'authentification par défaut des utilisateurs administrateurs pour se connecter au répertoiresystème est Mot de passe (répertoire local). La stratégie d'accès par défaut est configurée avec Mot de passe(répertoire local) comme méthode de secours de sorte que les administrateurs peuvent se connecter à laconsole d'administration de VMware Identity Manager et au portail Workspace ONE.

Si vous créez des stratégies d'accès pour des applications Web et de poste de travail spécifiques auxquellesles administrateurs système ont le droit d'accéder, ces stratégies doivent être configurées pour inclure Motde passe (répertoire local) comme méthode d'authentification de secours. Sinon, les administrateurs nepeuvent pas se connecter à l'application.


VMware, Inc. 49


50 VMware, Inc.

Provisionnement d'utilisateurs juste-à-temps 6

Le provisionnement d'utilisateurs juste-à-temps vous permet de créer des utilisateurs dans le serviceVMware Identity Manager de façon dynamique lors de la connexion, à l'aide d'assertions SAML envoyéespar un fournisseur d'identité tiers. Le provisionnement d'utilisateurs juste-à-temps n'est disponible que pourles fournisseurs d'identité tiers. Il n'est pas disponible pour le connecteur VMware Identity Manager.


n « À propos du provisionnement d'utilisateurs juste-à-temps », page 51

n « Préparation du provisionnement juste-à-temps », page 52

n « Configuration du provisionnement d'utilisateurs juste-à-temps », page 54

n « Exigences des assertions SAML », page 55

n « Désactivation du provisionnement d'utilisateurs juste-à-temps », page 56

n « Suppression d'un répertoire juste-à-temps », page 56

n « Messages d'erreur », page 57

À propos du provisionnement d'utilisateurs juste-à-tempsLe provisionnement juste-à-temps représente un autre moyen de provisionner des utilisateurs dans leservice VMware Identity Manager. Au lieu de synchroniser des utilisateurs à partir d'une instance ActiveDirectory, avec le provisionnement juste-à-temps, les utilisateurs sont créés et mis à jour de façondynamique lorsqu'ils se connectent, en fonction des assertions SAML envoyées par le fournisseur d'identité.

Dans ce scénario, VMware Identity Manager agit en tant que fournisseur de service SAML.

La configuration juste-à-temps ne peut être configurée que pour des fournisseurs d'identité tiers. Elle n'estpas disponible pour le connecteur.

Avec une configuration juste-à-temps, vous n'avez pas besoin d'installer un connecteur sur site car lacréation et la gestion de tous les utilisateurs sont gérées via des assertions SAML et l'authentification estgérée par le fournisseur d'identité tiers.

Création et gestion d'utilisateursSi le provisionnement d'utilisateurs juste-à-temps est activé, lorsqu'un utilisateur accède à la page deconnexion du service VMware Identity Manager et sélectionne un domaine, la page le redirige vers le bonfournisseur d'identité. L'utilisateur se connecte, est authentifié, puis redirigé par le fournisseur d'identitévers le service VMware Identity Manager avec une assertion SAML. Les attributs dans l'assertion SAMLsont utilisés pour créer l'utilisateur dans le service. Seuls les attributs qui correspondent aux attributsutilisateur définis dans le service sont utilisés ; les autres attributs sont ignorés. L'utilisateur est égalementajouté à des groupes en fonction des attributs, et il reçoit les droits définis pour ces groupes.

VMware, Inc. 51

Lors des connexions suivantes, si des modifications sont apportées à l'assertion SAML, l'utilisateur est mis àjour dans le service.

Il n'est pas possible de supprimer les utilisateurs provisionnés juste-à-temps. Pour supprimer desutilisateurs, vous devez supprimer le répertoire juste-à-temps.

Notez que la gestion de tous les utilisateurs est gérée via des assertions SAML. Vous ne pouvez pas créer oumettre à jour ces utilisateurs directement à partir du service. Les utilisateurs juste-à-temps ne peuvent pasêtre synchronisés depuis Active Directory.

Pour plus d'informations sur les attributs requis dans l'assertion SAML, voir « Exigences des assertionsSAML », page 55.

Répertoire juste-à-tempsLe fournisseur d'identité tiers doit être associé à un répertoire juste-à-temps dans le service.

La première fois que vous activez le provisionnement juste-à-temps pour un fournisseur d'identité, vouscréez un répertoire juste-à-temps et lui spécifiez un ou plusieurs domaines. Les utilisateurs appartenant àces domaines sont provisionnés vers le répertoire. Si plusieurs domaines sont configurés pour le répertoire,les assertions SAML doivent inclure un attribut de domaine. Si un seul domaine est configuré pour lerépertoire, un attribut de domaine n'est pas requis dans les assertions SAML mais, s'il est spécifié, cettevaleur doit correspondre au nom de domaine.

Un seul répertoire, de type juste-à-temps, peut être associé à un fournisseur d'identité sur lequel leprovisionnement juste-à-temps est activé.

Préparation du provisionnement juste-à-tempsAvant de configurer le provisionnement d'utilisateurs juste-à-temps, examinez vos groupes, les droits degroupe et les paramètres d'attribut utilisateur et apportez des modifications, si nécessaire. De plus, identifiezles domaines que vous voulez utiliser pour le répertoire juste-à-temps.

Créer des groupes locauxLes utilisateurs provisionnés avec le provisionnement juste-à-temps sont ajoutés à des groupes en fonctionde leurs attributs utilisateur et ils tirent leurs droits de ressources des groupes auxquels ils appartiennent.Avant de configurer le provisionnement juste-à-temps, vérifiez que vous disposez de groupes locaux dans leservice. Créez un ou plusieurs groupes locaux, selon vos besoins. Pour chaque groupe, définissez les règlesd'appartenance au groupe et ajoutez des droits.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Utilisateurs et groupes.

2 Cliquez sur Créer un groupe, fournissez un nom et une description du groupe et cliquez sur Ajouter.

3 Sur la page Groupes, cliquez sur le nouveau groupe.

4 Configurez des utilisateurs pour le groupe.

a Dans le volet de gauche, sélectionnez Utilisateurs dans ce groupe.

b Cliquez sur Modifier des utilisateurs dans ce groupe et définissez les règles d'appartenance augroupe.


52 VMware, Inc.

5 Ajoutez des droits au groupe.

a Dans le volet de gauche, sélectionnez Droits.

b Cliquez sur Ajouter des droits, puis sélectionnez les applications et la méthode de déploiement dechaque application.

c Cliquez sur Enregistrer.

Examiner les attributs utilisateurExaminez les attributs utilisateur qui sont définis pour tous les répertoires VMware Identity Manager sur lapage Attributs utilisateur et modifiez-les, si nécessaire. Lorsqu'un utilisateur est provisionné via leprovisionnement juste-à-temps, l'assertion SAML est utilisée pour créer l'utilisateur. Seuls les attributs dansl'assertion SAML qui correspondent aux attributs répertoriés sur la page Attributs utilisateur sont utilisés.

Important Si un attribut est marqué comme obligatoire sur la page Attributs utilisateur, l'assertion SAMLdoit inclure l'attribut, sinon la connexion échoue.

Lorsque vous apportez des modifications aux attributs utilisateur, tenez compte de l'effet sur les autresrépertoires et sur les configurations dans votre locataire. La page Attributs utilisateur s'applique à tous lesrépertoires dans votre locataire.

Remarque Vous n'avez pas à marquer l'attribut domain comme obligatoire.

Procédure


2 Cliquez sur Configuration et sur Attributs utilisateur.

3 Examinez les attributs et apportez des modifications, si nécessaire.

Chapitre 6 Provisionnement d'utilisateurs juste-à-temps

VMware, Inc. 53

Configuration du provisionnement d'utilisateurs juste-à-tempsVous configurez le provisionnement d'utilisateurs juste-à-temps pour un fournisseur d'identité tiers lors dela création ou de la mise à jour du fournisseur d'identité dans le service VMware Identity Manager.

Lorsque vous activez le provisionnement juste-à-temps, vous créez un répertoire juste-à-temps et spécifiezun ou plusieurs domaines pour lui. Les utilisateurs appartenant à ces domaines sont ajoutés au répertoire.

Vous devez spécifier au moins un domaine. Le nom de domaine doit être unique dans tous les répertoiresdans le service VMware Identity Manager. Si vous spécifiez plusieurs domaines, des assertions SAMLdoivent inclure l'attribut de domaine. Si vous spécifiez un seul domaine, il est utilisé comme domaine pourles assertions SAML sans attribut de domaine. Si un attribut de domaine est spécifié, sa valeur doitcorrespondre à l'un des domaines, sinon la connexion échoue.

Procédure

1 Connectez-vous à la console d'administration du service VMware Identity Manager.

2 Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Fournisseurs d'identité.

3 Cliquez sur Ajouter un fournisseur d'identité ou sélectionnez un fournisseur d'identité.

4 Dans la section Provisionnement d'utilisateurs juste-à-temps, cliquez sur Activer.


54 VMware, Inc.

5 Spécifiez les informations suivantes.

n Un nom pour le nouveau répertoire juste-à-temps.

n Un ou plusieurs domaines.

Important Les noms de domaine doivent être uniques dans tous les répertoires du locataire.

Par exemple :

6 Remplissez le reste de la page et cliquez sur Ajouter ou Enregistrer. Pour plus d'informations,

consultez « Configuration d'une instance de fournisseur d'identité tiers pour authentifier desutilisateurs », page 81.

Exigences des assertions SAMLLorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers, desutilisateurs sont créés ou mis à jour dans le service VMware Identity Manager lors de la connexion enfonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenircertains attributs.

n L'assertion SAML doit inclure l'attribut userName.

n L'assertion SAML doit inclure tous les attributs utilisateur qui sont marqués comme requis dans leservice VMware Identity Manager.

Pour voir ou modifier les attributs utilisateur dans la console d'administration, dans l'onglet Identité etgestion de l'accès, cliquez sur Configuration et sur Attributs utilisateur.

Important Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut,y compris la casse.

n Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclurel'attribut domain. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour lerépertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue.

n Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut domaindans l'assertion SAML est facultative.

Si vous spécifiez l'attribut domain, vérifiez que sa valeur correspond au domaine configuré pour lerépertoire. Si l'assertion SAML ne contient pas d'attribut de domaine, l'utilisateur est associé audomaine configuré pour le répertoire.

n Si vous voulez autoriser les mises à jour des noms d'utilisateur, incluez l'attribut ExternalId dansl'assertion SAML. L'utilisateur est identifié par ExternalId. Si, lors d'une prochaine connexion,l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement,la connexion réussit et le nom d'utilisateur est mis à jour dans le service Identity Manager.


VMware, Inc. 55

Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit.

n Les attributs obligatoires ou facultatifs dans le service Identity Manager (tels que répertoriés sur la pageAttributs utilisateur) sont utilisés.

n Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés.

n Les attributs sans valeur sont ignorés.

Désactivation du provisionnement d'utilisateurs juste-à-tempsVous pouvez désactiver le provisionnement d'utilisateurs juste-à-temps. Lorsque l'option est désactivée, denouveaux utilisateurs ne sont pas créés et les utilisateurs existants ne sont pas mis à jour lors de laconnexion. Les utilisateurs existants sont toujours authentifiés par le fournisseur d'identité.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis surFournisseurs d'identité.

2 Cliquez sur le fournisseur d'identité que vous voulez modifier.

3 Dans la section Provisionnement d'utilisateurs juste-à-temps, décochez la case Activer.

Suppression d'un répertoire juste-à-tempsUn répertoire juste-à-temps est le répertoire associé à un fournisseur d'identité tiers dont le provisionnementd'utilisateurs juste-à-temps est activé. Lorsque vous supprimez le répertoire, tous les utilisateurs dans lerépertoire sont supprimés et la configuration juste-à-temps est désactivée. Comme un fournisseur d'identitéjuste-à-temps ne peut contenir qu'un seul répertoire, lorsque vous supprimez le répertoire, le fournisseurd'identité ne peut plus être utilisé.

Pour activer de nouveau la configuration juste-à-temps pour le fournisseur d'identité, vous devez créer unnouveau répertoire.

Procédure


2 Sur la page Répertoires, localisez le répertoire que vous voulez supprimer.

Vous pouvez identifier des répertoires juste-à-temps en regardant le type de répertoire dans la colonneType.

3 Cliquez sur le nom du répertoire.

4 Cliquez sur Supprimer le répertoire.


56 VMware, Inc.

Messages d'erreurLes administrateurs ou les utilisateurs finaux peuvent voir des erreurs liées au provisionnement juste-à-temps. Par exemple, si un attribut obligatoire est manquant dans l'assertion SAML, une erreur se produit etl'utilisateur ne peut pas se connecter.

Les erreurs suivantes peuvent apparaître dans la console d'administration :

Message d'erreur Solution

Si le provisionnement d'utilisateurs JITest activé, au moins un répertoire doitêtre associé au fournisseur d'identité.

Aucun répertoire n'est associé au fournisseur d'identité. Unfournisseur d'identité avec l'option de provisionnement juste-à-temps activée doit être associé à un répertoire juste-à-temps.1 Dans l'onglet Identité et gestion de l'accès de la console

d'administration, cliquez sur Fournisseurs d'identité et sur lefournisseur d'identité.

2 Dans la section Provisionnement d'utilisateurs juste-à-temps,spécifiez un nom de répertoire et un ou plusieurs domaines.

3 Cliquez sur Enregistrer.Un répertoire juste-à-temps est créé.

Les erreurs suivantes peuvent apparaître sur la page de connexion :


L'attribut utilisateur est manquant : nom. Un attribut utilisateur obligatoire est manquant dansl'assertion SAML envoyée par le fournisseur d'identitétiers. Tous les attributs qui sont marqués comme étantobligatoires sur la page Attributs utilisateur doivent êtreinclus dans l'assertion SAML. Modifiez les paramètres dufournisseur d'identité tiers pour envoyer les bonnesassertions SAML.

Le domaine est manquant et ne peut pas êtreinféré.

L'assertion SAML n'inclut pas l'attribut de domaine et ledomaine ne peut pas être déterminé. Un attribut dedomaine est obligatoire dans les cas suivants :n Si plusieurs domaines sont configurés pour le

répertoire juste-à-temps.n Si un domaine est marqué comme étant un attribut

obligatoire sur la page Attributs utilisateur.Si un attribut de domaine est spécifié, sa valeur doitcorrespondre à l'un des domaines spécifiés pour lerépertoire.Modifiez les paramètres du fournisseur d'identité tierspour envoyer les bonnes assertions SAML.


VMware, Inc. 57


Nom d'attribut : nom, valeur : valeur. L'attribut dans l'assertion SAML ne correspond à aucundes attributs sur la page Attributs utilisateur dans lelocataire et il sera ignoré.

Échec de la création ou de la mise à jour d'unutilisateur JIT.

L'utilisateur n'a pas pu être créé dans le service. Les causespossibles sont les suivantes :n Un attribut obligatoire est manquant dans l'assertion

SAML.

Examinez les attributs sur la page Attributs utilisateuret vérifiez que l'assertion SAML inclut tous les attributsqui sont marqués comme étant obligatoires.

n Le domaine de l'utilisateur n'a pas pu être déterminé.

Spécifiez l'attribut de domaine dans l'assertion SAMLet vérifiez que sa valeur correspond à l'un desdomaines configurés pour le répertoire juste-à-temps.


58 VMware, Inc.

Configuration de l'authentificationdes utilisateurs dansVMware Identity Manager 7

VMware Identity Manager prend en charge plusieurs méthodes d'authentification. Vous pouvez configurerune seule méthode d'authentification et vous pouvez configurer une authentification à deux facteurs parenchaînement. Vous pouvez également utiliser une méthode d'authentification externe pour les protocolesRADIUS et SAML.

L'instance de fournisseur d'identité que vous utilisez avec le service VMware Identity Manager crée uneautorité fédératrice intégrée au réseau qui communique avec le service à l'aide d'assertions SAML 2.0.

Lors du déploiement initial du service VMware Identity Manager, le connecteur est le fournisseur d'identitéinitial pour le service. Votre infrastructure Active Directory existante est utilisée pour l'authentification et lagestion des utilisateurs.

Les méthodes d'authentification suivantes sont prises en charge. Vous configurez ces méthodesd'authentification à partir de la console d'administration.

Méthodesd'authentification Description

Mot de passe(déploiement sur site)

Sans configuration supplémentaire après la configuration d'Active Directory,VMware Identity Manager prend en charge l'authentification par mot de passe d'ActiveDirectory. Cette méthode authentifie les utilisateurs avec Active Directory.

Kerberos pour postes detravail

L'authentification Kerberos fournit aux utilisateurs de domaine un accès à authentificationunique à leur portail d'applications. Les utilisateurs n'ont pas besoin de se connecter denouveau à leur portail d'applications une fois qu'ils sont connectés au réseau. Deuxméthodes d'authentification Kerberos peuvent être configurées : l'authentification Kerberospour postes de travail avec l'authentification Windows intégrée et l'authentification Kerberosintégré pour périphériques mobiles iOS 9 lorsqu'une relation de confiance est établie entreActive Directory et AirWatch.

Certificat (déploiementsur site)

L'authentification par certificat peut être configurée afin de permettre aux utilisateurs des'authentifier avec des certificats sur leur poste de travail et périphériques mobiles oud'utiliser un adaptateur de carte à puce pour l'authentification.L'authentification par certificat est basée sur ce que possède l'utilisateur et sur ce que lapersonne sait. Un certificat X.509 utilise la norme d'infrastructure de clé publique pourvérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur.

RSA SecurID(déploiement sur site)

Lorsque l'authentification RSA SecurID est configurée, VMware Identity Manager estconfiguré comme agent d'authentification sur le serveur RSA SecurID. L'authentificationRSA SecurID nécessite l'utilisation d'un système d'authentification à jeton par les utilisateurs.RSA SecurID est une méthode d'authentification pour les utilisateurs qui accèdent àVMware Identity Manager depuis l'extérieur du réseau de l'entreprise.

RADIUS (déploiementsur site)

L'authentification RADIUS fournit des options d'authentification à deux facteurs. Vousconfigurez le serveur RADIUS qui est accessible par le service VMware Identity Manager.Lorsque des utilisateurs se connectent avec leur nom d'utilisateur et leur code secret, unedemande d'accès est soumise au serveur RADIUS pour authentification.

VMware, Inc. 59

Méthodesd'authentification Description

RSA AdaptiveAuthentication(déploiement sur site)

L'authentification RSA offre une authentification multifacteur plus forte quel'authentification par nom d'utilisateur et mot de passe avec Active Directory. Lorsque RSAAdaptive Authentication est activé, les indicateurs de risque spécifiés dans la stratégie derisque sont configurés dans l'application RSA Policy Management. La configuration duservice VMware Identity Manager d'Adaptive Authentication est utilisée pour déterminerles invites d'authentification requises.

Mobile SSO (pour iOS) L'authentification Mobile SSO pour iOS est utilisée pour l'authentification unique pour lespériphériques iOS gérés par AirWatch. L'authentification Mobile SSO (pour iOS) utilise uncentre de distribution de clés (KDC) qui fait partie du service Identity Manager. Vous devezinitier le service KDC dans le service VMware Identity Manager avant de pouvoir activercette méthode d'authentification.

Mobile SSO (pourAndroid)

L'authentification Mobile SSO pour Android est utilisée pour l'authentification unique pourles périphériques Android gérés par AirWatch. Un service proxy est configuré entre leservice VMware Identity Manager et AirWatch pour récupérer le certificat auprèsd'AirWatch à des fins d'authentification.

Mot de passe (AirWatchConnector)

AirWatch Cloud Connector peut être intégré au service VMware Identity Manager pourl'authentification par mot de passe utilisateur. Vous configurez le service VMware IdentityManager pour synchroniser des utilisateurs à partir de l'annuaire AirWatch.

VMware Verify VMware Verify peut être utilisé comme seconde méthode d'authentification lorsquel'authentification à deux facteurs est requise. La première méthode d'authentificationconsiste à fournir un nom d'utilisateur et un mot de passe, la seconde à fournir uneapprobation de demande ou un code VMware Verify.VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité auxpériphériques d'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mailet le numéro de téléphone, sont stockées dans le service, mais pas utilisées à des fins autresque l'offre de la fonctionnalité.

Mot de passe (répertoirelocal)

La méthode Mot de passe (répertoire local) est activée par défaut pour le fournisseurd'identité Système-IDP utilisé avec le répertoire système. Elle s'applique à la stratégie d'accèspar défaut.

Une fois les méthodes d'authentification configurées, vous créez des règles de stratégie d'accès qui spécifientles méthodes d'authentification à utiliser par type de périphérique. Les utilisateurs sont authentifiés enfonction des méthodes d'authentification, des règles de stratégie d'accès par défaut, des plages réseau et del'instance du fournisseur d'identité que vous configurez. Voir « Gestion des méthodes d'authentification àappliquer aux utilisateurs », page 83.


n « Configuration de Kerberos pour VMware Identity Manager », page 61

n « Configuration de SecurID pour VMware Identity Manager », page 65

n « Configuration de RADIUS pour VMware Identity Manager », page 67

n « Configuration de RSA Adaptive Authentication dans VMware Identity Manager », page 70

n « Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager »,page 72

n « Configuration de VMware Verify pour l'authentification à deux facteurs », page 76

n « Configuration d'un fournisseur d'identité intégré », page 78

n « Configurer des fournisseurs d'identité Workspace supplémentaires », page 80

n « Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs »,page 81

n « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83


60 VMware, Inc.

Configuration de Kerberos pour VMware Identity ManagerL'authentification Kerberos permet aux utilisateurs correctement connectés à leur domaine d'accéder à leurportail d'applications sans devoir saisir de nouveau leurs informations d'identification.

Le protocole d'authentification Kerberos peut être configuré dans le service Identity Manager pour lespostes de travail avec l'authentification Windows intégrée afin de sécuriser les interactions entre lesnavigateurs des utilisateurs et le service Identity Manager et pour l'authentification unique monotouche surdes périphériques mobiles iOS 9 gérés dans AirWatch. Pour plus d'informations sur l'authentificationKerberos sur des périphériques iOS 9, reportez-vous à la section « Implémentation de l'authentificationunique mobile pour des périphériques iOS gérés par AirWatch », page 135.

Implémentation de Kerberos pour des postes de travail avec l'authentificationWindows intégrée

Pour configurer l'authentification Kerberos pour des postes de travail, vous activez l'authentificationWindows intégrée afin de permettre au protocole Kerberos de sécuriser les interactions entre les navigateursdes utilisateurs et le service Identity Manager.

Lorsque l'authentification Kerberos est activée pour les postes de travail, le service Identity Manager valideles informations d'identification du poste de travail de l'utilisateur à l'aide des tickets Kerberos distribuéspar le centre de distribution de clés (KDC) implémenté comme service de domaine dans Active Directory. Iln'est pas nécessaire de configurer directement Active Directory pour faire fonctionner Kerberos avec votredéploiement.

Vous devez configurer les navigateurs Web de l'utilisateur final pour envoyer vos informationsd'identification Kerberos au service lorsque des utilisateurs se connectent. Voir « Configuration de votrenavigateur pour Kerberos », page 62.

Configurer l'authentification Kerberos pour des postes de travail avecl'authentification Windows intégréePour configurer le service VMware Identity Manager afin qu'il effectue l'authentification Kerberos pour despostes de travail, vous devez rejoindre le domaine et autoriser l'authentification Kerberos sur le connecteurVMware Identity Manager.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration.

2 Sur la page Connecteurs du connecteur configuré pour l'authentification Kerberos, cliquez sur Joindrele domaine.

3 Sur la page Joindre le domaine, entrez les informations pour le domaine Active Directory.

Option Description

Contrôleur Saisissez le nom de domaine complet d'Active Directory. Le nom de domaine que vous entrez doitêtre le même domaine Windows que celui du serveur du connecteur.

Utilisateur dudomaine

Saisissez le nom d'utilisateur d'un compte de l'instance d'Active Directory disposant desautorisations nécessaires pour joindre des systèmes à ce domaine Active Directory.

Mot de passedu domaine

Saisissez le mot de passe associé au Nom d'utilisateur AD. Ce mot de passe n'est pas stocké parVMware Identity Manager.

Cliquez sur Enregistrer.

Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager

VMware, Inc. 61

La page Joindre le domaine est actualisée et affiche un message confirmant que vous êtes actuellementjoint au domaine.

4 Dans la colonne Travailleur correspondant au connecteur, cliquez sur Adaptateurs d'authentification.

5 Cliquez sur KerberosIdpAdapter

Vous serez redirigé vers la page de connexion du gestionnaire d'identité.

6 Cliquez sur Modifier sur la ligne KerberosldpAdapter et configurez la page d'authentification deKerberos.

Option Description

Nom Un nom est requis. Le nom par défaut est KerberosIdpAdapter. Vous pouvez modifier ceparamètre.

Attribut UIDdu répertoire

Entrez l'attribut du compte contenant le nom d'utilisateur.

Activerl'authentification Windows

Sélectionnez cette option pour étendre les interactions d'authentification entre les navigateurs desutilisateurs et VMware Identity Manager.

ActiverNTLM

Sélectionnez cette option pour activer l'authentification par protocole du gestionnaire de LAN NT(NTLM) uniquement si votre infrastructure Active Directory dépend de l'authentification NTLM.

Activer laredirection

Sélectionnez cette option si le DNS tourniquet et les équilibrages de charge ne prennent pas encharge Kerberos. Les demandes d'authentification sont redirigées vers Rediriger le nom d'hôte. Sicette option est cochée, entrez le nom d'hôte de redirection dans la zone de texte Rediriger le nomd'hôte. Il s'agit généralement du nom d'hôte du service.


Suivant

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Gestion desidentités et des accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter laméthode d'authentification Kerberos à la règle en respectant l'ordre de l'authentification.

Configuration de votre navigateur pour KerberosLorsque Kerberos est activé, vous devez configurer les navigateurs Web afin qu'ils envoient vosinformations d'identification Kerberos au service lorsque les utilisateurs se connectent.

Les navigateurs Web suivants peuvent être configurés pour envoyer vos informations d'identificationKerberos au service Identity Manager sur les ordinateurs exécutés sous Windows : Firefox, Internet Exploreret Chrome. Tous les navigateurs nécessitent une configuration supplémentaire.

Configuration d'Internet Explorer pour accéder à l'interface Web

Vous devez configurer le navigateur Internet Explorer si Kerberos est configuré pour votre déploiement et sivous voulez accorder aux utilisateurs l'accès à l'interface Web à l'aide d'Internet Explorer.

L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmesd'exploitation Windows.

Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation.

Prérequis

Configurez le navigateur Internet Explorer pour chaque utilisateur ou fournissez les instructions auxutilisateurs, après avoir configuré Kerberos.


62 VMware, Inc.

Procédure

1 Vérifiez que vous êtes connecté à Windows en tant qu'utilisateur du domaine.

2 Dans Internet Explorer, activez la connexion automatique.

a Sélectionnez Outils > Options Internet > Sécurité.

b Cliquez sur Personnaliser le niveau.

c Sélectionnez Connexion automatique uniquement dans la zone intranet.

d Cliquez sur OK.

3 Vérifiez que cette instance du dispositif virtuel du connecteur fait partie de la zone intranet locale.

a Utilisez Internet Explorer pour accéder à l'URL de connexion de VMware Identity Manager àl'adresse https://myconnectorhost.domain/authenticate/.

b Localisez la zone dans le coin inférieur droit de la barre d'état de la fenêtre du navigateur.

Si la zone est Intranet local, la configuration d'Internet Explorer est terminée.

4 Si la zone n'est pas Intranet local, ajoutez l'URL de connexion de VMware Identity Manager à la zoneintranet.

a Sélectionnez Outils > Options Internet > Sécurité > Intranet local > Sites.

b Sélectionnez Détecter automatiquement le réseau Intranet.

Si cette option n'est pas sélectionnée, sa sélection peut être suffisante pour ajouter à la zoneintranet.

c (Facultatif) Si vous avez sélectionné Détecter automatiquement le réseau Intranet, cliquez sur OKjusqu'à ce que toutes les boîtes de dialogue soient fermées.

d Dans la boîte de dialogue Intranet local, cliquez sur Avancé.

Une deuxième boîte de dialogue nommée Intranet local s'affiche.

e Tapez l'URL de VMware Identity Manager dans la zone de texte Ajouter ce site Web à la zone.

https://myconnectorhost.domain/authenticate/

f Cliquez sur Ajouter > Fermer > OK.

5 Vérifiez qu'Internet Explorer est autorisé à passer l'authentification Windows pour accéder au site deconfiance.

a Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Avancé.

b Sélectionnez Activer l'authentification Windows intégrée.

Cette option prend effet seulement après le redémarrage d'Internet Explorer.

c Cliquez sur OK.

6 Connectez-vous à l'interface Web pour vérifier l'adresse.

Si l'authentification Kerberos est réussie, l'URL de test vous redirige vers l'interface Web.

Le protocole Kerberos sécurise toutes les interactions entre cette instance Internet Explorer etVMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leurportail Workspace ONE.


VMware, Inc. 63

Configuration de Firefox pour accéder à l'interface Web

Vous devez configurer le navigateur Firefox si Kerberos est configuré pour votre déploiement et si vousvoulez accorder aux utilisateurs l'accès à l'interface Web via Firefox.


Prérequis

Configurez le navigateur Firefox pour chaque utilisateur, ou communiquez des instructions aux utilisateursaprès la configuration de Kerberos.

Procédure

1 Dans la zone de texte de l'URL du navigateur Firefox, saisissez about:config pour accéder auxparamètres avancés.

2 Cliquez sur Je ferai attention, promis !.

3 Double-cliquez sur network.negotiate-auth.trusted-uris dans la colonne Nom de l'option.

4 Tapez l'URL de VMware Identity Manager dans la zone de texte.

https://myconnectorhost.domain.com

5 Cliquez sur OK.

6 Double-cliquez sur network.negotiate-auth.delegation-uris dans la colonne Nom de l'option.

7 Tapez l'URL de VMware Identity Manager dans la zone de texte.

https://myconnectorhost.domain.com/authenticate/

8 Cliquez sur OK.

9 Testez la fonctionnalité de Kerberos en utilisant Firefox pour accéder à l'URL de connexion de . Parexemple, https://myconnectorhost.domain.com/authenticate/.

Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web.

Le protocole Kerberos sécurise toutes les interactions entre cette instance Firefox etVMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leurportail Workspace ONE.

Configuration du navigateur Chrome pour accéder à l'interface Web

Vous devez configurer le navigateur Chrome si Kerberos est configuré pour votre déploiement et si vousvoulez accorder aux utilisateurs l'accès à l'interface Web via Chrome.


Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation.

Prérequis

n Configurez Kerberos.

n Dans la mesure où Chrome utilise la configuration d'Internet Explorer pour activer l'authentificationKerberos, vous devez configurer Internet Explorer afin de permettre à Chrome d'utiliser laconfiguration d'Internet Explorer. Pour en savoir plus sur la procédure de configuration de Chromepour l'authentification Kerberos, reportez-vous à la documentation de Google.


64 VMware, Inc.

Procédure

1 Testez les fonctionnalités de Kerberos à l'aide du navigateur Chrome.

2 Connectez-vous à VMware Identity Manager sur https://myconnectorhost.domain.com/authenticate/.

Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web.

Si toutes les configuration relatives à Kerberos sont correctes, le protocole correspondant (Kerberos) sécurisetoutes les interactions entre cette instance Chrome et VMware Identity Manager. Les utilisateurs peuventutiliser l'authentification unique pour accéder à leur portail Workspace ONE.

Configuration de SecurID pour VMware Identity ManagerLorsque vous configurez le serveur RSA SecurID, vous devez ajouter les informations sur le service duVMware Identity Manager en tant qu'agent d'authentification sur le serveur RSA SecurID, et configurer lesinformations du serveur RSA SecurID sur le service du VMware Identity Manager.

Lorsque vous configurez SecurID pour offrir une sécurité supplémentaire, vous devez vérifier que votreréseau est correctement configuré pour votre déploiement de VMware Identity Manager. Pour SecurID enparticulier, assurez-vous que le port adéquat est ouvert afin de permettre à SecurID d'authentifier lesutilisateurs hors de votre réseau.

Après avoir exécuté l'assistant Configuration du VMware Identity Manager et configuré votre connexion àActive Directory, vous disposez des informations nécessaires à la préparation du serveur RSA SecurID.Après avoir préparé le serveur RSA SecurID de VMware Identity Manager, activez SecurID dans la consoled'administration.

n Préparer le serveur RSA SecurID page 65Le serveur RSA SecurID doit être configuré avec des informations sur le dispositifVMware Identity Manager en tant qu'agent d'authentification. Les informations requisescorrespondent au nom d'hôte et aux adresses IP des interfaces réseau.

n Configurer l'authentification RSA SecurID page 66Une fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur leserveur RSA SecurID, vous devez ajouter les informations de configuration RSA SecureID auconnecteur.

Préparer le serveur RSA SecurIDLe serveur RSA SecurID doit être configuré avec des informations sur le dispositifVMware Identity Manager en tant qu'agent d'authentification. Les informations requises correspondent aunom d'hôte et aux adresses IP des interfaces réseau.

Prérequis

n Vérifiez que l'une des versions suivantes de RSA Authentication Manager est installée et fonctionne surle réseau d'entreprise : RSA AM 6.1.2, 7.1 SP2 et versions ultérieures, ainsi que 8.0 et versionsultérieures. Le serveur VMware Identity Manager utilise AuthSDK_Java_v8.1.1.312.06_03_11_03_16_51(Agent API 8.1 SP1), qui prend en charge uniquement les versions précédentes de RSA AuthenticationManager (serveur RSA SecurID). Pour obtenir des informations sur l'installation et la configuration deRSA Authentication Manager (serveur RSA SecurID), consultez la documentation de RSA.


VMware, Inc. 65

Procédure

1 Sur une version prise en charge du serveur RSA SecurID, ajoutez le connecteurVMware Identity Manager en tant qu'agent d'authentification. Entrez les informations suivantes.

Option Description

nom d'hôte Le nom d'hôte de VMware Identity Manager.

Adresse IP L'adresse IP de VMware Identity Manager.

Adresse IP alternative Si le trafic provenant du connecteur traverse un périphérique NAT(Network Address Translation) pour atteindre le serveur RSA SecurID,entrez l'adresse IP privée du dispositif.

2 Téléchargez le fichier de configuration compressé et extrayez le fichier sdconf.rec.

Préparez-vous à charger ce fichier ultérieurement lorsque vous configurez RSA SecurID dansVMware Identity Manager.

Suivant

Accédez à la console d'administration et, dans les pages Configuration de l'onglet Gestion des identités etdes accès, sélectionnez le connecteur et la page Adaptateurs d'authentification pour configurer SecurID.

Configurer l'authentification RSA SecurIDUne fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur le serveurRSA SecurID, vous devez ajouter les informations de configuration RSA SecureID au connecteur.

Prérequis

n Vérifiez que RSA Authentication Manager (serveur RSA SecurID) est installé et correctement configuré.

n Téléchargez le fichier compressé depuis le serveur RSA SecurID et extrayez le fichier de configurationdu serveur.

Procédure


2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuréavec RSA SecurID.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur SecurIDldpAdapter.


4 Sur la ligne SecurIDldpAdapter de la page Adaptateurs d'authentification, cliquez sur Modifier.

5 Configurez la page Adaptateur d'authentification SecurID.

Les informations utilisées et les fichiers générés sur le serveur RSA SecurID sont nécessaires lors de laconfiguration de la page SecurID.

Option Action

Nom Un nom est requis. Le nom par défaut est SecurIDldpAdapter. Vous pouvez modifier ce paramètre.

ActiverSecurID

Cochez cette case pour activer l'authentification securID.


66 VMware, Inc.

Option Action

Nombre detentativesd'authentification autorisées

Entrez le nombre maximal d'échecs de tentatives de connexion à l'aide du jeton RSA SecurID. Lavaleur par défaut est de cinq tentatives.Remarque Lorsque plusieurs annuaires sont configurés et que vous implémentezl'authentification RSA SecurID avec des annuaires supplémentaires, configurez Nombre detentatives d'authentification autorisées avec la même valeur pour chaque configuration RSASecurID. Si la valeur est différente, l'authentification SecurID échoue.

Adresse duconnecteur

Entrez l'adresse IP de l'instance de connecteur. La valeur que vous entrez doit correspondre à lavaleur que vous avez utilisée lorsque vous avez ajouté le dispositif du connecteur en tant qu'agentd'authentification du serveur RSA SecurID. Si votre serveur RSA SecurID dispose d'une valeurassignée à l'invite Adresse IP alternative, entrez cette valeur comme adresse IP du connecteur. Siaucune adresse IP alternative n'est attribuée, entrez la valeur attribuée à l'invite de l'adresse IP.

Adresse IP del'agent

Entrez la valeur assignée à l'invite Adresse IP sur le serveur RSA SecurID.

Configurationdu serveur

Chargez le fichier de configuration du serveur RSA SecureID. Vous devez d'abord télécharger lefichier compressé auprès du serveur RSA SecurID, puis extraire le fichier de configuration duserveur qui est appelé par défaut sdconf.rec.

Nœud secret Laisser vide le champ nœud secret permet à celui-ci de se générer lui-même. Nous vousrecommandons d'effacer le fichier du secret du nœud du serveur RSA SecurID et de ne pas chargervolontairement le fichier du secret du nœud. Assurez-vous que le fichier du nœud secret sur leserveur RSA SecurID et sur l'instance du connecteur de serveur correspondent toujours. Si vousmodifiez le nœud secret à un emplacement, modifiez-le sur l'autre emplacement.


Suivant

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Identité et gestionde l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthoded'authentification SecurID à la règle. Voir « Gestion des méthodes d'authentification à appliquer auxutilisateurs », page 83.

Configuration de RADIUS pour VMware Identity ManagerVous pouvez configurer VMware Identity Manager pour que les utilisateurs soient obligés d'utiliserl'authentification RADIUS (Remote Authentication Dial-In User Service). Vous configurez les informationsdu serveur RADIUS sur le service VMware Identity Manager.

Le support RADIUS offre une large gamme d'options alternatives d'authentification à jeton à deux facteurs.Puisque ces solutions d'authentification à deux facteurs, telles que RADIUS, fonctionnent avec lesgestionnaires d'authentification installés sur des serveurs distincts, configurez le serveur RADIUS et mettez-le à disposition du service du gestionnaire d'identité.

Lorsque les utilisateurs se connectent à leur portail Workspace ONE et que l'authentification RADIUS estactivée, une boîte de dialogue de connexion spéciale apparaît dans le navigateur. Les utilisateurs entrentleur nom d'utilisateur et leur code secret d'authentification RADUS dans la boîte de dialogue de connexion.Si le serveur RADIUS émet une stimulation d'accès, le service du gestionnaire d'identité ouvre une boîte dedialogue qui invite à entrer un second code secret. Le support actuel des challenges RADIUS est limité à lademande de saisie de texte.

Une fois que l'utilisateur a entré ses informations d'identification dans la boîte de dialogue, le serveurRADIUS peut envoyer un SMS ou un e-mail, ou du texte à l'aide d'un autre mécanisme hors bande sur letéléphone portable de l'utilisateur avec un code. L'utilisateur peut entrer ce texte et le code dans la boîte dedialogue de connexion pour terminer l'authentification.

Si le serveur RADIUS permet d'importer des utilisateurs depuis Active Directory, les utilisateurs finauxpeuvent d'abord être invités à fournir des informations d'identification Active Directory avant d'être invitésà fournir un nom d'utilisateur et un code secret d'authentification RADIUS.


VMware, Inc. 67

Préparer le serveur RADIUSInstallez le serveur RADIUS et configurez-le pour qu'il accepte les demandes RADIUS provenant du serviceVMware Identity Manager.

Pour plus d'informations sur la configuration du serveur RADIUS, consultez les guides de configuration dufournisseur RADIUS. Notez les informations de votre configuration RADIUS car vous en avez besoinlorsque vous configurez RADIUS dans le service. Pour voir le type d'informations RADIUS requises pourconfigurer VMware Identity Manager, reportez-vous à la section « Configurer l'authentification RADIUSdans VMware Identity Manager », page 68.

Vous pouvez configurer un serveur d'authentification Radius secondaire afin de l'utiliser pour la hautedisponibilité. Si le serveur RADIUS principal ne répond pas dans le délai d'attente du serveur configurépour l'authentification RADIUS, la demande est routée vers le serveur secondaire. Lorsque le serveurprincipal ne répond pas, le serveur secondaire reçoit toutes les futures demandes d'authentification.

Configurer l'authentification RADIUS dans VMware Identity ManagerVous activez l'authentification RADIUS et configurez les paramètres RADIUS dans la consoled'administration de VMware Identity Manager.

Prérequis

Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Pourl'authentification RADIUS, suivez la documentation de configuration du fournisseur.

Vous devez connaître les informations suivantes sur le serveur RADIUS pour configurer RADIUS sur leservice.

n Adresse IP ou nom DNS du serveur RADIUS.

n Numéros de port d'authentification. En général, le port d'authentification est le port 1812.

n Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol),CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft ChallengeHandshake Authentication Protocol, versions 1 et 2).

n Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages deprotocole RADIUS.

n Valeurs du délai d’expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS

Procédure


2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configurépour l'authentification RADIUS.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RadiusAuthAdapter.


4 Cliquez sur Modifier pour configurer ces champs sur la page Adaptateur d'authentification.

Option Action

Nom Un nom est requis. Le nom par défaut est RadiusAuthAdapter. Vous pouvez modifier ce paramètre.

Activerl'adaptateurRadius

Cochez cette case pour activer l'authentification RADIUS.


68 VMware, Inc.

Option Action

Nombre detentativesd'authentification autorisées

Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUSpour vous connecter. La valeur par défaut est de cinq tentatives.

Nombre detentativespour leserveurRadius

Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le serviceattend l'heure configurée avant de réessayer.

Nomd'hôte/adressedu serveurRadius

Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS.

Portd'authentification

Entrez le numéro de port d'authentification Radius. En général, il s'agit du port 1812.

Port degestion

Entrez 0 pour le numéro de port. Le port de gestion n'est pas utilisé actuellement.

Typed'authentification

Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP,MSCHAP1 ou MSCHAP2.

Code secretpartagé

Entrez le code secret partagé utilisé entre le serveur RADIUS et le service VMware IdentityManager.

Délai d'attentedu serveur ensecondes

Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative estenvoyée si le serveur RADIUS ne répond pas.

Préfixe dudomaine

(Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine.Si vous spécifiez une chaîne de préfixe du domaine, la chaîne est placée au début du nomd'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateurentré est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateurDOMAIN-A\jdoe est envoyé au serveur RADIUS. Si vous ne configurez pas ces champs, seul lenom d'utilisateur qui est entré est envoyé.

Suffixe dudomaine

(Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nomd'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur [email protected] estenvoyé au serveur RADIUS.

Conseil pourla phrasesecrète de lapage deconnexion

Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pourdemander aux utilisateurs d'entrer le bon code secret Radius. Par exemple, si ce champ estconfiguré avec Mot de passe AD en premier, puis code secret SMS, le message sur la page deconnexion serait Entrez votre mot de passe AD en premier, puis le code secret SMS. La chaîne detexte par défaut est RADIUS Passcode.

5 Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité.

Configurez le serveur secondaire comme décrit à l'étape 4.


Suivant

Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Accédez à la page Identité etgestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthoded'authentification RADIUS à la règle. Voir « Gestion des méthodes d'authentification à appliquer auxutilisateurs », page 83.


VMware, Inc. 69

Configuration de RSA Adaptive Authentication dans VMware IdentityManager

RSA Adaptive Authentication peut être implémenté pour offrir une authentification multifacteur plus forteque l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Adaptive Authenticationsurveille et authentifie les tentatives de connexion des utilisateurs selon des niveaux de risque et desstratégies.

Lorsque Adaptive Authentication est activé, les indicateurs de risque spécifiés dans les stratégies de risqueconfigurées dans l'application RSA Policy Management et la configuration du service VMware IdentityManager d'Adaptive Authentication sont utilisés pour déterminer si un utilisateur est authentifié avec unnom d'utilisateur et un mot de passe ou si des informations supplémentaires sont nécessaires pourauthentifier l'utilisateur.

Méthodes d'authentification prises en charge de RSA Adaptive AuthenticationLes méthodes d'authentification forte de RSA Adaptive Authentication prises en charge dans le serviceVMware Identity Manager sont une authentification hors bande par téléphone, e-mail ou SMS et desquestions de sécurité. Vous activez sur le service les méthodes de RSA Adaptive Authentication pouvantêtre fournies. Les stratégies de RSA Adaptive Authentication déterminent si une méthode d'authentificationsecondaire est nécessaire.

L'authentification hors bande est un processus qui requiert qu'une vérification supplémentaire soit envoyéeavec le nom d'utilisateur et le mot de passe. Lorsque des utilisateurs s'inscrivent sur le serveur RSAAdaptive Authentication, ils fournissent une adresse e-mail, un numéro de téléphone, ou les deux, enfonction de la configuration du serveur. Lorsqu'une vérification supplémentaire est requise, le serveur RSAAdaptive Authentication envoie un code secret unique par le canal fourni. Les utilisateurs entrent ce codesecret, ainsi que leur nom d'utilisateur et leur mot de passe.

Les questions de sécurité requièrent que l'utilisateur réponde à une série de questions lorsqu'il s'inscrit sur leserveur RSA Adaptive Authentication. Vous pouvez configurer le nombre de questions d'inscription à poseret le nombre de questions de sécurité à présenter sur la page de connexion.

Inscription d'utilisateurs avec le serveur RSA Adaptive AuthenticationLes utilisateurs doivent être provisionnés dans la base de données RSA Adaptive Authentication pourpouvoir utiliser Adaptive Authentication pour l'authentification. Les utilisateurs sont ajoutés à la base dedonnées RSA Adaptive Authentication la première fois qu'ils se connectent avec leur nom d'utilisateur etleur mot de passe. En fonction de la façon dont vous avez configuré RSA Adaptive Authentication dans leservice, lorsque les utilisateurs se connectent, il peut leur être demandé de fournir leur adresse e-mail, leurnuméro de téléphone, leur numéro de service de messagerie texte (SMS) ou de répondre à des questions desécurité.

Remarque RSA Adaptive Authentication n'autorise pas les caractères internationaux dans les nomsd'utilisateur. Si vous prévoyez d'autoriser les caractères multioctet dans les noms d'utilisateur, contactez lesupport RSA pour configurer RSA Adaptive Authentication et RSA Authentication Manager.


70 VMware, Inc.

Configurer RSA Adaptive Authentication dans Identity ManagerPour configurer RSA Adaptive Authentication sur le service, vous activez RSA Adaptive Authentication,sélectionnez les méthodes d'authentification adaptative à appliquer et ajoutez les informations de connexionet le certificat Active Directory.

Prérequis

n RSA Adaptive Authentication correctement configuré avec les méthodes d'authentification à utiliserpour l'authentification secondaire.

n Détails sur l'adresse de point de terminaison SOAP et le nom d'utilisateur SOAP.

n Informations de configuration Active Directory et certificat SSL Active Directory disponibles.

Procédure


2 Sur la page Connecteur, colonne Travailleurs, sélectionnez le lien correspondant au connecteur qui estconfiguré.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RSAAAldpAdapter.

Vous serez redirigé vers la page de l'adaptateur d'authentification du gestionnaire d'identité.

4 Cliquez sur le lien Modifier à côté de RSAAAldpAdapter

5 Sélectionnez les réglages appropriés pour votre environnement.

Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sontfacultatifs.

Option Description

*Nom Un nom est requis. Le nom par défaut est RSAAAldpAdapter. Vouspouvez modifier ce nom.

Activer l'adaptateur RSA AA Cochez la case pour activer RSA Adaptive Authentication.

*Point de terminaison SOAP Entrez l'adresse du point de terminaison SOAP pour l'intégration entrel'adaptateur RSA Adaptive Authentication et le service.

*Nom d'utilisateur SOAP Entrez le nom d'utilisateur et le mot de passe utilisés pour signer desmessages SOAP.

Domaine RSA Entrez l'adresse de domaine du serveur Adaptive Authentication.

Activer les e-mails OOB Cochez cette case pour activer l'authentification hors bande qui envoie uncode secret unique à l'utilisateur final par e-mail.

Activer les SMS OOB Cochez cette case pour activer l'authentification hors bande qui envoie uncode secret unique à l'utilisateur final par SMS.

Activer SecurID Cochez cette case pour activer securID. Les utilisateurs sont invités à entrerleur jeton et leur code secret RSA.

Activer la question secrète Cochez cette case si vous voulez utiliser des questions d'inscription et desécurité pour l'authentification.

*Nombre de questions d'inscription Entrez le nombre de questions que l'utilisateur devra configurer lorsqu'ils'inscrit sur le serveur de l'adaptateur d'authentification.

*Nombre de questions de sécurité Entrez le nombre de questions de sécurité auxquelles les utilisateursdoivent répondre correctement pour se connecter.

*Nombre de tentativesd'authentification autorisées

Entrez le nombre de fois que les questions de sécurité seront affichées à unutilisateur essayant de se connecter avant que l'authentification échoue.

Type d'annuaire Le seul annuaire pris en charge est Active Directory.


VMware, Inc. 71

Option Description

Port du serveur Entrez le numéro de port Active Directory.

Hôte du serveur Entrez le nom d'hôte Active Directory.

Utiliser SSL Cochez cette case si vous utilisez SSL pour vous connecter au dossier. Vousajoutez le certificat SSL Active Directory dans le champ Certificat del'annuaire.

Utiliser l'emplacement du serviceDNS

Cochez cette case si l'emplacement du service DNS est utilisé pour vousconnecter au dossier.

ND de base Saisissez le ND à partir duquel effectuer les recherches de compte. Parexemple : OU=myUnit,DC=myCorp,DC=com.

ND Bind Entrez le compte pouvant rechercher des utilisateurs. Par exemple :CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Mot de passe Bind Entrez le mot de passe du compte ND Bind.

Attribut de recherche Entrez l'attribut du compte contenant le nom d'utilisateur.

Certificat de l'annuaire Pour établir des connexions SSL sécurisées, ajoutez le certificat du serveurd'annuaire dans la zone de texte. S'il existe plusieurs serveurs, ajoutez lecertificat racine de l'autorité de certification.


Suivant

Activez la méthode d'authentification RSA Adaptive Authentication dans le fournisseur d'identité intégrédans l'onglet Identité et gestion de l'accès > Gérer. Voir « Configuration d'un fournisseur d'identité intégré »,page 78.

Ajoutez la méthode d'authentification RSA Adaptive Authentication à la stratégie d'accès par défaut.Accédez à la page Identité et gestion de l'accès> Gérer > Stratégies et modifiez les règles de stratégie pardéfaut pour ajouter Adaptive Authentication. Voir « Gestion des méthodes d'authentification à appliqueraux utilisateurs », page 83.

Configuration d'un certificat ou d'un adaptateur de carte à puce pourVMware Identity Manager

Vous pouvez configurer l'authentification par certificat x509 afin de permettre aux utilisateurs des'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser unadaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce quepossède l'utilisateur (la clé privée ou la carte à puce) et sur ce que la personne sait (le mot de passe de la clé


72 VMware, Inc.

privée ou le code PIN de la carte à puce). Un certificat X.509 utilise la norme d'infrastructure de clé publique(KPI) pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. Pourl'authentification par carte à puce, les utilisateurs connectent la carte à puce à l'ordinateur et saisissent uncode PIN.

Les certificats des cartes à puce sont copiés dans le magasin de certificats local de l'ordinateur del'utilisateur. Les certificats du magasin de certificats local sont disponibles pour tous les navigateurs exécutéssur l'ordinateur de cet utilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance deVMware Identity Manager dans ce navigateur.

Remarque Lorsque l'authentification par certificat est configurée et que le dispositif de service estparamétré derrière un équilibrage de charge, assurez-vous que VMware Identity Manager Connector estconfiguré avec un relais SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre finà SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL alieu entre le connecteur et le client afin de transmettre le certificat au connecteur. Lorsque votre équilibragede charge est configuré pour mettre fin à SSL au niveau de l'équilibrage de charge, vous pouvez déployer unsecond connecteur derrière un autre équilibrage de charge pour prendre en charge l'authentification parcertificat.

Pour plus d'informations sur l'ajout d'un second connecteur, consultez le Guide d'installation et deconfiguration de VMware Identity Manager.

Utilisation du nom de l'utilisateur principal pour l'authentification par certificatVous pouvez utiliser le mappage de certificat dans Active Directory. Les connexions par certificat et par carteà puce utilisent le nom de l'utilisateur principal (UPN) d'Active Directory pour valider les comptesd'utilisateur. Les comptes d'utilisateurs Active Directory qui essaient de s'authentifier dans le serviceVMware Identity Manager doivent disposer d'un UPN valide qui correspond à l'UPN du certificat.

Vous pouvez configurer le VMware Identity Manager pour utiliser une adresse e-mail afin de valider lecompte d'utilisateur si l'UPN n'existe pas dans le certificat.

Vous pouvez également activer un type d'UPN alternatif à utiliser.

Autorité de certification requise pour l'authentificationPour activer la connexion à l'aide de l'authentification par certificat, des certificats racine et intermédiairesdoivent être chargés dans le VMware Identity Manager.

Les certificats sont copiés dans le magasin de certificats local de l'ordinateur de l'utilisateur. Les certificatsdu magasin de certificats local sont disponibles pour tous les navigateurs exécutés sur l'ordinateur de cetutilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance de VMware Identity Managerdans ce navigateur.

Pour l'authentification par carte à puce, lorsqu'un utilisateur initie une connexion sur l'instance deVMware Identity Manager, le service VMware Identity Manager envoie une liste d'autorités de certification(CA) approuvées au navigateur. Le navigateur compare la liste des CA approuvées aux certificatsd'utilisateur disponibles, sélectionne un certificat adapté, puis demande à l'utilisateur de saisir le code PINd'une carte à puce. Si plusieurs certificats d'utilisateur valides sont disponibles, le navigateur demande àl'utilisateur de sélectionner un certificat.

Si un utilisateur ne peut pas s'authentifier, les autorités de certification racine et intermédiaire sont peut-êtremal configurées, ou le service n'a peut-être pas été redémarré après le téléchargement des autorités decertification racine et intermédiaire sur le serveur. Dans ces situations, le navigateur ne peut pas afficher lescertificats installés, l'utilisateur ne peut pas sélectionner le certificat correct, ce qui fait échouerl'authentification par certificat.


VMware, Inc. 73

Utilisation du contrôle de la révocation des certificatsVous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont lescertificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'unutilisateur quitte une organisation, perd une carte à puce ou change de service.

Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocoleOCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certificationayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut derévocation d'un certificat.

Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification parcertificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la caseUtiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, lecontrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en casd'échec de la CRL.

Connexion avec le contrôle de la CRLLorsque la révocation des certificats est autorisée, le serveur VMware Identity Manager lit une CRL pourdéterminer l'état de révocation d'un certificat d'utilisateur.

Si un certificat est révoqué, l'authentification par certificat échoue.

Connexion avec le contrôle de certificat OCSPLorsque vous configurez le contrôle de la révocation par le protocole OCSP, VMware Identity Managerenvoie une demande à un répondeur OCSP pour déterminer le statut de révocation d'un certificatd'utilisateur spécifique. Le serveur VMware Identity Manager utilise le certificat de signature OCSP pourvérifier l'authenticité des réponses reçues de la part du répondeur OCSP.

Si le certificat est révoqué, l'authentification échoue.

Il est possible de configurer l'authentification pour basculer vers le contrôle par CRL si aucune réponse n'estreçue de la part du répondeur OSCP ou si la réponse n'est pas valide.

Configurer l'authentification par certificat pour VMware Identity ManagerVous activez et configurez l'authentification par certificat dans la console d'administration deVMware Identity Manager.

Prérequis

n Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé lescertificats présentés par vos utilisateurs.

n (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pourl'authentification par certificat.

n Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.

n (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.

n Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure


2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré.


74 VMware, Inc.

3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur CertificateAuthAdapter.

4 Configurez la page Adaptateur d'authentification par certificat.

Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sontfacultatifs.

Option Description

*Nom Un nom est requis. Le nom par défaut est CertificateAuthAdapter. Vouspouvez modifier ce nom.

Activer l'adaptateur de certificat Cochez la case pour permettre l'authentification par certificat.

*Certificats d'autorité decertification racine et intermédiaire

Sélectionnez les fichiers de certificat à télécharger. Il est possible desélectionner plusieurs certificats d'autorité de certification racine etintermédiaire qui utilisent l'encodage DER ou PEM.

Certificats d'autorité de certificationtéléchargés

Les fichiers de certificat téléchargés sont répertoriés dans la sectionCertificats d'autorité de certification téléchargés du formulaire.

Utiliser une adresse e-mail s'iln'existe pas d'UPN dans le certificat

Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat,cochez cette case pour utiliser l'attribut emailAddress comme extensionAutre nom de l'objet afin de valider des comptes d'utilisateurs.

Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans lesextensions de stratégie de certificat.Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission decertificat. Cliquez sur Ajouter une autre valeur pour ajouter des OIDsupplémentaires.

Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation descertificats. Le contrôle de la révocation empêche les utilisateurs avec descertificats d'utilisateur révoqués de s'authentifier.

Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL)publiée par l'autorité de certification qui a émis les certificats afin devalider le statut d'un certificat, révoqué ou non révoqué.

Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel laCRL peut être récupérée.

Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP(Online Certificate Status Protocol) afin d'obtenir le statut de révocationd'un certificat.

Utiliser la CRL en cas de défaillancedu protocole

Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pourbasculer vers l'utilisation de la CRL si le contrôle OCSP n'est pasdisponible.

Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de larequête OCSP soit envoyée dans la réponse.

URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSPpour le contrôle de la révocation.

Certificat de la signature durépondeur OCSP

Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer.

Activer le formulaire deconsentement avantl'authentification

Cochez cette case pour inclure une page du formulaire de consentementqui s'affiche avant que les utilisateurs se connectent à leur portailWorkspace ONE à l'aide de l'authentification par certificat.

Contenu du formulaire deconsentement

Saisissez le texte qui s'affiche sur le formulaire de consentement dans cettezone de texte.



VMware, Inc. 75

Suivant

n Ajoutez la méthode d'authentification de certificat à la stratégie d'accès par défaut. Accédez à la pageIdentité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pourajouter Certificat. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs »,page 83.

n Lorsque l'authentification par certificat est configurée et que le dispositif de service est configuréderrière un équilibrage de charge, assurez-vous que le connecteur VMware Identity Manager estconfiguré avec un passe-système SSL au niveau de l'équilibrage de charge et qu'il n'est pas configurépour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer quela négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur.

Configuration de VMware Verify pour l'authentification à deux facteursDans la console d'administration de VMware Identity Manager, vous pouvez activer le service VMwareVerify comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise.

Vous activez VMware Verify dans le fournisseur d'identité intégré dans la console d'administration etajoutez le jeton de sécurité VMware Verify que vous recevez de la part du support VMware.

Vous configurez l'authentification à deux facteurs dans les règles de stratégie d'accès pour exiger desutilisateurs qu'ils s'authentifient avec deux méthodes d'authentification.

Les utilisateurs installent l'application VMware Verify sur leurs périphériques et fournissent un numéro detéléphone pour enregistrer leur périphérique auprès du service VMware Verify. Le périphérique et lenuméro de téléphone sont également enregistrés dans le profil Utilisateur et groupes dans la consoled'administration.

Les utilisateurs inscrivent leur compte une fois lorsqu'ils se connectent avec l'authentification par mot depasse, puis qu'ils entrent le code secret VMware Verify qui s'affiche sur leur périphérique. Aprèsl'authentification initiale, les utilisateurs peuvent s'authentifier via l'une de ces trois méthodes.

n Approbation push avec une notification monotouche. Les utilisateurs approuvent ou refusent l'accès deVMware Identity Manager avec un clic. Les utilisateurs cliquent sur Approuver ou sur Refuser sur lemessage envoyé.

n Code secret TOTP (Time-based One Time Password). Un code secret à usage unique est généré toutesles 20 secondes. Les utilisateurs entrent ce code secret sur l'écran de connexion.

n SMS. Phone SMS est utilisé pour envoyer un code de vérification à usage unique dans un SMS aunuméro de téléphone enregistré. Les utilisateurs entrent ce code de vérification sur l'écran deconnexion.

VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur.Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sont stockéesdans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité.

Activer VMware VerifyPour activer l'authentification à deux facteurs avec le service VMware Verify, vous devez ajouter un jeton desécurité à la page VMware Verify et activer VMware Verify dans le fournisseur d'identité intégré.

Prérequis

Créez un ticket de support avec le support VMware ou AirWatch pour recevoir le jeton de sécurité qui activeVMware Verify. L'équipe du support traite votre demande et met à jour le ticket de support avec desinstructions et un jeton de sécurité. Vous ajoutez ce jeton de sécurité à la page VMware Verify.

(Facultatif) Personnalisez le logo et l'icône qui s'affichent dans l'application VMware Verify sur lespériphériques. Voir « Personnaliser des informations de marque pour l'application VMware Verify »,page 126.


76 VMware, Inc.

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer >Fournisseurs d'identité.

2 Sélectionnez le fournisseur d'identité nommé Intégré.

3 Cliquez sur l'icône d'engrenage de VMware Verify.

4 Cochez la case Activer l'authentification multi-facteur.

5 Collez le jeton de sécurité que vous avez reçu de la part de l'équipe du support VMware ou AirWatchdans la zone de texte Jeton de sécurité.


Suivant

Créez une règle de stratégie d'accès dans la stratégie d'accès par défaut pour ajouter la méthoded'authentification VMware Verify comme seconde méthode d'authentification dans la règle. Voir « Gestiondes méthodes d'authentification à appliquer aux utilisateurs », page 83.

Appliquez des informations de marque personnalisées sur la page de connexion de VMware Verify. Voir « Personnaliser des informations de marque pour l'application VMware Verify », page 126.

Enregistrement des utilisateurs finaux avec VMware VerifyLorsque l'authentification VMware Verify est requise pour l'authentification à deux facteurs, les utilisateursinstallent et utilisent l'application VMware Verify pour enregistrer leur périphérique.

Remarque L'application VMware Verify peut être téléchargée depuis les boutiques d'applications.

Lorsque l'authentification à deux facteurs VMware Verify est activée, la première fois que les utilisateurs seconnectent à l'application Workspace ONE, il leur est demandé d'entrer leur nom d'utilisateur et leur mot depasse. Lorsque le nom d'utilisateur et le mot de passe sont vérifiés, les utilisateurs sont invités à entrer lenuméro de téléphone de leur périphérique à inscrire dans VMware Verify.

Lorsqu'ils cliquent sur Inscription, le numéro de téléphone est enregistré avec VMware Verify et, s'ils n'ontpas téléchargé cette application, ils sont invités à le faire.

Lorsque l'application est installée, il est demandé aux utilisateurs d'entrer le même numéro de téléphoneque celui entré précédemment et de sélectionner une méthode de notification pour recevoir un coded'enregistrement à usage unique. Le code d'enregistrement est entré sur la page Code PIN d'enregistrement.

Une fois le numéro de téléphone du périphérique enregistré, les utilisateurs peuvent utiliser un code secret àusage unique basé sur l’heure affiché dans l'application VMware Verify pour se connecter à WorkspaceONE. Le code secret est un numéro unique généré sur le périphérique et qui change constamment.

Les utilisateurs peuvent enregistrer plusieurs périphériques. Le code secret VMware Verify est synchroniséautomatiquement sur chaque périphérique enregistré.

Supprimer le numéro de téléphone enregistré du profil d'utilisateurPour résoudre les problèmes de connexion à Workspace ONE, vous pouvez supprimer le numéro detéléphone de l'utilisateur du profil utilisateur dans la console d'administration deVMware Identity Manager.

Procédure

1 Dans la console d'administration, cliquez sur Utilisateurs et groupes.

2 Sur la page Utilisateur, sélectionnez le nom d'utilisateur à réinitialiser.

3 Dans l'onglet VMware Verify, cliquez sur Réinitialiser VMware Verify.


VMware, Inc. 77

Le numéro de téléphone est supprimé du profil utilisateur et la liste Utilisateur indique S/O dans la colonneNuméro de téléphone de VMware Verify. L'enregistrement du numéro de téléphone est annulé du serviceVMware Verify. Lorsque l'utilisateur se connecte à son application Workspace ONE, il est invité à entrer lenuméro de téléphone pour s'inscrire de nouveau au service VMware Verify.

Configuration d'un fournisseur d'identité intégréUn fournisseur d'identité intégré est disponible sur la page Identité et gestion de l'accès > Fournisseursd'identité de la console d'administration. Vous pouvez créer des fournisseurs d'identité intégréssupplémentaires.

Le fournisseur d'identité intégré disponible peut être configuré sur des méthodes d'authentification deservice qui ne nécessitent pas un connecteur. Méthodes d'authentification configurées sur un connecteurdéployé derrière la zone DMZ en mode de connexion sortie seule sur le service VMware Identity Manager.

Les méthodes d'authentification que vous configurez dans ce fournisseur d'identité intégré peuvent êtreactivées dans d'autres fournisseurs d'identité intégrés que vous ajoutez. Vous n'avez pas besoin deconfigurer des méthodes d'authentification dans les fournisseurs d'identité intégrés que vous ajoutez.

Les méthodes d'authentification suivantes ne requièrent pas un connecteur et elles sont configurées sur lefournisseur d'identité intégré par défaut.

n Mobile SSO pour iOS

n Certificat (déploiement de Cloud)

n Mot de passe utilisant AirWatch Connector

n VMware Verify pour authentification à deux facteurs

n Mobile SSO pour Android

n Conformité des périphériques avec AirWatch

n Mot de passe (répertoire local)

Remarque Le mode de connexion sortie seule n'exige pas qu'un port de pare-feu soit ouvert.

Lorsque ces méthodes d'authentification sont configurées dans le fournisseur d'identité intégré, si desutilisateurs et des groupes se trouvent dans un annuaire d'entreprise, avant d'utiliser ces méthodesd'authentification, vous devez synchroniser les utilisateurs et les groupes dans le service VMware IdentityManager.

Une fois que vous avez activé les méthodes d'authentification, vous créez des stratégies d'accès à appliquer àces méthodes d'authentification.

Configurer des fournisseurs d'identité intégrésConfigurez le fournisseur d'identité intégré par défaut avec les méthodes d'authentification qui nerequièrent pas un connecteur. Les méthodes d'authentification que vous configurez ici peuvent être activéessur d'autres fournisseurs d'identité intégrés que vous ajoutez à votre environnement.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité.


78 VMware, Inc.

2 Sélectionnez le fournisseur d'identité avec l'étiquette Intégré et configurez ses détails.

Option Description

Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré.

Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuairesconfigurés sont répertoriés.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.Sélectionnez les plages réseau des utilisateurs en fonction des adresses IPque vous souhaitez rediriger vers cette instance de fournisseur d'identité àdes fins d'authentification.

Méthodes d'authentification Pour configurer une méthode d'authentification, cliquez sur les icônesd'engrenage et configurez les méthodes d'authentification. Lorsque vousintégrez AirWatch à VMware Identity Manager, vous pouvez sélectionnerles méthodes d'authentification à utiliser.Pour Conformité des périphériques (avec AirWatch) et Mot de passe(AirWatch Connector), vérifiez que l'option est activée sur la page deconfiguration d'AirWatch.

3 Une fois que vous avez créé les méthodes d'authentification, cochez les cases de celles que vous voulez

utiliser avec ce fournisseur d'identité intégré.

4 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliserdans la configuration AirWatch du profil de gestion du périphérique iOS.


Les méthodes d'authentification que vous avez configurées peuvent être activées dans d'autres fournisseursd'identité intégrés que vous ajoutez, sans configuration supplémentaire.

Configurer un fournisseur d'identité intégré lorsque le connecteur est en modesortie seule

Pour la connexion sortie seule au service VMware Identity Manager Cloud, dans le fournisseur d'identitéintégré, activez les méthodes d'authentification que vous avez configurées dans le connecteur.

Prérequis

n Les utilisateurs et les groupes situés dans un répertoire d'entreprise doivent être synchronisés avec lerépertoire VMware Identity Manager.

n Liste des plages réseau que vous souhaitez rediriger vers l'instance du fournisseur d'identité intégré àdes fins d'authentification.

n Pour activer des méthodes d'authentification du fournisseur d'identité intégré, vérifiez que lesméthodes d'authentification sont configurées dans le connecteur.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité.

2 Sélectionnez le fournisseur d'identité avec l'étiquette Intégré et configurez ses détails.

Option Description

Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré.

Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuairesconfigurés sont répertoriés.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.Sélectionnez les plages réseau des utilisateurs en fonction des adresses IPque vous souhaitez rediriger vers cette instance de fournisseur d'identité àdes fins d'authentification.


VMware, Inc. 79

Option Description

Méthodes d'authentification Lorsque vous intégrez AirWatch à VMware Identity Manager, vouspouvez sélectionner les méthodes d'authentification à utiliser. Cliquez surl'icône d'engrenage des méthodes d'authentification à configurer.Pour Conformité des périphériques (avec AirWatch) et Mot de passe(AirWatch Connector), vérifiez que l'option est activée sur la page deconfiguration d'AirWatch.

Connecteur(s) (Facultatif) Sélectionnez le connecteur qui est configuré en mode deconnexion sortie seule.

Méthodes d'authentification duconnecteur

Les méthodes d'authentification configurées sur le connecteur sontrépertoriées dans cette section. Cochez la case pour activer les méthodesd'authentification.

3 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliser

dans la configuration AirWatch du profil de gestion du périphérique iOS.


Configurer des fournisseurs d'identité Workspace supplémentairesQuand le connecteur VMware Identity Manager est configuré initialement, lorsque vous activez leconnecteur afin d'authentifier des utilisateurs, un IDP Workspace est créé en tant que fournisseur d'identitéet l'authentification par mot de passe est activée.

Des connecteurs supplémentaires peuvent être configurés derrière différents équilibrages de charge.Lorsque votre environnement inclut plusieurs équilibrages de charge, vous pouvez configurer unfournisseur d'identité Workspace différent pour l'authentification dans chaque configuration à équilibragede charge. Consultez les rubriques Installation de dispositifs de connecteur supplémentaires dans le Guided'installation et de configuration de VMware Identity Manager.

Les différents fournisseurs d'identité Workspace peuvent être associés au même annuaire ou, si vousdisposez de plusieurs annuaires configurés, vous pouvez sélectionner l'annuaire à utiliser.

Procédure


2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP Workspace.

3 Modifiez les paramètres de l'instance de fournisseur d'identité.

Option Description

Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité Workspace.

Utilisateurs Sélectionnez l'annuaire VMware Identity Manager des utilisateurs quipeuvent s'authentifier à l'aide de ce fournisseur d'identité Workspace.

Connecteur(s) Les connecteurs qui ne sont pas associés à l'annuaire que vous avezsélectionné sont répertoriés. Sélectionnez le connecteur à associer àl'annuaire.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.Sélectionnez les plages réseau des utilisateurs en fonction de leurs adressesIP, que vous souhaitez rediriger vers cette instance de fournisseurd'identité à des fins d'authentification.



80 VMware, Inc.

Configuration d'une instance de fournisseur d'identité tiers pourauthentifier des utilisateurs

Vous pouvez configurer un fournisseur d'identité tiers utilisé pour authentifier des utilisateurs dans leservice VMware Identity Manager.

Effectuez les tâches suivantes avant d'utiliser la console d'administration pour ajouter l'instance defournisseur d'identité tiers.

n Vérifiez que les instances tierces sont conformes à la norme SAML 2.0 et que le service peut atteindrel'instance tierce.

n Obtenez les informations sur les métadonnées tierces à ajouter lors de la configuration du fournisseurd'identité dans la console d'administration. Les informations de métadonnées que vous obtenez del'instance tierce correspondent à l'URL d'accès aux métadonnées ou aux métadonnées proprement dites.

n Si le provisionnement juste-à-temps est activé pour ce fournisseur d'identité, tenez compte desexigences des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doiventcontenir certains attributs. Voir « Exigences des assertions SAML », page 55.

Ajouter et configurer une instance de fournisseur d'identitéEn ajoutant et en configurant des instances de fournisseurs d'identité pour votre déploiementVMware Identity Manager, vous pouvez garantir une disponibilité élevée, prendre en charge des méthodesd'authentification d'utilisateurs supplémentaires et améliorer la souplesse de gestion du processusd'authentification des utilisateurs en fonction des plages d'adresses IP de ces derniers.

Prérequis

n Configurez les plages réseau que vous souhaitez rediriger vers cette instance de fournisseur d'identité àdes fins d'authentification. Voir « Ajout ou modification d'une plage réseau », page 83.

n Accédez au document sur les métadonnées tierces. Il peut s'agir de l'URL d'accès aux métadonnées oudes métadonnées réelles.

Procédure


2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP tiers. Modifiez lesparamètres de l'instance de fournisseur d'identité.

3 Modifiez les paramètres de l'instance de fournisseur d'identité.

Élément de formulaire Description

Nom du fournisseurd'identité

Entrez un nom pour cette instance de fournisseur d'identité.

Métadonnées SAML Ajoutez le document sur les métadonnées XML IdP tierces afin d'établir une relationd'approbation avec le fournisseur d'identité.1 Entrez l'URL des métadonnées SAML ou le contenu xml dans la zone de texte.2 Cliquez sur Traiter les métadonnées IdP. Les formats NameID pris en charge par

l'IdP sont extraits des métadonnées et ajoutés au tableau Format d'ID de nom.3 Dans la colonne de valeurs ID de nom, sélectionnez l'attribut utilisateur dans le

service à mapper aux formats d'ID affichés. Vous pouvez ajouter des formats d'ID denom tiers et les mapper aux valeurs d'attribut utilisateur du service.

4 (Facultatif) Sélectionnez le format de la chaîne d'identificateur de réponseNameIDPolicy.


VMware, Inc. 81

Élément de formulaire Description

Provisionnement juste-à-temps

Configurez le provisionnement juste-à-temps afin de créer des utilisateurs dans le serviceIdentity Manager de manière dynamique lorsqu'ils se connectent pour la première fois.Un répertoire JIT est créé et les attributs dans l'assertion SAML sont utilisés pour créerl'utilisateur dans le service. Voir Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51.

Utilisateurs Sélectionnez les répertoires des utilisateurs qui peuvent s'authentifier à l'aide de cefournisseur d'identité.

Réseau Les plages réseau existantes configurées dans le service sont répertoriées.Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que voussouhaitez rediriger vers cette instance de fournisseur d'identité à des finsd'authentification.

Méthodesd'authentification

Ajoutez les méthodes d'authentification prises en charge par le fournisseur d'identité tiers.Sélectionnez la classe de contexte d'authentification SAML qui prend en charge laméthode d'authentification.

Configuration de ladéconnexion unique

Activez la déconnexion unique pour fermer la session de fournisseur d'identité desutilisateurs lorsqu'ils se déconnectent. Si la déconnexion unique n'est pas activée, lasession de fournisseur d'identité des utilisateurs est toujours active lorsqu'ils sedéconnectent.(Facultatif) Si le fournisseur d'identité prend en charge le profil de déconnexion uniqueSAML, activez la déconnexion unique et laissez la case URL de redirection vide. Si lefournisseur d'identité ne prend pas en charge le profil de déconnexion unique SAML,activez la déconnexion unique et entrez l'URL de déconnexion du fournisseur d'identitévers laquelle les utilisateurs sont redirigés lorsqu'ils se déconnectent deVMware Identity Manager.Si vous avez configuré l'URL de redirection et si vous voulez que les utilisateursretournent à la page de connexion de VMware Identity Manager après avoir été redirigésvers l'URL de déconnexion du fournisseur d'identité, entrez le nom de paramètre utilisépar l'URL de redirection du fournisseur d'identité.

Certificat de signatureSAML

Cliquez sur Métadonnées du fournisseur de services (SP) pour voir l'URL vers lesmétadonnées du fournisseur de services SAML VMware Identity Manager. Copiez etenregistrez l'URL. Cette URL est configurée lorsque vous modifiez l'assertion SAML dansle fournisseur d'identité tiers pour mapper des utilisateurs VMware Identity Manager.

Nom d'hôte IdP Si la zone de texte Nom d'hôte s'affiche, entrez le nom d'hôte vers lequel le fournisseurd'identité est redirigé pour l'authentification. Si vous utilisez un port non standard autreque 443, vous pouvez définir le nom d'hôte avec le format Nom d'hôte:Port. Par exemple,myco.example.com:8443.


Suivant

n Ajoutez la méthode d'authentification du fournisseur d'identité à la stratégie par défaut des services.Voir « Application de méthodes d'authentification aux règles de stratégie », page 85.

n Modifiez la configuration du fournisseur d'identité tiers pour ajouter l'URL de certificat de signatureSAML que vous avez enregistrée.


82 VMware, Inc.

Gestion des méthodes d'authentification à appliquer aux utilisateursLe service VMware Identity Manager tente d'authentifier les utilisateurs selon les méthodesd'authentification, la stratégie d'accès par défaut, les plages réseau et les instances de fournisseurs d'identitéque vous configurez.

Lorsque des utilisateurs tentent de se connecter, le service évalue les règles de stratégie par défaut pourdéterminer la règle de la stratégie à appliquer. Les méthodes d'authentification sont appliquées dans l'ordreoù elles sont répertoriées dans la règle. La première instance de fournisseur d'identité qui répond auxexigences relatives à la méthode d'authentification et à la plage réseau de la règle est sélectionnée. Lademande d'authentification de l'utilisateur est transmise à l'instance de fournisseur d'identité à des finsd'authentification. Si l'authentification échoue, la méthode d'authentification suivante configurée dans larègle est appliquée.

Vous pouvez ajouter des règles qui spécifient les méthodes d'authentification à utiliser par type depériphérique ou par type de périphérique et à partir d'une plage réseau spécifique. Par exemple, vouspouvez configurer une règle qui exige que les utilisateurs qui se connectent à l'aide de périphériques iOS àpartir d'un réseau spécifique s'authentifient à l'aide de RSA SecurID. Configurez ensuite une autre règle quiexige que les utilisateurs qui se connectent avec un autre type de périphérique à partir de l'adresse IP duréseau interne s'authentifient à l'aide de leur mot de passe.

Ajout ou modification d'une plage réseauCréez des plages réseau pour définir les adresses IP à partir desquelles les utilisateurs peuvent se connecter.Vous ajoutez les plages réseau que vous créez à des instances de fournisseurs d'identité spécifiques et pouraccéder à des règles de stratégie.

Une plage réseau, appelée TOUTES LES PLAGES, est créée comme plage par défaut. Cette plage réseaucomprend chaque adresse IP disponible sur Internet, de 0.0.0.0 à 255.255.255.255. Si votre déploiementcompte une seule instance de fournisseur d'identité, vous pouvez modifier la plage d'adresses IP et ajouterd'autres plages afin d'exclure ou d'inclure des adresses IP spécifiques à la plage réseau par défaut. Vouspouvez créer d'autres plages réseau avec des adresses IP spécifiques que vous pouvez appliquer à des finsparticulières.

Remarque La plage réseau par défaut (TOUTES LES PLAGES) et sa description (« un réseau pour toutesles plages ») sont modifiables. Vous pouvez modifier le nom et la description, notamment traduire le textedans une autre langue, à l'aide de la fonctionnalité Modifier de la page Plages réseau.

Prérequis

n Définissez les plages réseau pour votre déploiement de VMware Identity Manager en fonction de latopologie du réseau.

n Lorsque View est activé dans le service, vous spécifiez l'URL View par plage réseau. Pour ajouter uneplage réseau lorsque le module View est activé, notez l'URL d'accès à Horizon Client et le numéro deport de la plage réseau. Pour plus d'informations, consultez la documentation de View.

Consultez le chapitre Configuration des ressources dans VMware Identity Manager, Fourniture d'un accèsaux pools de postes de travail et d'applications View.

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration >Plages réseau.


VMware, Inc. 83

2 Modifiez une plage réseau existante ou ajoutez une plage.

Option Description

Modifier une plage réseau existante Cliquez sur le nom de la plage réseau pour la modifier.

Ajouter une plage Cliquez sur Ajouter une plage réseau pour ajouter une nouvelle plage.

3 Modifiez la page Ajouter une plage réseau.

Élément deformulaire Description

Nom Entrez un nom pour la plage réseau.

Description Entrez une description pour la plage réseau.

Espaces View L'option Espaces View s'affiche uniquement lorsque le module View est activé.Hôte de l'URL d'accès au client. Entrez l'URL d'accès à Horizon Client correspondant à laplage réseau.Port d'accès à Client. Entrez le numéro de port d'accès à Horizon Client correspondant à laplage réseau.

Plages d'adresses IP Modifiez ou ajoutez des plages d'adresses IP jusqu'à ce que toutes les adresses IPsouhaitées soient incluses et toutes les adresses IP non souhaitées soient exclues.

Suivant

n Associez chaque plage réseau à une instance de fournisseur d'identité.

n Associez les plages réseau à une règle de stratégie d'accès, si nécessaire. Voir Chapitre 8, « Gestion desstratégies d'accès », page 87.

Application de la stratégie d'accès par défautLe service VMware Identity Manager inclut une stratégie d'accès par défaut qui contrôle l'accès desutilisateurs à leurs portails Workspace ONE et leurs applications Web. Il est possible de modifier la stratégiepour changer ses règles si nécessaire.

Lorsque vous activez des méthodes d'authentification autres qu'une authentification par mot de passe, vousdevez modifier la stratégie par défaut pour ajouter la méthode d'authentification activée aux règles de lastratégie.

Chaque règle de la stratégie d'accès par défaut exige qu'un ensemble de critères soit satisfait pour accorder àl'utilisateur l'accès au portail d'applications. Vous pouvez appliquer une plage réseau, déterminer le typed'utilisateur autorisé à accéder au contenu et sélectionner la méthode d'authentification souhaitée. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87.

Le nombre de tentatives effectuées par le service pour connecter un utilisateur à l'aide d'une méthoded'authentification donnée varie. Le service n'effectue qu'une seule tentative d'authentification pour Kerberosou l'authentification par certificat. Si la tentative de connexion d'un utilisateur échoue, une tentative esteffectuée sur la méthode d'authentification suivante de la règle. Le nombre maximal d'échecs de la tentativede connexion pour l'authentification par mot de passe Active Directory et RSA SecurID est de cinq pardéfaut. Lorsqu'un utilisateur enregistre cinq tentatives de connexion infructueuses, le service tente deconnecter l'utilisateur en utilisant la méthode d'authentification suivante dans la liste. Lorsque toutes lesméthodes d'authentification ont été utilisées sans succès, le service affiche un message d'erreur.


84 VMware, Inc.

Application de méthodes d'authentification aux règles de stratégieSeule la méthode d'authentification par mot de passe est configurée dans les règles de stratégie par défaut.Vous devez modifier les règles de stratégie pour sélectionner les autres méthodes d'authentification quevous avez configurées et définir l'ordre dans lequel les méthodes d'authentification sont utilisées pourl'authentification.

Vous pouvez configurer des règles de stratégie d'accès qui exigent que les utilisateurs fournissent desinformations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Voir « Configuration de paramètres de stratégie d'accès », page 87.

Prérequis

Activez et configurez les méthodes d'authentification que votre organisation prend en charge. Voir Chapitre7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59.

Procédure

1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer >Stratégies.

2 Cliquez sur la stratégie d'accès par défaut à modifier.

3 Dans la section Règles de stratégie, cliquez sur la méthode d'authentification à modifier ou, pour ajouterune nouvelle règle de stratégie, cliquez sur l'icône +.

a Vérifiez que la plage réseau est correcte. Si vous ajoutez une règle, sélectionnez la plage réseau decette règle de stratégie.

b Sélectionnez le type de périphérique que cette règle gère dans le menu déroulant et quel'utilisateur essaie d'accéder à du contenu provenant de….

c Configurez l'ordre d'authentification. Dans le menu déroulant alors l'utilisateur doit s'authentifierselon la méthode suivante, sélectionnez la méthode d'authentification à appliquer en priorité.

Pour exiger que les utilisateurs s'authentifient via deux méthodes d'authentification, cliquez sur +et, dans le menu déroulant, sélectionnez une seconde méthode d'authentification.

d (Facultatif) Pour configurer des méthodes d'authentification de secours supplémentaires, dans lemenu déroulant Si la méthode d'authentification précédente échoue :, sélectionnez une autreméthode d'authentification activée.

Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle.

e Dans le menu déroulant Nouvelle authentification après, sélectionnez la durée de la session aprèslaquelle les utilisateurs doivent s'authentifier de nouveau.

f (Facultatif) Créez un message d'accès refusé personnalisé qui s'affiche lorsque l'authentificationutilisateur échoue. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ650 mots. Si vous voulez envoyer les utilisateurs vers une autre page, dans la zone de texte URL dulien, entrez l'adresse de lien de l'URL. Dans la zone de texte Texte du lien, entrez le texte qui doits'afficher pour le lien. Si vous laissez cette zone de texte vide, le mot Continuer s'affiche.

g Cliquez sur Enregistrer.


VMware, Inc. 85



86 VMware, Inc.

Gestion des stratégies d'accès 8Pour offrir un accès sécurisé au portail d'applications des utilisateurs et pour lancer des applications Web etde poste de travail, vous configurez des stratégies d'accès avec des règles qui spécifient des critères devantêtre respectés pour que les utilisateurs puissent se connecter à leur portail d'applications et utiliser leursressources.

Les règles de stratégie mappent l'adresse IP demandeuse à des plages réseau et désignent le type depériphériques que les utilisateurs peuvent utiliser pour se connecter. La règle définit les méthodesd'authentification et le nombre d'heures pendant lesquelles l'authentification est valide.

Le service VMware Identity Manager inclut une stratégie par défaut qui contrôle l'accès au serviceglobalement. Cette stratégie est configurée pour autoriser l'accès à toutes les plages réseau, depuis tous lestypes de périphérique, avec un délai d'expiration de la session de huit heures, et la méthoded'authentification est l'authentification par mot de passe. Vous pouvez modifier la stratégie par défaut.

Remarque Les stratégies ne contrôlent pas la durée d'une session d'application. Elles contrôlent plutôt ladurée de la période pendant laquelle les utilisateurs peuvent lancer une application.


n « Configuration de paramètres de stratégie d'accès », page 87

n « Gestion des stratégies spécifiques à une application Web et de poste de travail », page 90

n « Ajouter une stratégie spécifique à une application Web ou de poste de travail », page 92

n « Configurer le message d'erreur d'accès refusé personnalisé », page 92

n « Modifier une stratégie d'accès », page 93

n « Activation du cookie persistant sur des périphériques mobiles », page 94

Configuration de paramètres de stratégie d'accèsUne stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres que vouspouvez configurer afin de gérer l'accès des utilisateurs à leur portail Workspace ONE de façon globale ou àdes applications Web et de poste de travail spécifiques.

Une règle de stratégie peut être configurée pour prendre des mesures, comme bloquer, autoriser ouauthentifier par relais des utilisateurs, en fonction de conditions telles que le réseau, le type de périphérique,l'état d'inscription et de conformité du périphérique AirWatch ou l'application en cours d'accès.

VMware, Inc. 87

Plage réseauPour chaque règle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plage réseauest composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseau depuisl'onglet Identité et gestion de l'accès, Configuration > Plages réseau avant de configurer les ensembles destratégies d'accès.

Chaque instance de fournisseur d'identité de votre déploiement lie des plages réseau à des méthodesd'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau estcouverte par l'instance d'un fournisseur d'identité existant.

Vous pouvez configurer des plages réseau spécifiques pour limiter les endroits où les utilisateurs peuvent seconnecter et accéder à leurs applications.

Type de périphériqueSélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web,l'application Workspace ONE, iOS, Android, Windows 10, Mac OS X et Tous les types de périphériques.

Vous pouvez configurer des règles pour désigner le type de périphérique pouvant accéder au contenu ettoutes les demandes d'authentification provenant de ce type de périphérique utilisent la règle de stratégie.

Méthodes d'authentificationDans la règle de stratégie, vous définissez l'ordre d'application des méthodes d'authentification. Lesméthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instance dufournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau dela stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance dufournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentificationsuivante dans la liste est sélectionnée.

Vous pouvez configurer des règles de stratégie d'accès pour exiger que les utilisateurs fournissent desinformations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Si uneméthode d'authentification, ou les deux, échoue et que des méthodes de secours sont également configurées,les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentificationconfigurées suivantes. Les deux scénarios suivants décrivent comment ce chaînage d'authentification peutfonctionner.

n Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurss'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos.L'authentification de secours est configurée pour exiger le mot de passe et les informationsd'identification RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, maisne parvient pas à entrer les bonnes informations d'identification Kerberos. Comme l'utilisateur a entréle mot de passe correct, la demande d'authentification de secours ne concerne que les informationsd'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe.

n Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurss'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos.L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pourl'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas entrer lesbonnes informations d'identification Kerberos. La demande d'authentification de secours concerne lesinformations d'identification RSA SecurID et RADIUS pour l'authentification.

Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de laconformité des périphériques, Conformité des périphériques avec AirWatch doit être activé sur la page dufournisseur d'identité intégré. Voir « Configurer une règle de stratégie d'accès pour la vérification de laconformité », page 149.


88 VMware, Inc.

Durée de la session d'authentificationPour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. Lavaleur nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuisleur dernier événement d'authentification pour accéder à leur portail ou pour démarrer une applicationspécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne aux utilisateurs quatreheures pour démarrer l'application Web sans devoir initier un autre événement d'authentification qui étendla durée.

Message d'erreur d'accès refusé personnaliséLorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification nonvalides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Lemessage par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.

Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès qui remplace lemessage par défaut. Le message personnalisé peut comporter du texte et un lien pour un message d'appel àl'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles que vous voulez gérer, siun utilisateur essaie de se connecter à partir d'un périphérique désinscrit, vous pouvez créer le messaged'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressourcesd'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà

inscrit, contactez le support pour obtenir de l'aide.

Exemple de stratégie par défautLa stratégie suivante est un exemple de configuration de la stratégie par défaut pour contrôler l'accès auportail d'applications et à des applications Web auxquelles aucune stratégie spécifique n'est attribuée.

Les règles de stratégie sont évaluées dans l'ordre indiqué dans la stratégie. Vous pouvez modifier l'ordre desrègles en effectuant un glisser-déposer de la règle dans la section Règles de stratégie.

1 n Pour le réseau interne, deux méthodes d'authentification sont configurées pour la règle,l'authentification Kerberos et par mot de passe, comme méthode de secours. Pour accéder auportail d'applications depuis un réseau interne, le service tente d'authentifier les utilisateursd'abord avec l'authentification Kerberos, car il s'agit de la première méthode d'authentificationrépertoriée dans la règle. Si cela échoue, les utilisateurs sont invités à entrer leur mot de passeActive Directory. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès àleurs portails utilisateur pendant une session de huit heures.

Chapitre 8 Gestion des stratégies d'accès

VMware, Inc. 89

n Pour l'accès depuis le réseau externe (Toutes les plages), une seule méthode d'authentification estconfigurée, RSA SecurID. Pour accéder au portail d'applications depuis un réseau externe, lesutilisateurs doivent se connecter avec SecurID. Les utilisateurs se connectent à l'aide d'unnavigateur et ont maintenant accès à leurs portails d'applications pendant une session de quatreheures.

2 Cette stratégie par défaut s'applique à toutes les applications Web et de poste de travail ne disposantpas d'une stratégie spécifique à une application.

Gestion des stratégies spécifiques à une application Web et de postede travail

Lorsque vous ajoutez des applications Web et de poste de travail au catalogue, vous pouvez créer desstratégies d'accès spécifiques à une application. Par exemple, vous pouvez créer une stratégie de règles pourune application Web qui spécifie les adresses IP ayant accès à l'application, les méthodes d'authentification àutiliser et l'intervalle au terme duquel une réauthentification est requise.

La stratégie spécifique à une application Web suivante fournit un exemple de stratégie que vous pouvezcréer pour contrôler l'accès aux applications Web spécifiées.

Exemple 1 Stratégie spécifique à une application Web stricteDans cet exemple, une nouvelle stratégie est créée et appliquée à une application Web sensible.

1 Pour accéder au service depuis l'extérieur du réseau d'entreprise, l'utilisateur doit se connecter à l'aidede RSA SecurID. L'utilisateur se connecte via un navigateur et a maintenant accès au portaild'applications pour une session de quatre heures, comme spécifié par la règle d'accès par défaut.

2 Au bout de quatre heures, l'utilisateur tente de démarrer une application Web à laquelle la stratégieApplications Web sensibles est appliquée.

3 Le service vérifie les règles de la stratégie et applique la stratégie avec la plage réseau TOUTES LESPLAGES, car la demande de l'utilisateur provient d'un navigateur Web et de la plage réseau TOUTESLES PLAGES.


90 VMware, Inc.

L'utilisateur s'est connecté avec la méthode d'authentification RSA SecurID, mais la session vientd'expirer. L'utilisateur est redirigé pour une réauthentification. La réauthentification fournit àl'utilisateur une autre session de 4 heures et la possibilité de démarrer l'application. Pendant les quatreheures suivantes, l'utilisateur peut continuer à exécuter l'application sans devoir s'authentifier denouveau.

Exemple 2 Stratégie spécifique à une application Web plus strictePour qu'une règle plus stricte s'applique à des applications Web extra sensibles, vous pouvez avoir à vousauthentifier de nouveau avec SecureId sur un périphérique après une heure. Voici un exemple de la mise enœuvre d'une règle d'accès de ce type de stratégie.

1 L'utilisateur se connecte depuis le réseau d'entreprise à l'aide de la méthode d'authentificationKerberos.

L'utilisateur peut à présent accéder au portail d'applications pendant huit heures, comme indiqué dansl'exemple 1.

2 L'utilisateur tente immédiatement de démarrer une application Web à laquelle la règle de stratégieExemple 2 est appliquée, ce qui nécessite une authentification RSA SecurID.

3 L'utilisateur est redirigé vers la page de connexion d'authentification RSA SecurID.

4 Une fois que l'utilisateur s'est connecté, le service lance l'application et enregistre l'événementd'authentification.

L'utilisateur peut continuer à exécuter cette application pendant au moins une heure, mais doits'authentifier de nouveau au bout d'une heure, comme l'exige la règle de stratégie.


VMware, Inc. 91

Ajouter une stratégie spécifique à une application Web ou de poste detravail

Vous pouvez créer des stratégies spécifiques à une application pour gérer l'accès des utilisateurs à desapplications Web et de poste de travail spécifiques.

Prérequis

n Configurez les plages réseau adaptées à votre déploiement. Voir « Ajout ou modification d'une plageréseau », page 83.

n Configurez les méthodes d'authentification adaptées à votre déploiement. Voir Chapitre 7,« Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59.

n Si vous prévoyez de modifier la stratégie par défaut (pour contrôler globalement l'accès de l'utilisateurau service), configurez-la avant de créer une stratégie spécifique à une application.

n Ajoutez les applications Web et de poste de travail au catalogue. Au moins une application doit êtrerépertoriée sur la page Catalogue avant de pouvoir ajouter une stratégie spécifique à une application.

Procédure


2 Cliquez sur Ajouter une stratégie pour ajouter une nouvelle stratégie.

3 Ajoutez le nom et la description de la stratégie dans les zones de texte respectives.

4 Dans la section Appliquer à, cliquez sur Sélectionner et, sur la page qui s'affiche, sélectionnez lesapplications associées à cette stratégie.

5 Dans la section Règles de la stratégie, cliquez sur + pour ajouter une règle.

La page Ajouter une règle de stratégie s'affiche.

a Sélectionnez la plage réseau pour appliquer cette règle.

b Sélectionnez le type de périphérique pouvant accéder aux applications pour cette règle.

c Sélectionnez les méthodes d'authentification à utiliser, dans l'ordre dans lequel elles doivent êtreappliquées.

d Spécifiez le nombre d'heures pendant lesquelles une session d'application peut être ouverte.

e Cliquez sur Enregistrer.

6 Configurez des règles supplémentaires si nécessaire.


Configurer le message d'erreur d'accès refusé personnaliséPour chaque règle de stratégie, vous pouvez créer un message d'erreur d'accès refusé personnalisé quis'affiche lorsque des utilisateurs tentent de se connecter mais échouent, car leurs informationsd'identification ne sont pas valides.

Le message personnalisé peut inclure du texte et un lien vers une autre URL afin d'aider les utilisateurs àrésoudre leurs problèmes. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ 650 mots.

Procédure



92 VMware, Inc.

2 Cliquez sur la stratégie d'accès à modifier.

3 Pour ouvrir la page d'une règle de stratégie, cliquez sur le nom d'authentification dans la colonneMéthode d'authentification de la règle à modifier.

4 Dans la zone de texte Message d'erreur personnalisé, saisissez le message d'erreur.

5 Pour ajouter un lien à une URL, dans la zone Texte du lien, entrez une description du lien et, dans URLdu lien, entrez l'URL.

Le lien s'affiche à la fin du message personnalisé. Si vous n'ajoutez pas de texte dans la zone Texte dulien mais que vous ajoutez une URL, le texte du lien qui s'affiche est

Continuer.


Suivant

Créez des messages d'erreur personnalisés pour d'autres règles de stratégie.

Modifier une stratégie d'accèsVous pouvez modifier la stratégie d'accès par défaut pour modifier les règles de stratégie et vous pouvezmodifier des stratégies spécifiques à une application afin d'ajouter ou de supprimer des applications et demodifier des règles de stratégie.

Vous pouvez à tout moment supprimer une stratégie d'accès spécifique à une application. La stratégied'accès par défaut est permanente. Vous ne pouvez pas supprimer la stratégie par défaut.

Prérequis

n Configurez les plages réseau adaptées à votre déploiement. Voir « Ajout ou modification d'une plageréseau », page 83.

n Configurez les méthodes d'authentification adaptées à votre déploiement. Chapitre 7, « Configurationde l'authentification des utilisateurs dans VMware Identity Manager », page 59.

Procédure


2 Cliquez sur la stratégie pour la modifier.

3 Si cette stratégie s'applique à des applications Web ou de poste de travail, cliquez sur Modifier desapplications pour ajouter ou supprimer des applications dans cette stratégie.

4 Dans la section Règles de stratégie, colonne Méthode d'authentification, sélectionnez la règle à modifier.

La page Modifier une règle de stratégie s'affiche avec la configuration existante.

5 Pour configurer l'ordre d'authentification, dans le menu déroulant l'utilisateur doit ensuites'authentifier à l'aide de la méthode suivante, sélectionnez la méthode d'authentification à appliqueren priorité.

6 (Facultatif) Pour configurer une méthode d'authentification de secours si la première authentificationéchoue, sélectionnez une autre méthode d'authentification activée dans le menu déroulant suivant.

Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle.

7 Cliquez sur Enregistrer et de nouveau sur Enregistrer sur la page Stratégie.

La règle de stratégie modifiée prend immédiatement effet.


VMware, Inc. 93

Suivant

Si la stratégie est une stratégie d'accès spécifique à une application, vous pouvez également appliquer lastratégie à des applications de la page Catalogue. Voir « Ajouter une stratégie spécifique à une applicationWeb ou de poste de travail », page 92

Activation du cookie persistant sur des périphériques mobilesActivez le cookie persistant pour activer l'authentification unique entre le navigateur du système et lesapplications natives ainsi que l'authentification unique entre les applications natives lorsque les applicationsutilisent Safari View Controller sur des périphériques iOS et Chrome Custom Tabs sur des périphériquesAndroid.

Le cookie persistant stocke les détails de session de connexion de l'utilisateur afin que les utilisateurs n'aientpas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leurs ressourcesgérées via VMware Identity Manager. Le délai d'expiration du cookie peut être configuré dans les règles destratégie d'accès que vous configurez pour les périphériques iOS et Android.

Remarque Les cookies sont vulnérables et sensibles au vol de cookies sur des navigateurs communs et auxattaques de script intersites.

Activer le cookie persistantLe cookie persistant stocke les détails de session de connexion des utilisateurs afin que ces derniers n'aientpas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leurs ressourcesgérées depuis leurs périphériques mobiles iOS ou Android.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration > Préférences.

2 Cochez Activer le cookie persistant.


Suivant

Pour régler le délai d'expiration de session du cookie persistant, modifiez la valeur de réauthentificationdans les règles de stratégie d'accès pour les types de périphérique iOS et Android.


94 VMware, Inc.

Gestion des utilisateurs et desgroupes 9

Les utilisateurs et les groupes dans le service VMware Identity Manager sont importés depuis votrerépertoire d'entreprise ou sont créés en tant qu'utilisateurs et groupes locaux dans la consoled'administration de VMware Identity Manager.

Dans la console d'administration, la page Utilisateurs et groupes fournit un affichage axé sur les utilisateurset les groupes du service. Vous pouvez gérer les droits des utilisateurs et des groupes, des affiliations degroupe et des numéros de téléphone VMware Verify. Pour les utilisateurs locaux, vous pouvez égalementgérer les stratégies de mot de passe.


n « Types d'utilisateurs et de groupes », page 95

n « À propos des noms d'utilisateur et des noms de groupe », page 96

n « Gestion des utilisateurs », page 97

n « Créer des groupes et configurer des règles de groupe », page 98

n « Modifier les règles du groupe », page 101

n « Ajouter des ressources à des groupes », page 101

n « Créer des utilisateurs locaux », page 102

n « Gestion des mots de passe », page 104

Types d'utilisateurs et de groupesLes utilisateurs dans le service VMware Identity Manager peuvent être des utilisateurs synchronisés à partirde votre annuaire d'entreprise, des utilisateurs locaux que vous provisionnez dans la consoled'administration ou des utilisateurs créés avec le provisionnement juste-à-temps.

Les groupes dans le service VMware Identity Manager peuvent être des groupes synchronisés à partir devotre annuaire d'entreprise et des groupes locaux que vous créez dans la console d'administration.

Les utilisateurs et les groupes importés depuis votre annuaire d'entreprise sont mis à jour dans l'annuaireVMware Identity Manager en fonction du planning de synchronisation de votre serveur. Vous pouvez voirles comptes d'utilisateur et de groupe sur les pages Utilisateur et groupes. Il n'est pas possible de modifierou de supprimer ces utilisateurs et ces groupes.

Vous pouvez créer des utilisateurs et des groupes locaux. Des utilisateurs locaux sont ajoutés à un annuairelocal. Vous gérez les stratégies de mappage d'attributs utilisateur local et les stratégies de mot de passe. Vouspouvez créer des groupes locaux pour gérer des droits de ressource pour des utilisateurs.

VMware, Inc. 95

Les utilisateurs créés avec le provisionnement juste-à-temps sont créés et mis à jour dynamiquement lorsquel'utilisateur se connecte, en fonction des assertions SAML envoyées par le fournisseur d'identité. La gestionde tous les utilisateurs est gérée via des assertions SAML. Pour utiliser le provisionnement juste-à-temps,consultez Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51.

À propos des noms d'utilisateur et des noms de groupeDans le service VMware Identity Manager, les utilisateurs et les groupes sont identifiés exclusivement parleur nom et leur domaine. Cela permet d'avoir plusieurs utilisateurs ou groupes avec le même nom dansdifférents domaines Active Directory. Les noms d'utilisateur et les noms de groupe doivent être uniquesdans un domaine.

Noms d'utilisateurLe service VMware Identity Manager permet de disposer de plusieurs utilisateurs de même nom dansdifférents domaines Active Directory. Les noms d'utilisateur doivent être uniques dans un domaine. Parexemple, il peut exister un utilisateur jean dans le domaine ing.exemple.com et un autre utilisateur jeandans le domaine ventes.exemple.com.

Les utilisateurs sont identifiés exclusivement par leur nom d'utilisateur et leur domaine. L'attributuserName dans VMware Identity Manager est utilisé pour les noms d'utilisateur et, en général, il est mappéà l'attribut sAMAccountName dans Active Directory. L'attribut de domaine est utilisé pour les domaines et,en général, il est mappé à l'attribut canonicalName dans Active Directory.

Lors de la synchronisation du répertoire, les utilisateurs portant le même nom, mais appartenant à desdomaines différents sont correctement synchronisés. S'il existe un conflit de noms d'utilisateur dans undomaine, le premier utilisateur est synchronisé, et une erreur se produit pour les utilisateurs suivantsportant le même nom.

Remarque Si vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateurest incorrect ou manquant, vérifiez les paramètres du domaine et synchronisez de nouveau le répertoire.Voir « Synchroniser l'annuaire pour corriger des informations de domaine », page 97.

Dans la console d'administration, vous pouvez identifier les utilisateurs exclusivement par leur nomd'utilisateur et leur domaine. Par exemple :

n Dans l'onglet Tableau de bord, dans la colonne Utilisateurs et groupes, les utilisateurs sont répertoriéssous la forme utilisateur (domaine). Par exemple, jean (ventes.exemple.com).

n Dans l'onglet Utilisateurs et groupes sur la page Utilisateurs, la colonne DOMAINE indique le domaineauquel l'utilisateur appartient.

n Les rapports contenant des informations utilisateur, tels que le rapport Droits de ressources,comportent une colonne DOMAINE.

Lorsque des utilisateurs finaux se connectent au portail utilisateur, sur la page de connexion, ilssélectionnent le domaine auquel ils appartiennent. Si plusieurs utilisateurs portent le même nom, chaqueutilisateur peut se connecter en utilisant le domaine approprié.

Remarque Ces informations s'appliquent aux utilisateurs synchronisés depuis Active Directory. Si vousutilisez un fournisseur d'identité tiers et que vous avez configuré le provisionnement d'utilisateur juste-à-temps, voir Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51 pour plus d'informations.Le provisionnement d'utilisateur juste-à-temps prend également en charge plusieurs utilisateurs avec lemême nom dans des domaines différents.


96 VMware, Inc.

Noms de groupeLe service VMware Identity Manager permet de disposer de plusieurs groupes de même nom dansdifférents domaines Active Directory. Les noms de groupe doivent être uniques dans un domaine. Parexemple, vous pouvez avoir un groupe appelé tousutilisateurs dans le domaine ing.exemple.com et unautre groupe appelé tousutilisateurs dans le domaine ventes.exemple.com.

Les groupes sont identifiés exclusivement par leur nom et leur domaine.

Lors de la synchronisation du répertoire, les groupes portant le même nom, mais appartenant à desdomaines différents sont correctement synchronisés. S'il existe un conflit de noms de groupe dans undomaine, le premier groupe est synchronisé et une erreur se produit pour les groupes suivants avec le mêmenom.

Dans l'onglet Utilisateur et groupes, sur la page Groupes de la console d'administration, des groupes ActiveDirectory sont répertoriés selon leurs noms et leurs domaines. Cela vous permet de distinguer les groupesportant le même nom. Les groupes créés localement dans le service VMware Identity Manager sontrépertoriés selon leurs noms. Le domaine est répertorié sous la forme Utilisateurs locaux.

Synchroniser l'annuaire pour corriger des informations de domaineSi vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateur est incorrectou manquant, vous devez vérifier les paramètres du domaine et synchroniser de nouveau le répertoire. Il estnécessaire de vérifier les paramètres de domaine pour que les utilisateurs ou les groupes de même nomdans différents domaines Active Directory soient correctement synchronisés avec le répertoireVMware Identity Manager et pour que les utilisateurs puissent se connecter.

Procédure

1 Dans la console d'administration, accédez à la page Identité et gestion de l'accès > Répertoires.

2 Sélectionnez le répertoire à synchroniser, puis cliquez sur Paramètres de synchronisation et sur l'ongletAttributs mappés.

3 Sur la page Attributs mappés, vérifiez que l'attribut domaine de VMware Identity Manager est mappévers le nom d'attribut correct dans Active Directory.

L'attribut domaine est en général mappé vers l'attribut canonicalName dans Active Directory.

L'attribut domaine n'est pas marqué comme Obligatoire.

4 Cliquez sur Enregistrer et synchroniser pour synchroniser le répertoire.

Gestion des utilisateursLa page Utilisateurs dans la console d'administration affiche des informations sur chaque utilisateur,notamment son ID, son domaine, les groupes dont il est membre, son numéro de téléphone VMware Verifyet s'il est activé dans VMware Identity Manager.

Sélectionnez un nom d'utilisateur pour voir des informations détaillées. Les détails incluent le profilutilisateur, les affiliations de groupe, les périphériques activés via VMware Verify et les droits del'utilisateur.

Profil utilisateurLa page Profil utilisateur affiche les données personnelles associées à l'utilisateur et le rôle affecté(Utilisateur ou Administrateur). Les informations utilisateur qui se synchronisent à partir d'un répertoireexterne peuvent également inclure le nom principal, le nom unique et les données ID externes. La page deprofil d'un utilisateur local affiche les attributs utilisateur disponibles pour les utilisateurs dans le répertoirede l'utilisateur local.

Chapitre 9 Gestion des utilisateurs et des groupes

VMware, Inc. 97

Les données sur la page Profil utilisateur des utilisateurs qui se synchronisent à partir de votre répertoireexterne ne peuvent pas être modifiées. Vous pouvez modifier le rôle de l'utilisateur.

Sur les pages de profil utilisateur local, vous pouvez modifier les informations d'attribut, désactiverl'utilisateur pour qu'il ne puisse pas se connecter et supprimer l'utilisateur.

Affiliations du groupeUne liste des groupes auxquels l'utilisateur appartient s'affiche sur la page Groupes. Vous pouvez cliquersur le nom d'un groupe pour afficher la page des détails de ce groupe.

Enregistré avec VMware VerifyLa page VMware Verify affiche le numéro de téléphone que l'utilisateur a enregistré avec VMware Verify etles périphériques enregistrés. Vous pouvez également voir quand le compte a été utilisé pour la dernièrefois.

Vous pouvez supprimer le numéro de téléphone de l'utilisateur. Lorsque vous réinitialisez VMware Verify,les utilisateurs doivent entrer de nouveau leur numéro de téléphone pour se réinscrire à Verify. Voir « Supprimer le numéro de téléphone enregistré du profil d'utilisateur », page 77.

Droits d'applicationCliquez sur Ajouter un droit pour attribuer à un utilisateur les ressources disponibles dans votre catalogue.Ensuite, définissez la façon dont l'application est ajoutée à son portail Workspace ONE. Sélectionnez ledéploiement pour qu'il soit Automatique afin que l'application s'affiche automatiquement dans le portailWorkspace ONE. Sélectionnez Activé par l'utilisateur pour que l'utilisateur active l'application avant qu'ellesoit ajoutée au portail Workspace ONE à partir de la collection de catalogue.

Certains types de ressources disposent d'un bouton X. Vous pouvez cliquer dessus pour retirer à l'utilisateurl'accès à la ressource.

Créer des groupes et configurer des règles de groupeVous pouvez créer des groupes, ajouter des membres à des groupes et créer des règles de groupe qui vouspermettent de remplir des groupes en fonction des règles que vous définissez.

Utilisez les groupes pour attribuer simultanément plusieurs utilisateurs aux mêmes ressources, plutôt qued'attribuer chaque utilisateur individuellement. Un utilisateur peut appartenir à plusieurs groupes. Parexemple, si vous créez un groupe Ventes et un groupe Gestion, un représentant commercial peut apparteniraux deux groupes.

Vous pouvez spécifier quels paramètres de stratégie s'appliquent aux membres d'un groupe. Les utilisateursdans des groupes sont définis par des règles que vous définissez pour un attribut utilisateur. Si la valeurd'un attribut d'un utilisateur change de la valeur de règle de groupe définie, l'utilisateur est supprimé dugroupe.

Procédure

1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Groupes.

2 Cliquez sur Ajouter un groupe.

3 Entrez le nom du groupe et sa description. Cliquez sur Suivant.

4 Pour ajouter des utilisateurs au groupe, entrez les lettres du nom d'utilisateur. Lorsque vous tapez letexte, une liste de noms qui correspondent s'affiche.

5 Sélectionnez le nom d'utilisateur et cliquez sur +Ajouter un utilisateur.

Continuez à ajouter des membres au groupe.


98 VMware, Inc.

6 Une fois les utilisateurs ajoutés au groupe, cliquez sur Suivant.

7 Sur la page Règles de groupe, sélectionnez comment l'appartenance au groupe doit être accordée. Dansle menu déroulant, sélectionnez indifférent ou tous.

Option Action

Indifférent Accorde l'appartenance au groupe lorsque l'une des conditionsd'appartenance au groupe est satisfaite. Cette action fonctionne commeune condition OU. Par exemple, si vous sélectionnez Indifférent pour lesrègles Groupe Est Ventes et Groupe Est Marketing, le personnel desVentes et du Marketing devient membre de ce groupe.

Tous Accorde l'appartenance au groupe lorsque toutes les conditionsd'appartenance au groupe sont satisfaites. L'utilisation de Tous fonctionnecomme une condition ET. Par exemple, si vous sélectionnez Tous leséléments suivants pour les règles Groupe Est Ventes et E-mailCommence par 'région_ouest', seul le personnel des ventes dans la régionOuest devient membre de ce groupe. Le personnel des ventes des autresrégions ne devient pas membre.


VMware, Inc. 99

8 Configurez une ou plusieurs règles pour votre groupe. Vous pouvez imbriquer des règles.

Option Description

Attribut Sélectionnez l'un de ces attributs dans le menu déroulant de la premièrecolonne. Sélectionnez Groupe pour ajouter un groupe existant au groupeque vous créez. Vous pouvez ajouter d'autres types d'attribut pour gérerquels utilisateurs dans les groupes sont membres du groupe que vouscréez.

Règles d'attributs Les règles suivantes sont disponibles selon l'attribut que vous avezsélectionné.n Sélectionnez est pour choisir un groupe ou un répertoire à associer à ce

groupe. Entrez un nom dans la zone de texte. Pendant que vous tapez,une liste des groupes ou des répertoires disponibles s'affiche.

n Sélectionnez n'est pas pour choisir un groupe ou un répertoire àexclure. Entrez un nom dans la zone de texte. Pendant que vous tapez,une liste des groupes ou des répertoires disponibles s'affiche.

n Sélectionnez correspond à pour accorder l'appartenance au groupeaux entrées qui correspondent exactement au critère que vous avezsaisi. Par exemple, votre organisation pourrait avoir un départementde voyages d'affaires qui partage un numéro de central téléphonique.Si vous voulez accorder l'accès à une application de réservation devoyages à tous les employés qui partagent le même numéro detéléphone, vous créez une règle telle que Téléphone correspond à (555)555-1000.

n Sélectionnez ne correspond pas à pour accorder l'appartenance augroupe à toutes les entrées du serveur d'annuaire, à l'exception decelles qui correspondent au critère que vous avez entré. Par exemple, sil'un de vos départements partage un numéro de central téléphonique,vous pouvez exclure ce département de l'accès à une application deréseau social en créant une règle telle que Téléphone ne correspondpas à (555) 555-2000. Les entrées du serveur d'annuaire avec d'autresnuméros de téléphone ont accès à l'application.

n Sélectionnez commence par pour accorder l'appartenance au groupeaux entrées du serveur d'annuaire qui commencent par le critère quevous avez entré. Par exemple, les adresses e-mail de l'organisationpeuvent commencer par le nom du département, [email protected]. Si vous voulez accorder l'accès àune application à tous les membres de l'équipe des ventes, vouspouvez créer une règle, telle que E-mail commence par ventes_.

n Sélectionnez ne commence pas par pour accorder l'appartenance augroupe à toutes les entrées du serveur d'annuaire, à l'exception decelles qui commencent par le critère que vous avez entré. Par exemple,si les adresses e-mail de votre département des ressources humainessont au format [email protected], vous pouvez refuserl'accès à une application en créant une règle telle que E-mail necommence pas par rh_. Les entrées du serveur de dossiers comportantd'autres adresses e-mail ont accès à l'application.

Utilisation de l'attribut Indifférent ouTous

(Facultatif) Pour inclure les attributs Indifférent ou Tous dans le cadre de larègle de groupe, ajoutez cette règle en dernier.n Sélectionnez Indifférent pour l'appartenance au groupe à accorder

lorsque l'une des conditions d'appartenance au groupe est satisfaitepour cette règle. L'utilisation de Indifférent permet d'imbriquer desrègles. Par exemple, vous pouvez créer une règle qui stipule Tous leséléments suivants : Groupe est ventes ; Groupe est Californie. PourGroupe est Californie, tous les éléments suivants : téléphonecommence par 415 ; téléphone commence par 510. Le membre dugroupe doit appartenir à votre équipe des Ventes en Californie etdisposer d'un numéro de téléphone qui commence par 415 ou 510.

n Sélectionnez Tous pour toutes les conditions à satisfaire pour cetterègle. Il est possible d'imbriquer les règles. Par exemple, vous pouvezcréer une règle qui stipule L'un des éléments suivants : Groupe EstGestionnaires ; Groupe Est Service Client. Pour Groupe est serviceClient, tous les éléments suivants : E-mail commence par sc_ ;


100 VMware, Inc.

Option Descriptiontéléphone commence par 555. Les membres du groupe peuvent êtregestionnaires ou représentants du service client, mais les représentantsdu service client doivent disposer d'une adresse e-mail qui commencepar sc et d'un numéro de téléphone qui commence par 555.

9 (Facultatif) Pour exclure des utilisateurs spécifiques, entrez un nom d'utilisateur dans la zone de texte et

cliquez sur Exclure un utilisateur.

10 Cliquez sur Suivant et examinez les informations de groupe. Cliquez sur Créer un groupe.

Suivant

Ajoutez les ressources que le groupe a le droit d'utiliser.

Modifier les règles du groupeVous pouvez modifier des règles de groupe afin de modifier le nom du groupe, ajouter et supprimer desutilisateurs.

Procédure

1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes.

2 Cliquez sur le nom du groupe à modifier.

3 Cliquez sur Modifier les utilisateurs du groupe.

4 Cliquez sur les pages pour modifier le nom, les utilisateurs dans le groupe et les règles.


Ajouter des ressources à des groupesLa façon la plus efficace d'autoriser des utilisateurs à accéder à des ressources consiste à ajouter les droits àun groupe. Tous les membres du groupe peuvent accéder aux applications octroyées au groupe.

Prérequis

Des applications sont ajoutées à la page Catalogue.

Procédure

1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes.

La page affiche une liste des groupes.

2 Pour ajouter des ressources à un groupe, cliquez sur le nom du groupe.

3 Cliquez sur l'onglet Applications, puis sur Ajouter un droit.

4 Sélectionnez le type d'application à octroyer dans le menu déroulant.

Les types d'applications indiqués dans le menu déroulant se basent sur les types d'applications ajoutésau catalogue.

5 Sélectionnez les applications à octroyer au groupe. Vous pouvez rechercher une application spécifiqueou cocher la case à côté de Applications pour sélectionner toutes les applications affichées.

Si une application est déjà octroyée au groupe, elle n'est pas répertoriée.


Les applications sont répertoriées sur la page Applications et les utilisateurs dans le groupe sontimmédiatement autorisés à accéder aux ressources.


VMware, Inc. 101

Créer des utilisateurs locauxVous pouvez créer des utilisateurs locaux dans le service VMware Identity Manager pour ajouter et gérerdes utilisateurs qui ne sont pas provisionnés dans votre répertoire d'entreprise. Vous pouvez créer différentsrépertoires locaux et personnaliser le mappage d'attribut pour chaque répertoire.

Vous créez un répertoire, sélectionnez des attributs et créez des attributs personnalisés pour ce répertoirelocal. Les attributs utilisateur requis userName, lastName, firstName et email sont spécifiés au niveau globalsur la page Identité et gestion de l'accès > Attributs utilisateur. Dans la liste d'attributs utilisateur derépertoire local, vous pouvez sélectionner d'autres attributs requis et créer des attributs personnalisés pouravoir des ensembles d'attributs personnalisés pour différents répertoires locaux. Consultez Utilisation derépertoires locaux dans le guide Installation et configuration de VMware Identity Manager.

Créez des utilisateurs locaux lorsque vous voulez autoriser des utilisateurs à accéder à vos applications,mais que vous ne voulez pas les ajouter à votre répertoire d'entreprise.

n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie devotre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires,qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquementaux applications spécifiques dont ils ont besoin.

n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ouméthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer unrépertoire local pour des distributeurs disposant d'attributs utilisateur avec les étiquettes région et taillede marché. Vous créez un autre répertoire local pour les fournisseurs disposant d'un attribut utilisateuravec l'étiquette catégorie de produit.

Vous configurez la méthode d'authentification que les utilisateurs locaux utilisent pour se connecter à votresite Web d'entreprise. Une stratégie de mot de passe est appliquée pour le mot de passe d'utilisateur local.Vous pouvez définir des restrictions de mot de passe et des règles de gestion du mot de passe.

Lorsque vous avez provisionné un utilisateur, un e-mail est envoyé à cet utilisateur avec la procédure deconnexion pour lui permettre d'activer son compte. Lorsqu'il se connecte, il crée un mot de passe et soncompte est activé.

Ajouter des utilisateurs locauxVous créez un utilisateur à la fois. Lorsque vous ajoutez l'utilisateur, vous sélectionnez le répertoire localconfiguré avec les attributs de l'utilisateur local à utiliser et le domaine auquel l'utilisateur se connecte.

Outre l'ajout des informations utilisateur, vous sélectionnez son rôle, utilisateur ou administrateur. Le rôled'administrateur permet à l'utilisateur d'accéder à la console d'administration pour gérer les servicesVMware Identity Manager.

Prérequis

n Répertoire local créé

n Domaine identifié pour les utilisateurs locaux

n Attributs utilisateur devant être sélectionnés sur la page Attributs utilisateur du répertoire local

n Stratégies de mot de passe configurées

n Serveur SMTP configuré dans l'onglet Paramètres du dispositif pour envoyer une notification par e-mailaux utilisateurs locaux nouvellement créés

Procédure

1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Ajouter un utilisateur.


102 VMware, Inc.

2 Sur la page Ajouter un utilisateur, sélectionnez le répertoire local pour cet utilisateur.

La page se développe pour afficher les attributs utilisateur à configurer.

3 Sélectionnez le domaine auquel est attribué cet utilisateur et renseignez les informations utilisateurrequises.

4 Si ce rôle d'utilisateur est administrateur, dans la zone de texte Utilisateur, sélectionnez Administrateur.


L'utilisateur local est créé. Un e-mail est envoyé à l'utilisateur pour lui demander de se connecter afind'activer son compte et de créer un mot de passe. Le lien dans l'e-mail expire selon la valeur définie sur lapage Stratégie de mot de passe. La valeur par défaut est sept jours. Si le lien expire, vous pouvez cliquer surRéinitialiser le mot de passe pour renvoyer la notification par e-mail.

Un utilisateur est ajouté à des groupes existants en fonction des règles d'attribut de groupe configurées.

Suivant

Accédez au compte d'utilisateur local pour examiner le profil, ajouter l'utilisateur à des groupes et autoriserl'utilisateur à accéder aux ressources à utiliser.

Si vous avez créé un utilisateur administrateur dans le répertoire système qui est autorisé à accéder à desressources gérées par une stratégie d'accès spécifique, vérifiez que les règles de stratégie d'applicationincluent Mot de passe (répertoire local) comme méthode d'authentification de secours. Si Mot de passe(répertoire local) n'est pas configuré, l'administrateur ne peut pas se connecter à l'application.

Désactiver ou activer des utilisateurs locauxVous pouvez désactiver des utilisateurs locaux pour les empêcher de se connecter et d'accéder à leur portailet à des ressources autorisées au lieu de les supprimer.

Procédure


2 Sur la page Utilisateurs, sélectionnez l'utilisateur.

La page Profil d'utilisateur s'affiche.

3 En fonction de l'état de l'utilisateur local, effectuez l'une des actions suivantes.

a Pour désactiver le compte, décochez la case Activer.

b Pour activer le compte, sélectionnez Activer.

Les utilisateurs désactivés ne peuvent pas se connecter au portail ou aux ressources qui leur étaientattribuées. S'ils travaillent dans une ressource autorisée lorsque l'utilisateur local est désactivé, ce dernierpeut accéder aux ressources jusqu'à expiration de la session.

Supprimer des utilisateurs locauxVous pouvez supprimer des utilisateurs locaux.

Procédure


2 Sélectionnez l'utilisateur à supprimer.

La page Profil d'utilisateur s'affiche.

3 Cliquez sur Supprimer l'utilisateur.


VMware, Inc. 103

4 Dans la fenêtre de confirmation, cliquez sur OK.

L'utilisateur est supprimé de la liste Utilisateurs.

Les utilisateurs supprimés ne peuvent pas se connecter au portail ou aux ressources qui leur étaientattribuées.

Gestion des mots de passeVous pouvez créer une stratégie de mot de passe pour gérer des mots de passe d'utilisateur local. Lesutilisateurs locaux peuvent modifier leur mot de passe en fonction des règles de stratégie de mot de passe.

Les utilisateurs locaux peuvent modifier leur mot de passe dans le portail Workspace ONE, en sélectionnantCompte dans le menu déroulant à côté de leur nom.

Configurer une stratégie de mot de passe pour des utilisateurs locauxLa stratégie de mot de passe d'utilisateurs locaux est un ensemble de règles et de restrictions sur le format etl'expiration des mots de passe d'utilisateurs locaux. La stratégie de mot de passe s'applique uniquement auxutilisateurs locaux que vous avez créés à partir de la console d'administration de VMware Identity Manager.

La stratégie de mot de passe peut inclure des restrictions de mot de passe, la durée de vie maximale d'unmot de passe et, pour les réinitialisations de mot de passe, la durée de vie maximale du mot de passetemporaire.

La stratégie de mot de passe par défaut requiert six caractères. Les restrictions de mot de passe peuventinclure une combinaison de caractères en majuscule, en minuscule, numériques et spéciaux pour définir desmots de passe forts.

Procédure

1 Dans la console d'administration, sélectionnez Utilisateurs et groupes > Paramètres.

2 Cliquez sur Stratégie de mot de passe pour modifier les paramètres de restriction de mot de passe.

Option Description

Longueur minimale des mots depasse

La longueur minimale est de six caractères, mais vous pouvez exiger unnombre supérieur. La longueur minimale ne doit pas être inférieure auminimum combiné des exigences de caractères alphabétiques, numériqueset spéciaux.

Caractères minuscules Nombre minimal de caractères en minuscule. Minuscules a-z

Caractères majuscules Nombre minimal de caractères en majuscule. Majuscules A-Z

Caractères numériques (0 à 9) Nombre minimal de caractères numériques. Chiffres (0-9)

Caractères spéciaux Nombre minimal de caractères non alphanumériques, par exemple & # %$ !

Caractères identiques consécutifs Nombre maximal de caractères identiques consécutifs. Par exemple, sivous entrez 1, le mot de passe p@s$word est autorisé, mais pas p@$$word.

Historique des mots de passe Nombre de mots de passe précédents qui ne peuvent être sélectionnés. Parexemple, si un utilisateur ne peut réutiliser aucun des six derniers mots depasse, tapez « 6 ». Pour désactiver cette fonctionnalité, définissez la valeursur 0.


104 VMware, Inc.

3 Dans la section Gestion des mots de passe, modifiez les paramètres de durée de vie des mots de passe.

Option Description

Durée du mot de passe temporaire Nombre d'heures pendant lesquelles un lien de mot de passe oublié ou deréinitialisation de mot de passe est valide. La valeur par défaut est de168 heures.

Durée de vie du mot de passe Nombre maximal de jours d'existence d'un mot de passe au terme duquell'utilisateur doit le changer.

Rappel de mot de passe Nombre de jours pour l'envoi de la notification d'expiration du mot depasse avant l'expiration d'un mot de passe.

Fréquence de notification desrappels de mot de passe

Une fois la première notification d'expiration de mot de passe envoyée,fréquence à laquelle les rappels sont envoyés.

Chaque case doit contenir une valeur pour configurer la stratégie de durée de vie du mot de passe. Pourne pas définir d'option de stratégie, entrez 0.



VMware, Inc. 105


106 VMware, Inc.

Gestion du catalogue 10Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Vousajoutez des applications au catalogue directement depuis l'onglet Catalogue. Pour voir les applicationsajoutées au catalogue, cliquez sur l'onglet Catalogue dans la console d'administration.

Sur la page Catalogue, vous pouvez effectuer les tâches suivantes :

n Ajouter de nouvelles ressources à votre catalogue.

n Visualiser les ressources auxquelles vous pouvez actuellement attribuer des utilisateurs.

n Accéder aux informations sur chaque ressource de votre catalogue.

Les applications Web peuvent être ajoutées directement dans votre catalogue depuis la page Catalogue.

D'autres types de ressources nécessitent une action de votre part en dehors de console d'administration.Pour plus d'informations sur la configuration des ressources, reportez-vous à Configuration des ressources dansVMware Identity Manager.

Ressource Comment voir la ressource dans votre catalogue

Application Web Sur la page Catalogue de la console d'administration, sélectionnez le type d'applicationApplications Web.

Application Windowsvirtualisée capturée entant que moduleThinApp

Synchronisez les packages ThinApp avec votre catalogue à partir de consoled'administration, page Applications packagées - ThinApp. Sur la page Catalogue de laconsole d'administration, sélectionnez le type d'application Modules ThinApp.

Pool de postes de travailView

Synchronisez les pools View avec votre catalogue à partir de console d'administration, pagePools View. Sur la page Catalogue de la console d'administration, sélectionnez le typed'application Pools de postes de travail View.

Applications hébergéesView

Synchronisez les applications View hébergées avec votre catalogue à partir de consoled'administration, page Pools View. Sur la page Catalogue de la console d'administration,sélectionnez le type d'application Applications hébergées View.

Application Citrix Synchronisez les applications Citrix avec votre catalogue à partir de consoled'administration, page Applications packagées - Citrix. Sur la page Catalogue de la consoled'administration, sélectionnez le type d'application Applications publiées Citrix.


n « Gestion des ressources dans le catalogue », page 108

n « Groupement des ressources en catégories », page 111

n « Gestion des paramètres du catalogue », page 113

VMware, Inc. 107

Gestion des ressources dans le catalogueAvant de pouvoir attribuer une ressource particulière à vos utilisateurs, vous devez doter votre catalogue decette ressource. La méthode utilisée pour doter votre catalogue d'une ressource dépend du type de cetteressource.

Les types de ressources que vous pouvez définir dans votre catalogue pour l'octroi et la distribution auxutilisateurs sont les applications Web, les applications Windows capturées sous forme de modules VMwareThinApp, les pools de poste de travail Horizon View et les applications hébergées View, ou les applicationsCitrix.

Pour intégrer et activer des pools de postes de travail et d'applications View, des ressources publiées Citrixou des applications packagées ThinApp, vous utilisez le menu Gérer des applications de poste de travaildans l'onglet Catalogue.

Pour obtenir plus d'informations et connaître les exigences, l'installation et la configuration de cesressources, reportez-vous à la section Configuration des ressources dans VMware Identity Manager.

Applications webVous pouvez doter votre catalogue d'applications Web directement sur la page Catalogue de la consoled'administration. Lorsque vous cliquez sur une application Web affichée sur la page Catalogue, lesinformations sur cette application s'affichent. Depuis la page qui s'affiche, vous pouvez configurerl'application Web, par exemple fournir les attributs SAML appropriés pour configurer une connexion SingleSign-On entre VMware Identity Manager et l'application Web ciblée. Lorsque l'application Web estconfigurée, vous pouvez alors lui attribuer des utilisateurs et des groupes. Voir « Ajout d'applications Webdans votre catalogue », page 108.

Ajout d'applications Web dans votre catalogueVous pouvez directement ajouter des applications Web dans votre catalogue à l'aide de la page Catalogue dela console d'administration.

Reportez-vous à la section Configuration des ressources dans VMware Identity Manager, chapitre Fournitured'un accès aux applications Web, pour obtenir des instructions détaillées sur l'ajout d'une application Web àvotre catalogue.

Les instructions suivantes fournissent un aperçu des étapes impliquées dans l'ajout de ces types deressources à votre catalogue.


108 VMware, Inc.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Catalogue.

2 Cliquez sur + Ajouter une application.

3 Cliquez sur une option en fonction du type de ressource et de l'emplacement de l'application.

Nom du lienType deressource Description

Applications Web ...ducatalogue d'applicationsCloud

Application Web VMware Identity Manager inclut l'accès aux applications Web pardéfaut, disponibles dans le catalogue d'applications Cloud et quevous pouvez ajouter à votre catalogue en tant que ressources.

Application Web ... créerun nouvelenregistrement

Application Web En renseignant le formulaire approprié, vous pouvez créer unenregistrement d'application pour les applications Web que vousvoulez ajouter à votre catalogue en tant que ressources.

Application Web ...importer un fichier ZIPou JAR

Application Web Vous pouvez importer une application Web précédemmentconfigurée. Vous pouvez utiliser cette méthode pour effectuer undéploiement, depuis l'environnement de test jusqu'à la production.Dans une telle situation, vous pouvez exporter une application Webdepuis le déploiement de l'environnement de test sous forme defichier ZIP. Vous pouvez ensuite importer le fichier ZIP dans ledéploiement de production.

4 Suivez les invites à l'écran pour finir l'ajout des ressources au catalogue.

Ajouter des applications Web à votre catalogueLorsque vous ajoutez une application Web au catalogue, vous créez une entrée qui pointe indirectement verscette application. L'entrée est définie par l'enregistrement d'application, qui est un formulaire incluant uneURL vers l'application Web.

Procédure


2 Cliquez sur Ajouter une application > Application Web ...à partir du catalogue d'applications Cloud.

3 Cliquez sur l'icône de l'application Web que vous voulez ajouter.

L'enregistrement d'application est ajouté à votre catalogue et la page Détails de l'enregistrements'affiche, le nom et le profil d'authentification étant déjà spécifiés.

4 (Facultatif) Personnalisez les informations de la page Détails en fonction des besoins de votreorganisation.

Les éléments sur la page sont remplis avec des informations spécifiques de l'application Web.

Vous pouvez modifier certains éléments, selon l'application.


Nom Le nom de l'application.

Description Une description de l'application que les utilisateurs peuvent lire.

Icône Cliquez sur Parcourir pour télécharger une icône pour l'application. Les icônes aux formats defichier PNG, JPG et ICON d'une taille maximale de 4 Mo sont prises en charge.Les icônes téléchargées sont redimensionnées à 80 px x 80 px.Pour éviter toute distorsion, envoyez des icônes dont la hauteur et la largeur sont égales etaussi proches que possible des dimensions de 80 px X 80 px.

Chapitre 10 Gestion du catalogue

VMware, Inc. 109


Catégories Pour permettre à une application d'être incluse dans une recherche de ressources de cataloguepar catégorie, sélectionnez une catégorie dans le menu déroulant. Vous devez avoir déjà créé lacatégorie.


6 Cliquez sur Configuration, modifiez les détails de la configuration de l'enregistrement d'application,puis cliquez sur Enregistrer.

Certains des éléments du formulaire sont pré-renseignés avec des informations spécifiques del'application Web. Certains des éléments pré-renseignés sont modifiables, d'autres ne le sont pas. Lesinformations demandées varient d'une application à l'autre.

Pour certaines applications, le formulaire dispose d'une section Paramètres de l'application. Si cettesection existe pour une application et qu'un paramètre dans la section ne comporte pas de valeur pardéfaut, fournissez une valeur pour permettre à l'application de se lancer. Si une valeur par défaut estfournie, vous pouvez modifier cette valeur.

7 Sélectionnez les onglets Droits, Licences et Provisionnement, puis personnalisez les informations demanière appropriée.

Onglet Description

Droits Attribuez l'application à des utilisateurs et des groupes. Vous pouvez configurer des droitslors de la configuration initiale de l'application ou ultérieurement.

Stratégies d'accès Appliquez une stratégie d'accès pour contrôler l'accès de l'utilisateur à l'application.

Gestion deslicences

Configurez le suivi d'approbation. Ajoutez des informations de licence pour l'application afinde suivre l'utilisation des licences dans des rapports. Les approbations doivent être activées etconfigurées sur la page Catalogue > Paramètres. Vous devez également enregistrer l'URI derappel du gestionnaire de demande d'approbation.

Provisionnement Provisionnez une application Web pour extraire des informations spécifiques du serviceVMware Identity Manager. Si le provisionnement est configuré pour une application Web,lorsque vous autorisez un utilisateur à accéder à l'application, l'utilisateur est provisionnédans l'application Web. Actuellement, un adaptateur de provisionnement est disponible pourGoogle Apps et Office 365. Accédez à Intégrations de VMware Identity Manager à l'adresse https://www.vmware.com/support/pubs/vidm_webapp_sso.html pour voir les guides deconfiguration de ces applications.

Ajout de postes de travail et d'applications hébergées ViewVous dotez votre catalogue de pools de postes de travail View et d'applications hébergées View et vousintégrez votre déploiement de VMware Identity Manager à Horizon View.

Lorsque vous cliquez sur Application View dans le menu Catalogue > Gérer des applications de poste detravail, vous êtes redirigé vers la page Pools View. Sélectionnez Activer les pools View pour ajouter desespaces View, effectuer une synchronisation d'annuaire pour View et configurer le type de déploiement quele service utilise pour étendre les droits des ressources View à des utilisateurs.

Après avoir effectué ces tâches, les postes de travail et les applications hébergées View que vous avezattribués aux utilisateurs avec Horizon View sont disponibles sous forme de ressources dans votrecatalogue.

Vous pouvez revenir à la page à tout moment pour modifier la configuration de View ou pour ajouter ousupprimer des espaces View.

Pour voir des informations détaillées sur l'intégration de View avec VMware Identity Manager, consultez lechapitre Fourniture de l'accès aux pools de postes de travail View dans le guide Configuration desressources.


110 VMware, Inc.

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

Ajout d'applications publiées CitrixVous pouvez utiliser VMware Identity Manager pour l'intégrer à des déploiements Citrix existants, puisdoter votre catalogue d'applications Citrix.

Lorsque vous cliquez sur Application publiée Citrix dans le menu Catalogue > Gérer des applications deposte de travail, vous êtes redirigé vers la page Applications publiées - Citrix. Sélectionnez ApplicationsCitrix pour établir la communication et programmer la fréquence de synchronisation entre VMware IdentityManager et la batterie de serveurs Citrix.

Pour voir des informations détaillées sur l'intégration d'applications publiées Citrix avec VMware IdentityManager, consultez le chapitre Fourniture d'un accès à des ressources publiées Citrix dans le guideConfiguration des ressources.

Ajout d'applications ThinAppAvec VMware Identity Manager, vous pouvez distribuer et gérer de façon centralisée des modules ThinApp.Vous devez activer VMware Identity Manager pour qu'il localise le référentiel qui stocke les modulesThinApp et synchronise les modules avec VMware Identity Manager.

Pour doter le catalogue d'applications Windows capturées sous forme de modules ThinApp, procédezcomme suit.

1 Si les modules ThinApp auxquels vous souhaitez donner accès aux utilisateurs n'existent pas déjà, créezdes modules ThinApp compatibles avec VMware Identity Manager. Voir la documentation de VMwareThinApp.

2 Créez un partage réseau et insérez-y les modules ThinApp compatibles.

3 Configurez VMware Identity Manager afin de l'intégrer aux modules sur le partage réseau.

Lorsque vous cliquez sur Application ThinApp dans le menu Catalogue > Gérer des applications de postede travail, vous êtes redirigé vers la page Applications packagées - ThinApp. Sélectionnez Activer lesapplications packagées. Entrez l'emplacement du référentiel ThinApp et configurez la fréquence desynchronisation.

Une fois ces tâches effectuées, les modules ThinApp que vous avez ajoutés au partage réseau sontmaintenant disponibles en tant que ressources dans votre catalogue.

Pour voir des informations détaillées sur la configuration de VMware Identity Manager afin qu'il distribueet gère des modules ThinApp, consultez le chapitre Fournir l'accès aux modules VMware ThinApp dans leguide Configuration des ressources.

Groupement des ressources en catégoriesIl est possible d'organiser les ressources en catégories logiques, afin que les utilisateurs puissent localiserfacilement la ressource dont ils ont besoin dans l'espace de travail du portail Workspace ONE.

Lorsque vous créez des catégories, tenez compte de la structure de votre organisation, de la fonction desressources et du type de ressource. Une ressource peut correspondre à plusieurs catégories. Par exemple,vous pouvez créer une catégorie appelée Éditeur de texte et une autre appelée Ressources recommandées.Attribuez ensuite tous les éditeurs de texte à la catégorie Éditeur de texte. Attribuez également celui quevous préférez que les utilisateurs utilisent à la catégorie Ressources recommandées.


VMware, Inc. 111

Créer une catégorie de ressourcesVous pouvez créer une catégorie de ressources sans l'appliquer immédiatement, ou vous pouvez créer etappliquer une catégorie sur une ressource simultanément.

Procédure


2 Pour créer et appliquer des catégories simultanément, cochez les cases des applications auxquellesappliquer la nouvelle catégorie.

3 Cliquez sur Catégories.

4 Entrez le nom de la nouvelle catégorie dans la zone de texte.

5 Cliquez sur Ajouter une catégorie....

Une nouvelle catégorie est créée mais n'est appliquée à aucune ressource.

6 Pour appliquer la catégorie aux ressources sélectionnées, cochez la case du nom de la nouvellecatégorie.

Cette catégorie est ajoutée à l'application et répertoriée dans la colonne Catégories.

Suivant

Appliquez la catégorie à d'autres applications. Voir « Appliquer une catégorie à des ressources », page 112.

Appliquer une catégorie à des ressourcesUne fois que vous avez créé une catégorie, vous pouvez l'appliquer à toute ressource du catalogue. Il estpossible d'appliquer plusieurs catégories à une même ressource.

Prérequis

Créez une catégorie.

Procédure


2 Cochez les cases de toutes les applications auxquelles appliquer la catégorie.

3 Cliquez sur Catégories et sélectionnez le nom de la catégorie à appliquer.

La catégorie est appliquée aux applications sélectionnées.

Retirer une catégorie d'une applicationIl est possible de dissocier une catégorie d'une application.

Procédure


2 Cochez les cases des applications à supprimer d'une catégorie.


Les catégories appliquées aux applications sont cochées.

4 Désélectionnez la catégorie à dissocier de l'application et fermez le menu.

La catégorie est supprimée de la liste Catégories de l'application.


112 VMware, Inc.

Supprimer une catégorieVous pouvez supprimer une catégorie du catalogue de façon permanente.

Procédure



3 Survolez la catégorie à supprimer. Un x s'affiche. Cliquez sur le x.

4 Cliquez sur OK pour supprimer la catégorie.

La catégorie ne figure plus dans le menu déroulant Catégories ou sous la forme d'une étiquette dans toutesles applications auxquelles vous l'aviez précédemment appliquée.

Gestion des paramètres du catalogueLa page Paramètres du catalogue peut être utilisée pour gérer des ressources dans le catalogue, téléchargerun certificat SAML, personnaliser le portail utilisateur et définir des paramètres globaux.

Téléchargement des certificats SAML à configurer avec des applications deconfiance

Lorsque vous configurez des applications Web, vous devez copier les certificats de signature SAML de votreorganisation et les envoyer aux applications de confiance afin qu'elles puissent accepter les connexionsd'utilisateur à partir du service. Le certificat SAML est utilisé pour authentifier les connexions d'utilisateurdu service sur des applications de confiance comme WebEx ou Google Apps.

Vous devez copier le certificat de signature SAML et les métadonnées du fournisseur de services SAML àpartir du service et modifier l'assertion SAML dans le fournisseur d'identité tiers pour mapper lesutilisateurs de VMware Identity Manager.

Procédure

1 Connectez-vous à la console d'administration.

2 Dans l'onglet Catalogue, sélectionnez Paramètres > Métadonnées SAML.

3 Copiez et enregistrez le certificat de signature SAML qui s'affiche.

a Copiez les informations du certificat qui se trouve dans la section Certificat de signature.

b Enregistrez les informations du certificat dans un fichier texte en vue d'une utilisation ultérieure,lors de la configuration de l'instance de fournisseur d'identité tiers.

4 Rendez les métadonnées SAML du fournisseur de services (SP) disponibles à l'instance de fournisseurd'identité tiers.

a Dans la page Télécharger un certificat SAML, cliquez sur Métadonnées du fournisseur de services(SP).

b Copiez et enregistrez les informations affichées en utilisant la méthode convenant le mieux à votreorganisation.

Utilisez ces informations copiées ultérieurement, lors de la configuration du fournisseur d'identitétiers.


VMware, Inc. 113

5 Déterminez le mappage utilisateur de l'instance de fournisseur d'identité tiers àVMware Identity Manager.

Lorsque vous configurez le fournisseur d'identité tiers, modifiez l'assertion SAML dans le fournisseurd'identité tiers pour mapper des utilisateurs VMware Identity Manager.

Format NameID Mappage d'utilisateurs

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

La valeur NameID dans l'assertion SAML est mappée à l'attribut d'adressee-mail dans VMware Identity Manager.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

La valeur NameID dans l'assertion SAML est mappée à l'attribut usernamedans VMware Identity Manager.

Suivant

Appliquez les informations que vous avez copiées pour cette tâche afin de configurer l'instance defournisseur d'identité tiers.

Désactiver l'invite pour télécharger des applications auxiliairesLes postes de travail View, les applications publiées Citrix et les ressources ThinApp requièrent que lesapplications auxiliaires suivantes soient installées sur les ordinateurs ou les périphériques des utilisateurs.

n Les postes de travail View utilisent Horizon Client.

n Les applications publiées Citrix requièrent Citrix Receiver.

n Les ressources ThinApp requièrent VMware Identity Manager pour postes de travail.

Il est demandé aux utilisateurs de télécharger des applications auxiliaires sur leur poste de travail ou leurpériphérique la première fois qu'ils lancent des applications depuis ces types de ressources. Vous pouvezcomplètement désactiver l'affichage de cette invite à chaque lancement de la ressource sur la page Catalogue> Paramètres > Paramètres globaux.

La désactivation de l'invite est une bonne option lorsque des ordinateurs ou des périphériques sont gérés, etque vous savez que les applications auxiliaires se trouvent sur l'image locale de l'utilisateur.

Procédure

1 Dans la console d'administration, sélectionnez Catalogue > Paramètres.

2 Sélectionnez Paramètres globaux.

3 Sélectionnez les systèmes d'exploitation qui ne doivent pas demander le lancement des applicationsauxiliaires.


Création de clients pour activer l'accès à des applications distantesVous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avecVMware Identity Manager afin d'autoriser un accès utilisateur à une application spécifique sur la pageCatalogue > Paramètres de la console d'administration.

Le SDK utilise l'authentification OAuth pour se connecter à VMware Identity Manager. Vous devez créerune valeur d'ID de client et une valeur clientSecret dans la console d'administration.


114 VMware, Inc.

Créer un accès à distance à une ressource de catalogueVous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avec les servicesVMware Identity Manager pour autoriser un accès utilisateur à une application spécifique.

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès à distance auxapplications.

2 Sur la page Clients, cliquez sur Créer un client.

3 Sur la page Créer un client, entrez les informations suivantes sur l'application.

Libellé Description

Type d'accès Les options sont Jeton d'accès utilisateur ou Jeton de client de service.

Code identifiant client Entrez un ID de client unique pour la ressource à enregistrer avec VMwareIdentity Manager.

Livraison Sélectionnez Identity Manager.

étendue Sélectionnez l'étendue appropriée. Lorsque vous sélectionnez NAAPS, OpenIDest également sélectionné.

URI de redirection Entrez l'URI de redirection enregistré.

Section avancée

Code secret partagé Cliquez sur Générer le code secret partagé pour générer un code secret partagéentre ce service et le service de ressource d'application.Copiez et enregistrez le code secret client à configurer dans la configuration del'application.Le code secret client doit rester confidentiel. Si une application déployée nepeut pas maintenir le code secret confidentiel, le code secret n'est pas utilisé. Lecode secret partagé n'est pas utilisé avec les applications de type navigateurWeb.

Issue Refresh Token Décochez la case.

Type de jeton Sélectionnez Bearer.

Longueur du jeton Laissez le paramètre par défaut, 32 octets.

Issue Refresh Token Cochez Jeton d'actualisation.

Durée de vie du jeton d'accès (Facultatif) Modifiez les paramètres Durée de vie du jeton d'accès.

Durée de vie du jetond'actualisation

(Facultatif)

Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder.


La configuration client s'affiche sur la page OAuth2 Client, ainsi que le code secret partagé qui a été généré.

Suivant

Entrez l'ID client et le code secret partagé dans les pages de configuration des ressources. Consultez ladocumentation de l'application.

Créer un modèle d'accès à distanceVous pouvez créer un modèle pour permettre à un groupe de clients de s'enregistrer dynamiquement avecle service VMware Identity Manager pour autoriser un accès utilisateur à une application spécifique.


VMware, Inc. 115

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès à distance auxapplications.

2 Cliquez sur Modèles.

3 Cliquez sur Créer un modèle.

4 Sur la page Créer un modèle, entrez les informations suivantes sur l'application.

Libellé Description

Code identifiant de modèle Entrez un identifiant unique pour cette ressource.

Livraison Sélectionnez Identity Manager.

étendue Sélectionnez l'étendue appropriée. Lorsque vous sélectionnez NAAPS,OpenID est également sélectionné.

URI de redirection Entrez l'URI de redirection enregistré.

Section avancée

Type de jeton Sélectionnez Bearer.

Longueur du jeton Laissez le paramètre par défaut, 32 octets.

Issue Refresh Token Cochez Jeton d'actualisation.

Durée de vie du jeton d'accès (Facultatif)

Durée de vie du jeton d'actualisation (Facultatif)

Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder.


Suivant

Dans l'application de ressource, configurez l'URL du service VMware Identity Manager sur le site qui prenden charge l'authentification intégrée.

Modification des propriétés ICA dans des applications publiées CitrixVous pouvez modifier les paramètres d'applications et de postes de travail publiés Citrix individuels dansvotre déploiement de VMware Identity Manager sur les pages Catalogue > Paramètres > Application publiéeCitrix.

La page Configuration ICA est configurée pour des applications individuelles. Les zones de texte PropriétésICA des applications individuelles sont vides jusqu'à ce que vous ajoutiez manuellement des propriétés.Lorsque vous modifiez les paramètres de livraison d'applications, les propriétés ICA, d'une ressourcepubliée Citrix individuelle, ces paramètres sont prioritaires sur les paramètres globaux.

Sur la page Configuration NetScaler, vous pouvez configurer le service avec les paramètres appropriés pourque, lorsque des utilisateurs lancent des applications Citrix, le trafic soit routé via NetScaler vers le serveurXenApp.

Lorsque vous modifiez les propriétés ICA dans l'onglet Applications publiées Citrix > ConfigurationNetscaler ICA, les paramètres s'appliquent au trafic de lancement d'application routé via Netscaler.

Pour plus d'informations sur la configuration de propriétés ICA, consultez les rubriques Configuration deNetScaler et Modification des paramètres de livraison d'applications de VMware Identity Manager pour uneseule ressource publiée Citrix dans le centre de documentation.


116 VMware, Inc.

Examen des alertes ThinAppL'option Alertes d'application ThinApp dans le menu Catalogues, Paramètres, vous redirige vers la pageAlertes des applications packagées.

Toutes les erreurs trouvées lorsque les modules ThinApp ont été synchronisés avec VMware IdentityManager sont répertoriées sur la page.

Activation de l'approbation d'application pour l'utilisation des ressourcesVous pouvez gérer l'accès à des applications qui requièrent une approbation de la part de votre organisationavant que l'application puisse être utilisée. Activez les approbations sur la page Paramètres de catalogue etconfigurez l'URL pour recevoir la demande d'approbation.

Lorsque vous ajoutez des applications qui requièrent une approbation au catalogue, activez l'optionLicence. Lorsque l'option Licence est configurée, les utilisateurs voient l'application dans leur catalogueWorkspace ONE et demandent l'utilisation de l'application.

VMware Identity Manager envoie le message de demande d'approbation à l'URL d'approbation configuréede l'organisation. Le processus de workflow de serveur examine la demande et envoie un messaged'approbation ou de refus. Consultez Gérer des approbations d'application dans le guide de VMwareIdentity Manager pour voir les étapes de configuration.

Vous pouvez consulter les rapports sur l'utilisation des ressources et les droits des ressources de VMwareIdentity Manager pour voir le nombre d'applications approuvées en cours d'utilisation.

Configurer le workflow d'approbation et le moteur d'approbationVous pouvez choisir parmi deux types d'options de workflow d'approbation. Vous pouvez enregistrer votreURI REST d'appel pour intégrer votre système de gestion d'applications à VMware Identity Manager, oueffectuer l'intégration via le connecteur VMware Identity Manager.

Prérequis

Lorsque vous configurez l'API REST, votre système de gestion d'application doit être configuré et l'URIdisponible via l'API REST d'appel qui reçoit les demandes de la part de VMware Identity Manager.

Configurez l'API REST via le connecteur lorsque des systèmes de workflow d'approbation se trouvent surdes centres de données sur site. Le connecteur peut acheminer les messages de demande d'approbation duservice VMware Identity Manager Cloud vers une application d'approbation sur site et communiquer laréponse.

Procédure

1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Approbations.

2 Cochez Activer les approbations.

3 Dans le menu déroulant Moteur d'approbation, sélectionnez le moteur d'approbation API REST àutiliser : API REST via votre serveur Web ou API REST via le connecteur.

4 Configurez les zones de texte suivantes.

Option Description

URI Entrez l'URI du gestionnaire de demandes d'approbation de l'API RESTqui écoute les demandes d'appel.

Nom d'utilisateur (Facultatif) Si l'API REST requiert un nom d'utilisateur et un mot de passepour l'accès, entrez le nom ici. Si aucune authentification n'est requise,vous pouvez laisser le nom d'utilisateur et le mot de passe vides.


VMware, Inc. 117

Option Description

Mot de passe (Facultatif) Entrez le mot de passe de l'utilisateur.

Certificat SSL au format PEM (Facultatif) Si vous avez sélectionné API REST et que la vôtre utilise SSL etse trouve sur un serveur sans certificat SSL public, collez le certificat SSLde l'API REST au format PEM ici.

Suivant

Accédez à la page Catalogue et configurez la fonctionnalité Licence pour les applications qui requièrent uneapprobation pour que les utilisateurs puissent les utiliser.


118 VMware, Inc.

Utiliser le tableau de bord de laconsole d'administration 11

Deux tableaux de bord sont disponibles dans la console d'administration. Le tableau de bord Engagementde l'utilisateur permet de suivre les utilisateurs et l'utilisation des ressources. Le tableau de bord Diagnosticssystème peut être utilisé pour surveiller la santé du service VMware Identity Manager.


n « Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord », page 119

n « Surveiller les informations système et la santé », page 120

n « Consultation des rapports », page 121

Surveiller les utilisateurs et l'utilisation des ressources avec letableau de bord

Le tableau de bord Engagement de l'utilisateur affiche des informations relatives aux utilisateurs et auxressources. Vous pouvez voir les personnes connectées, les ressources utilisées et la fréquence d'accès auxapplications. Vous pouvez créer des rapports pour assurer le suivi des utilisateurs, des activités de groupe etde l'utilisation des ressources.

L'heure affichée sur le tableau de bord Engagement de l'utilisateur est fondée sur le fuseau horaire définipour le navigateur. Le tableau de bord est mis à jour toutes les minutes.

Procédure

n L'en-tête affiche le nombre d'utilisateurs uniques connectés ce jour-là ainsi qu'un calendrier indiquant lenombre d'événements de connexion quotidiens sur une période de sept jours. Le nombre affiché dans letableau de bord Utilisateurs connectés aujourd'hui est entouré d'un cercle qui indique le pourcentaged'utilisateurs connectés. Le graphique mobile Connexions affiche les événements de connexionsurvenus pendant la semaine. Pointez sur l'un des points du graphique pour afficher le nombre deconnexions ce jour-là.

n La section Utilisateurs et groupes affiche le nombre de comptes d'utilisateur et de groupes configurésdans VMware Identity Manager. Les utilisateurs s'étant connectés en dernier sont affichés en premier.Vous pouvez cliquer sur Voir les rapports complets pour créer un rapport sur les événements d'auditqui affiche les utilisateurs qui se sont connectés durant une plage de jours.

n La section Popularité des ressources affiche un graphique à barres par type d'applications qui indique lenombre de lancements de chaque application pendant une période de 7 jours. Pointez sur un jourspécifique pour afficher une infobulle indiquant le type des applications utilisées et le nombred'applications lancées ce jour-là. La liste en dessous du graphique indique le nombre de lancements desapplications spécifiques. Développez le menu déroulant de droite en cliquant sur la flèche pour

VMware, Inc. 119

sélectionner l'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines. Vouspouvez cliquez sur Voir les rapports complets pour créer un rapport d'utilisation des ressourcesindiquant l'application, le type de ressource et l'activité du nombre d'utilisateurs sur une plage detemps.

n La section Adoption des applications affiche un graphique à barres indiquant le pourcentage depersonnes ayant ouvert les applications auxquelles elles ont ont droit. Pointez sur l'application pourafficher une infobulle indiquant le nombre réel d'adoptions et de droits.

n Le graphique à secteurs Applications lancées affiche les ressources lancées sous forme de pourcentagedu total. Pointez sur une section spécifique du graphique à secteurs pour voir le nombre réel par typede ressource. Développez le menu déroulant de droite en cliquant sur la flèche pour sélectionnerl'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines.

n La section Clients indique le nombre de postes travail Identity Manager Desktop utilisés.

Surveiller les informations système et la santéLe tableau de bord Diagnostics du système VMware Identity Manager affiche une présentation détaillée desdispositifs VMware Identity Manager dans votre environnement et des informations sur les services. Vouspouvez visualiser la santé globale sur le serveur de base de données VMware Identity Manager, lesmachines virtuelles et les services disponibles sur chacune d'entre elles.

Dans le tableau de bord Diagnostics du système, vous pouvez sélectionner la machine virtuelle à surveilleret voir l'état des services sur cette dernière, y compris la version de VMware Identity Manager qui estinstallée. En cas de problème lié à la base de données ou à une machine virtuelle, la barre d'en-tête affichel'état de la machine en rouge. Pour voir les problèmes, vous pouvez sélectionner la machine virtuelleaffichée en rouge.

Procédure

n Expiration du mot de passe utilisateur Les dates d'expiration du mot de passe racine du dispositifVMware Identity Manager et du mot de passe de connexion à distance sont affichées. Si un mot depasse expire, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la page Sécuritédu système pour modifier le mot de passe.

n Certificats. L'émetteur du certificat, la date de début et la date de fin sont affichés. Pour gérer lecertificat, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la page Installer lecertificat.

n Configurator - État de déploiement de l'application. Les informations relatives aux services ApplianceConfigurator sont affichées. L'état du serveur Web indique si le serveur Tomcat est en cours d'exécution.L'état de l'application Web indique si la page Appliance Configurator est accessible. La version dudispositif indique la version du dispositif VMware Identity Manager installé.

n Application Manager - État de déploiement de l'application. L'état de connexion du dispositifVMware Identity Manager est affiché.

n Connector - État de déploiement de l'application. L'état de la connexion console d'administration estaffiché. Lorsque Connexion réussie s'affiche, vous pouvez accéder aux pages console d'administration.

n Nom de domaine complet VMware Identity Manager Affiche le nom de domaine complet que lesutilisateurs entrent pour accéder à leur portail d'applications VMware Identity Manager. Le nom dedomaine complet VMware Identity Manager pointe vers l'équilibreur de charge lorsqu'un équilibreurde charge est utilisé.

n Application Manager - Composants intégrés. Les informations relatives à la connexion de base dedonnées VMware Identity Manager, aux services d'audit et à la connexion d'analyse sont affichées.


120 VMware, Inc.

n Connector - Composants intégrés. Les informations relatives aux services gérés à partir des pagesd'administration des services Connector sont affichées. Les informations relatives aux ressourcesd'applications ThinApp, View et Citrix publiées sont affichées.

n Modules. Affiche les ressources activées dans VMware Identity Manager. Cliquez sur Activé pouraccéder à la page d'administration des ressources des services Connector pour la ressource concernée.

Consultation des rapportsVous pouvez créer des rapports pour assurer le suivi des activités des utilisateurs et des groupes etl'utilisation des ressources. Vous pouvez consulter les rapports sur la page Rapports du Tableau de bord dela console d'administration.

Vous pouvez exporter des rapports dans un fichier de valeurs séparées par des virgules (csv).

Tableau 11‑1. Types de rapports

Rapport Description

Activité récente Activité récente est un rapport sur les actions que les utilisateurs ont effectuées enutilisant leur portail Workspace ONE la veille, la semaine précédente, le moisprécédent ou les 12 semaines précédentes. L'activité peut inclure des informations surl'utilisateur, telles que le nombre de connexions utilisateur uniques, le nombre deconnexions générales, et des informations sur les ressources, telles que le nombre deressources lancées, les droits d'accès aux ressources ajoutés. Vous pouvez cliquer surAfficher les événements pour voir la date, l'heure et les détails de l'utilisateurcorrespondant à l'activité.

Utilisation des ressources Utilisation des ressources est un rapport sur toutes les ressources dans le catalogueavec des détails pour chaque ressource sur le nombre d'utilisateurs, de lancements etde licences. Vous pouvez choisir de voir les activités de la veille, de la semaineprécédente, du mois précédent ou des 12 semaines précédentes.

Droits des ressources Droits des ressources est un rapport par ressource qui indique le nombre d'utilisateursauxquels la ressource est octroyée, le nombre de lancements et le nombre de licencesutilisées.

Activité des ressources Le rapport Activité des ressources peut être créé pour tous les utilisateurs ou ungroupe spécifique d'utilisateurs. Les informations sur l'activité des ressourcesrépertorient le nom d'utilisateur, la ressource octroyée à l'utilisateur, la date du dernieraccès à la ressource et des informations sur le type de périphérique utilisé parl'utilisateur pour accéder à la ressource.

Appartenance à un groupe Appartenance à un groupe répertorie les membres d'un groupe que vous spécifiez.

Attribution de rôles Attribution de rôles répertorie les utilisateurs qui sont des administrateurs uniquementAPI ou des administrateurs et leurs adresses e-mail.

Utilisateurs Le rapport Utilisateurs affiche tous les utilisateurs et fournit des détails sur chacund'eux, tels que l'adresse e-mail, le rôle et les affiliations de groupe de l'utilisateur.

Utilisateurs simultanés Le rapport Utilisateurs simultanés indique le nombre de sessions utilisateur qui ont étéouvertes en même temps, la date et l'heure.

Utilisation des périphériques Le rapport Utilisation des périphériques peut indiquer l'utilisation des périphériquespour tous les utilisateurs ou un groupe spécifique d'utilisateurs. Les informations depériphérique sont répertoriées par utilisateur individuel et incluent le nom del'utilisateur, le nom du périphérique, les informations du système d'exploitation et ladate de dernière utilisation.

Événements d'audit Le rapport Événements d'audit affiche les événements relatifs à un utilisateur que vousspécifiez, tels que les connexions utilisateur des 30 derniers jours. Vous pouvezégalement voir les détails des événements d'audit. Cette fonctionnalité est utile dans lecadre de la résolution de problèmes. Pour exécuter des rapports Événements d'audit,l'audit doit être activé sur la page Catalogue > Paramètres > Audit. Voir « Générer unrapport d'événement audité », page 122.

Chapitre 11 Utiliser le tableau de bord de la console d'administration

VMware, Inc. 121

Générer un rapport d'événement auditéVous pouvez générer un rapport des événements audités que vous spécifiez.

Les rapports d'événements audités peuvent être utiles en tant que méthode de résolution de problèmes.

Prérequis

L'audit doit être activé. Pour vérifier s'il est activé, dans la console d'administration, accédez à la pageCatalogue > Paramètres et sélectionnez Audit.

Procédure

1 Dans la console d'administration, sélectionnez Rapports > Événements audités

2 Sélectionnez les critères d'événement audité.

Critèresd'événementaudité Description

Utilisateur Ce champ texte vous permet de réduire la recherche des événements audités à ceux générés parun utilisateur spécifique.

Type Cette liste déroulante vous permet de réduire la recherche des événements audités à un typed'événement audité spécifique. La liste déroulante n'affiche pas tous les types d'événementsaudités potentiels. La liste n'affiche que les types d'événements qui se sont produits dans votredéploiement. Les types d'événements audités qui sont affichés en majuscules sont desévénements d'accès, tels que CONNEXION et LANCEMENT, qui ne génèrent pas demodification dans la base de données. Les autres types d'événements audités génèrent desmodifications dans la base de données.

Action Cette liste déroulante vous permet de réduire votre recherche à des actions spécifiques. La listeaffiche des événements qui produisent des modifications spécifiques dans la base de données. Sivous sélectionnez un événement d'accès dans la liste déroulante Type, ce qui signifie unévénement de non-action, ne spécifiez pas d'action dans la liste déroulante Action.

Objet Ce champ texte vous permet de réduire la recherche à un objet spécifique. Des exemples d'objetssont les groupes, les utilisateurs et les périphériques. Les objets sont identifiés par un nom ou unnuméro d'identification.

Plage de dates Ces champs texte vous permettent de réduire votre recherche à une plage de dates au format« De ___ à ___ jours auparavant ». La plage de date maximale est de 30 jours. Par exemple, laplage « De 90 à 60 jours auparavant » est valide tandis que la plage « De 90 à 45 joursauparavant » ne l'est pas, car elle dépasse la période maximale de 30 jours.

3 Cliquez sur Afficher.

Un rapport d'événement audité apparaît conformément aux critères que vous avez spécifiés.

Remarque Occasionnellement, lors du redémarrage du sous-système d'audit, la page Auditer lesévénements risque d'afficher un message d'erreur et de ne pas afficher le rapport. Si vous voyez un telmessage d'erreur concernant le non-affichage du rapport, attendez quelques minutes, puisrecommencez.

4 Pour plus d'informations sur un événement audité, cliquez sur Afficher les détails pour cet événement.


122 VMware, Inc.

Personnaliser les informations demarque des services VMware IdentityManager 12

Vous pouvez personnaliser les logos, les polices et l'arrière-plan qui s'affichent dans la consoled'administration, les écrans de connexion de l'utilisateur et de l'administrateur, la vue Web du portaild'applications Workspace ONE et la vue Web de l'application Workspace ONE sur les périphériquesmobiles.

Vous pouvez utiliser l'outil de personnalisation pour adopter l'apparence des couleurs, des logos et dudesign de votre entreprise.

n L'onglet d'adresse du navigateur et les pages de connexion sont personnalisés à partir des pagesIdentité et gestion de l'accès > Configuration > Informations de marque personnalisées.

n Ajoutez un logo et personnalisez les vues Mobile et Tablette du portail Web d'utilisateur à partir despages Catalogue > Paramètres > Informations de marque du portail de l'utilisateur.


n « Personnalisation des informations de marque dans VMware Identity Manager », page 123

n « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125

n « Personnaliser des informations de marque pour l'application VMware Verify », page 126

Personnalisation des informations de marque dansVMware Identity Manager

Vous pouvez ajouter le nom de votre entreprise, un nom de produit et une icône favorite à la barred'adresses pour la console d'administration et le portail utilisateur. Vous pouvez également personnaliser lapage de connexion pour définir des couleurs d'arrière-plan qui correspondent aux couleurs et au logo devotre entreprise.

Pour ajouter le logo de votre entreprise, accédez à la page Catalogue > Paramètres > Informations de marquedu portail de l'utilisateur dans la console d'administration.

Procédure

1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnezConfiguration > Personnaliser les informations de marque.

2 Modifiez les paramètres suivants du formulaire comme nécessaire.

Remarque Si un paramètre n'est pas répertorié dans le tableau, cela signifie qu'il n'est pas utilisé etqu'il ne peut pas être personnalisé.

VMware, Inc. 123

Champ de formulaire Description

Noms et logos

Nom de l'entreprise L'option Nom de l'entreprise s'applique aux postes de travail et aux périphériquesmobiles. Vous pouvez ajouter le nom de votre entreprise comme titre qui apparaît dansl'onglet du navigateur.Saisissez un nom d'entreprise sur le nom existant pour le modifier.

Nom du produit L'option Nom du produit s'applique aux postes de travail et aux périphériques mobiles.Le nom du produit apparaît après le nom d'entreprise dans l'onglet du navigateur.Saisissez un nom de produit sur le nom existant pour le modifier.

Icône Favorite Une icône favorite est une icône associée à une URL qui s'affiche dans la barre d'adressesdu navigateur.La taille maximale de l'image d'icône favorite est de 16 x 16 pixels. Le format peut êtreJPEG, PNG, GIF ou ICO.Cliquez sur Télécharger pour télécharger une nouvelle image qui remplacera l'icônefavorite actuelle. Un message vous demande de confirmer la modification. La modificationest immédiate.

Écran d'ouverture de session

Logo Cliquez sur Télécharger pour télécharger un nouveau logo afin de remplacer le logoactuel dans les écrans d'ouverture de session. Lorsque vous cliquez sur Confirmer, lamodification s'applique immédiatement.La taille de page minimale recommandée pour le téléchargement est de 350 x 100 px. Sivous téléchargez des images supérieures à 350 x 100 px, elles sont redimensionnées à lataille 350 x 100 px. Le format peut être JPEG, PNG ou GIF.

Couleur d'arrière-plan Couleur d'arrière-plan de l'écran de connexion.Saisissez le code couleur hexadécimal à six chiffres sur le code existant pour changer lacouleur d'arrière-plan.

Couleur d'arrière-plande la case

La couleur de l'écran de connexion peut être personnalisée.Saisissez le code couleur hexadécimal à six chiffres sur le code existant.

Couleur d'arrière-plandu bouton deconnexion

La couleur du bouton de connexion peut être personnalisée.Saisissez le code couleur hexadécimal à six chiffres sur le code existant.

Couleur de texte dubouton de connexion

La couleur du texte qui s'affiche sur le bouton de connexion peut être personnalisée.Saisissez le code couleur hexadécimal à six chiffres sur le code existant.

Lorsque vous personnalisez l'écran de connexion, vous pouvez voir vos modifications dans le voletAperçu avant de les enregistrer.


Les mises à jour des informations de marque sur la console d'administration et des pages de connexion sontappliquées dans un délai de cinq minutes après que vous avez cliqué sur Enregistrer.

Suivant

Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces.

Mettez à jour l'apparence du portail Workspace ONE de l'utilisateur final et des vues Mobile et Tablette. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125


124 VMware, Inc.

Personnaliser les informations de marque pour le portail del'utilisateur

Vous pouvez ajouter un logo, modifier les couleurs d'arrière-plan et ajouter des images pour personnaliser leportail Workspace ONE.

Procédure

1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations demarque du portail de l'utilisateur.

2 Modifiez les paramètres du formulaire comme nécessaire.


Logo Ajoutez un logo d'en-tête à la bannière dans la partie supérieure de la consoled'administration et des pages Web du portail Workspace ONE.

La taille maximale de l'image est de 220 x 40 pixels. Le format peut être JPEG, PNG ouGIF.

Portail

Couleur d'arrière-plande l'en-tête

Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer lacouleur d'arrière-plan de l'en-tête. La couleur d'arrière-plan change dans l'écran d'aperçudu portail d'applications lorsque vous tapez un nouveau code couleur.

Couleur de texte del'en-tête

Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer lacouleur du texte qui s'affiche dans l'en-tête.

Couleur d'arrière-plan Couleur d'arrière-plan de l'écran du portail Web.Saisissez un nouveau code couleur hexadécimal à six chiffres sur le code existant pourchanger la couleur d'arrière-plan. La couleur d'arrière-plan change dans l'écran d'aperçudu portail d'applications lorsque vous tapez un nouveau code couleur.Sélectionnez Mise en surbrillance de l'arrière-plan pour accentuer la couleur de l'arrière-plan. Si cette option est activée, les navigateurs prenant en charge plusieurs imagesd'arrière-plan affichent la superposition sur les pages du lanceur et du catalogue.Sélectionnez Modèle d'arrière-plan pour définir le modèle de triangle préconçu dans lacouleur d'arrière-plan.

Nom et couleur desicônes

Vous pouvez sélectionner la couleur de texte des noms répertoriés sous les icônes sur lespages du portail d'applications.Saisissez un code de couleur hexadécimal sur le code existant pour modifier la couleur dela police.

Effet de lettrage Sélectionnez le type de lettrage à utiliser pour le texte dans les écrans du portailWorkspace ONE.

Image (en option) Pour ajouter une image plutôt qu'une couleur à l'arrière-plan sur l'écran du portail desapplications, téléchargez une image.


Les mises à jour des informations de marque personnalisées sont actualisées toutes les 24 heures pour leportail de l'utilisateur. Pour appliquer les modifications plus tôt, en tant qu'administrateur, ouvrez unnouvel onglet et entrez cette URL, en remplaçant votre nom de domaine par myco.example.com.https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true.

Suivant

Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces.

Chapitre 12 Personnaliser les informations de marque des services VMware Identity Manager

VMware, Inc. 125

Personnaliser des informations de marque pour l'application VMwareVerify

Si vous avez activé VMware Verify pour l'authentification à deux facteurs, vous pouvez personnaliser lapage de connexion avec votre logo d'entreprise.

Prérequis

VMware Verify activé.

Procédure

1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations demarque du portail de l'utilisateur.

2 Modifiez la section VMware Verify.


Logo Téléchargez le logo d'entreprise qui s'affiche sur les pages de demande d'approbation.La taille des image est de 540 x 170 px, format PNG, et de 128 Ko ou moins.

Icône Téléchargez une icône qui s'affiche sur le périphérique lorsque VMware Verify est lancé.La taille des image est de 81 x 81 px, format PNG, et de 128 Ko ou moins.



126 VMware, Inc.

Intégration d'AirWatch à VMwareIdentity Manager 13

AirWatch offre la gestion de la mobilité d'entreprise pour les périphériques ; VMware Identity Manageroffre l'authentification unique et la gestion des identités pour les utilisateurs.

Lorsqu'AirWatch et VMware Identity Manager sont intégrés, les utilisateurs des périphériques inscritsAirWatch peuvent se connecter à leurs applications activées en toute sécurité sans entrer plusieurs mots depasse.

Lorsqu'AirWatch est intégré à VMware Identity Manager, vous pouvez configurer les intégrations suivantesavec AirWatch.

n Annuaire AirWatch qui synchronise les utilisateurs et les groupes AirWatch avec un annuaire dans leservice VMware Identity Manager, puis configure l'authentification par mot de passe via AirWatchCloud Connector.

n Authentification unique à un catalogue unifié contenant des applications autorisées depuis AirWatch etVMware Identity Manager.

n Authentification unique utilisant l'authentification Kerberos à des périphériques iOS 9.

n Règles de stratégie d'accès pour vérifier que les périphériques iOS 9 gérés par AirWatch sont conformes.


n « Configuration d'AirWatch pour l'intégrer à VMware Identity Manager », page 127

n « Configuration d'une instance d'AirWatch dans VMware Identity Manager », page 131

n « Activer le catalogue unifié pour AirWatch », page 132

n « Implémentation de l'authentification avec AirWatch Cloud Connector », page 133

n « Implémentation de l'authentification unique mobile pour des périphériques iOS gérés parAirWatch », page 135

n « Implémentation de l'authentification Mobile SSO pour périphériques Android », page 143

n « Activer la vérification de la conformité pour les périphériques gérés par AirWatch », page 149

Configuration d'AirWatch pour l'intégrer à VMware Identity ManagerVous configurez des paramètres dans la console d'administration d'AirWatch pour communiquer avecVMware Identity Manager avant de configurer les paramètres d'AirWatch dans la console d'administrationde VMware Identity Manager.

Pour intégrer AirWatch et VMware Identity Manager, les éléments suivants sont requis.

n Le groupe d'organisation dans AirWatch pour lequel vous configurez VMware Identity Manager estCustomer.

VMware, Inc. 127

n Une clé d'administration API REST pour la communication avec le service VMware Identity Manager etune clé API d'utilisateur inscrit REST pour l'authentification par mot de passe AirWatch CloudConnector sont créées sur le groupe d'organisation où est configuré VMware Identity Manager.

n Les paramètres de compte d'administration API et le certificat d'authentification d'administrationd'AirWatch sont ajoutés aux paramètres d'AirWatch dans la console d'administration de VMwareIdentity Manager.

n Des comptes d'utilisateur Active Directory sont configurés sur le groupe d'organisation où est configuréVMware Identity Manager.

n Si des utilisateurs finaux sont placés dans un groupe d'organisation enfant où est configuré VMwareIdentity Manager après l'enregistrement et l'inscription, le mappage Groupe d'utilisateurs dans laconfiguration d'inscription AirWatch doit être utilisé pour filtrer les utilisateurs et leurs périphériquesrespectifs sur le groupe d'organisation approprié.

Les éléments suivants sont configurés dans la console d'administration d'AirWatch.

n Une clé API d'administration REST pour la communication avec le service VMware Identity Manager

n Un compte d'administration API pour VMware Identity Manager et le certificat d'authentificationd'administration qui est exporté depuis AirWatch et ajouté aux paramètres d'AirWatch dans VMwareIdentity Manager

n Clé API d'utilisateur inscrit REST pour l'authentification par mot de passe AirWatch Cloud Connector

Créer des clés API REST dans AirWatchL'accès API d'administration REST et l'accès des utilisateurs inscrits doivent être activés dans la consoled'administration d'AirWatch pour intégrer VMware Identity Manager à AirWatch. Lorsque vous activezl'accès API, une clé API est générée.

Procédure

1 Dans la console d'administration d'AirWatch, sélectionnez le groupe d'organisation de niveau Global >Client et accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > API > APIREST.

2 Dans l'onglet Général, cliquez sur Ajouter pour générer la clé API à utiliser dans le service VMwareIdentity Manager. Le type de compte doit être Administrateur.

Fournissez un nom de service unique. Ajoutez une description, telle que AirWatchAPI pour IDM.

3 Pour générer la clé API d'utilisateur inscrit, cliquez de nouveau sur Ajouter.

4 Dans le menu déroulant Type de compte, sélectionnez Utilisateur de l'enrôlement.

Fournissez un nom de service unique. Ajoutez une description, telle que UserAPI pour IDM.


128 VMware, Inc.

5 Copiez les deux clés API et enregistrez les clés dans un fichier.

Vous ajoutez ces clés lorsque vous configurez AirWatch dans la console d'administration de VMwareIdentity Manager.


Créez un compte d'administrateur et un certificat dans AirWatchUne fois la clé API d'administration créée, vous ajoutez un compte d'administrateur et configurezl'authentification par certificat dans la console d'administration d'AirWatch.

Pour l'authentification par certificat API REST, un certificat de niveau utilisateur est généré à partir de laconsole d'administration d'AirWatch. Le certificat utilisé est un certificat AirWatch auto-signé généré à partirdu certificat racine d'administration AirWatch.

Prérequis

La clé API d'administration REST AirWatch est créée.

Procédure

1 Dans la console d'administration d'AirWatch, sélectionnez le groupe d'organisation de niveau Global >Client et accédez à Comptes > Administrateurs > Vue Liste.

2 Cliquez sur Ajouter > Ajouter un administrateur.

Chapitre 13 Intégration d'AirWatch à VMware Identity Manager

VMware, Inc. 129

3 Dans l'onglet Standard, entrez le nom d'utilisateur et le mot de passe de l'administrateur de certificatdans les zones de texte requises.

4 Sélectionnez l'onglet Rôles, choisissez le groupe d'organisation actuel, cliquez sur la deuxième zone detexte et sélectionnez Administrateur AirWatch.

5 Sélectionnez l'onglet API et, dans la zone de texte Authentification, sélectionnez Certificats.

6 Entrez le mot de passe du certificat. Le mot de passe est le même que celui entré pour l'administrateurdans l'onglet Standard.


Le nouveau compte d'administrateur et le certificat client sont créés.

8 Sur la page Vue Liste, sélectionnez l'administrateur que vous avez créé et ouvrez de nouveau l'ongletAPI.

La page des certificats affiche des informations sur le certificat.


130 VMware, Inc.

9 Entrez le mot de passe que vous avez défini dans la zone de texte Mot de passe du certificat, cliquez surExporter le certificat client et enregistrez le fichier.

Le certificat client est enregistré sous un fichier de type .p12.

Suivant

Configurez vos paramètres d'URL AirWatch dans la console d'administration de VMware Identity Manager.

Configuration d'une instance d'AirWatch dans VMware IdentityManager

Après avoir configuré les paramètres dans la console d'administration d'AirWatch, sur la page Identité etgestion de l'accès de la console d'administration de VMware Identity Manager, vous entrez l'URLd'AirWatch, les valeurs de clé API et le certificat. Une fois les paramètres d'AirWatch configurés, vouspouvez activer des options de fonctionnalité disponibles avec l'intégration d'AirWatch.

Ajouter des paramètres d'AirWatch à VMware Identity ManagerConfigurez des paramètres d'AirWatch dans VMware Identity Manager pour intégrer AirWatch à VMwareIdentity Manager et activer les options d'intégration de la fonctionnalité AirWatch. La clé API AirWatch et lecertificat sont ajoutés pour l'autorisation VMware Identity Manager avec AirWatch.

Prérequis

n URL du serveur AirWatch que l'administrateur utilise pour se connecter à la console d'administrationd'AirWatch.

n Clé API d'administration AirWatch utilisée pour faire des demandes API depuis VMware IdentityManager au serveur AirWatch afin de configurer l'intégration.

n Fichier de certificat AirWatch utilisé pour passer des appels API et mot de passe du certificat. Le fichierde certificat doit être au format .p12.

n Clé API d'utilisateur inscrit AirWatch.

n ID de groupe AirWatch de votre locataire, qui est l'identifiant du locataire dans AirWatch.

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration de VMware Identity Manager,cliquez sur Configuration > AirWatch.


VMware, Inc. 131

2 Entrez les paramètres d'intégration d'AirWatch dans les champs suivants.

Champ Description

URL API d'AirWatch Entrez l'URL d'AirWatch. Par exemple, https://myco.airwatch.com

Certificat API AirWatch Téléchargez le fichier de certificat utilisé pour passer des appels API.

Mot de passe du certificat Entrez le mot de passe du certificat.

Clé API d'administration AirWatch Entrez la valeur de clé API d'administration. Exemple de valeur de clé APIFPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

Clé API d'utilisateur inscritAirWatch

Entrez la valeur de clé API d'utilisateur inscrit.

ID de groupe AirWatch Entrez l'ID de groupe AirWatch pour le groupe d'organisation dans lequella clé API et le compte d'administrateur ont été créés.


Suivant

n Activez l'option de la fonctionnalité Catalogue unifié pour fusionner des applications configurées dansle catalogue AirWatch avec le catalogue unifié.

n Activez la vérification de la conformité pour vérifier que les périphériques gérés par AirWatchrespectent les stratégies de conformité d'AirWatch.

Voir « Activer la vérification de la conformité pour les périphériques gérés par AirWatch », page 149.

Activer le catalogue unifié pour AirWatchLorsque vous configurez VMware Identity Manager avec votre instance d'AirWatch, vous pouvez activer lecatalogue unifié ce qui permet aux utilisateurs finaux de voir toutes les applications qui leur sont attribuéesdepuis VMware Identity Manager et AirWatch.

Lorsqu'AirWatch n'est pas intégré au catalogue unifié, les utilisateurs finaux ne voient que les applicationsqui leur sont attribuées depuis le service VMware Identity Manager.


132 VMware, Inc.

Prérequis

AirWatch configuré dans VMware Identity Manager.

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, cliquez sur Configuration >AirWatch.

2 Dans la section Catalogue unifié de cette page, sélectionnez Activer.


Suivant

Indiquez aux utilisateurs finaux d'AirWatch comment accéder au catalogue unifié et voir leur portailWorkspace ONE via VMware Identity Manager.

Implémentation de l'authentification avec AirWatch Cloud ConnectorVous pouvez intégrer votre AirWatch Cloud Connector au service VMware Identity Manager pourl'authentification par mot de passe utilisateur. Vous pouvez configurer le service VMware Identity Managerpour synchroniser des utilisateurs à partir de l'annuaire AirWatch au lieu de déployer un connecteurVMware Identity Manager.

Pour implémenter l'authentification AirWatch Cloud Connector, vous activez l'authentification par mot depasse AirWatch Cloud Connector sur la page du fournisseur d'identité intégré dans la consoled'administration de VMware Identity Manager.

Remarque AirWatch Cloud Connector doit être configuré sur AirWatch version 8.3 et ultérieures pourl'authentification avec VMware Identity Manager.

L'authentification par nom d'utilisateur et mot de passe est intégrée dans le déploiement d'AirWatch CloudConnector. Pour authentifier des utilisateurs à l'aide d'autres méthodes d'authentification prises en chargepar VMware Identity Manager, le connecteur VMware Identity Manager doit être configuré.

Gestion du mappage d'attributs utilisateurVous pouvez configurer le mappage d'attribut utilisateur entre l'annuaire AirWatch et l'annuaireVMware Identity Manager.

La page Attributs utilisateur de la console d'administration de VMware Identity Manager, Identité et gestionde l'accès > Configuration > Attributs utilisateur, répertorie les attributs d'annuaire par défaut pouvant êtremappés avec des attributs AirWatch Directory. Les attributs obligatoires sont signalés par un astérisque. Lesutilisateurs pour qui il manque un attribut obligatoire dans le profil ne sont pas synchronisés avec le serviceVMware Identity Manager.

Tableau 13‑1. Mappage d'attributs d'annuaire AirWatch par défaut

Nom de l'attribut utilisateur de VMware IdentityManager Mappage par défaut avec l'attribut utilisateur AirWatch

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

domaine Contrôleur

disabled (utilisateur externe désactivé) disabled

phone telephoneNumber

lastName lastname*


VMware, Inc. 133

Tableau 13‑1. Mappage d'attributs d'annuaire AirWatch par défaut (suite)

Nom de l'attribut utilisateur de VMware IdentityManager Mappage par défaut avec l'attribut utilisateur AirWatch

firstName firstname*

email Email*

userName username*

Synchroniser des utilisateurs et des groupes entre l'annuaire AirWatchDirectory et VMware Identity Directory

Configurez les paramètres de VMware Identity Manager dans la console d'administration d'AirWatch pourétablir une connexion entre votre instance du groupe d'organisation du répertoire AirWatch et VMwareIdentity Manager. Cette connexion est utilisée pour synchroniser des utilisateurs et des groupes avec unrépertoire créé dans le service VMware Identity Manager.

Le répertoire VMware Identity Manager peut être utilisé avec AirWatch Cloud Connector pourl'authentification par mot de passe.

Les utilisateurs et les groupes commencent par synchroniser le répertoire VMware Identity Managermanuellement. Le planning de synchronisation d'AirWatch détermine le moment auquel les utilisateurs etles groupes se synchronisent avec le répertoire VMware Identity Manager.

Lorsqu'un utilisateur ou un groupe est ajouté ou supprimé sur le serveur AirWatch, la modification estimmédiatement reflétée sur le service VMware Identity Manager.

Prérequis

n Nom et mot de passe d'administrateur local de VMware Identity Manager.

n Identifiez des valeurs d'attribut à mapper depuis le répertoire AirWatch. Voir « Gestion du mappaged'attributs utilisateur », page 133.

Procédure

1 Dans la console d'administration d'AirWatch, sur la page Groupes et paramètres, Tous les paramètres,sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Système > Intégrationd'entreprise >VMware Identity Manager.

2 Dans la section Serveur, cliquez sur Configurer.

Remarque Le bouton de configuration n'est disponible que lorsque le service de répertoire estégalement configuré pour le même groupe d'organisation. Si le bouton Configurer n'est pas visible,vous ne vous trouvez pas dans le bon groupe d'organisation. Vous pouvez modifier le grouped'organisation dans le menu déroulant Global.

3 Entrez les paramètres de VMware Identity Manager.

Option Description

URL Entrez l'URL VMware de votre locataire. Par exemple,https://myco.identitymanager.com.

Nom d'utilisateur del'administrateur

Entrez le nom d'utilisateur Admin local de VMware Identity Manager.

Mot de passe de l'administrateur Entrez le mot de passe de l'utilisateur Admin local de VMware IdentityManager.



134 VMware, Inc.

5 Activez le mappage personnalisé pour configurer le mappage d'attributs utilisateur entre AirWatch et leservice VMware Identity Manager.

6 Cliquez sur Tester la connexion pour vérifier que les paramètres sont corrects.

7 Cliquez sur Synchroniser maintenant pour synchroniser manuellement tous les utilisateurs et lesgroupes avec le service VMware Identity Manager.

Remarque Pour contrôler la charge système, la synchronisation manuelle ne peut être effectuée quequatre heures après une précédente synchronisation.

Un annuaire AirWatch est créé dans le service VMware Identity Manager et les utilisateurs et les groupessont synchronisés avec un annuaire dans VMware Identity Manager.

Suivant

Examinez l'onglet Utilisateurs et groupes dans la console d'administration de VMware Identity Managerpour vérifier que les noms d'utilisateur et de groupe sont synchronisés.

Mise à jour de VMware Identity Manager après la mise à niveau d'AirWatchLorsque vous effectuez la mise à niveau d'AirWatch vers une nouvelle version, vous devez mettre à jour lecatalogue unifié et l'authentification par mot de passe utilisateur via des options de configurationd'AirWatch dans le service VMware Identity Manager.

Lorsque vous enregistrez les options après la mise à niveau d'AirWatch, les paramètres d'AirWatch dans leservice VMware Identity Manager sont mis à jour avec la nouvelle version d'AirWatch.

Procédure

1 Après la mise à niveau d'AirWatch, connectez-vous à la console d'administration de VMware IdentityManager.

2 Dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration > AirWatch.

3 Faites défiler la page jusqu'à la section Catalogue unifié et cliquez sur Enregistrer.

4 Faites défiler jusqu'à la section Authentification par mot de passe utilisateur via AirWatch et cliquezsur Enregistrer.

La configuration d'AirWatch est mise à jour avec la nouvelle version dans le service VMware IdentityManager.

Implémentation de l'authentification unique mobile pour despériphériques iOS gérés par AirWatch

Pour l'authentification des périphériques iOS, VMware Identity Manager utilise un fournisseur d'identitéintégré au service Identity Manager pour fournir l'accès à l'authentification Mobile SSO. Cette méthoded'authentification utilise un centre de distribution de clés (KDC) sans utiliser un connecteur ou un systèmetiers. Vous devez initier le service KDC dans le fournisseur d'identité intégré VMware Identity Manageravant d'activer Kerberos dans la console d'administration.


VMware, Inc. 135

L'implémentation de l'authentification Mobile SSO pour les périphériques iOS 9 gérés par AirWatch requiertles étapes de configuration suivantes.

Remarque L'authentification Mobile SSO est prise en charge sur les périphériques iOS exécutant iOS 9 etversions ultérieures.

n Initialisez le centre de distribution de clés (KDC) dans le dispositif VMware Identity Manager.Consultez le chapitre Préparation pour utiliser l'authentification Kerberos sur des périphériques iOSdans le Guide d'installation.

n Si vous utilisez des services de certificats Active Directory, configurez un modèle d'autorité decertification pour la distribution de certificats Kerberos dans les services de certificats Active Directory.Ensuite, configurez AirWatch pour qu'il utilise l'autorité de certification Active Directory. Ajoutez lemodèle de certificat dans la console d'administration d'AirWatch. Téléchargez le certificat de l'émetteurpour configurer Mobile SSO pour iOS.

n Si vous utilisez l'autorité de certification AirWatch, activez des certificats sur la page Intégrations deVMware Identity Manager. Téléchargez le certificat de l'émetteur pour configurer Mobile SSO pour iOS.

n Configurez le fournisseur d'identité intégré, puis activez et configurez l'authentification Mobile SSOpour iOS pour le fournisseur d'identité dans la console d'administration de VMware Identity Manager.

n Configurez le profil de périphérique iOS et activez l'authentification unique dans la consoled'administration d'AirWatch.

Configurer une autorité de certification Active Directory dans AirWatchPour configurer l'authentification unique sur des périphériques mobiles iOS 9 gérés par AirWatch, vouspouvez établir une relation de confiance entre Active Directory et AirWatch et activer la méthoded'authentification Mobile SSO pour iOS dans VMware Identity Manager.

Après avoir configuré le modèle d'autorité de certification et le modèle de certificat pour la distribution decertificats Kerberos dans les services de certificats Active Directory, activez AirWatch pour demander lecertificat utilisé pour l'authentification et ajouter l'autorité de certification à la console d'administrationd'AirWatch.

Procédure

1 Dans le menu principal de la console d'administration d'AirWatch, accédez à Périphériques >Certificats > Autorités de certification.


3 Configurez ce qui suit sur la page Autorité de certification.

Remarque Vérifiez que Microsoft AD CS est sélectionné comme type d'autorité avant de commencer àremplir ce formulaire.

Option Description

Nom Entrez un nom pour la nouvelle autorité de certification.

Type d'autorité Vérifiez que Microsoft ADCS est sélectionné.

Protocole Sélectionnez ADCS comme protocole.

Nom d'hôte de serveur Entrez l'URL du serveur. Entrez le nom d'hôte au formathttps://{servername.com}/certsrv.adcs/. Le site peut être http ouhttps, en fonction de la configuration du site. L'URL doit inclure la / de fin.Remarque Si la connexion échoue lorsque vous testez l'URL, supprimezla partie http:// ou https:// de l'adresse et testez de nouveau la connexion.


136 VMware, Inc.

Option Description

Nom d'autorité Entrez le nom de l'autorité de certification à laquelle le point determinaison ADCS est connecté. Vous pouvez voir ce nom en lançantl'application Autorité de certification sur le serveur d'autorité decertification.

Authentification Vérifiez que Compte de service est sélectionné.

Nom d'utilisateur et mot de passe Entrez le nom d'utilisateur et le mot de passe du compte d'administrateurAD CS avec un accès suffisant pour autoriser AirWatch à demander etémettre des certificats.


Suivant

Configurez le modèle de certificat dans AirWatch.

Configuration d'AirWatch pour qu'il utilise l'autorité de certification ActiveDirectoryVotre modèle d'autorité de certification doit être correctement configuré pour la distribution de certificatsKerberos. Dans les services de certificats Active Directory (AD CS), vous pouvez dupliquer le modèleAuthentification Kerberos existant pour configurer un nouveau modèle d'autorité de certification pourl'authentification Kerberos iOS.

Lorsque vous dupliquez le modèle Authentification Kerberos depuis AD CS, vous devez configurer lesinformations suivantes dans la boîte de dialogue Propriétés du nouveau modèle.

Figure 13‑1. Boîte de dialogue Propriétés du nouveau modèle des services de certificats Active Directory

n Onglet Général. Entrez le nom complet du modèle et le nom du modèle. Par exemple iOSKerberos. Ils'agit du nom complet indiqué dans les composants logiciels enfichables Modèles de certificat,Certificats et Autorité de certification.

n Onglet Nom du sujet. Activez le bouton radio Fournir dans la demande. Le nom du sujet est fourni parAirWatch lorsqu'il demande le certificat.

n Onglet Extensions. Définissez les stratégies d'application.

n Sélectionnez Stratégies d'application et cliquez sur Modifier pour ajouter une nouvelle stratégied'application. Nommez cette stratégie Authentification client Kerberos.

n Ajoutez l'identificateur d'objet (OID) comme suit : 1.3.6.1.5.2.3.4. Ne le modifiez pas.

n Dans la liste Description des stratégies d'application, supprimez toutes les stratégies répertoriées,sauf les stratégies Authentification client Kerberos et Authentification par carte à puce.

n Onglet Sécurité. Ajoutez le compte AirWatch à la liste d'utilisateurs pouvant utiliser le certificat.Définissez les autorisations du compte. Définissez Contrôle total pour autoriser le principal de sécuritéà modifier tous les attributs d'un modèle de certificat, notamment les autorisations du modèle decertificat. Autrement, définissez les autorisations en fonction des exigences de votre entreprise.


VMware, Inc. 137

Enregistrez les modifications. Ajoutez le modèle à la liste des modèles utilisés par l'autorité de certificationActive Directory.

Dans AirWatch, configurez l'autorité de certification et ajoutez le modèle de certificat.

Ajouter un modèle de certificat dans AirWatchVous ajoutez le modèle de certificat qui associe l'autorité de certification utilisée pour générer le certificat del'utilisateur.

Prérequis

Configurez l'autorité de certification dans AirWatch.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > Autoritésde certification.

2 Sélectionnez l'onglet Modèle de demande et cliquez sur Ajouter.

3 Configurez ce qui suit sur la page du modèle de certificat.

Option Description

Nom Entrez le nom du nouveau modèle de demande dans AirWatch.

Autorité de certification Dans le menu déroulant, sélectionnez l'autorité de certification qui a étécréée.

Modèle d'émission Entrez le nom du modèle de certificat d'autorité de certification Microsoftexactement comme vous l'avez créé dans AD CS. Par exemple,iOSKerberos.

Nom du sujet Après CN=, entrez {EnrollmentUser}, où la zone de texte {} est la valeurde recherche d'AirWatch. Le texte entré ici est le sujet du certificat, qui peutêtre utilisé pour déterminer qui a reçu le certificat.

Longueur de clé privée Cette longueur de clé privée correspond au paramètre sur le modèle decertificat utilisé par AD CS. En général, elle est de 2 048.

Type de clé privée Cochez la case Signature et chiffrement.

Type d'autre nom du sujet Pour l'autre nom du sujet, sélectionnez Nom principal de l'utilisateur. Lavaleur doit être {EnrollmentUser}. Si la vérification de la conformité dupériphérique est configurée avec l'authentification Kerberos, vous devezdéfinir un deuxième type d'autre nom du sujet pour inclure l'UDID.Sélectionnez le type d'autre nom du sujet DNS. La valeur doit êtreUDID={DeviceUid}.

Renouvellement automatique descertificats

Cochez la case pour que les certificats utilisant ce modèle soient renouvelésautomatiquement avant leur date d'expiration.

Période de renouvellementautomatique (jours)

Spécifiez le renouvellement automatique en jours.

Activer la révocation de certificat Cochez la case pour que les certificats soient automatiquement révoquéslorsque des périphériques applicables sont désinscrits ou supprimés, ou sile profil applicable est supprimé.

Publier la clé privée Cochez cette case pour publier la clé privée.

Destination de la clé privée Service de répertoire ou Service Web personnalisé


138 VMware, Inc.


Suivant

Dans la console d'administration du fournisseur d'identité, configurez le fournisseur d'identité intégré avecla méthode d'authentification Mobile SSO pour iOS.

Configurer le profil Apple iOS dans AirWatch à l'aide du modèle d'autorité decertification et du modèle de certificat Active DirectoryCréez et déployez le profil de périphérique Apple iOS dans AirWatch afin de transférer les paramètres dufournisseur d'identité au périphérique. Ce profil contient les informations nécessaires pour que lepériphérique se connecte au fournisseur d'identité VMware et le certificat que le périphérique a utilisé pours'authentifier. Activez l'authentification unique pour autoriser l'accès transparent sans que l'authentificationsoit requise dans chaque application.

Prérequis

n Mobile SSO pour iOS est configuré dans VMware Identity Manager.

n Fichier d'autorité de certification Kerberos iOS enregistré sur un ordinateur accessible depuis la consoled'administration d'AirWatch.

n L'autorité de certification et le modèle de certificat sont correctement configurés dans AirWatch.

n Liste d'URL et d'ID de bundle d'application qui utilisent l'authentification Mobile SSO pour iOS sur despériphériques iOS.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils et ressources > Profils.

2 Sélectionnez Ajouter > Ajouter un profil et sélectionnez Apple iOS.

3 Entrez le nom iOSKerberos et configurez les paramètres Général.


VMware, Inc. 139

4 Dans le volet de navigation de gauche, sélectionnez Informations d'identification > Configurer pourconfigurer les informations d'identification.

Option Description

Source des informationsd'identification

Sélectionnez Autorité de certification définie dans le menu déroulant.

Autorité de certification Sélectionnez l'autorité de certification dans la liste du menu déroulant.

Modèle de certificat Sélectionnez le modèle de demande qui fait référence à l'autorité decertification dans le menu déroulant. Il s'agit du modèle de certificat créédans Ajout du modèle de certificat dans AirWatch.

5 Cliquez de nouveau sur + dans l'angle inférieur droit de la page et créez un second lot d'informations

d'identification.

6 Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger.

7 Entrez un nom d'informations d'identification.

8 Cliquez sur Télécharger pour télécharger le certificat racine du serveur KDC qui est téléchargé depuisla page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité > Fournisseur d'identité intégré.

9 Dans le volet de navigation de gauche, sélectionnez Authentification unique et cliquez sur Configurer.

10 Entrez les informations de connexion.

Option Description

Nom de compte Entrez Kerberos.

Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}.

Domaine Entrez le nom de domaine que vous avez utilisé lorsque vous avezinitialisé KDC dans le dispositif VMware Identity Manager. Par exemple :EXAMPLE.COM

Renouvellement de certificat Sélectionnez Certificate#1 dans le menu déroulant. Il s'agit du certificatd'autorité de certification Active Directory qui a été configuré en premieravec des informations d'identification.

Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce comptepour l'authentification Kerberos sur HTTP.Entrez l'URL du serveur VMware Identity Manager sous la formehttps://myco.example.com.

Applications Entrez la liste des identités d'application qui sont autorisées à utiliser cetteconnexion. Pour exécuter l'authentification unique à l'aide du navigateurSafari intégré d'iOS, entrez le premier ID de bundle d'application sous laforme com.apple.mobilesafari. Entrez les ID de bundle d'applicationsuivants. Les applications répertoriées doivent prendre en chargel'authentification SAML.

11 Cliquez sur Enregistrer et publier.

Lorsque le profil iOS est correctement transféré aux périphériques des utilisateurs, ces derniers peuvent seconnecter à VMware Identity Manager à l'aide de la méthode d'authentification Mobile SSO pour iOS sansentrer leurs informations d'identification.

Suivant

Créez un autre profil pour configurer d'autres fonctionnalités de votre choix, par exemple des clips Web afinde créer des icônes pour des applications Web que vous transférez depuis AirWatch vers les pages d'accueildu périphérique iOS ou le catalogue d'applications.


140 VMware, Inc.

Utilisation de l'autorité de certification AirWatch pour l'authentificationKerberos

Vous pouvez utiliser l'autorité de certification AirWatch au lieu de l'autorité de certification Active Directorypour configurer l'authentification unique avec l'authentification Kerberos intégré sur des périphériquesmobiles iOS 9 gérés par AirWatch. Vous pouvez activer l'autorité de certification AirWatch dans la consoled'administration d'AirWatch et exporter le certificat de l'émetteur de l'autorité de certification afin del'utiliser dans le service VMware Identity Manager.

L'autorité de certification AirWatch est conçue pour suivre le protocole d'inscription du certificat simple(SCEP) et est utilisée avec des périphériques gérés par AirWatch qui prennent en charge SCEP. L'intégrationde VMware Identity Manager à AirWatch utilise l'autorité de certification AirWatch pour émettre descertificats sur des périphériques mobiles iOS 9 dans le cadre du profil.

Le certificat racine de l'émetteur de l'autorité de certification AirWatch est également le certificat designature OCSP.

Activer et exporter l'autorité de certification AirWatchLorsque VMware Identity Manager est activé dans AirWatch, vous pouvez générer le certificat racine del'émetteur AirWatch et exporter le certificat pour l'utiliser avec l'authentification Mobile SSO pour iOS surdes périphériques mobiles iOS 9.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > VMwareIdentity Manager.

2 Pour activer l'autorité de certification AirWatch, le type de groupe d'organisation doit être Client.

Conseil Pour afficher ou modifier le type de groupe, accédez à Groupes et paramètres, Groupes >Groupes organisationnels> Détails du groupe organisationnel.

3 Dans la section CERTIFICAT, cliquez sur Activer.

La page affiche les détails du certificat racine de l'émetteur.

4 Cliquez sur Exporter et enregistrez le fichier.

Suivant

Dans la console d'administration de VMware Identity Manager, configurez l'authentification Kerberos dansle fournisseur d'identité intégré et ajoutez le certificat de l'émetteur de l'autorité de certification.

Configurer le profil Apple iOS dans AirWatch à l'aide de l'autorité decertification AirWatch

Créez et déployez le profil de périphérique Apple iOS dans AirWatch afin de transférer les paramètres dufournisseur d'identité au périphérique. Ce profil contient les informations nécessaires pour que lepériphérique se connecte au fournisseur d'identité VMware et le certificat que le périphérique utilise pours'authentifier.

Prérequis

n Kerberos intégré configuré dans Identity Manager.

n Fichier de certificat racine du serveur KDC VMware Identity Manager enregistré sur un ordinateuraccessible depuis la console d'administration d'AirWatch.

n Certificat activé et téléchargé depuis la console d'administration d'AirWatch, page Système >Intégration d'entreprise > VMware Identity Manager.


VMware, Inc. 141

n Liste d'URL et d'ID de bundle d'application qui utilisent l'authentification Kerberos intégré sur despériphériques iOS.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils et ressources > Profil >Ajouter un profil et sélectionnez Apple iOS.

2 Configurez les paramètres Général du profil et entrez le nom du périphérique iOSKerberos.

3 Dans le volet de navigation de gauche, sélectionnez SCEP > Configurer pour configurer lesinformations d'identification.

Option Description

Source des informationsd'identification

Sélectionnez Autorité de certification AirWatch dans le menu déroulant.

Autorité de certification Sélectionnez Autorité de certification AirWatch dans le menu déroulant.

Modèle de certificat Sélectionnez Authentification unique pour définir le type de certificatémis par l'autorité de certification AirWatch.

4 Cliquez sur Informations d'identification > Configurer et créez d'autres informations d'identification.

5 Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger.

6 Entrez le nom des informations d'identification Kerberos iOS.

7 Cliquez sur Télécharger pour télécharger le certificat racine du serveur KDC VMware Identity Managerqui est téléchargé depuis la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité >Fournisseur d'identité intégré.

8 Dans le volet de navigation de gauche, sélectionnez Authentification unique.

9 Entrez les informations de connexion.

Option Description

Nom de compte Entrez Kerberos.

Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}.

Domaine Entrez le nom de domaine que vous avez utilisé lorsque vous avezinitialisé KDC dans le dispositif VMware Identity Manager. Par exemple,EXAMPLE.COM.

Renouvellement de certificat Sur les périphériques iOS 8 et versions ultérieures, sélectionnez le certificatutilisé pour réauthentifier l'utilisateur automatiquement sans interactionde sa part lorsque sa session d'authentification unique expire.

Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce comptepour l'authentification Kerberos sur HTTP.Entrez l'URL du serveur VMware Identity Manager sous la formehttps://myco.example.com.

Applications Entrez la liste des identités d'application qui sont autorisées à utiliser cetteconnexion. Pour exécuter l'authentification unique à l'aide du navigateurSafari intégré d'iOS, entrez le premier ID de bundle d'application sous laforme com.apple.mobilesafari. Entrez les ID de bundle d'applicationsuivants. Les applications répertoriées doivent prendre en chargel'authentification SAML.


Lorsque le profil iOS est correctement transféré aux périphériques des utilisateurs, ces derniers peuvent seconnecter à VMware Identity Manager à l'aide de la méthode d'authentification Kerberos intégré sans entrerleurs informations d'identification.


142 VMware, Inc.

Suivant

Créez un autre profil pour configurer d'autres fonctionnalités de votre choix pour iOS Kerberos, parexemple des clips Web afin de créer des icônes pour des applications Web que vous transférez depuisAirWatch vers les pages d'accueil du périphérique iOS ou le catalogue d'applications.

Implémentation de l'authentification Mobile SSO pour périphériquesAndroid

Mobile SSO pour Android est une implémentation de la méthode d'authentification de certificat pour lespériphériques Android gérés par AirWatch.

L'application mobile AirWatch Tunnel est installée sur le périphérique Android. Le client AirWatch Tunnelest configuré pour accéder au service VMware Identity Manager à des fins d'authentification. Le clienttunnel utilise le certificat client pour établir une session SSL authentifiée mutuelle et le serviceVMware Identity Manager récupère le certificat client à des fins d'authentification.

Remarque L'authentification Mobile SSO pour Android est prise en charge pour les périphériquesAndroid 4.4 et versions ultérieures.

Authentification Mobile SSO sans accès VPNL'authentification Mobile SSO pour périphériques Android peut être configurée pour contourner le serveurTunnel lorsque l'accès VPN n'est pas requis. L'implémentation de l'authentification Mobile SSO pourAndroid sans VPN utilise les mêmes pages de configuration que lors de la configuration d'AirWatch Tunnel,mais comme vous n'installez pas le serveur Tunnel, vous n'entrez pas le nom d'hôte et le port du serveurAirWatch Tunnel. Vous configurez toujours un profil à l'aide du formulaire de profil AirWatch Tunnel, maisle trafic n'est pas dirigé vers le serveur Tunnel. Le client Tunnel est utilisé uniquement pourl'authentification unique.

Dans la console d'administration d'AirWatch, vous configurez les paramètres suivants.

n Composant Tunnel par application dans AirWatch Tunnel. Cette configuration permet auxpériphériques Android d'accéder à des applications internes et publiques gérées via le clientd'application mobile AirWatch Tunnel.

n Profil Tunnel par application. Ce profil est utilisé pour activer les capacités de tunneling par applicationpour Android.

n Sur la page Règles de trafic réseau, comme le serveur Tunnel n'est pas configuré, vous sélectionnezContournement pour qu'aucun trafic ne soit dirigé vers un serveur Tunnel.

Authentification Mobile SSO avec accès VPNLorsque l'application configurée pour l'authentification unique est également utilisée pour accéder à desressources intranet derrière le pare-feu, configurez l'accès VPN et le serveur Tunnel. Lorsquel'authentification unique est configurée avec VPN, le client Tunnel peut en option diriger le trafic del'application et les demandes de connexion via le serveur Tunnel. Au lieu de la configuration par défaututilisée pour le client Tunnel dans la console en mode authentification unique, la configuration doit pointervers le serveur Tunnel.

L'implémentation de l'authentification Mobile SSO pour Android pour les périphériques Android gérés parAirWatch requiert la configuration d'AirWatch Tunnel dans la console d'administration d'AirWatch etl'installation du serveur AirWatch Tunnel pour que vous puissiez configurer Mobile SSO pour Android dansla console d'administration de VMware Identity Manager. Le service AirWatch Tunnel fournit l'accès VPNpar application aux applications gérées par AirWatch. AirWatch Tunnel permet également de diriger le traficproxy d'une application mobile vers VMware Identity Manager pour l'authentification unique.


VMware, Inc. 143

Dans la console d'administration d'AirWatch, vous configurez les paramètres suivants.

n Composant Tunnel par application dans AirWatch Tunnel. Cette configuration permet auxpériphériques Android d'accéder à des applications internes et publiques gérées via le clientd'application mobile AirWatch Tunnel.

Une fois les paramètres d'AirWatch Tunnel configurés dans la console d'administration, voustéléchargez le programme d'installation d'AirWatch Tunnel et exécutez l'installation du serveurAirWatch Tunnel.

n Profil VPN Android. Ce profil est utilisé pour activer les capacités de tunneling par application pourAndroid.

n Activez le VPN pour chaque application qui utilise la fonctionnalité Tunnel par application à partir dela console d'administration.

n Créez des règles de trafic de périphérique avec une liste de toutes les applications qui sont configuréespour VPN par application, les détails du serveur proxy et l'URL de VMware Identity Manager.

Pour voir des informations détaillées sur l'installation et la configuration d'AirWatch Tunnel, consultez leguide VMware AirWatch Tunnel sur le site Web AirWatch Resources.

Configurer l'authentification unique pour un périphérique Android dans laconsole d'administration d'AirWatch

Configurez l'authentification unique pour des périphériques Android afin de permettre aux utilisateurs dese connecter en toute sécurité à des applications d'entreprise, sans entrer leur mot de passe.

Pour configurer l'authentification unique pour des périphériques Android, vous n'avez pas besoin deconfigurer AirWatch Tunnel, mais vous configurez l'authentification unique avec la plupart des mêmeschamps.

Prérequis

n Android 4.4 ou version ultérieure

n Les applications doivent prendre en charge SAML ou une autre norme de fédération prise en charge

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatchTunnel.

2 La première fois que vous configurez AirWatch Tunnel, sélectionnez Configurer et suivez l'assistant deconfiguration. Sinon, sélectionnez Remplacer et cochez la case Activer AirWatch Tunnel. Ensuite,cliquez sur Configurer.

3 Sur la page Type de configuration, activez Tunnel par application (Linux uniquement). Cliquez surSuivant.

Conservez Basique comme modèle de déploiement.

4 Sur la page Détails, entrez une valeur factice dans la zone de texte, car ce champ n'est pas requis pour laconfiguration de l'authentification unique. Cliquez sur Suivant.

5 Sur la page SSL, configurez le certificat SSL de tunneling par application. Pour utiliser un SSL public,cochez la case Utiliser le certificat SSL public. Cliquez sur Suivant.

Le certificat racine de périphérique tunnel est généré automatiquement.

Remarque Les certificats SAN ne sont pas pris en charge. Vérifiez que votre certificat est émis pour lenom d'hôte de serveur correspondant ou qu'il s'agit d'un certificat avec caractères génériques validepour le domaine correspondant.


144 VMware, Inc.

6 Sur la page Authentification, sélectionnez le type d'authentification de certificat à utiliser. Cliquez surSuivant.

Option Description

Valeur par défaut Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch.

Autorité de certification d'entreprise Un menu déroulant répertoriant l'autorité de certification et le modèle decertificat que vous avez configurés dans AirWatch s'affiche. Vous pouvezégalement télécharger le certificat racine de votre autorité de certification.

Si vous sélectionnez Autorité de certification d'entreprise, vérifiez que le modèle d'autorité decertification contient le nom du sujet CN=UDID. Vous pouvez télécharger les certificats d'autorité decertification sur la page de configuration d'AirWatch Tunnel.


8 Sur la page Association de profil, associez un profil existant ou créez un profil VPN AirWatch Tunnelpour Android.

Si vous créez le profil à cette étape, vous devez toujours le publier. Consultez Configurer un profilAndroid dans AirWatch.

9 Examinez le résumé de votre configuration et cliquez sur Enregistrer.

Vous êtes dirigé vers la page de configuration des paramètres système.

Configurer des paramètres d'accès VPN d'AirWatch Tunnel dans la consoled'administration d'AirWatch

Vous activez le composant Tunnel par application dans les paramètres d'AirWatch Tunnel afin de configurerla fonctionnalité de tunnelling par application pour les périphériques Android. Le tunneling par applicationpermet à vos applications internes et publiques gérées d'accéder à vos ressources d'entreprise applicationpar application.

Le VPN peut se connecter automatiquement lorsqu'une application spécifiée est lancée. Pour voir desinstructions détaillées sur la configuration d'AirWatch Tunnel, consultez le guide VMware AirWatch Tunnelsur le site Web AirWatch Resources.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatchTunnel.

2 La première fois que vous configurez AirWatch Tunnel, sélectionnez Configurer et suivez l'assistant deconfiguration. Sinon, sélectionnez Remplacer et cochez la case Activer AirWatch Tunnel. Ensuite,cliquez sur Configurer.

3 Sur la page Type de configuration, activez Tunnel par application (Linux uniquement). Cliquez surSuivant.

Conservez Basique comme modèle de déploiement.

4 Sur la page Détails, pour la configuration de tunneling par application, entrez le nom d'hôte et le portdu serveur AirWatch Tunnel. Par exemple, entrez tunnel.example.com. Cliquez sur Suivant.

5 Sur la page SSL, configurez le certificat SSL de tunneling par application. Pour utiliser un SSL public,cochez la case Utiliser le certificat SSL public. Cliquez sur Suivant.

Le certificat racine de périphérique tunnel est généré automatiquement.

Remarque Les certificats SAN ne sont pas pris en charge. Vérifiez que votre certificat est émis pour lenom d'hôte de serveur correspondant ou qu'il s'agit d'un certificat avec caractères génériques validepour le domaine correspondant.


VMware, Inc. 145

6 Sur la page Authentification, sélectionnez le type d'authentification de certificat à utiliser. Cliquez surSuivant.

Option Description

Valeur par défaut Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch.

Autorité de certification d'entreprise Un menu déroulant répertoriant l'autorité de certification et le modèle decertificat que vous avez configurés dans AirWatch s'affiche. Vous pouvezégalement télécharger le certificat racine de votre autorité de certification.

Si vous sélectionnez Autorité de certification d'entreprise, vérifiez que le modèle d'autorité decertification contient le nom du sujet CN=UDID. Vous pouvez télécharger les certificats d'autorité decertification sur la page de configuration d'AirWatch Tunnel.

Si la vérification de la conformité du périphérique est configurée pour Android, vérifiez que le modèled'autorité de certification contient le nom du sujet CN=UDID ou définissez un type d'autre nom dusujet pour inclure l'UDID. Sélectionnez le type d'autre nom du sujet DNS. La valeur doit êtreUDID={DeviceUid}.


8 Sur la page Association de profil, associez un profil existant ou créez un profil VPN AirWatch Tunnelpour Android.

Si vous créez le profil à cette étape, vous devez toujours le publier. Consultez Configurer un profilAndroid dans AirWatch.

9 (Facultatif) Sur la page Divers, activez les journaux d'accès pour les composants Tunnel par application.Cliquez sur Suivant.

Vous devez activer ces journaux avant d'installer le serveur AirWatch Tunnel.

10 Examinez le résumé de votre configuration et cliquez sur Enregistrer.

Vous êtes dirigé vers la page de configuration des paramètres système.

11 Sélectionnez l'onglet Général et téléchargez le dispositif virtuel Tunnel.

Vous pouvez utiliser VMware Access Point pour déployer le serveur Tunnel.

Suivant

Installez le serveur AirWatch Tunnel. Pour voir des instructions, consultez le guide VMware AirWatchTunnel sur le site Web AirWatch Resources.

Configurer le profil Tunnel par application pour AndroidUne fois que vous avez configuré et installé le composant Tunnel par application d'AirWatch Tunnel, vouspouvez configurer le profil VPN Android et ajouter une version au profil.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils > Ajouter un profil etsélectionnez Android ou Android for Work.

2 Configurez les Paramètres généraux pour Android, si ce n'est pas déjà fait.

3 Dans la colonne de gauche, sélectionnez VPN et cliquez sur Configurer.


146 VMware, Inc.

4 Renseignez les informations sur la connexion VPN.

Option Description

Type de connexion Sélectionnez AirWatch Tunnel.

Nom de la connexion Entrer un nom pour cette connexion. Par exemple,Configuration AndroidSSO.

Serveur L'URL du serveur AirWatch Tunnel est entrée automatiquement.

Règles VPN par application Cochez la case Règles VPN par application.

5 Cliquez sur Ajouter une version.


Suivant

Activez le VPN par application pour les applications Android auxquelles vous pouvez accéder à l'aide deMobile SSO pour Android. Voir « Activer VPN par application pour les applications Android », page 147.

Activer VPN par application pour les applications AndroidLe paramètre Profil VPN par application est activé pour les applications Android auxquelles vous accédezavec Mobile SSO pour Android de VMware Identity Manager.

Prérequis

n AirWatch Tunnel configuré avec le composant Tunnel par application installé.

n Profil VPN Android créé.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Applications et livres > Applications > ModeListe.

2 Sélectionnez l'onglet Interne.

3 Sélectionnez Ajouter une application et ajoutez une application.

4 Cliquez sur Enregistrer et attribuer.

5 Sur la page Attribution, sélectionnez Ajouter une attribution et, dans la section Avancé du menudéroulant Profil VPN par application, sélectionnez le profil VPN Android que vous avez créé.


Activez le VPN par application pour les applications Android auxquelles vous accédez à l'aide deMobile SSO pour Android. Pour plus d'informations sur l'ajout ou la modifications d'applications,consultez le guide de gestion des applications mobiles VMware AirWatch, sur le site Web desressources d'AirWatch.

Suivant

Créez les règles de trafic réseau. Voir « Configurer des règles de trafic réseau dans AirWatch », page 148.


VMware, Inc. 147

Configurer des règles de trafic réseau dans AirWatchConfigurez les règles de trafic réseau pour que le client AirWatch Tunnel dirige le trafic vers le proxy HTTPSpour les périphériques Android. Vous répertoriez les applications Android qui sont configurées avecl'option VPN par application sur les règles de trafic, et vous configurez l'adresse du serveur proxy et le nomd'hôte destination.

Pour voir des informations détaillées sur la création de règles de trafic réseau, consultez le guide VMwareAirWatch Tunnel sur le site Web des ressources d'AirWatch.

Prérequis

n Option AirWatch Tunnel configurée avec le composant Tunnel par application installé.

n Profil VPN Android créé.

n VPN par application activé pour chaque application Android ajoutée aux règles de trafic réseau.

Procédure

1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatchTunnel > Règles de trafic réseau.

2 Configurez les paramètres de règles de trafic réseau comme décrit dans le guide d'AirWatch Tunnel.Point spécifique pour la configuration de Mobile SSO pour Android, sur la page Règles de trafic réseau,configurez les paramètres suivants.

a Dans la colonne Application, ajoutez les applications Android qui sont configurées avec le profilVPN par application.

b Dans la colonne Action, sélectionnez Proxy et spécifiez les informations du proxy HTTPS. Entrez leport et le nom d'hôte de VMware Identity Manager. Par exemple login.example.com:5262.

Remarque Si vous fournissez un accès externe à l'hôte VMware Identity Manager, le port de pare-feu 5262 doit être ouvert ou le trafic du port 5262 doit être traité par proxy via un proxy inversedans la zone DMZ.

c Dans la colonne Nom d'hôte de destination, entrez le nom d'hôte VMware Identity Manager dedestination. Par exemple myco.example.com. Le client AirWatch Tunnel dirige le trafic vers le proxyHTTPS à partir du nom d'hôte VMware Identity Manager.



148 VMware, Inc.

Suivant

Publiez ces règles. Une fois les règles publiées, le périphérique reçoit un profil VPN de mise à jour etl'application AirWatch Tunnel est configurée pour activer SSO.

Accédez à la console d'administration de VMware Identity Manager et configurez Mobile SSO pourAndroid sur la page du fournisseur d'identité intégré. Voir GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD#GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD.

Activer la vérification de la conformité pour les périphériques géréspar AirWatch

Lorsque les utilisateurs inscrivent leurs périphériques via l'application AirWatch Agent, des exemplescontenant des données utilisées pour évaluer la conformité sont envoyés selon un calendrier établi.L'évaluation de ces exemples de données garantit que le périphérique répond aux règles de conformitédéfinies par l'administrateur dans la console AirWatch. Si le périphérique n'est plus conforme, les mesurescorrespondantes configurées dans la console AirWatch sont prises.

VMware Identity Manager inclut une option de stratégie d'accès pouvant être configurée pour vérifier sur leserveur AirWatch l'état de conformité du périphérique lorsque des utilisateurs se connectent à partir dupériphérique. La vérification de la conformité garantit que les utilisateurs ne peuvent pas se connecter à uneapplication ou utiliser l'authentification unique sur le portail de VMware Identity Manager si lepériphérique devient non conforme. Une fois le périphérique de nouveau conforme, il est possible de seconnecter.

L'application Workspace ONE se déconnecte automatiquement et bloque l'accès aux applications si lepériphérique est compromis. Si le périphérique a été inscrit via la gestion adaptative, une commande denettoyage d'entreprise émise via la console d'AirWatch désinscrit le périphérique et supprime lesapplications gérées à partir du périphérique. Les applications non gérées ne sont pas supprimées.

Pour plus d'informations sur les stratégies de conformité d'AirWatch, consultez le guide de gestion despériphériques mobiles VMware AirWatch, disponible sur le site Web des ressources d'AirWatch.

Configurer une règle de stratégie d'accès pour la vérification de la conformitéConfigurez une règle de stratégie d'accès qui requiert la vérification de la conformité pour permettre àVMware Identity Manager de vérifier que les périphériques gérés par AirWatch respectent les stratégies deconformité de périphérique d'AirWatch. Vous activez la vérification de la conformité dans le fournisseurd'identité intégré. Lorsque la vérification de la conformité est activée, vous créez une règle de stratégied'accès qui requiert l'authentification et la vérification de la conformité des périphériques gérés parAirWatch.

La règle de stratégie de vérification de la conformité fonctionne dans une chaîne d'authentification avecMobile SSO pour iOS, Mobile SSO pour Android et le déploiement de Cloud de certificat. La méthoded'authentification à utiliser doit précéder l'option de conformité des périphériques dans la configuration dela règle de stratégie.

Prérequis

Les méthodes d'authentification configurées dans le fournisseur d'identité intégré.

Procédure

1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration >AirWatch.

2 Dans la section Vérification de la conformité de la page AirWatch, sélectionnez Activer.



VMware, Inc. 149

4 Dans l'onglet Gestion des identités et des accès, accédez à Gérer > Stratégies.

5 Sélectionnez la stratégie d'accès à modifier.

6 Dans la section Règles de stratégie, sélectionnez la règle à modifier.

7 Dans le menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, cliquez sur +et sélectionnez la méthode d'authentification à utiliser.

8 Dans le second menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante,sélectionnez Conformité des périphériques (avec AirWatch).

9 (Facultatif) Dans la zone de texte Texte du message de la section Message d'erreur personnalisé, créezun message personnalisé qui s'affiche lorsque l'authentification d'un utilisateur échoue parce que lepériphérique n'est pas conforme. Dans la zone de texte Lien d'erreur personnalisé, vous pouvez ajouterun lien au message.



150 VMware, Inc.

Index

Aaccéder aux événements 122Accès à distance à l'application, client 114Active Directory

authentification Windows intégrée 15déploiement 81intégration 17mappage d'attributs 24

Active Directory à forêt unique 17Active Directory via LDAP 15, 26activer l'approbation de licence 117activer l'autorité de certification AirWatch 141activer la vérification de conformité 149activer le catalogue unifié 131activer le cookie persistant 94admin,authentification 49Affichage, activer 110affichage des informations de l'utilisateur 97affiliations de groupe, utilisateur 97AirWatch

activer le catalogue unifié 132certificat 129compte d'administrateur 129configurer le profil iOS 139, 141vérification de conformité des

périphériques 149AirWatch Tunnel, configurer 145AirWatch, configuration dans VMware Identity

Manager 131AirWatch, configurer 127AirWatch, intégration à Identity Manager 127AirWatch, règles de trafic réseau 148ajouter Active Directory 26ajouter des groupes 98ajouter des utilisateurs locaux 102Ajouter un bouton de fournisseur d'identité 81ajouter un utilisateur local 102ajouter une application Web 109alertes ThinApp 117Android, authentification unique 144Android, VPN par application 147annuaire

ajout 26ajouter 15

protections de synchronisation 33sécurité des synchronisations 33

annuaire AirWatch, attributs utilisateur 133annuaire, AirWatch 134annuaires, ajouter 10annuaires LDAP

intégration 35, 36limites 35

aperçu, Paramètres de gestion des identités etdes accès 10

API REST 117application, catégories 113application auxiliaire 114applications

mobile 108Web 108

applications mobiles, type de ressource 108applications publiées Citrix, activer 111applications Web 108approbation de licence 117approbations 117assertions SAML, juste-à-temps 55attributs

mappage 24par défaut 24

attributs utilisateur, configuration 10attributs utilisateur pour répertoires locaux 43attributs utilisateur, annuaire AirWatch 133authentification

RADIUS 67VPN par application pour les applications

Android 147authentification à deux facteurs 76authentification AirWatch Cloud Connector 133authentification Android, règles de trafic

réseau 148authentification hors bande 70authentification Kerberos iOS 61authentification par carte à puce 72, 73authentification par mot de passe AirWatch

Cloud 79authentification RADIUS 67authentification Windows intégrée 26authentification, AirWatch Cloud Connector 133authentification, Mobile SSO pour Android 143authentification, mot de passe AirWatch 79

VMware, Inc. 151

authentification, profil Android 146autorité de certification Active Directory 137autorité de certification AirWatch, OCSP 141autorité de certification AirWatch, activer 141autorité de certification de carte à puce 73autorité de certification pour AirWatch,

authentification Kerberos 136autorité de certification, carte à puce 73autre annuaire 134AWCA 141

Ccarte à puce, configurer 74catalogue

ajouter une application Web 109gestion 107

catalogue global Active Directory 17catalogue unifié, activer pour AirWatch 132catalogue, applications publiées Citrix 111catalogue, modules ThinApp 111catalogue, View 110catégories

application 112création 112retrait 112, 113suppression 113

centre de distribution de clés 61chaînage d'authentification 87Chrome 64clé API 127, 128clé API AirWatch 128clé API REST 128configuration RADIUS 68Configurer AirWatch 127configurer l'intégration d'AirWatch 131configurer le profil de périphérique iOS 139configurer RSA Adaptive Authentication 71connecteur 15Connecteur 59connecteurs, code d'activation 10Connector 81, 83console d'administration 9contrôle de la révocation, carte à puce 74cookie persistant, activer 94cookie, persistant 94

Ddéconnexion unique, fournisseur d'identité 81dépannage du fichier domain_krb.properties 23désactivation

téléchargement d'Horizon Client 114téléchargement de Citrix Receiver 114

désactiver des utilisateurs locaux 103désactiver un compte 24descriptions de l'onglet d'administration 9domaine 25domaine système 41domaines multiples 17droits, utilisateur 97durée de session de réauthentification,

configurer 85

Eenregistrer des utilisateurs dans VMware

Verify 77ensemble de stratégies d'accès, par défaut 92ensembles de stratégies d'accès

création 92par défaut 84, 87, 93portail 87, 92spécifiques à une application Web 90, 92, 93

état du dispositif 120exporter l'autorité de certification AirWatch 141externe, surveiller 120

Ffichier domain_krb.properties 19, 21, 22fichier runtime-config.properties 21Firefox 64fournisseur d'identité système 41fournisseur d'identité

Connecteur 59Connector 83déconnexion unique 81Espace de travail 80intégré 78tiers 59, 83, 113

fournisseur d'identité intégré, activer 78fournisseur d'identité intégré, configurer 78, 79fournisseur d'identité tiers 81fournisseurs d'identité

relation à des stratégies d'accès 87tiers 81

Ggroup

ajouter des utilisateurs 98attribuer des ressources 98, 101

groupesActive Directory 95ajouter 98Espace de travail 98rapport d'appartenance 121

groupes du serveur de dossiers 95


152 VMware, Inc.

Hhistorique des mots de passe, paramètre 104

IIDP Workspace 80images de l'espace de travail 108informations de marque, VMware Verify 126informations de marque personnalisées,

configuration 10informations système 120instances de fournisseurs d'identité, sélection 83intégration à Active Directory 17intégration d'AirWatch 127intégration d'annuaire 15Internet Explorer 62

Jjoindre le domaine, kerberos 61

KKerberos

Authentification Windows 61configurer 61configurer AirWatch 137intégré 135navigateurs à configurer 62vérification de conformité 149

Kerberos, implémentation avec IWA 61

Llogo, ajouter 123longueur minimale du mot de passe 104

Mmagasin d'utilisateurs 81message d'accès refusé, configurer 85message d'erreur d'authentification 92message d'erreur personnalisé 92méthode d'authentification 81méthodes d'authentification

ajout à une stratégie 85relation à des stratégies d'accès 87, 92, 93RSA Adaptive Authentication 70

mettre à niveau AirWatch Cloud Connector 135mise à niveau d'AirWatch, mettre à jour le

service 135Mobile SSO pour Android, mise en œuvre 143Mobile SSO pour iOS 135modèle de certificat pour AirWatch,

Kerberos 138modifier un mot de passe Active Directory 31modifier un mot de passe AD 31Modules ThinApp, activer 111

mot de passe 104mot de passe (répertoire local), admin 49mots de passe, expiré 31mots de passe Active Directory expirés 31

Nnavigateurs, pris en charge 9navigateurs pour kerberos 62navigation dans la console d'administration 9noms d'attribut personnalisés, ne pas utiliser 24noms d'utilisateur 96, 97noms de groupe 96, 97notification des rappels de mot de passe 104notification monotouche 76

Oordre des méthodes d'authentification 85

Ppage Attributs utilisateur 24page de connexion, personnaliser 123page Portail, personnaliser 125paramètres, catalogue 113paramètres de gestion des identités et des

accès 10paramètres de répertoire local 47paramètres de sécurité, ignorer 34paramètres de synchronisation 24paramètres du catalogue, applications publiées

Citrix 116paramètres globaux, désactiver l'application

auxiliaire 114personnaliser la page Portail 125personnaliser les informations de marque 123plage d'adresses IP 83plage réseau 81, 83plages réseau, relation à des stratégies

d'accès 87, 92, 93popularité des ressources 119portail de l'utilisateur, personnaliser 123préférences, cookie persistant 94profil Apple iOS dans AirWatch 141profil Tunnel par application pour Android 146profil utilisateur 97propriété siteaware.subnet 21propriétés ICA 116protection 10protections, synchronisation d'annuaire 33provisionnement d'utilisateurs juste-à-temps

aperçu 51assertions SAML 55attributs utilisateur 53configuration 54

Index

VMware, Inc. 153

désactivation 56groupes locaux 52messages d'erreurs 57préparation 52suppression du répertoire 56

public concerné 7

Qquestions de sécurité 70

Rrapport

activité des ressources 121rôles 121utilisation des périphériques 121

Rapport Appartenance à un groupe 121rapport d'activité des ressources 121Rapport d'événement audité 122rapport d'utilisation des périphériques 121Rapport Droits des ressources 121rapport sur l'attribution des rôles 121Rapport Utilisateurs 121Rapport Utilisation des ressources 121rapports 121recherche de l'emplacement du service DNS 19,

21, 22recherche SRV 19, 21, 22règle de stratégie, vérification de conformité 149règles 93règles de stratégie, chaînage

d'authentification 87réinitialiser un mot de passe Active Directory 31réinitialiser VMware Verify 77répertoire juste-à-temps 51, 56répertoire LDAP 15répertoire local

ajouter un domaine 47associer à un fournisseur d'identité 46attributs utilisateur 47changer le nom 47créer 43, 44modifier 47modifier le nom de domaine 47supprimer 48supprimer un domaine 47

répertoire système 41répertoires locaux 41, 43, 46–48ressource, approbation de licence 117ressources

attribuer à des groupes 98autoriser 101

catégories 111, 112pourcentage de types utilisés 119

révocation du certificat des cartes à puce 74rôles, utilisateur 97RSA Adaptive Authentication, inscrire des

utilisateurs 70RSA Adaptive Authentication, configurer 71

SSAML

certificat 113fournisseurs d'identité tiers 81métadonnées 113

SecurID, configurer 66sécurité des synchronisations, ignorer 34sécurité, seuil 33sélection de fournisseur d'identité,

configuration 81serveur RADIUS 68serveur RSA SecurID 65SMS 76stratégie, modification 93stratégie des mots de passe 104stratégies d'accès

Niveau d'authentification 84relation à des fournisseurs d'identité 87, 92,

93réseau 87, 90Réseau 84score d'authentification minimal 87, 90spécifiques à une application Web 90, 92, 93TTL 84, 87, 90Type de client 84

supprimer un utilisateur local 103surveiller la santé de l'espace de travail 120synchroniser le domaine, utilisateur 97

Ttableau de bord 119tableau de bord Diagnostics du système 120TOTP 76travailleur 15tunnel, AirWatch 144

UUPN 73userName 96utilisateur, droits 97utilisateur final,Workspace ONE 9utilisateur local

ajouter 102désactivation 103supprimer 103


154 VMware, Inc.

utilisateursActive Directory 95attributs utilisateur 24

utilisateurs connectés, nombre 119utilisateurs invités 95utilisateurs locaux 41utilisateurs locaux, ajouter 102

Vvalidation technique 81vérification de conformité avec AirWatch 149vérification de conformité dans AirWatch 149version 120VMware Verify

jeton de sécurité 76réinitialiser 97

VMware Verify, activer 76VMware Verify, annuler l'enregistrement de 77VMware Verify, authentification à deux

facteurs 76VMware Verify, enregistrer des utilisateurs 77VMware Verify,informations de marque 126vue Mobile, personnaliser 125vue Tablette, personnaliser 125

Index

VMware, Inc. 155


156 VMware, Inc.