363n de VMware Identity Manager - VMware Identity … · recursos y de dispositivos, ... A continuación, se describen las opciones de configuración de la pestaña Administración

Administración deVMware Identity ManagerVMware Identity Manager 2.9.1

Administración de VMware Identity Manager

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2013 – 2017 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la sección de administración de VMware Identity Manager 6

1 Uso de la consola de administración de VMware Identity Manager 7

Navegar por la consola de administración 7

Introducción a la configuración de Administración de acceso e identidad 9

2 Integrar el directorio empresarial con VMware Identity Manager 13

Conceptos importantes relacionados con la integración de directorios 13

3 Integrar con Active Directory 16

Entornos de Active Directory 16

Acerca de la selección de controladores de dominio (archivo domain_krb.properties) 19

Administrar atributos de usuario que se sincronizan desde Active Directory 22

Permisos necesarios para unir un dominio 23

Configurar la conexión de Active Directory con el servicio 24

Permitir a los usuarios cambiar las contraseñas de Active Directory 30

Configurar los elementos de protección de la sincronización de directorio 31

4 Integrar los directorios LDAP 34

Limitaciones de la integración del directorio LDAP 34

Integrar un directorio LDAP en el servicio 35

5 Usar directorios locales 41

Crear un directorio local 43

Cambiar la configuración del directorio local 49

Eliminar un directorio local 50

Configurar el método de autenticación para los usuarios administradores del sistema 51

6 Aprovisionamiento de usuarios Just-in-Time 52

Acerca del aprovisionamiento de usuarios Just-in-Time 52

Preparar el aprovisionamiento Just-in-Time 53

Configurar el aprovisionamiento de usuarios Just-in-Time 55

Requisitos para las aserciones SAML 56

Deshabilitación del aprovisionamiento de usuarios Just-in-Time 57

Eliminar un directorio Just-in-Time 58

Mensajes de error 58

VMware, Inc. 3

7 Administrar la experiencia de inicio de sesión del usuario 60Experiencia de inicio de sesión con identificador único 60

Configurar el inicio de sesión basado en identificador único 61

Requerir las condiciones de uso para obtener acceso al catálogo de Workspace ONE 61

8 Configurar la autenticación de usuario de VMware Identity Manager 64

Configurar Kerberos para VMware Identity Manager 66

Configurar SecurID para VMware Identity Manager 71

Configurar RADIUS para VMware Identity Manager 74

Configurar la autenticación adaptativa de RSA en VMware Identity Manager 76

Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con

VMware Identity Manager 79

Configurar VMware para la autenticación en dos fases 83

Usar proveedores de identidades integrados 86

Configurar proveedores de identidades adicionales de Workspace 99

Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios 100

Administrar métodos de autenticación que se apliquen a los usuarios 102

9 Administrar directivas de acceso 106

Establecer la configuración de la directiva de acceso 106

Administrar las directivas específicas de aplicaciones de escritorio y web 108

Agregar una directiva específica de aplicaciones de escritorio y web 110

Configurar el mensaje de error personalizado de acceso denegado 111

Editar la directiva de acceso predeterminada 112

Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch 113

Habilitación de cookies persistentes en dispositivos móviles 115

10 Administrar usuarios y grupos 116

Tipos de usuarios y grupos 116

Acerca de los nombres de usuario y de grupo 117

Administrar usuarios 119

Crear grupos y configurar reglas de grupo 119

Editar reglas de grupo 122

Agregar recursos a grupos 122

Crear usuarios locales 123

Administrar contraseñas 126

11 Administración del catálogo 128

Administrar recursos del catálogo 129

Agrupar recursos en categorías 132

Administración de la configuración de catálogo 134


VMware, Inc. 4

12 Trabajar en el panel de información de la consola de administración 142Supervisar los usuarios y el uso de recursos desde el panel de información 142

Supervisar el estado y la información del sistema 143

Ver informes 144

13 Personalización de marca para los servicios de VMware Identity Manager 147

Personalizar marcas en el servicio de VMware Identity Manager 147

Personalizar marcas para el portal de usuario 148

Personalización de marca para la aplicación VMware Verify 150

14 Integrar AirWatch con VMware Identity Manager 151

Configurar AirWatch para la integración con VMware Identity Manager 152

Configurar una instancia de AirWatch en VMware Identity Manager 155

Habilitación del catálogo unificado de AirWatch 158

Implementación de la autenticación con AirWatch Cloud Connector 159

Implementar la autenticación Single Sign-On móvil para los dispositivos iOS administrados por

AirWatch 162

Implementar la autenticación Single-Sign-On móvil en dispositivos Android administrados por

AirWatch 171

Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch 178

Registro de dominios de correo electrónico para detección automática 180


VMware, Inc. 5

Acerca de la sección de administración deVMware Identity Manager

La sección de administración de VMware Identity Manager proporciona información e instrucciones parautilizar y mantener los servicios de VMware Identity Manager. VMware Identity Manager™ permiteconfigurar y administrar métodos de autenticación y directivas de acceso, personalizar un catálogo derecursos para las aplicaciones de la organización y proporcionar a los usuarios un acceso seguro,multidispositivo y administrado a esos recursos. Esos recursos incluyen aplicaciones web, aplicacionesbasadas en Citrix, y grupos de aplicaciones y escritorios de Horizon.

Público objetivoEsta información está dirigida a cualquier usuario que desee configurar y administrarVMware Identity Manager. Esta información está escrita para administradores de sistemas Windows oLinux con experiencia y que estén familiarizados con la tecnología de máquina virtual, la gestión deidentidades, Kerberos y servicios de directorio. Es útil conocer otras tecnologías, como VMware Horizon®

7, Horizon® Cloud y la virtualización de aplicaciones de Citrix, al igual que métodos de autenticacióncomo RSA SecurID, si se prevé implementar esas funciones.

VMware, Inc. 6

Uso de la consola deadministración deVMware Identity Manager 1La consola de administración de VMware Identity Manager™ proporciona una consola de administracióncentralizada con la que se pueden administrar usuarios y grupos, agregar recursos al catálogo,administrar autorizaciones para los recursos del catálogo, configurar la integración de AirWatch, asícomo configurar y administrar las directivas de acceso y autenticación.

Las tareas clave que se realizan en la consola de administración son administrar la autenticación deusuarios y las directivas de acceso, y autorizar usuarios para que usen los recursos. Hay otras tareasque sustentan estas tareas clave al proporcionar un control más detallado de los usuarios o grupos quedisponen de autorización sobre determinados recursos y en qué condiciones.

Los usuarios finales pueden iniciar sesión en el portal de VMware Workspace™ ONE™ desde elescritorio o desde sus dispositivos móviles para acceder a recursos de trabajo, incluidos escritorios,navegadores, documentos corporativos compartidos y varios tipos de aplicaciones que autorizó para suuso.

Este capítulo cubre los siguientes temas:n Navegar por la consola de administración

n Introducción a la configuración de Administración de acceso e identidad

Navegar por la consola de administraciónLas tareas de la consola de administración se organizan en pestañas.

Pestaña Descripción

Panel deinformación

El panel de información de interacción del usuario se puede utilizar para supervisar al usuario y el uso derecursos. Este panel muestra información sobre quién inició la sesión, las aplicaciones que se estánutilizando y la frecuencia con que se utilizan.

El panel de información de diagnósticos del sistema de muestra una descripción general detallada delestado de los dispositivos de su entorno e información sobre los servicios.

Es posible crear informes para hacer un seguimiento de las actividades de grupos y usuarios, del uso derecursos y de dispositivos, así como de los eventos de auditoría de cada usuario.

Usuarios y grupos En la pestaña Usuarios y grupos, se pueden administrar y supervisar usuarios y grupos importados deActive Directory o del directorio LDAP, crear usuarios y grupos y autorizar a los usuarios y los grupos autilizar recursos. Puede configurar la directiva de contraseñas para los usuarios locales.

VMware, Inc. 7


Catálogo El catálogo es el repositorio de todos los recursos cuyo uso se puede autorizar a los usuarios. En lapestaña Catálogo, puede agregar aplicaciones web, paquetes ThinApp, aplicaciones y grupos de View,escritorios de Horizon Air y aplicaciones basadas en Citrix. Puede crear una nueva aplicación, agrupar lasaplicaciones en categorías y acceder a la información de cada recurso. En la página de configuración delcatálogo se pueden descargar certificados SAML, administrar configuraciones de recursos y personalizarla apariencia del portal del usuario.

Administración deacceso e identidad

En la pestaña Administración de acceso e identidad, puede configurar el servicio del conector, configurarla integración de AirWatch, los métodos de autenticación y aplicar la personalización de marca en lapágina de inicio de sesión y la consola de administración. Puede administrar la configuración de losdirectorios, de los proveedores de identidades y las directivas de acceso. También se pueden configurarproveedores de identidades externos.

Configuración dedispositivos

En la pestaña Configuración de dispositivos se puede administrar la configuración del dispositivo, cambiarla configuración de certificados SSL para ese dispositivo, cambiar las contraseñas del sistema y deladministrador de los servicios y administrar otras funciones de la infraestructura. También se puedeactualizar la configuración de las licencias y configurar los valores de SMTP.

Navegadores web admitidos para obtener acceso a la consola deadministraciónLa consola de administración de VMware Identity Manager es una aplicación basada en web que lepermite administrar su arrendatario. Los navegadores siguientes le permiten obtener acceso a la consolade administración.

n Internet Explorer 11 para sistemas Windows

n Google Chrome 42.0 o posterior para sistemas Windows y Mac

n Mozilla Firefox 40 o posterior para sistemas Windows y Mac

n Safari 6.2.8 y posterior para sistemas Mac

NOTA: En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies parasuperar la autenticación de VMware Identity Manager.

Componentes de los usuarios finales de VMware Identity ManagerLos usuarios pueden acceder a los recursos autorizados desde el portal de Workspace ONE.

Pueden acceder a aplicaciones de Windows virtualizadas obtenidas como paquetes de ThinApp deIdentity Manager Desktop .


VMware, Inc. 8

Tabla 1‑1. Componentes de cliente de usuario

Componente de usuario Descripción Terminales disponibles

Portal de aplicaciones de usuariode Workspace ONE

El portal de aplicaciones es una aplicación basada en websin agente. Se trata de la interfaz predeterminada que seusa cuando los usuarios obtienen acceso usan en unnavegador los recursos para los que disponen deautorización.

Si un usuario final ha autorizado aplicaciones ThinApp y seencuentra en un equipo Windows en el que la aplicaciónIdentity Manager Desktop se encuentra instalada y enfuncionamiento, podrá ver e iniciar en este portal deaplicaciones los paquetes de ThinApp para los que tieneautorización.

El portal de aplicacionesbasado en web seencuentra disponible entodos los terminales delsistema compatibles, comoequipos Windows y Mac, ydispositivos con iOS yAndroid.

Identity Manager Desktop Cuando este programa se encuentra instalado en losequipos Windows de los usuarios, estos podrán trabajarcon sus aplicaciones Windows virtualizadas que se hancapturado como paquetes de ThinApp.

Equipos Windows

Introducción a la configuración de Administración deacceso e identidadLa pestaña Administración de acceso e identidad permite configurar y administrar los métodos deautenticación, las directivas de acceso y el servicio de directorio, así como personalizar el portal delusuario final y el aspecto de la consola de administración.

A continuación, se describen las opciones de configuración de la pestaña Administración de acceso eidentidad.

Figura 1‑1. Páginas de configuración de Administración de acceso e identidad


VMware, Inc. 9

Tabla 1‑2. Opciones de configuración de Administración de acceso e identidad

Configuración Descripción

Configurar > Conectores La página Conectores muestra los conectores implementados en su red empresarial. El conectorse usa para sincronizar los datos de los usuarios y de los grupos entre el directorio empresarial yel servicio y, cuando se utiliza como proveedor de identidades, autentica los usuarios en elservicio.

Cuando se asocia un directorio con una instancia de conectores, el conector crea una particiónpara el directorio asociado llamada trabajo. Una instancia de conectores puede tener variostrabajos asociados a ella. Cada trabajo actúa como proveedor de identidades. Se definen yconfiguran los métodos de autenticación para cada trabajo.

El conector sincroniza los datos de los usuarios y de los grupos entre el directorio empresarial yel servicio a través de uno o varios trabajos.n En la columna Trabajo, seleccione un trabajo para ver los detalles del conector y navegar a la

página Adaptadores de autenticación para consultar el estado de los métodos deautenticación disponibles. Para obtener información sobre la configuración, consulte Capítulo 8 Configurar la autenticación de usuario de VMware Identity Manager.

n En la columna Proveedor de identidades, seleccione la IdP para ver, editar o desactivar.Consulte Agregar y configurar una instancia de proveedor de identidades.

n En la columna Directorio asociado, acceda al directorio asociado a este trabajo.

Para poder agregar un conector nuevo, haga clic en Agregar conector con el fin de generar uncódigo de activación que puede pegar en el asistente de configuración para establecer lacomunicación con el conector.

Vínculo Unirse al dominion Haga clic en Unirse al dominio para unir el conector a un dominio de Active Directory

concreto. Por ejemplo, al configurar la autenticación Kerberos, debe unirse al dominio ActiveDirectory que contenga usuarios o al que tenga relación de confianza con los dominios quecontengan usuarios.

n Al configurar un directorio con un Active Directory de autenticación de Windows integrada, elconector se une al dominio según la configuración.

Configurar >Personalización de marca

La página Personalización de marca permite personalizar la pantalla de inicio de sesión y elencabezado de la consola de administración. Consulte Personalizar marcas en el servicio deVMware Identity Manager.

Para personalizar las vistas para Web y para móviles y tablets, del portal de usuario final, vaya aCatálogo > Configuración> Personalización de marca del portal de usuario. Consulte Personalizar marcas para el portal de usuario.

Configurar > Atributos deusuario

En la página Atributos de usuario se muestran los atributos de usuario predeterminados que sesincronizan en el directorio y podrá agregar otros atributos que puede asignar a atributos deActive Directory. Consulte Seleccionar atributos para sincronizar con el directorio.

Configurar > Rangos deredes

Esta página muestra los rangos de redes que haya agregado. Al configurar un rango de redes, sepermite el acceso de los usuarios a través de esas direcciones IP. Puede agregar rangos deredes adicionales y editar los rangos existentes. Consulte Agregar o editar un rango de redes.


VMware, Inc. 10

Tabla 1‑2. Opciones de configuración de Administración de acceso e identidad (Continua)


Configurar > Detecciónautomática

Cuando se integran VMware Identity Manager y AirWatch, es posible integrar el servicio dedetección automática de Windows que se implementó en la configuración de AirWatch con elservicio de VMware Identity Manager. Para obtener más información sobre la forma de configurarla detección automática en AirWatch, consulte la guía de instalación del servicio de detecciónautomática de Windows en VMware AirWatch disponible en el sitio web de AirWatch, http://air-watch.com

Registre el dominio de correo electrónico que usará el servicio de detección automática parafacilitar a los usuarios el acceso a su portal de aplicaciones mediante Workspace ONE. Losusuarios finales pueden introducir sus direcciones de correo electrónico en lugar de la URL de laorganización al obtener acceso a su portal de aplicaciones mediante Workspace ONE.

Consulte la guía sobre la configuración de la aplicación VMware Workspace ONE en dispositivospara obtener más información sobre la detección automática.

Configurar > AirWatch Esta página permite configurar la integración con AirWatch. Una vez configurada y guardada laintegración, puede habilitar el catálogo unificado para fusionar la configuración de lasaplicaciones de AirWatch Catalog en el catálogo unificado, habilitar la comprobación deconformidad para verificar que los dispositivos administrados cumplan con las directivas deconformidad de AirWatch y habilitar la autenticación con contraseña mediante AirWatch CloudConnector (ACC). Consulte Capítulo 14 Integrar AirWatch con VMware Identity Manager.

Configurar > Preferencias La página Preferencias muestra las funciones que el administrador puede habilitar. Esto incluye:n Se pueden habilitar cookies persistentes en esta página. Consulte Habilitar cookie

persistente.n Cuando se configuran usuarios locales en su servicio, para mostrar Usuarios locales como

una opción del dominio en la página de inicio de sesión, habilite Mostrar usuarios localesen la página de inicio de sesión.

Condiciones de uso En la página Condiciones de uso, puede escribir sus propias condiciones de uso de WorkspaceONE para la empresa y asegurarse de que los usuarios finales acepten estas condiciones de usoantes de utilizar Workspace ONE.

A continuación, se describen las opciones de configuración usados para administrar los servicios de lapestaña Administración de acceso e identidad.

Figura 1‑2. Páginas de administración de Administración de acceso e identidad


VMware, Inc. 11

Tabla 1‑3. Configuración de administración de Administración de acceso e identidad


Administrar > Directorios La página Directorios enumera los clientes que ha creado. Cree uno o varios directorios ysincronícelos a continuación con la implementación del directorio empresarial. En esta página,puede consultar el número de grupos y usuarios que se han sincronizado en el directorio y eltiempo desde la última sincronización. Para iniciar la sincronización del directorio, haga clic enSincronizar ahora.

Consulte Capítulo 2 Integrar el directorio empresarial con VMware Identity Manager.

Al hacer clic en el nombre de un directorio, puede editar la configuración de sincronización,navegar por la página Proveedores de identidades y consultar el registro de sincronización.

Desde la página de configuración de sincronización de directorios, puede programar la frecuenciade sincronización, consultar la lista de dominios asociados a este directorio, cambiar la lista deatributos asignados, actualizar el usuario y la lista de grupos que se sincroniza y configurar losdestinos de protección.

Administrar > Proveedoresde identidades

La página Proveedores de identidades enumera los proveedores de identidades que haconfigurado. El conector es el proveedor de identidades inicial. Puede agregar instancias deproveedor de identidades de terceros o combinar ambas. El proveedor de identidades integradode VMware Identity Manager se puede configurar para realizar tareas de autenticación.

Consulte Agregar y configurar una instancia de proveedor de identidades.

Administrar > Asistente derecuperación decontraseñas

En la página Asistente de recuperación de contraseñas, puede cambiar el comportamientopredeterminado cuando el usuario final hace clic en "He olvidado la contraseña" en la pantalla deinicio de sesión.

Métodos de autenticación La página Métodos de autenticación se utiliza para configurar métodos de autenticación que sepuedan asociar con proveedores de identidades integrados. Después de configurar los métodosde autenticación en esta página, debe asociar el método de autenticación al proveedor deidentidades integrado.

Administrar > Directivas En la página Directivas se muestra la directiva de acceso predeterminada y otras directivas deacceso de aplicaciones Web que haya creado. Las directivas son un conjunto de reglas queespecifican los criterios que se deben cumplir para que los usuarios obtengan acceso a su portalMis aplicaciones o inicien las aplicaciones web que tienen habilitadas. Puede editar la directivapredeterminada y, si se agregan aplicaciones web al catálogo, puede agregar directivas nuevaspara administrar el acceso a ellas. Consulte Capítulo 9 Administrar directivas de acceso.


VMware, Inc. 12

Integrar el directorioempresarial conVMware Identity Manager 2Puede integrar VMware Identity Manager con el directorio de la empresa y sincronizar los usuarios y losgrupos de este directorio con el servicio de VMware Identity Manager.

Los siguientes tipos de directorios son compatibles.

n Active Directory mediante LDAP

n Active Directory, Autenticación de Windows integrada

n directorio LDAP

Realice las siguientes tareas para integrar el directorio empresarial.

n Especifique los atributos que desea que tengan los usuarios en el servicio deVMware Identity Manager.

n Cree un directorio en el servicio de VMware Identity Manager del mismo tipo que el directorioempresarial y especifique los detalles de conexión.

n Asigne los atributos de VMware Identity Manager a los atributos utilizados en Active Directory o eldirectorio LDAP.

n Especifique los usuarios y los grupos que se sincronizan.

n Sincronice los usuarios y los grupos.

Después de integrar el directorio empresarial y realizar la sincronización inicial, puede actualizar laconfiguración, configurar una programación para que se sincronice de forma periódica o comenzar unasincronización en cualquier momento.

Conceptos importantes relacionados con la integraciónde directoriosVarios conceptos son esenciales para comprender cómo el servicio de VMware Identity Manager seintegra con el entorno de Active Directory o del directorio LDAP.

VMware, Inc. 13

VMware Identity Manager ConnectorVMware Identity Manager Connector, un componente del servicio, realiza las siguientes funciones.

n Sincroniza con el servicio de VMware Identity Manager la información de los usuarios y los gruposdesde Active Directory o el directorio LDAP.

n Cuando se usa como proveedor de identidades, autentica a los usuarios en el servicio deVMware Identity Manager.

El conector es el proveedor de identidades predeterminado. También puede usar proveedores deidentidades de terceros que admitan el protocolo SAML 2.0. Use un proveedor de identidades deterceros para un tipo de autenticación que el conector no admita o si el proveedor de identidades deterceros es preferible en función de la política de seguridad de su empresa.

NOTA: Si usa proveedores de identidades de terceros, puede configurar el conector para quesincronice los datos de usuarios y grupos o puede configurar el aprovisionamiento de usuarios Just-in-Time. Consulte la sección Aprovisionamiento de usuarios Just-in-Time del tema sobre laadministración de VMware Identity Manager para obtener más información.

DirectorioEl servicio de VMware Identity Manager tiene su propio concepto de directorio, correspondiente a ActiveDirectory o al directorio LDAP que se encuentra en su entorno. Este directorio utiliza atributos para definirlos usuarios y los grupos. Se crean uno o varios directorios en el servicio y después se sincronizan conActive Directory o el directorio LDAP. Puede crear los siguientes tipos de directorio en el servicio.

n Active Directory

n Active Directory a través de LDAP. Cree este tipo de directorio si va a conectarse a un soloentorno de dominio de Active Directory. Para el tipo de directorio Active Directory a través deLDAP, el conector se enlaza a Active Directory mediante la autenticación de enlace simple.

n Active Directory, Autenticación de Windows integrada. Cree este tipo de directorio si va aconectarse a un entorno de Active Directory con varios dominios o bosques. El conector seenlaza a Active Directory mediante Autenticación de Windows integrada.

El tipo y el número de directorios que cree varían según el entorno de Active Directory, es decir, conun solo dominio o con varios, y según el tipo de confianza usada entre los dominios. En la mayoríade los entornos, se crea un solo directorio.

n Directorio LDAP

El servicio no tiene acceso directo a Active Directory o al directorio LDAP. Solo el conector tiene accesodirecto. Por tanto, se asocia cada directorio creado en el servicio con una instancia del conector.


VMware, Inc. 14

TrabajoCuando se asocia un directorio a una instancia del conector, el conector crea una partición para eldirectorio asociado que se denomina trabajo. Una instancia del conector tiene varios trabajos asociadosa ella. Cada trabajo actúa como proveedor de identidades. Se definen y configuran los métodos deautenticación para cada trabajo.

El conector sincroniza los datos de usuarios y grupos entre Active Directory o el directorio LDAP y elservicio a través de uno o varios trabajos.

IMPORTANTE: No puede tener dos trabajos del tipo Active Directory con Autenticación de Windowsintegrada en la misma instancia del conector.

Consideraciones de seguridadPara los directorios empresariales integrados en el servicio de VMware Identity Manager, las opciones deseguridad, como las reglas de complejidad de la contraseña y las directivas de bloqueo de cuenta, sedeben establecer directamente en el directorio empresarial. VMware Identity Manager no reemplazaestas opciones.


VMware, Inc. 15

Integrar con Active Directory 3Es posible integrar VMware Identity Manager con la implementación de Active Directory para sincronizarusuarios y grupos desde Active Directory a VMware Identity Manager.

Consulte también Conceptos importantes relacionados con la integración de directorios.

Este capítulo cubre los siguientes temas:

n Entornos de Active Directory

n Acerca de la selección de controladores de dominio (archivo domain_krb.properties)

n Administrar atributos de usuario que se sincronizan desde Active Directory

n Permisos necesarios para unir un dominio

n Configurar la conexión de Active Directory con el servicio

n Permitir a los usuarios cambiar las contraseñas de Active Directory

n Configurar los elementos de protección de la sincronización de directorio

Entornos de Active DirectoryEs posible integrar el servicio con un entorno de Active Directory formado por un único dominio de ActiveDirectory, varios dominios en un único bosque de Active Directory o varios dominios en varios bosquesde Active Directory.

Entorno de dominio único de Active DirectoryLa implementación única de Active Directory permite sincronizar usuarios y grupos desde un únicodominio de Active Directory.

Para este tipo de entorno, cuando agregue un directorio al servicio, seleccione la opción Active Directorymediante LDAP.

Para obtener más información, consulte:




VMware, Inc. 16

Entorno de varios dominios y un único bosque de Active DirectoryLa implementación en varios dominios y un único bosque de Active Directory permite sincronizarusuarios y grupos desde varios dominios de Active Directory dentro de un único bosque.

Puede configurar el servicio para este tipo de entorno de Active Directory como un tipo de directorioúnico de Active Directory con Autenticación de Windows integrada o, si lo desea, como un tipo dedirectorio Active Directory mediante LDAP configurado con la opción de catálogo global.

n La opción que se recomienda es crear un tipo de directorio único de Active Directory conAutenticación de Windows integrada.

Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación deWindows integrada).





n Si la autenticación integrada en Windows (IWA, Integrated Windows Authentication) no funciona ensu entorno Active Directory, cree un directorio del tipo Active Directory mediante LDAP y seleccionela opción de catálogo global.

Entre las limitaciones que existen al seleccionar la opción de catálogo global se incluyen lassiguientes:

n Los atributos del objeto de Active Directory que se replican en el catálogo global se identifican enel esquema de Active Directory como un conjunto de atributos parcial (PAS, Partial Attribute Set).Solo estarán disponibles estos atributos para la asignación de atributos por parte del servicio. Sies necesario, edite el esquema para agregar o eliminar atributos que están almacenados en elcatálogo global.

n El catálogo global almacena la pertenencia a grupos (el atributo de miembro) únicamente degrupos universales. Solo los grupos universales se sincronizan con el servicio. Si es necesario,cambie el ámbito de un grupo de un dominio local o global a universal.

n La cuenta de DN de enlace que defina al configurar un directorio en el servicio debe disponer depermisos de lectura sobre el atributo Token-Groups-Global-And-Universal (TGGAU).

n Cuando AirWatch se integra con VMware Identity Manager y se configuran varios grupos deorganizaciones de AirWatch, no se puede utilizar la opción Catálogo global de Active Directory.

Active Directory usa los puertos 389 y 636 para consultas LDAP estándar. Para las consultas delcatálogo global, se usan los puertos 3268 y 3269.

Cuando agregue un directorio al entorno de catálogo global, especifique lo siguiente durante laconfiguración.

n Seleccione la opción Active Directory mediante LDAP.


VMware, Inc. 17

n Anule la selección de la casilla correspondiente a la opción Este directorio admite la ubicaciónde servicio de DNS.

n Seleccione la opción Este directorio tiene un catálogo global. Al seleccionar esta opción, elnúmero de puerto del servidor cambia automáticamente a 3268. Además, y debido a que no senecesita el DN base para configurar la opción de catálogo global, no se mostrará el cuadro detexto DN base.

n Agregue el nombre de host del servidor de Active Directory.

n Si su Active Directory necesita acceder mediante SSL, seleccione la opción Este directoriorequiere que todas las conexiones usen SSL y pegue el certificado en el cuadro de textoproporcionado. Al seleccionar esta opción, el número de puerto del servidor cambiaautomáticamente a 3269.

Entorno de bosques múltiples de Active Directory con relacionesde confianzaLa implementación de bosques múltiples de Active Directory con relaciones de confianza permitesincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques entre los queexista una relación de confianza bidireccional.

Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación deWindows integrada).





Entorno de bosques múltiples de Active Directory sin relacionesde confianzaLa implementación de bosques múltiples de Active Directory sin relaciones de confianza permitesincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques sin laexistencia de una relación de confianza entre los dominios. Para este tipo de entorno se crean variosdirectorios en el servicio, uno para cada bosque.

El tipo de directorios que se cree en el servicio dependerá del bosque. En el caso de bosques con variosdominios, seleccione la opción Active Directory (Autenticación de Windows integrada). En el caso de unbosque con un único dominio, seleccione la opción Active Directory mediante LDAP.






VMware, Inc. 18

Acerca de la selección de controladores de dominio(archivo domain_krb.properties)El archivo domain_krb.properties determina qué controladores de dominio se utilizarán para losdirectorios que tengan habilitada la búsqueda de ubicación del servicio DNS (registros SRV). Contieneuna lista de controladores de dominio para cada dominio. El conector crea inicialmente el archivo, yposteriormente deberá mantenerlo usted. El archivo anula la búsqueda de ubicación del servicio DNS(SRV).

Los siguientes tipos de directorio tienen habilitada la búsqueda de ubicación del servicio DNS:n Active Directory mediante LDAP con la opción Este directorio admite la ubicación de servicio de

DNS seleccionada

n Active Directory (autenticación integrada de Windows), que tiene siempre habilitada la búsqueda deubicación del servicio DNS

Al crear directorios adicionales que tengan habilitada la ubicación del servicio DNS, o al agregar nuevosdominios a un directorio de autenticación integrada de Windows, los nuevos dominios se agregarán alarchivo, junto con una lista de controladores de dominio para ellos.

Para anular en cualquier momento la selección predeterminada, edite el archivodomain_krb.properties. Después de crear un directorio, se recomienda revisar el archivodomain_krb.properties y verificar que los controladores de dominio indicados son los óptimos paraesa configuración. En implementaciones globales de Active Directory con varios controladores dedominio en distintas ubicaciones geográficas, si se utiliza un controlador de dominio que esté muypróximo al conector se asegura una comunicación más rápida con Active Directory.

También se deben actualizar manualmente otros cambios en el archivo. Se aplican las siguientes reglas.

n El archivo se crea y se rellena automáticamente con los controladores de dominio para cada dominioal crear por primera vez un directorio que tenga habilitada la búsqueda de ubicación del servicioDNS.

n Los controladores de dominio de cada dominio se indican en orden de prioridad. Para conectar aActive Directory, el conector intenta utilizar el primer controlador de dominio de la lista. Si no estáaccesible, lo intenta con el segundo de la lista, y así sucesivamente.

n El archivo solo se actualiza al crear un nuevo directorio que tenga habilitada la búsqueda deubicación del servicio DNS, o bien al agregar un dominio a un directorio de autenticación integradade Windows. El nuevo dominio y la lista de sus controladores de dominio se agregarán al archivo.

Tenga en cuenta que si ya existe una entrada para un dominio en el archivo, no se actualizará. Porejemplo, si se crea un directorio y se elimina a continuación, la entrada de dominio originalpermanece en el archivo y no se actualiza.

n El archivo no se actualiza automáticamente en ningún otro caso. Por ejemplo, si se elimina undirectorio, la entrada de dominio no se elimina en el archivo.

n Si no se puede acceder a un controlador de dominio de la lista del archivo, edite el archivo yelimínelo.


VMware, Inc. 19

n Si se agrega o elimina una entrada de dominio manualmente, los cambios no se sobrescribirán.

Para obtener información sobre cómo editar el archivo domain_krb.properties, consulte Editar elarchivo domain_krb.properties.

Cómo se seleccionan controladores de dominio para rellenarautomáticamente el archivo domain_krb.propertiesPara seleccionar los controladores de dominio con los que rellenar automáticamente el archivodomain_krb.properties, se determina en primer lugar la subred en la que reside el conector (según lamáscara de red y la dirección IP) y, a continuación, se utiliza la configuración de Active Directory paraidentificar el sitio de esa subred, se obtiene la lista de controladores de dominio para ese sitio, se filtra lalista para el dominio correspondiente y se eligen los dos controladores de dominio que respondan másrápido.

Para detectar los controladores de dominio que estén más próximos, VMware Identity Manager aplica losrequisitos siguientes:

n La subred del conector debe estar presente en la configuración de Active Directory, o bien se debeespecificar una subred en el archivo runtime-config.properties. Consulte Anular la selección desubred predeterminada.

La subred se utiliza para determinar el sitio.

n La configuración de Active Directory debe poder conocer el sitio.

Si no se puede determinar la subred, o si la configuración de Active Directory no permite conocer el sitio,se utilizará la búsqueda de ubicación del servicio DNS para encontrar controladores de dominio y elarchivo se rellenará con algunos controladores de dominio accesibles. Tenga en cuenta que estoscontroladores de dominio pueden no estar en la misma ubicación geográfica que el conector, lo quepuede ocasionar retardos o que se agote el tiempo de espera al comunicarse con Active Directory. Eneste caso, edite manualmente el archivo domain_krb.properties y especifique los controladores dedominio correctos que se deben utilizar para cada dominio. Consulte Editar el archivodomain_krb.properties.

Archivo domain_krb.properties de ejemplo

example.com=host1.example.com:389,host2.example.com:389

Anular la selección de subred predeterminadaPara rellenar automáticamente el archivo domain_krb.properties, el conector intenta encontrarcontroladores de dominio situados en la misma ubicación, para que la latencia entre el conector y ActiveDirectory sea mínima.


VMware, Inc. 20

Para encontrar la ubicación, el conector determina la subred en la que reside, a partir de la dirección IP yla máscara de red, y utiliza entonces la configuración de Active Directory para identificar la ubicación deesa subred. Si la subred no está en Active Directory o si se desea anular la selección automática desubred, se puede especificar una subred en el archivo runtime-config.properties.

Procedimiento

1 Guarde y cierre el archivo.

2 Reinicie el servicio.

service horizon-workspace restart

Editar el archivo domain_krb.propertiesEl archivo domain_krb.properties determina los controladores de dominio que se utilizarán para losdirectorios que tengan habilitada la búsqueda de ubicación del servicio DNS. El archivo se puede editaren cualquier momento para modificar la lista de controladores de dominio de un dominio o para agregar oeliminar entradas de dominios. Los cambios no se sobrescribirán.

El archivo se creará y el conector lo rellenará automáticamente. En algunos casos, como los siguientes,se debe actualizar manualmente.

n Si los controladores de dominio seleccionados de forma predeterminada no son los ideales para laconfiguración, edite el archivo y especifique los controladores de dominio que se deben utilizar.

n Si se elimina un directorio, se debe eliminar la entrada del dominio correspondiente del archivo.

n Si alguno de los controladores de dominio no es accesible, se debe eliminar del archivo.

Consulte también Acerca de la selección de controladores de dominio (archivo domain_krb.properties).

Procedimiento

1 Edite el archivo domain_krb.properties para agregar o editar la lista de valores de dominio a host.

Utilice el siguiente formato:

domain=host:port,host2:port,host3:port

Por ejemplo:

example.com=examplehost1.example.com:389,examplehost2.example.com:389

Indique los controladores de dominio en orden de prioridad. Para conectar a Active Directory, elconector intenta utilizar el primer controlador de dominio de la lista. Si no está accesible, lo intentacon el segundo de la lista, y así sucesivamente.

IMPORTANTE: Los nombres de dominio debes estar en minúsculas.

2 Cambie el propietario del archivo domain_krb.properties a horizon y agrúpelo en www.

3 Reinicie el servicio.


VMware, Inc. 21

Resolver problemas del archivo domain_krb.propertiesUtilice la información siguiente para resolver problemas del archivo domain_krb.properties.

Error al resolver el dominioSi el archivo domain_krb.properties ya incluye una entrada de un dominio y se intenta crear un nuevodirectorio de otro tipo para el mismo dominio, se producirá un error al resolver el dominio. Se debe editarel archivo domain_krb.properties y eliminar manualmente la entrada del dominio antes de crear elnuevo directorio.

No se puede acceder a los controladores de dominioDespués de agregar una entrada de dominio al archivo domain_krb.properties, no se actualizaautomáticamente. Si no se puede acceder a alguno de los controladores de dominio de la lista delarchivo, edite el archivo manualmente y elimínelo.

Administrar atributos de usuario que se sincronizan desdeActive DirectoryDurante la configuración del directorio del servicio de VMware Identity Manager, selecciona los filtros yatributos del usuario de Active Directory para seleccionar los usuarios que se sincronizan en el directoriode VMware Identity Manager. Puede cambiar los atributos de usuario que se sincronizan en la consolade administración, pestaña Administración de acceso e identidades, Configurar > Atributos de usuario.

Los cambios que se realizan y se guardan en la página Atributos de usuario se agregan a la páginaAtributos asignados en el directorio de VMware Identity Manager. Los cambios en los atributos seactualizan en el directorio durante la siguiente sincronización con Active Directory.

En la página Atributos de usuario, se muestran los atributos de directorio predeterminados que sepueden asignar a atributos de Active Directory. Seleccione los atributos que sean obligatorios; tambiénpuede agregar otros atributos que desee sincronizar con el directorio. Cuando agrega atributos, elnombre distingue entre mayúsculas y minúsculas. Por ejemplo, dirección, Dirección y DIRECCIÓN sonatributos diferentes.

Tabla 3‑1. Atributos de Active Directory predeterminados para sincronizar con el directorio

Nombre de atributo de directorio de VMware IdentityManager Asignación predeterminada al atributo de Active Directory

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

dominio canonicalName. Agrega el nombre de dominio completo delobjeto.


VMware, Inc. 22

Tabla 3‑1. Atributos de Active Directory predeterminados para sincronizar con el directorio(Continua)

Nombre de atributo de directorio de VMware IdentityManager Asignación predeterminada al atributo de Active Directory

disabled (usuario externo deshabilitado) userAccountControl. Marcado con UF_Account_Disable

Cuando se deshabilita una cuenta, los usuarios no pueden iniciarsesión en sus aplicaciones ni en sus recursos. Los recursos paralos que los usuarios tienen autorización no se eliminan de lacuenta para que, cuando se quite la marca de la cuenta, puedaniniciar sesión y acceder a los recursos autorizados.

phone telephoneNumber

lastName sn

firstName givenName

correo electrónico mail

userName sAMAccountName.

Seleccionar atributos para sincronizar con el directorioAl configurar el directorio de VMware Identity Manager para sincronizar con Active Directory, seespecifican los atributos de usuario que se sincronizan con el directorio. Antes de configurar el directorio,puede especificar en la página Atributos de usuario qué atributos predeterminados son obligatorios yañadir otros adicionales que desee asignar a atributos de Active Directory.

Cuando configura la página Atributos de usuario antes de que se cree el directorio, puede cambiar losatributos predeterminados de obligatorios a no obligatorios, marcar atributos como obligatorios y añadiratributos personalizados.

Una vez creado el directorio, puede convertir un atributo obligatorio en no obligatorio y puede eliminar lospersonalizados. No se puede convertir un atributo en atributo obligatorio.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, haga clic enAtributos de usuario.

2 En la sección Atributos predeterminados, revise la lista de atributos obligatorios y realice los cambiosnecesarios para establecer cuáles deben serlo.

3 Haga clic en Guardar.

Permisos necesarios para unir un dominioEn algunos casos, puede que necesite unir el conector de VMware Identity Manager a un dominio. Paradirectorios Active Directory mediante LDAP, puede unirse a un dominio después de crear el directorio.Para directorios del tipo Active Directory (autenticación IWA), el conector se une automáticamente aldominio al crear el directorio. En ambos casos se le pedirán las correspondientes credenciales.


VMware, Inc. 23

Para unirse a un dominio, necesita credenciales de Active Directory con el privilegio para "unir el equipoal dominio de AD". Esto se configura en Active Directory con los derechos siguientes:

n Crear objetos de equipo

n Eliminar objetos de equipo

Al unir un dominio se crea un objeto de equipo en la ubicación predeterminada en Active Directory, amenos que especifique una unidad organizativa personalizada.

Siga los siguientes pasos si no cuenta con los derechos necesarios para unirse a un dominio y desearealizar este proceso.

1 Pida a su administrador de Active Directory que cree el objeto de equipo en Active Directory, en unaubicación determinada por la directiva de la empresa. Proporcione el nombre de host del conector.Asegúrese de que proporciona el nombre de dominio plenamente cualificado, comoservidor.ejemplo.com.

Tip Puede consultar el nombre de host en la columna Nombre de host de la página Conectores dela consola de administración. Haga clic en Administración de acceso e identidad > Configurar >Conectores para abrir la página Conectores.

2 Después de crear el objeto de equipo, únase al dominio mediante cualquier cuenta de usuario deldominio en la consola de administración de VMware Identity Manager.

El comando Unirse al dominio está disponible en la página Conectores; para obtener acceso a ella,haga clic en Administración de acceso e identidad > Configurar > Conectores.

Opción Descripción

Dominio Seleccione o introduzca el dominio de Active Directory quedesee unir. Compruebe que introduce el nombre de dominiocompleto. Por ejemplo: servidor.ejemplo.com.

Usuario de dominio El nombre de un usuario de Active Directory que tengaderecho para unir sistemas al dominio de Active Directory.

Contraseña de dominio La contraseña del usuario.

Unidad organizativa (OU) (Opcional) La unidad organizativa (OU) del objeto del equipo.Esta opción crea un objeto de equipo en la unidad organizativaespecificada en lugar de la predeterminada del equipo.

Por ejemplo, ou=testou,dc=test,dc=example,dc=com.

Configurar la conexión de Active Directory con el servicioEn la consola de administración, especifique la información necesaria para conectar con Active Directoryy seleccionar usuarios y grupos para sincronizar con el directorio de VMware Identity Manager.

Las opciones de conexión de Active Directory son mediante LDAP o mediante la autenticación integradade Windows de Active Directory. La conexión de Active Directory mediante LDAP es compatible con labúsqueda de ubicación del servicio DNS.


VMware, Inc. 24

Prerequisitos

n Seleccione los atributos necesarios y agregue atributos adicionales, en caso de que sea necesario,en la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.

IMPORTANTE: Si va a sincronizar recursos de XenApp con VMware Identity Manager, debeconvertir distinguishedName en atributo obligatorio. Debe realizar esta selección antes de crear undirectorio, ya que los atributos no se pueden cambiar para que sean obligatorios después de crear eldirectorio.

n Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory.

n Para Active Directory mediante LDAP, la información necesaria incluye DN base, DN de enlace ycontraseña de DN de enlace.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que nocaduque.

n Para la Autenticación de Windows integrada de Active Directory, la información necesaria incluye ladirección UPN del usuario de enlace del dominio y la contraseña.


n Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificadode CA raíz del controlador de dominio de Active Directory.

n Para la Autenticación de Windows integrada de Active Directory, cuando tiene configurado ActiveDirectory con varios bosques y el grupo local de dominios contiene miembros de dominios dediferentes bosques, asegúrese de que el usuario de enlace se agrega al grupo Administradores deldominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en elgrupo local de dominios.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en Agregar directorio.

3 Introduzca un nombre para este directorio de VMware Identity Manager.


VMware, Inc. 25

4 Seleccione el tipo de Active Directory de su entorno y configure la información de conexión.


Active Directory mediante LDAP a En el campo Conector de sincronización, seleccione el conector que seutilizará para sincronizar con Active Directory.

b En el campo Autenticación, si se utiliza este Active Directory para autenticarusuarios, haga clic en Sí.

Si se utiliza otro proveedor para autenticar usuarios, haga clic en No.Después de configurar la conexión de Active Directory para sincronizarusuarios y grupos, acceda a la página Administración de acceso e identidad> Administrar > Proveedores de identidades para agregar el proveedor deidentidades externo para la autenticación.

c En el campo Atributo de búsqueda de directorios, seleccione el atributo dela cuenta que contiene el nombre de usuario.

d Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS,seleccione las opciones siguientes.n En la sección Ubicación del servidor, active la casilla Este directorio

admite la ubicación de servicio de DNS.

Se creará un archivo domain_krb.properties rellenadoautomáticamente con una lista de controladores de dominios cuando secree el directorio. Consulte Acerca de la selección de controladores dedominio (archivo domain_krb.properties) .

n Si Active Directory requiere el cifrado STARTTLS, active la casilla Estedirectorio requiere que todas las conexiones usen SSL en la secciónCertificados, copie el certificado de CA raíz de Active Directory ypéguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya las líneas"BEGIN CERTIFICATE" y "END CERTIFICATE".

NOTA: Si Active Directory requiere STARTTLS y usted no proporcionael certificado, no podrá crear el directorio.

e Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS,seleccione las opciones siguientes.n En la sección Ubicación del servidor, compruebe que la casilla Este

directorio admite la ubicación de servicio de DNS no estéseleccionada y introduzca el número de puerto y el nombre de host delservidor de Active Directory.

Para configurar el directorio como un catálogo global, consulte la secciónEntorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.

n Si Active Directory requiere acceso mediante SSL, active la casilla Estedirectorio requiere que todas las conexiones usen SSL en la secciónCertificados, copie el certificado de CA raíz de Active Directory ypéguelo en el campo Certificado SSL.


VMware, Inc. 26



NOTA: Si Active Directory requiere SSL y usted no proporciona elcertificado, no podrá crear el directorio.

f En el campo DN base, introduzca el DN desde el que deben empezar lasbúsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.

g En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios.Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

h Después de introducir la contraseña de enlace, haga clic en Probarconexión para verificar que el directorio se puede conectar a ActiveDirectory.

Active Directory (Autenticación deWindows integrada)

a En el campo Conector de sincronización, seleccione el conector que seutilizará para sincronizar con Active Directory.

b En el campo Autenticación, si se utiliza este Active Directory para autenticarusuarios, haga clic en Sí.

Si se utiliza otro proveedor para autenticar usuarios, haga clic en No.Después de configurar la conexión de Active Directory para sincronizarusuarios y grupos, acceda a la página Administración de acceso e identidad> Administrar > Proveedores de identidades para agregar el proveedor deidentidades externo para la autenticación.

c En el campo Atributo de búsqueda de directorios, seleccione el atributo dela cuenta que contiene el nombre de usuario.

d Si Active Directory requiere el cifrado STARTTLS, active la casilla Estedirectorio requiere que todas las conexiones usen STARTTLS en lasección Certificados, copie el certificado de CA raíz de Active Directory ypéguelo en el campo Certificado SSL.


Si el directorio tiene varios dominios, agregue los certificados CA raíz paratodos los dominios de uno en uno.

NOTA: Si Active Directory requiere STARTTLS y usted no proporciona elcertificado, no podrá crear el directorio.

e En el campo Dirección UPN de usuario de enlace, escriba el nombreprincipal del usuario que podrá autenticarse en el dominio. Por [email protected].

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

f Escriba la contraseña del usuario de enlace.

5 Haga clic en Guardar y Siguiente.

Aparecerá la página con la lista de dominios.


VMware, Inc. 27

6 En Active Directory mediante LDAP, los dominios aparecen con una marca de verificación.

Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberánasociarse con esta conexión de Active Directory.

NOTA: Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectaráautomáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, elconector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que elconector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

Haga clic en Siguiente.

7 Verifique que los nombres de los atributos del directorio VMware Identity Manager están asignados alos atributos de Active Directory correctos, realice los cambios necesarios y haga clic en Siguiente.

8 Seleccione los grupos que desee sincronizar desde Active Directory al directorio deVMware Identity Manager.


Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los gruposque aparecen a continuación.

a Haga clic en + y especifique el DN de grupo. Por ejemplo,CN=users,DC=example,DC=company,DC=com.

IMPORTANTE: Especifique los DN de grupo que aparecen a continuacióndel DN base que introdujo. Si un DN de grupo aparece fuera del DN base, losusuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.

b Haga clic en Buscar grupos.

La columna Grupos para sincronizar muestra el número de grupos que seencuentran en el DN.

c Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo,o bien haga clic en Seleccionar y seleccione los grupos específicos quedesea sincronizar.

NOTA: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios deldominio como su grupo principal en Active Directory no se sincronizan.

Sincronizar miembros de grupoanidados

La opción Sincronizar miembros de grupo anidados se habilita de formapredeterminada. Cuando se habilita esta opción, todos los usuarios quepertenezcan al grupo que seleccione y los que pertenezcan a grupos anidadosdentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidadosno se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a losgrupos anidados. En el directorio de VMware Identity Manager, estos usuariosserán miembros del grupo de nivel principal que seleccionó para sincronizarse.

Si deshabilita la opción Sincronizar miembros de grupo anidados, todos losusuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupoque especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupono se sincronizarán. Deshabilitar esta opción resulta útil para las grandesconfiguraciones de Active Directory en las que atravesar un árbol de gruporequiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción,asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

9 Haga clic en Siguiente.


VMware, Inc. 28

10 Especifique los usuarios adicionales que desea sincronizar, si es necesario.

a Haga clic en + e introduzca los DN del usuario. Por ejemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

IMPORTANTE: Especifique los DN de usuario que aparecen a continuación del DN base queintrodujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN sesincronizarán, pero no podrán iniciar sesión.

b (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.

Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.


12 Revise la página para ver cuántos usuarios y grupos se sincronizan en el directorio y laprogramación de sincronización.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic enlos vínculos Editar.

13 Haga clic en Sincronizar directorio para iniciar la sincronización.

Se establece la conexión con Active Directory y los usuarios y los grupos se sincronizan desde ActiveDirectory al directorio VMware Identity Manager. El usuario de DN de enlace tiene una función deadministrador en VMware Identity Manager de forma predeterminada.

Qué hacer a continuación

n Si se creó un directorio compatible con la ubicación del servicio DNS, se creará un archivodomain_krb.properties que se rellenará con una lista de controladores de dominio. Consulte elarchivo para verificar o editar la lista de controladores de dominio. Consulte Acerca de la selecciónde controladores de dominio (archivo domain_krb.properties).

n Configure los métodos de autenticación. Una vez sincronizados los usuarios y los grupos con eldirectorio, si también se utiliza el conector para la autenticación, podrá configurar otros métodos deautenticación en este último. Si el proveedor de identidades de autenticación es un tercero,configúrelo en el conector.

n Revise la directiva de acceso predeterminada. La política de acceso predeterminada se configurapara permitir que todos los dispositivos de todos los rangos de redes accedan al navegador web, conun tiempo de espera de sesión definido en ocho horas, o bien acceder a una aplicación del clientecon un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de accesopredeterminada. Asimismo, cuando agregue aplicaciones web al catálogo, podrá crear otras nuevas.

n Aplique la personalización de marca a la consola de administración, a las páginas del portal deusuario y a la pantalla de inicio de sesión.


VMware, Inc. 29

Permitir a los usuarios cambiar las contraseñas de ActiveDirectoryPuede proporcionar a los usuarios la capacidad de cambiar las contraseñas de Active Directory desde laaplicación o el portal de Workspace ONE cuando lo deseen. Los usuarios también pueden restablecersus contraseñas de Active Directory desde la página de inicio de sesión de VMware Identity Manager sila contraseña caducó o si el administrador de Active Directory restableció la contraseña, lo cual obliga alusuario a cambiarla en el siguiente inicio de sesión.

Puede habilitar esta opción por directorios, al seleccionar Permitir el cambio de contraseña en lapágina de Configuración del directorio.

Los usuarios puede cambiar sus contraseñas cuando inician sesión en el portal de Workspace ONE alhacer clic en el nombre situado en la esquina superior derecha, seleccionar Cuenta en el menúdesplegable y hacer clic en el vínculo Cambiar contraseña. En la aplicación Workspace ONE, losusuarios pueden cambiar las contraseñas al hacer clic en el icono de menú de barra triple y seleccionarContraseña.

Las contraseñas caducadas o restablecidas por el administrador en Active Directory se pueden cambiardesde la página de inicio de sesión. Cuando un usuario intenta iniciar sesión con una contraseñacaducada, se le solicita que restablezca la contraseña. El usuario debe introducir la contraseña anteriorasí como la nueva.

La directiva de contraseñas de Active Directory determina los requisitos para la nueva contraseña. Elnúmero de intentos permitidos también depende de la directiva de contraseñas de Active Directory.

Se aplican las siguientes limitaciones.

n Cuando se agrega un directorio a VMware Identity Manager como catálogo global, la opción Permitirel cambio de contraseña no está disponible. Los directorios se pueden agregar como ActiveDirectory mediante LDAP o la autenticación integrada de Windows, a través de los puertos 389 o636.

n La contraseña de un usuario DN de enlace no puede restablecerse desde VMware Identity Manager,aunque caduque o el administrador de Active Directory la restablezca.


n Las contraseñas de los usuarios cuyos nombres de inicio de sesión contengan caracteres multibyte(caracteres que no son ASCII) no se pueden restablecer desde VMware Identity Manager.

Prerequisitos

n El puerto 464 debe estar abierto desde VMware Identity Manager hasta los controladores dedominio.


VMware, Inc. 30

n Si usa dispositivos virtuales adicionales independientes del conector, tenga en cuenta que la opciónPermitir el cambio de contraseña solo está disponible con la versión 2016.11.1 y posteriores delconector.

Procedimiento


2 En la página Directorios, haga clic en el directorio.

3 En la sección Permitir el cambio de contraseña, seleccione la casilla de verificación Habilitar elcambio de contraseña.

4 Habilitar la contraseña DN de enlace en la sección Detalles del usuario de enlace y haga clic enGuardar.

Configurar los elementos de protección de lasincronización de directorioLos límites del umbral de los elementos de protección de la sincronización se pueden configurar en eldirectorio para evitar los cambios de la configuración no deseados en los usuarios y los grupos que sesincronizan con el directorio desde Active Directory.

Los umbrales de los elementos de protección de la sincronización establecidos limitan el número decambios que se pueden realizar en los usuarios y los grupos cuando el directorio se sincroniza. Si sealcanza un umbral de los elementos de protección del directorio, la sincronización de dicho directorio sedetiene y aparece un mensaje en la página Registro de sincronización. Cuando se configura SMTP en laconsola de administración de VMware Identity Manager, recibe un mensaje de correo electrónico cuandose produce un error en la sincronización debido a una infracción de los elementos de protección.

Si se produce un error en la sincronización, puede dirigirse a la página Configuración de sincronización >Registro de sincronización del directorio para consultar la descripción del tipo de la infracción delelemento de protección.

Para completar correctamente la sincronización, puede aumentar el umbral del porcentaje de loselementos de protección en la página de configuración Sincronizar elementos de protección o puedeprogramar un simulacro de la sincronización y marcar Ignorar elementos de protección. Si seleccionaignorar el valor del umbral de los elementos de protección, dichos valores no se establecen solo paraesta sesión de sincronización.

Cuando la sincronización del directorio se ejecuta la primera vez, no se establecen los valores de loselementos de protección de la sincronización.

NOTA: Si no desea utilizar la función de elementos de protección de la sincronización, elimine losvalores del menú desplegable. Cuando los cuadros de texto del umbral de los elementos de protecciónestán vacíos, estos elementos no se habilitan.


VMware, Inc. 31

Configurar los elementos de protección de la sincronización dedirectorioConfigure el umbral de los elementos de protección de la sincronización para limitar el número decambios que se pueden realizar en los usuarios y los grupos cuando el directorio se sincroniza.

NOTA: Si no desea utilizar la función de elementos de protección de la sincronización, elimine losvalores del menú desplegable. Cuando los cuadros de texto del umbral de los elementos de protecciónestán vacíos, estos elementos no se habilitan.

Procedimiento

1 Para modificar la configuración de los elementos de protección, seleccione Administrar >Directorios en la pestaña Administración de acceso e identidad.

2 Seleccione el directorio para establecer los elementos de protección y haga clic en Configuraciónde sincronización.

3 Haga clic en Elementos de protección.

4 Establezca el porcentaje de cambios que generan un error en la sincronización.


Ignorar la configuración de los elementos de protección paracompletar la sincronización del directorioSi recibe una notificación de que la sincronización no se completó debido a una infracción en loselementos de protección, puede programar un simulacro de sincronización y marcar Ignorar elementosde protección para reemplazar la configuración de dichos elementos y completar la sincronización.

Procedimiento

1 En la pestaña Administración de acceso e identidad, seleccione Administrar > Directorios.

2 Seleccione el directorio que no completó la sincronización y diríjase a la página Registro desincronización.

3 Para ver el tipo de infracción de los elementos de protección, en la columna Detalles desincronización, haga clic en Error al completar la sincronización. Compruebe los elementos deprotección.

4 Haga clic en Aceptar.

5 Para continuar la sincronización sin cambiar la configuración de los elementos de protección, hagaclic en Sincronizar ahora.

6 En la página Revisar, seleccione la casilla Ignorar elementos de protección.

7 Haga clic en Sincronizar directorio.


VMware, Inc. 32

Se ejecuta la sincronización del directorio y la configuración del umbral de los elementos de protecciónse ignora solo durante esta sesión de sincronización.de


VMware, Inc. 33

Integrar los directorios LDAP 4Es posible integrar el directorio LDAP de su empresa en VMware Identity Manager para sincronizarusuarios y grupos del directorio LDAP en el servicio VMware Identity Manager.

Consulte también Conceptos importantes relacionados con la integración de directorios.


n Limitaciones de la integración del directorio LDAP

n Integrar un directorio LDAP en el servicio

Limitaciones de la integración del directorio LDAPLas siguientes limitaciones se aplican a la función de integración en el directorio LDAP.

n Solo puede integrar un entorno del directorio LDAP con un dominio único.

Para integrar varios dominios desde un directorio LDAP, necesita crear directorios deVMware Identity Manager adicionales, uno para cada dominio.

n Los siguientes métodos de autenticación no son compatibles para los directorios deVMware Identity Manager de tipo LDAP.

n autenticación de Kerberos

n Autenticación adaptativa de RSA

n ADFS como proveedor de identidades externo

n SecurID

n Autenticación de Radius con el servidor de código de acceso SMS y Vasco

n No puede unirse a un dominio LDAP.

n La integración a los recursos publicados por Citrix o de View no es compatible para los directorios deVMware Identity Manager de tipo LDAP.

n Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, elusuario se sincroniza pero las autorizaciones no están disponibles para dicho usuario.

VMware, Inc. 34

n Si tiene previsto agregar los directorios LDAP y Active Directory, asegúrese de que no marca ningúnatributo obligatorio en la página Atributo de usuario, excepto userName, que puede ser obligatorioque se marque. Las configuraciones de la página Atributos de usuario se aplican a todos losdirectorios del servicio. Si un atributo está marcado como obligatorio, los usuarios sin dicho atributono se sincronizan con el servicio de VMware Identity Manager.

n Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombresúnicos para ellos en el servicio de VMware Identity Manager. Puede especificar los nombres cuandoselecciona los grupos que desea sincronizar.

n La opción para permitir a los usuarios restablecer las contraseñas caducadas no está disponible.

n No es compatible el archivo domain_krb.properties.

Integrar un directorio LDAP en el servicioEs posible integrar el directorio LDAP de su empresa en VMware Identity Manager para sincronizarusuarios y grupos del directorio LDAP en el servicio VMware Identity Manager.

Para integrar el directorio LDAP, cree el directorio VMware Identity Manager correspondiente y sincronicelos usuarios y los grupos del directorio LDAP al directorio VMware Identity Manager. Puede programaruna sincronización periódica para las actualizaciones siguientes.

Seleccione también los atributos LDAP que quiera sincronizar para los usuarios y asígnelos a losatributos de VMware Identity Manager.

La configuración del directorio LDAP puede basarse en las programaciones predeterminadas o puedecrear programaciones personalizadas. También debe definir los atributos personalizados. Para queVMware Identity Manager pueda solicitar el directorio LDAP para obtener los objetos de grupo o usuario,debe proporcionar los nombres de los filtros de búsqueda de LDAP que se apliquen a su directorio LDAP.

En concreto, debe proporcionar la siguiente información.

n Los filtros de búsqueda para obtener los grupos, los usuarios y el usuario de enlace

n Los nombres de atributos LDAP de la pertenencia a grupos, UUID y el nombre distintivo

Se aplican algunas limitaciones a la función de integración en el directorio LDAP. Consulte Limitacionesde la integración del directorio LDAP.


VMware, Inc. 35

Prerequisitos

n Compruebe los atributos en la página Administración de acceso e identidad > Configurar >Atributos de usuario y agregue los atributos adicionales que quiera sincronizar. Asignará losatributos de VMware Identity Manager a los atributos del directorio LDAP cuando cree el directorio.Estos atributos se sincronizarán para los usuarios del directorio.

NOTA: Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan teneren otros directorios del servicio. Si tiene previsto agregar los directorios LDAP y Active Directory,compruebe que ningún atributo obligatorio está marcado excepto userName, que sí debe estarlo.Las configuraciones de la página Atributos de usuario se aplican a todos los directorios del servicio.Si un atributo está marcado como obligatorio, los usuarios sin dicho atributo no se sincronizan con elservicio de VMware Identity Manager.

n Cuenta de usuario DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

n En el directorio LDAP, el UUID de los usuarios y los grupos debe aparecer como texto sin formato.

n En el directorio LDAP, debe existir un atributo de dominio para todos los usuarios y los grupos.

Asígnelo al atributo del dominio de VMware Identity Manager cuando cree el directorioVMware Identity Manager.

n Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, elusuario se sincroniza pero las autorizaciones no están disponibles para dicho usuario.

n Si utiliza la autenticación con certificado, los usuarios deben tener los valores para los atributos de ladirección de correo electrónico y userPrincipalName.

Procedimiento


2 En la página Directorios, haga clic en Agregar directorio y seleccione Agregar directorio LDAP.


VMware, Inc. 36

3 Introduzca la información solicitada en la página Agregar directorio LDAP.


Nombre de directorio Un nombre para el directorio VMware Identity Manager.

Sincronización de directorio yautenticación

a En el campo Conector de sincronización, seleccione el conector que deseeutilizar para sincronizar usuarios y grupos del directorio LDAP con eldirectorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en la lista desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, el componentedel conector de cada uno aparecerá en la lista.

No es necesario un conector diferente para un directorio LDAP. Un conectorpuede ser compatible con varios directorios, independientemente de sicuentan con directorios LDAP o Active Directory. Para los escenarios en losque necesite conectores adicionales, consulte Instalar dispositivos deconector adicionales en la guía Instalar y configurar VMware IdentityManager.

b En el campo Autenticación, seleccione Sí si desea utilizar el directorioLDAP para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar a losusuarios, seleccione No. Después de agregar la conexión del directorio parasincronizar usuarios y grupos, acceda a la página Administración deacceso e identidad > Administrar > Proveedores de identidades paraagregar el proveedor de identidades externo para realizar la autenticación.

c En el campo Atributo de búsqueda de directorios, especifique el atributodel directorio LDAP que se utiliza para el nombre de usuario. Si el atributo noaparece en la lista, seleccione Personalizado y escriba el nombre delatributo. Por ejemplo, cn.

Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. En elcaso del host del servidor, puede especificar el nombre del dominio plenamentecualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o100.00.00.0.

Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzcala información de este último en su lugar.


VMware, Inc. 37


Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP queVMware Identity Manager puede utilizar para solicitar su directorio LDAP. Losvalores predeterminados se proporcionan según el esquema principal de LDAP.

Solicitudes LDAPn Obtener grupos: es el filtro de búsqueda para obtener los objetos de grupo.

Por ejemplo: (objectClass=group)n Obtener usuario de enlace: es el filtro de búsqueda para obtener el objeto

de usuario de enlace, es decir, al usuario que puede enlazarse al directorio.

Por ejemplo: (objectClass=person)n Obtener usuario: es el filtro de búsqueda para obtener los usuarios para

sincronizar.

Por ejemplo:(&(objectClass=user)(objectCategory=person))

Atributosn Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los

miembros de un grupo.

Por ejemplo: membern UUID del objeto: es el atributo que se utiliza en su directorio LDAP para

definir el UUID.

Por ejemplo: entryUUIDn Nombre distintivo: es el atributo que se utiliza en su directorio LDAP para

definir el nombre distintivo de un usuario o un grupo.

Por ejemplo: entryDN

Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opción Estedirectorio requiere que todas las conexiones usen SSL y copie y pegue elcertificado CA SSL raíz del servidor del directorio LDAP. Asegúrese de que elcertificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y"END CERTIFICATE".

Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Porejemplo, cn=users,dc=example,dc=com

DN de enlace: introduzca el nombre del usuario que enlaza al directorio LDAP.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace con unacontraseña que no caduque.

Contraseña DN de enlace: introduzca la contraseña del usuario DN de enlace.

4 Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.

Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga loscambios necesarios.

5 Haga clic en Guardar y Siguiente.

6 En la página de los dominios, compruebe que el dominio correcto aparece en la lista, y acontinuación, haga clic en Siguiente.


VMware, Inc. 38

7 En la página Asignar atributos, compruebe que los atributos de VMware Identity Manager seasignaron a los atributos LDAP correctos.

Estos atributos se sincronizarán para los usuarios.

IMPORTANTE: Debe especificar una asignación para los atributos de dominio.

Puede agregar atributos a la lista desde la página Atributos de usuario.


9 En la página de los grupos, haga clic en + para seleccionar los grupos que desee sincronizar desdeel directorio LDAP al directorio de VMware Identity Manager.

Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombresúnicos para ellos en la página de grupos.

La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuandose habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los quepertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los gruposanidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los gruposanidados. En el directorio de VMware Identity Manager, estos usuarios aparecerán como losmiembros del grupo de nivel superior que seleccionó para sincronizarse. De hecho, la jerarquía bajoun grupo seleccionado es plana y los usuarios de todos los niveles aparecen en VMware IdentityManager como miembros del grupo seleccionado.

Si deshabilita esta opción, todos los usuarios que pertenezcan directamente a ese grupo sesincronizarán cuando especifique un grupo para que se sincronice. Los usuarios que pertenezcan agrupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para lasgrandes configuraciones del directorio en las que atravesar un árbol de grupo requiera demasiadotiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos losgrupos cuyos usuarios desee sincronizar.


11 Haga clic en + para agregar más usuarios. Por ejemplo, introduzcaCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios. Debe seleccionar elatributo de usuario por el que desea filtrar, la regla de consulta y el valor.

Haga clic en Siguiente.

12 Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como laprogramación de la sincronización predeterminada.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic enlos vínculos Editar.

13 Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.


VMware, Inc. 39

Se establece la conexión al directorio LDAP y los usuarios y los grupos se sincronizan desde el directorioLDAP al directorio VMware Identity Manager. El usuario de DN de enlace tiene una función deadministrador en VMware Identity Manager de forma predeterminada.


VMware, Inc. 40

Usar directorios locales 5Un directorio local es uno de los tipos de directorios que puede crear en el servicio deVMware Identity Manager. Este directorio le permite aprovisionar a los usuarios locales en el servicio yproporcionales acceso a aplicaciones específicas, sin tener que agregarlos al directorio empresarial. Undirectorio local no está conectado a un directorio de empresa y los usuarios y los grupos no sesincronizan desde ningún directorio de empresa. En su lugar, puede crear usuarios locales directamenteen el directorio local.

Un directorio local predeterminado, denominado directorio del sistema, está disponible en el servicio.También puede crear varios directorios locales nuevos.

Directorio del sistemaEl directorio del sistema es un directorio local que se crea automáticamente en el servicio cuando seconfigura por primera vez. Este directorio cuenta con el dominio de sistema. No puede cambiar elnombre ni el dominio del directorio del sistema, ni agregar nuevos dominios. Tampoco puede eliminar eldirectorio del sistema ni el dominio del sistema.

El usuario administrador local que se crea cuando configura por primera vez el dispositivo deVMware Identity Manager se genera en el dominio del sistema del directorio del sistema.

Puede agregar otros usuarios al directorio del sistema. El directorio del sistema se suele utilizar paraestablecer que algunos usuarios administradores locales gestionen el servicio. Se recomienda crear unnuevo directorio local para aprovisionar usuarios finales y administradores adicionales y otorgarlesautorización para las aplicaciones.

Directorios localesPuede crear varios directorios locales. Cada directorio local puede tener uno o varios dominios. Cuandocree un usuario local, especifique el directorio y el dominio de este usuario.

También puede seleccionar atributos para todos los usuarios de un directorio local. Los atributos de losusuarios como userName, lastName y firstName se especifican en el nivel global del servicio deVMware Identity Manager. Está disponible una lista predeterminada de atributos en la que puede agregaratributos personalizados. Los atributos de usuario globales se aplican a todos los directorios del servicio,

VMware, Inc. 41

incluidos los locales. En el nivel del directorio local, puede seleccionar qué atributos son necesarios parael directorio. Esto le permite tener un conjunto personalizado de atributos para directorios localesdiferentes. Tenga en cuenta que userName, firstName, lastName y email son siempre obligatorios paralos directorios locales.

NOTA: La capacidad de personalizar los atributos de usuario en el nivel del directorio solo estádisponible para los directorios locales, no para los directorios LDAP ni Active Directory.

Crear directorios locales es útil en escenarios como el siguiente.

n Puede crear un directorio local para un tipo específico de usuarios que no sea parte del directorioempresarial. Por ejemplo, puede crear un directorio local para partners, que no suelen ser parte deldirectorio empresarial, y proporcionarles acceso únicamente a las aplicaciones específicas quenecesitan.

n Puede crear varios directorios locales si desea asignar diferentes atributos de usuario o métodos deautenticación para diferentes grupos de usuarios. Por ejemplo, puede crear un directorio local paradistribuidores que tengan atributos de usuario como la región o el tamaño del mercado, y otrodirectorio local para proveedores que tengan atributos de usuario como tipo de proveedor y categoríade producto.

Proveedor de identidades del directorio del sistema y delos directorios localesDe forma predeterminada, el directorio del sistema se asocia con un proveedor de identidadesdenominado Proveedor de identidades del sistema. El método Contraseña (directorio en la nube) estáhabilitado de forma predeterminada en este proveedor de identidades y se aplica a la directivadefault_access_policy_set para el rango de red TODOS LOS INTERVALOS y el tipo de dispositivo delnavegador web. Puede configurar métodos de autenticación adicionales y establecer directivas deautenticación.

Cuando cree un directorio local nuevo, no estará asociado con ningún proveedor de identidades. Unavez que haya creado el directorio, cree un nuevo proveedor de identidades del tipo Incrustado y asócieloal directorio. Habilite el método de autenticación Contraseña (directorio en la nube) en el proveedor deidentidades. Se pueden asociar varios directorios locales al mismo proveedor de identidades.

El conector de VMware Identity Manager no es necesario para el directorio del sistema ni para losdirectorios locales que cree.

Para obtener más información, consulte "Configurar la autenticación de usuario en VMware IdentityManager" en Administración de VMware Identity Manager.


VMware, Inc. 42

Administración de contraseñas para los usuarios deldirectorio localDe forma predeterminada, todos los usuarios de los directorios locales tienen la capacidad de cambiar lacontraseña en la aplicación o el portal de Workspace ONE. Puede establecer una contraseña para losusuarios locales. También puede restablecer las contraseñas de los usuarios locales según seanecesario.

Los usuarios pueden cambiar sus contraseñas cuando inician sesión en el portal de Workspace ONE alhacer clic en el nombre situado en la esquina superior derecha, seleccionar Cuenta en el menúdesplegable y hacer clic en el vínculo Cambiar contraseña. En la aplicación Workspace ONE, losusuarios pueden cambiar las contraseñas al hacer clic en el icono de menú de barra triple y seleccionarContraseña.

Para obtener más información sobre cómo establecer directivas de contraseñas y restablecercontraseñas de usuarios locales, consulte "Administrar usuarios y grupos" en Administración de VMwareIdentity Manager.


n Crear un directorio local

n Cambiar la configuración del directorio local

n Eliminar un directorio local

n Configurar el método de autenticación para los usuarios administradores del sistema

Crear un directorio localPara crear un directorio local, especifique los atributos del usuario para dicho directorio, créelo eidentifíquelo con un proveedor de identidades.

Establecer atributos de usuario a nivel globalAntes de crear un directorio local, revise los atributos de usuario en la página Atributos de usuario y, si esnecesario, agregue atributos personalizados.

Los atributos de usuario, como firstName, lastName, email y domain, son parte del perfil del usuario. Enel servicio de VMware Identity Manager, los atributos de usuario se definen a nivel global y se aplican atodos los directorios del servicio, incluidos los directorios locales. En el nivel del directorio local, puedesobrescribir si desea que un atributo sea obligatorio u opcional para los usuarios en ese directorio, perono puede agregar atributos personalizados. Si un atributo es obligatorio, le debe asignar un valor cuandocree un usuario.

No se pueden utilizar las siguientes palabras cuando cree atributos personalizados.


VMware, Inc. 43

Tabla 5‑1. Palabras que no se pueden usar como nombres de atributos personalizados

active addresses costCenter

department displayName division

emails employeeNumber autorizaciones

externalId grupos id

ims locale manager

meta name nickName

organization contraseña phoneNumber

photos preferredLanguage profileUrl

funciones timezone title

userName userType x509Certificate

NOTA: La capacidad de sobrescribir los atributos de usuario en el nivel del directorio solo se aplica alos directorios locales, no a los directorios LDAP ni Active Directory.

Procedimiento


2 Haga clic en Configuración y, a continuación, en la pestaña Atributos de usuario.

3 Revise la lista de atributos de usuario y, si es necesario, agregue atributos adicionales.

NOTA: Aunque esta página le permite seleccionar los atributos obligatorios, se recomienda quehaga la selección para los directorios locales a nivel de estos directorios. Si un atributo se marcacomo obligatorio en esta página, se aplica a todos los directorios en el servicio, incluidos los deActive Directory o LDAP.



Cree el directorio local.

Crear un directorio localDespués de revisar y establecer los atributos de usuario globales, cree el directorio local.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en la pestaña Directorios.

2 Haga clic en Agregar directorio y seleccione Agregar directorio de usuario local en el menúdesplegable.


VMware, Inc. 44

3 En la página Agregar directorio, introduzca un nombre de directorio y especifique al menos un

nombre de dominio.

El nombre de los dominios debe ser único en todos los directorios del servicio.

Por ejemplo:


5 En la página Directorios, haga clic en el nuevo directorio.


VMware, Inc. 45

6 Haga clic en la pestaña Atributos de usuario.

Aparecen todos los atributos de la página Administración de acceso e identidad > Configuración >Atributos de usuario del directorio local. Los atributos que están seleccionados como obligatorio enesta página también aparecen como obligatorios en la página del directorio local.

7 Personalice los atributos para el directorio local.

Puede especificar los atributos obligatorios y los opcionales. También puede cambiar el orden en elque aparecen los atributos.

IMPORTANTE: Los atributos userName, firstName, lastName y email son siempre obligatorios paralos directorios locales.

n Para que un atributo sea obligatorio, seleccione la casilla de verificación que aparece junto alnombre del atributo.

n Para que un atributo sea opcional, desmarque la casilla de verificación que aparece junto alnombre del atributo.

n Para cambiar el orden de los atributos, haga clic y arrastre el atributo a la nueva posición.

Si un atributo es obligatorio, debe especificar un valor para dicho atributo cuando cree un usuario.

Por ejemplo:


VMware, Inc. 46



Asocie el directorio local al proveedor de identidades que desee usar para autenticar usuarios en eldirectorio.

Asociar el directorio local a un proveedor de identidadesAsocie el directorio local a un proveedor de identidades para que se pueden autenticar los usuarios deldirectorio. Cree un nuevo proveedor de identidades del tipo Incrustado y habilite en él el método deautenticación Contraseña (directorio local).

NOTA: No utilice el proveedor de identidades integrado. No se recomienda habilitar el método deautenticación Contraseña (directorio local) en el proveedor de identidades integrado.


VMware, Inc. 47

Prerequisitos

El método de autenticación de contraseña (directorio Local) debe estar configurado en Administración deacceso e identidad > página Métodos de autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad, haga clic en la pestaña Proveedores deidentidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.

3 Escriba la siguiente información.


Nombre del proveedor de identidades Escriba un nombre para el proveedor de identidades.

Usuarios Seleccione el directorio local que ha creado.

Red Seleccione las redes desde las que se puede acceder a este proveedor deidentidades.

Métodos de autenticación Seleccione Contraseña (directorio local).

Exportación de certificado KDC No es necesario que descargue el certificado, a menos que vaya a configurar elSSO móvil para dispositivos iOS gestionados por AirWatch.

4 Haga clic en Agregar.

El proveedor de identidades se crea y se asocia al directorio local. Podrá configurar otros métodos deautenticación en el proveedor de identidades más adelante. Para obtener más información sobre laautenticación, consulte "Configurar la autenticación de usuario en VMware Identity Manager" enAdministración de VMware Identity Manager.

Puede usar el mismo proveedor de identidades para varios directorios locales.


VMware, Inc. 48


Crear grupos y usuarios locales. Puede crear grupos y usuarios locales en la pestaña Usuarios ygrupos de la consola de administración. Consulte "Administrar usuarios y grupos" en Administración deVMware Identity Manager para obtener más información.

Cambiar la configuración del directorio localDespués de crear un directorio local, puede modificar su configuración en cualquier momento.

Puede cambiar las siguientes opciones:

n Cambiar el nombre del directorio.

n Agregar, eliminar o cambiar el nombre de los dominios.

n Los nombres de los dominios deben ser únicos en todos los directorios del servicio.

n Cuando cambia un nombre de dominio, los usuarios que estaban asociados al dominio antiguose asocian al nuevo.

n El directorio debe tener un dominio al menos.

n No puede agregar un dominio al directorio del sistema ni eliminar el dominio del sistema.

n Agregar nuevos atributos de usuarios o establecer un atributo existente como obligatorio u opcional.

n Si el directorio local no cuenta con ningún usuario aún, puede agregar nuevos atributos comoobligatorios u opcionales y cambiar estas categorías en los existentes.

n Si ya creó usuarios en el directorio local, solo puede agregar nuevos atributos como opcionales ycambiar los existentes de obligatorios a opcionales. No puede cambiar un atributo opcional aobligatorio después de crear los usuarios.

n Los atributos userName, firstName, lastName y email son siempre obligatorios para losdirectorios locales.

n Como los atributos de los usuarios se definen en el nivel global del servicio de VMware IdentityManager, los nuevos atributos que agregue aparecerán en todos los directorios del servicio.

n Cambiar el orden en el que aparecen los atributos.

Procedimiento

1 Haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el directorio que desea editar.


VMware, Inc. 49

3 Edite la configuración del directorio local.

Opción Acción

Cambiar el nombre del directorio a En la pestaña Configuración, edite el nombre del directorio.

b Haga clic en Guardar.

Agregar, eliminar o cambiar el nombrede un dominio

a En la pestaña Configuración, edite la lista Dominios.

b Para agregar un dominio, haga clic en el icono verde del símbolo más.

c Para eliminar un dominio, haga clic en el icono rojo.

d Para cambiar el nombre de un dominio, edítelo en el cuadro de texto.

Agregar atributos de usuario en eldirectorio

a Haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en Configuración.

b Haga clic en la pestaña Atributos de usuario.

c Agregue los atributos en la lista Agregar otros atributos que desee utilizary haga clic en Guardar.

Establecer un atributo comoobligatorio u opcional para eldirectorio

a En la pestaña Administración de acceso e identidad, haga clic enDirectorios.

b Haga clic en el nombre del directorio local y, a continuación, en la pestañaAtributos de usuario.

c Marque la casilla que aparece junto a un atributo para que sea obligatorio odesmárquela para que sea opcional.

d Haga clic en Guardar.

Cambiar el orden de los atributos a En la pestaña Administración de acceso e identidad, haga clic enDirectorios.

b Haga clic en el nombre del directorio local y, a continuación, en la pestañaAtributos de usuario.

c Haga clic y arrastre el atributo a su nueva posición.

d Haga clic en Guardar.

Eliminar un directorio localPuede eliminar un directorio local que creó en el servicio de VMware Identity Manager. No puedeeliminar el directorio del sistema, que se creó de forma predeterminada cuando configuró por primera vezel servicio.

ADVERTENCIA: Cuando elimina un directorio, todos los usuarios de dicho directorio también seeliminan del servicio.

Procedimiento

1 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaDirectorios.

2 Haga clic en el directorio que desea eliminar.

3 En la página de directorios, haga clic en Eliminar directorio.


VMware, Inc. 50

Configurar el método de autenticación para los usuariosadministradores del sistemaEl método de autenticación predeterminado para que los usuarios administradores inicien sesión desdeel directorio del sistema es Contraseña (directorio local). La directiva de acceso predeterminada seconfigura con Contraseña (directorio local) como método de reserva para que los administradorespuedan iniciar sesión en la consola de administración de VMware Identity Manager y el portal deWorkspace ONE.

Si crea directivas de acceso para aplicaciones Web y de escritorio específicas para las que losadministradores de sistema estén autorizados, estas directivas deben estar configuradas para incluirContraseña (directorio local) como método de autenticación de reserva. De lo contrario, losadministradores no pueden iniciar sesión en la aplicación.


VMware, Inc. 51

Aprovisionamiento de usuariosJust-in-Time 6El aprovisionamiento de usuarios Just-in-Time permite crear usuarios en el servicio de VMware IdentityManager dinámicamente en el momento e iniciar la sesión, mediante aserciones de SAML enviadas porun proveedor de identidades externo. El aprovisionamiento de usuarios Just-in-Time solo está disponiblepara proveedores de identidades externos. No se encuentra disponible para el conector de VMwareIdentity Manager.

Este capítulo cubre los siguientes temas:n Acerca del aprovisionamiento de usuarios Just-in-Time

n Preparar el aprovisionamiento Just-in-Time

n Configurar el aprovisionamiento de usuarios Just-in-Time

n Requisitos para las aserciones SAML

n Deshabilitación del aprovisionamiento de usuarios Just-in-Time

n Eliminar un directorio Just-in-Time

n Mensajes de error

Acerca del aprovisionamiento de usuarios Just-in-TimeEl aprovisionamiento Just-in-Time es otra manera de aprovisionar usuarios en el servicio VMware IdentityManager. En lugar de sincronizar usuarios de una instancia de Active Directory, con el aprovisionamientoJust-in-Time los usuarios se crean y actualizan dinámicamente al iniciar la sesión, de acuerdo con lasaserciones SAML enviadas por el proveedor de identidades.

En este caso, VMware Identity Manager actúa como proveedor del servicio (SP) SAML.

La configuración Just-in-Time solo se puede configurar para otros proveedores de identidades. No estádisponible para el conector.

Con la configuración Just-in-Time no es necesario instalar un conector, ya que todas las tareas decreación y administración de usuarios se realizan mediante aserciones SAML y la autenticación medianteel otro proveedor de identidades.

VMware, Inc. 52

Creación y administración de usuariosSi el aprovisionamiento de usuarios Just-in-Time está habilitado, cuando un usuario accede a la páginade inicio de sesión del servicio VMware Identity Manager y selecciona un dominio, la página redirige alusuario al proveedor de identidades correcto. El usuario inicia la sesión y el proveedor de identidades leautentica y le redirige de nuevo al servicio VMware Identity Manager con una aserción SAML. Losatributos de la aserción SAML se utilizan para crear al usuario en el servicio. Solo se utilizan los atributosque coincidan con los atributos de usuario definidos en el servicio; los demás atributos se ignoran. Elusuario también se agrega a grupos en función de los atributos y recibe las autorizaciones establecidaspara esos grupos.

En inicios de sesión posteriores, si se produce algún cambio en la aserción SAML, se actualizará alusuario en el servicio.

Los usuarios aprovisionados por Just-in-Time no se pueden eliminar. Para eliminar usuarios, se debeeliminar el directorio Just-in-Time.

Tenga en cuenta que toda la administración de usuarios se realiza mediante aserciones SAML. No sepueden crear ni actualizar estos usuarios directamente desde el servicio. Los usuarios de Just-in-Time nose pueden sincronizar desde Active Directory.

Para obtener información sobre los atributos requeridos en la aserción SAML, consulte Requisitos paralas aserciones SAML

Directorio Just-in-TimeEl otro proveedor de identidades debe tener un directorio Just-in-Time asociado a él en el servicio.

Al habilitar el aprovisionamiento Just-in-Time para un proveedor de identidades, se debe crear un nuevodirectorio Just-in-Time y especificar uno o más dominios para este directorio. Los usuarios quepertenecen a estos dominios se aprovisionan al directorio. Si hay varios dominios configurados para eldirectorio, las aserciones SAML deben incluir un atributo de dominio. Si solo se configura un dominiopara el directorio, no se necesita ningún atributo de dominio en las aserciones SAML, pero si seespecifica su valor debe coincidir con el nombre del dominio.

Solo se puede asociar un directorio de tipo Just-in-Time a un proveedor de identidades que tengahabilitado el aprovisionamiento Just-in-Time.

Preparar el aprovisionamiento Just-in-TimeAntes de configurar el aprovisionamiento de usuarios Just-in-Time, revise los grupos, las autorizacionesde grupos y los valores de los atributos de usuario y realice los cambios que sean necesarios. Identifiquetambién los dominios que desea utilizar para el directorio de Just-in-Time.


VMware, Inc. 53

Crear grupos localesLos usuarios aprovisionados a través del aprovisionamiento Just-in-Time se agregan a los grupos enfunción de los atributos de usuario. Derivan las autorizaciones de los recursos desde los grupos a losque pertenecen. Antes de configurar el aprovisionamiento Just-in-Time, asegúrese de que tiene gruposlocales en el servicio. Cree uno o varios grupos locales en función de sus necesidades. Para cada grupo,establezca las reglas de la pertenencia a grupos y agregue autorizaciones.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Usuarios y grupos.

2 Haga clic en Crear grupo, proporcione un nombre y una descripción para el grupo, y haga clic enAgregar.

3 En la página Grupos, haga clic en el grupo nuevo.

4 Establezca los usuarios del grupo.

a En el panel izquierdo, seleccione Usuarios de este grupo.

b Haga clic en Modificar los usuarios de este grupo y establezca las reglas para la pertenenciaa grupos.

5 Agregue autorizaciones al grupo.

a En el panel izquierdo, seleccione Autorizaciones.

b Haga clic en la opción de agregar autorizaciones y seleccione las aplicaciones y el método deimplementación de cada aplicación.

c Haga clic en Guardar.

Revisar atributos de usuarioRevise los atributos de usuario configurados para todos los directorios de VMware Identity Manager en lapágina de atributos de usuario y modifíquelos si es necesario. Al aprovisionar un usuario mediante Just-in-Time, la aserción SAML se utiliza para crear el usuario. Solo se utilizan los atributos de la aserciónSAML que coincidan con los atributos indicados en la página de atributos de usuario.

IMPORTANTE: Si un atributo está marcado como obligatorio en la página de atributos de usuario, laaserción SAML debe incluir el atributo o, de lo contrario, no se iniciará la sesión.

Al cambiar los atributos de usuario, considere sus efectos en otros directorios y configuraciones de suarrendatario. La página de atributos de usuario se aplica a todos los directorios del arrendatario.

NOTA: No es necesario marcar el atributo domain obligatorio.

Procedimiento



VMware, Inc. 54

2 Haga clic en Configuración y en Atributos de usuario.

3 Revise los atributos y haga los cambios que sean necesarios.

Configurar el aprovisionamiento de usuarios Just-in-TimeEl aprovisonamiento de usuarios Just-in-Time para un proveedor de identidades externo se debeconfigurar al crear o actualizar un proveedor de identidades del servicio VMware Identity Manager.

Cuando habilite el aprovisionamiento Just-in-Time, debe crear un nuevo directorio Just-in-Time yespecificar uno o varios dominios de este directorio. Los usuarios que pertenecen a estos dominios seagregan al directorio.

Debe especificar al menos un dominio. El nombre del dominio debe ser único en todos los directorios delservicio VMware Identity Manager. Si especifica varios dominios, las aserciones SAML deben incluir elatributo del dominio. Si especifica un solo dominio, este se utilizará como dominio de aserciones SAMLsin un atributo de dominio. Si se especifica un atributo de dominio, su valor debe coincidir con uno de losdominios. De lo contrario, se producirá un error en el inicio de sesión.

Procedimiento

1 Inicie sesión en la consola de administración del servicio VMware Identity Manager.


VMware, Inc. 55

2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Proveedoresde identidades.

3 Haga clic en Agregar proveedor de identidades o seleccione un proveedor de identidades.

4 En la sección Aprovisionamiento de usuarios Just-in-Time haga clic en Habilitar.

5 Especifique la siguiente información.

n Un nombre para el nuevo directorio Just-in-Time

n Uno o más dominios

IMPORTANTE: Los nombres de los dominios deben ser únicos en todos los directorios delarrendatario.

Por ejemplo:

6 Complete el resto de la página y haga clic en Agregar o Guardar. Para obtener información,

consulte Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios.

Requisitos para las aserciones SAMLSi el aprovisionamiento de usuarios Just-in-Time está habilitado para un proveedor de identidadesexterno, los usuarios se crean o actualizan en el servicio VMware Identity Manager durante el inicio desesión basándose en las aserciones SAML. Las aserciones SAML que envíe el proveedor de identidadesdeben contener ciertos atributos.

n La aserción SAML debe incluir el atributo userName.

n La aserción SAML debe incluir todos los atributos de usuario marcados como requeridos en elservicio VMware Identity Manager.


VMware, Inc. 56

Para ver o editar los atributos de usuario en la consola de administración, en la pestañaAdministración de acceso e identidad haga clic en Configuración y, a continuación, en Atributosde usuario.

IMPORTANTE: Asegúrese de que las claves de la aserción SAML coincidan exactamente con losnombres de atributo, incluyendo mayúsculas/minúsculas.

n Si se configuran varios dominios para el directorio de Just-In-Time, la aserción SAML debe incluir elatributo domain. El valor del atributo debe coincidir con uno de los dominios configurados para eldirectorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión.

n Si se configura un solo dominio para el directorio Just-In-Time, la especificación del atributo domainen la aserción SAML es opcional.

Si especifica el atributo domain, asegúrese de que su valor coincida con el dominio configurado parael directorio. Si la aserción SAML no contiene ningún atributo de dominio, se asociará al usuario conel dominio configurado para el directorio.

n Si desea permitir la actualización de nombres de usuario, incluya el atributo ExternalId en laaserción SAML. El usuario se identificará mediante ExternalId. Si en inicios de sesión posterioresla aserción SAML contiene un nombre diferente, se seguirá identificando correctamente al usuario, lasesión se iniciará y el nombre de usuario se actualizará en el servicio Identity Manager.

Los atributos de la aserción SAML se utilizan para crear o actualizar usuario como se indica acontinuación.

n Se utilizan los atributos obligatorios u opcionales del servicio Identity Manager (como aparecen en lapágina de atributos de usuario).

n Los atributos que no coinciden con ninguno de los atributos de la página de atributos de usuario seignoran.

n Los atributos sin ningún valor se ignoran.

Deshabilitación del aprovisionamiento de usuarios Just-in-TimePuede deshabilitar el aprovisionamiento de usuarios Just-in-Time. Cuando la opción está deshabilitada,no se crean nuevos usuarios y los existentes no se actualizan durante el inicio de sesión. Los usuariosexistentes se siguen autenticando mediante el proveedor de identidades.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en Proveedores de identidades.

2 Haga clic en el proveedor de identidades que desee editar.

3 En la sección Aprovisionamiento de usuarios Just-in-Time, anule la selección de la casillaHabilitar.


VMware, Inc. 57

Eliminar un directorio Just-in-TimeUn directorio Just-in-Time es el directorio asociado a un proveedor de identidades externo que tienehabilitado el aprovisionamiento de usuarios Just-in-Time. Al eliminar el directorio, todos los usuarios delmismo se eliminarán y la configuración Just-in-time se deshabilitará. Dado que un proveedor deidentidades Just-in-Time solo puede tener un directorio único, al eliminar dicho directorio, el proveedor deidentidades ya no se podrá utilizar.

Si desea volver a habilitar la configuración Just-in-Time para el proveedor de identidades, deberá crearun nuevo directorio.

Procedimiento


2 En la página Directorios, busque el directorio que desea eliminar.

Para identificar los directorios Just-in-Time, busque por tipo de directorio en la columna Tipo.

3 Haga clic en el nombre del directorio.

4 Haga clic en Eliminar directorio.

Mensajes de errorLos administradores o usuarios finales pueden ver errores relacionados con el aprovisionamiento Just-in-Time. Por ejemplo, si falta un atributo en la aserción de SAML, se produce un error y el usuario no puedeiniciar sesión.

Se pueden mostrar los errores siguientes en la consola de administración:


VMware, Inc. 58

Mensaje de error Solución

Si el aprovisionamiento de usuario JIT

está habilitado, se debe asociar al menos

un directorio a este proveedor de

identidades.

No hay ningún directorio asociado con el proveedor de identidades. Unproveedor de identidades con la opción de aprovisionamiento Just-in-Time debe tener un directorio Just-in-Time asociado a él.

1 En la pestaña Administración de acceso e identidad de laconsola de administración, haga clic en Proveedores deidentidades y, a continuación, seleccione el que desee.

2 En la sección Aprovisionamiento de usuarios Just-in-Time,especifique un nombre de directorio y uno o más dominios.

3 Haga clic en Guardar.Se creará un directorio Just-in-Time.

Se pueden mostrar los errores siguientes en la página de inicio de sesión:

Mensaje de error Solución

Falta el atributo de usuario: nombre. Falta un atributo de usuario obligatorio en la aserción de SAMLenviada por el proveedor de identidades externo. Todos losatributos marcados como obligatorios en la página Atributos deusuario se deben incluir en la aserción de SAML. Modifique laconfiguración del proveedor de identidades externo paraenviar las aserciones de SAML correctas.

Falta el dominio y no se puede inferir. La aserción de SAML no incluye el atributo de dominio y no sepuede determinar el dominio. Se requiere un atributo dedominio en los casos siguientes:n Si se han configurado varios dominios para el directorio

Just-in-Time.n Si se ha marcado un dominio como un atributo obligatorio

en la página Atributos de usuario.

Si se especifica un atributo de dominio, su valor debe coincidircon uno de los dominios especificados para el directorio.

Modifique la configuración del proveedor de identidadesexterno para enviar las aserciones de SAML correctas.

Nombre de atributo: nombre, valor: valor. El atributo de la aserción de SAML no coincide con ninguno delos atributos de la página Atributos de usuario del arrendatarioy se ignorará.

Error al crear o actualizar un usuario JIT. No se pudo crear el usuario en el servicio. Entre las posiblescausas se encuentran las siguientes:n Falta un atributo obligatorio en la aserción de SAML.

Revise los atributos de la página Atributos de usuario yasegúrese de que la aserción de SAML incluya todos losatributos que están marcados como obligatorios.

n No se pudo determinar el dominio del usuario.

Especifique el atributo de dominio en la aserción de SAMLy asegúrese de que su valor coincide con uno de losdominios configurados para el directorio Just-in-Time.


VMware, Inc. 59

Administrar la experiencia deinicio de sesión del usuario 7De forma predeterminada, la experiencia de los usuarios que inician sesión en el portal de WorkspaceONE desde VMware Identity Manager es seleccionar el dominio al que pertenecen en la primera páginade inicio de sesión que se muestra.

VMware Identity Manager muestra la página de autenticación en función de las reglas de directiva deacceso configuradas para ese dominio.

Los usuarios se identifican de manera única mediante sus nombres de usuario y sus dominios. Como losusuarios seleccionan su dominio primero, aquellos que tienen el mismo nombre de usuario, pero endiferentes dominios, pueden iniciar sesión correctamente. Por ejemplo, puede haber un usuario juan enel dominio ing.ejemplo.com, y otro usuario juan en el dominio ventas.ejemplo.com


n Experiencia de inicio de sesión con identificador único

n Configurar el inicio de sesión basado en identificador único

n Requerir las condiciones de uso para obtener acceso al catálogo de Workspace ONE

Experiencia de inicio de sesión con identificador únicoSi no desea exigir que los usuarios seleccionen su dominio antes de iniciar sesión, oculte la página desolicitud de dominio. A continuación, seleccione un identificador único para distinguir los usuarios de todala organización.

Cuando los usuarios inician sesión, se muestra una página donde se les solicita que especifiquen suidentificador único. VMware Identity Manager intenta encontrar el usuario en la base de datos interna.Cuando el servicio de VMware Identity Manager busca el identificador, la información encontrada incluyeel dominio al que pertenece el usuario. La página de autenticación que se muestra se basa en las reglasde directiva de acceso de ese dominio.

El identificador único puede ser un nombre de usuario, una dirección de correo electrónico, UPN o ID deempleado. Seleccione el identificador que desea usar en la página Administración de acceso e identidad> Preferencias. Se debe asignar el atributo de identificador único en la página Atributos de usuario y sedebe sincronizar desde Active Directory.

Si se encuentran varios usuarios que coinciden con el identificador y no se puede determinar un usuarioúnico, se muestra un mensaje de error. Si no se encuentra ningún usuario, se muestra la página de iniciode sesión de usuario local para evitar posibles ataques de enumeración de nombre de usuario.

VMware, Inc. 60

Configurar el inicio de sesión basado en identificadorúnicoHabilite la opción de identificador único para ver las páginas de inicio de sesión basadas en identificador.Se les solicita a los usuarios que introduzcan su identificador único y, a continuación, que introduzcan laautenticación apropiada en función de las reglas de directiva de acceso configuradas.

Prerequisitos

n Seleccione el atributo de usuario de identificador único que se utilizará en la página Administraciónde acceso e identidad > Atributos de usuario. Asegúrese de que el atributo solo se use paraidentificar objetos únicos.

n Asegúrese de que los atributos seleccionados se sincronicen con el directorio.

n Compruebe que las reglas de directiva de acceso predeterminadas para los dominios de usuarioreflejen el tipo de autenticación que se usará cuando el inicio de sesión basado en identificador seencuentre disponible.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enPreferencias.

2 Para ocultar la página de inicio de sesión de selección de dominio, marque la casilla de verificaciónHabilitar.

3 Seleccione el identificador único que desea usar en el menú desplegable. Las opciones son nombrede usuario, correo electrónico, UPN o ID de empleado.


Requerir las condiciones de uso para obtener acceso alcatálogo de Workspace ONEPuede escribir sus propias condiciones de uso de Workspace ONE para la organización y asegurarse deque el usuario final acepte estas condiciones de uso antes de utilizar Workspace ONE.

Las condiciones de uso se muestran después de que el usuario inicia sesión en Workspace ONE. Losusuarios deben aceptar las condiciones de uso antes de ir a su catálogo de Workspace ONE.

La función Condiciones de uso incluye las siguientes opciones de configuración.

n Crear versiones de condiciones de uso existentes.

n Editar las condiciones de uso.

n Crear varias condiciones de uso que se muestren en función del tipo de dispositivo.

n Crear copias específicas para cada idioma de las condiciones de uso.


VMware, Inc. 61

Las directivas de condiciones de uso que se configuran se indican en la pestaña Administración deacceso e identidad. Puede editar la directiva de condiciones de uso para realizar una corrección en ladirectiva existente o crear una nueva versión de la directiva. Al agregar una nueva versión de lascondiciones de uso, se reemplazan las condiciones de uso existentes. La edición de una directiva nocambia la versión de las condiciones de uso.

Puede ver el número de usuarios que aceptaron o rechazaron las condiciones de uso desde la páginaCondiciones de uso. Haga clic en el número aceptado o rechazado para ver una lista de los usuarios ysu estado.

Configurar y habilitar las condiciones de usoEn la página Condiciones de uso, agregue la directiva de condiciones de uso y configure los parámetrosde uso. Después de agregar las condiciones de uso, habilite la opción Condición de uso. Cuando losusuarios inicien sesión en Workspace ONE, deberán aceptar las condiciones de uso para acceder a sucatálogo.

Prerequisitos

El texto de la directiva de condiciones de uso en formato HTML para copiarlo y pegarlo en el cuadro detexto de contenido Condiciones de uso. Puede agregar condiciones de uso en inglés, alemán, español,francés, italiano y holandés.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Condiciones de uso.

2 Haga clic en Agregar condiciones de uso.

3 Introduzca un nombre descriptivo para las condiciones de uso.

4 Seleccione Cualquiera si la directiva de condiciones de uso es para todos los usuarios. Para utilizardirectivas de condiciones de uso por tipo de dispositivo, elija Plataformas de dispositivosseleccionadas y seleccione los tipos de dispositivos que deben mostrar esta directiva decondiciones de uso.

5 De forma predeterminada, el idioma de las condiciones de uso que se muestra primero depende dela configuración de preferencias de idioma de cada explorador. Introduzca el contenido de lascondiciones de uso para el idioma predeterminado en el cuadro de texto.


Para agregar una directiva de condiciones de uso en otro idioma, haga clic en Agregar idioma yseleccione otro idioma. Se actualizará el cuadro de texto de contenido Condiciones de uso y sepodrá agregar texto en el cuadro de texto.

Puede arrastrar el nombre de los idiomas para establecer el orden en el que se deben mostrar lascondiciones de uso.


VMware, Inc. 62

7 Para comenzar a usar las condiciones de uso, haga clic en Habilitar condiciones de uso en lapágina que se muestra.


Si seleccionó un tipo de dispositivo específico para las condiciones de uso, puede crear condiciones deuso adicionales para los otros tipos de dispositivos.

Ver el estado de aceptación de las condiciones de usoLas directivas de condiciones de uso que se enumeran en la página Administración de acceso eidentidad > Condiciones de uso muestran el número de usuarios que aceptaron o rechazaron la directiva.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Condiciones de uso.

2 En la columna Aceptar/Rechazar, haga clic en el número de Aceptada a la izquierda o el número deRechazada a la derecha.

Una página de estado muestra la acción realizada, ya sea aceptada o rechazada, con el nombre deusuario, el identificador de dispositivo, la versión de la directiva visualizada, la plataforma utilizada yla fecha.

3 Haga clic en Cancelar para cerrar la vista.


VMware, Inc. 63

Configurar la autenticación deusuario deVMware Identity Manager 8VMware Identity Manager es compatible con varios métodos de autenticación. Es posible configurar unmétodo de autenticación único y configurar una autenticación encadenada en dos fases. También esposible utilizar un método de autenticación externo a los protocolos SAML y RADIUS.

La instancia del proveedor de identidades que utiliza con los servicios de VMware Identity Manager creauna entidad de federación en red que se comunica con el servicio utilizando aserciones de SAML 2.0.

Cuando implementa inicialmente el servicio de VMware Identity Manager, el conector es el proveedor deidentidades inicial del servicio. La infraestructura existente de Active Directory se utiliza para la gestión yla autenticación del usuario.

Se admiten los siguientes métodos de autenticación. Puede configurar estos métodos de autenticacióndesde la consola de administración.

Métodos deautenticación Descripción

Contraseña(implementación en lasinstalaciones)

Sin ninguna configuración después de haber configurado Active Directory, VMware Identity Manageradmite la autenticación con contraseña en Active Directory. Con este método, los usuarios seautentican directamente en Active Directory.

Kerberos paraescritorios

La autenticación de Kerberos proporciona acceso al portal de aplicaciones a los usuarios de dominioque cuentan con un inicio de sesión único. No es necesario que los usuarios vuelvan a iniciar sesiónen el portal de aplicaciones después de hacerlo en la red. Se pueden configurar dos métodos deautenticación de Kerberos: la autenticación de Kerberos para escritorios con autenticación deWindows integrada y la autenticación de Kerberos integrado para dispositivos móviles con iOS 9cuando se configura una relación de confianza entre Active Directory y AirWatch.

Certificado(implementación en lasinstalaciones)

Se puede configurar la autenticación basada en certificados para permitir que los clientes seautentiquen con certificados desde su escritorio y dispositivos móviles, o bien para utilizar unadaptador de tarjeta inteligente para la autenticación.

La autenticación basada en certificados se basa en lo que tiene el usuario y en lo que sabe lapersona. Un certificado X.509 utiliza el estándar de infraestructura de clave pública para comprobarque una clave pública contenida en el certificado pertenezca al usuario.

RSA SecurID(implementación en lasinstalaciones)

Cuando está configurada la autenticación RSA SecurID, VMware Identity Manager se configura comoagente de autenticación en el servidor RSA SecurID. La autenticación RSA SecurID requiere que losusuarios utilicen un sistema de autenticación basado en tokens. RSA SecurID es un método deautenticación para los usuarios que obtienen acceso a VMware Identity Manager desde fuera de lared empresarial.

VMware, Inc. 64

Métodos deautenticación Descripción

RADIUS(implementación en lasinstalaciones)

La autenticación RADIUS proporciona opciones de autenticación en dos fases. Se configura elservidor RADIUS que sea accesible para el servicio VMware Identity Manager. Cuando los usuariosinician sesión con su nombre de usuario y código de acceso, se envía una solicitud de acceso alservidor RADIUS para la autenticación.

Autenticaciónadaptativa de RSA(implementación en lasinstalaciones)

La autenticación RSA proporciona una autenticación multifactor más segura que la que solo usa unnombre de usuario y una contraseña en Active Directory. Si se habilita la autenticación adaptativa deRSA, los indicadores de riesgo especificados en la directiva de riesgos se configuran en la aplicaciónde administración de directivas de RSA. La configuración del servicio VMware Identity Manager de laautenticación adaptativa se utiliza para determinar la autenticación necesaria.

SSO móvil (para iOS) La autenticación SSO móvil para iOS se utiliza para una autenticación Single Sign-On en losdispositivos iOS administrados por AirWatch. La autenticación SSO móvil (para iOS) utiliza un centrode distribución de claves (KDC, Key Distribution Center) que es parte del servicio de Identity Manager.Debe iniciar el servicio KDC en VMware Identity Manager antes de habilitar el método deautenticación.

SSO móvil (paraAndroid)

El SSO móvil para la autenticación de Android se utiliza para la autenticación Single Sign-On en losdispositivos Android gestionados por AirWatch. Se configura un servicio de proxy entre el servicio deVMware Identity Manager y AirWatch para recuperar el certificado desde AirWatch para laautenticación.

Contraseña (AirWatchConnector)

AirWatch Cloud Connector puede tener integrado el servicio de VMware Identity Manager para laautenticación de la contraseña del usuario. Configure el servicio de VMware Identity Manager parasincronizar los usuarios desde el directorio de AirWatch.

VMware Verify VMware Verify se puede utilizar como el segundo método de autenticación cuando sea necesario unmétodo de autenticación en dos fases. El primer método de autenticación es el nombre de usuario y lacontraseña y el segundo es un código o una aprobación de solicitud de VMware Verify.

VMware Verify utiliza un servicio de terceros en la nube para enviar esta función a los dispositivos delos usuarios. Para ello, la información de los usuarios, como el nombre, el correo electrónico y elnúmero de teléfono, se almacenan en el servicio, pero solo se utiliza con el fin de enviar esta función.

Contraseña (directoriolocal)

El método Contraseña (directorio local) se habilita de forma predeterminada en el proveedor deidentidades IDP del sistema usado con el directorio del sistema. Se aplica a la directiva de accesopredeterminada.

Después de configurar los métodos de autenticación, crea reglas de directivas de acceso queespecifiquen los métodos de autenticación que se debe utilizar según el tipo de dispositivo. Los usuariosse autentican siguiendo los métodos de autenticación, la reglas de la directiva de acceso por defecto, losrangos de la red y la instancia del proveedor de identidades de identidad que configura. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.


n Configurar Kerberos para VMware Identity Manager

n Configurar SecurID para VMware Identity Manager

n Configurar RADIUS para VMware Identity Manager

n Configurar la autenticación adaptativa de RSA en VMware Identity Manager

n Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware IdentityManager


VMware, Inc. 65

n Configurar VMware para la autenticación en dos fases

n Usar proveedores de identidades integrados

n Configurar proveedores de identidades adicionales de Workspace

n Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios

n Administrar métodos de autenticación que se apliquen a los usuarios

Configurar Kerberos para VMware Identity ManagerLa autenticación de Kerberos proporciona acceso al portal de aplicaciones sin solicitudes adicionales decredenciales a los usuarios que iniciaron sesión en su dominio correctamente.

El protocolo de autenticación de Kerberos se puede configurar en el servicio de Identity Manager para losescritorios con autenticación de Windows integrada con el fin de proteger las interacciones entre losnavegadores de los usuarios y el servicio de Identity Manager, así como para el inicio de sesión únicocon un solo toque en los dispositivos móviles con iOS 9 administrados en AirWatch. Para obtener másinformación sobre la autenticación de Kerberos en dispositivos con iOS 9, consulte Implementar laautenticación Single Sign-On móvil para los dispositivos iOS administrados por AirWatch.

Implementación de Kerberos para escritorios con autenticaciónIWAPara configurar la autenticación de Kerberos para escritorios, tiene que habilitar la autenticación IWA(Integrated Windows Authentication, Autenticación integrada en Windows) para permitir que el protocolode Kerberos proteja las interacciones entre los navegadores de los usuarios y el servicio de IdentityManager.

Cuando se habilita la autenticación de Kerberos para los escritorios, el servicio de Identity Managervalida las credenciales de escritorio del usuario mediante los tickets de Kerberos distribuidos por elcentro de distribución de claves (KDC, Key Distribution Center) implementado como un servicio dedominios en Active Directory. No es necesario configurar Active Directory directamente para queKerberos funcione con la implementación existente.

Debe configurar los navegadores web para enviar sus credenciales de Kerberos al servicio cuando losusuarios inician la sesión. Consulte Configurar el navegador para Kerberos.

Configurar la autenticación de Kerberos para escritorios con autenticación deWindows integradaPara configurar el servicio VMware Identity Manager para que proporcione autenticación de Kerberos enlos escritorios, debe unirse al dominio y habilitar la autenticación de Kerberos en el conector deVMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneConfiguración.


VMware, Inc. 66

2 En la página Conectores, para el conector que se esté configurando para la autenticación Kerberos,haga clic en Unirse a dominio.

3 En la página Unirse a dominio, escriba la información del dominio de Active Directory.


Dominio Introduzca el nombre de dominio completo de Active Directory. Este nombre de dominio debe coincidir conel dominio de Windows del servidor del conector.

Usuario dedominio

Introduzca el nombre de usuario de una cuenta de Active Directory que tenga permisos para unir sistemasa ese dominio de Active Directory.

Contraseñade dominio

Introduzca la contraseña asociada al nombre de usuario de AD. Esta contraseña no se almacena enVMware Identity Manager.

Haga clic en Guardar.

Se actualiza la página Unirse a dominio y se muestra un mensaje que indica que está unido aldominio.

4 En la columna Trabajo del conector, haga clic en Adaptadores de autenticación.

5 Haga clic en KerberosIdpAdapter.

Se le redirige a la página de inicio de sesión del administrador de identidades.

6 Haga clic en Editar en la fila de KerberosldpAdapter y configure la página de la autenticaciónKerberos.


Nombre Es necesario un nombre. El nombre predeterminado es KerberosIdpAdapter. Puede cambiarlo.

Atributo deUID dedirectorio

Introduzca el atributo de cuenta que contiene el nombre de usuario.

Habilitarautenticaciónde Windows

Seleccione esta opción para extender las interacciones de autenticación entre los navegadores de losusuarios y VMware Identity Manager.

HabilitarNTLM

Seleccione esta opción para habilitar la autenticación basada en el protocolo NT LAN Manager (NTLM)únicamente si la infraestructura de su entorno de Active Directory emplea la autenticación NTLM.

Habilitarredireccionamiento

Seleccione esta opción si DNS de round robin y los equilibradores de carga no son compatibles conKerberos. Las solicitudes de autenticación se redirigen al nombre del host de redireccionamiento. Si seselecciona esta opción, escriba el nombre del host de redireccionamiento en el cuadro de texto Nombredel host de redireccionamiento. Suele tratarse del nombre del host del servicio.



Añada el método de autenticación a la política de acceso predeterminada. Vaya a la páginaAdministración de acceso e identidades > Administrar > Políticas y edite las reglas de la políticapredeterminada para añadir el método de autenticación Kerberos a la regla en el orden de autenticacióncorrecto.


VMware, Inc. 67

Configurar el navegador para KerberosCuando se habilita Kerberos, debe configurar los navegadores web para enviar sus credenciales deKerberos al servicio cuando los usuarios inician sesión.

Puede configurar los siguientes navegadores web para enviar sus credenciales de Kerberos al serviciode Identity Manager en ordenadores con Windows (Firefox, Internet Explorer y Chrome). Todos losnavegadores requieren configuración adicional.

Configurar Internet Explorer para acceder a la interfaz web

Debe configurar Internet Explorer si Kerberos está configurado para la implementación y si deseaconceder a los usuarios acceso a la interfaz web mediante Internet Explorer.

La autenticación de Kerberos opera conjuntamente con VMware Identity Manager en sistemas operativosWindows.

NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.

Prerequisitos

Configure Internet Explorer para cada usuario o envíe las instrucciones a los usuarios después deconfigurar Kerberos.

Procedimiento

1 Compruebe que ha iniciado sesión en Windows como usuario del dominio.

2 En Internet Explorer, habilite el inicio de sesión automático.

a Seleccione Herramientas > Opciones de Internet > Seguridad.

b Haga clic en Nivel personalizado.

c Seleccione Inicio de sesión automático solo en la zona Intranet.

d Haga clic en Aceptar.

3 Compruebe que esta instancia del dispositivo virtual del conector forma parte de la zona intranetlocal.

a Use Internet Explorer para acceder a la URL de inicio de sesión de VMware Identity Manager enhttps://myconnectorhost.domain/authenticate/.

b Busque la zona en la esquina inferior derecha de la barra de estado de la ventana del explorador.

Si la zona es Intranet local, se ha completado la configuración de Internet Explorer.


VMware, Inc. 68

4 Si la zona no es Intranet local, añada la URL de inicio de sesión de VMware Identity Manager a lazona intranet.

a Seleccione Herramientas > Opciones de Internet > Seguridad > Intranet local > Sitios.

b Seleccione Detectar redes intranet automáticamente.

Si esta opción no estaba seleccionada, selecciónela para añadir el a la zona intranet.

c (Opcional) Si seleccionó Detectar redes intranet automáticamente, haga clic en Aceptar hastaque se cierren todos los cuadros de diálogo.

d En el cuadro de diálogo Intranet local, haga clic en Opciones avanzadas.

Aparece un segundo cuadro de diálogo denominado Intranet local.

e Escriba la URL de VMware Identity Manager en el cuadro de texto Agregar este sitio web a lazona de.

https://myconnectorhost.domain/authenticate/

f Haga clic en Agregar > Cerrar > Aceptar.

5 Compruebe que Internet Explorer tiene permiso para enviar la autenticación de Windows al sitio deconfianza.

a En el cuadro de diálogo Opciones de Internet, haga clic en la pestaña Opciones avanzadas.

b Seleccione Habilitar autenticación integrada de Windows.

Esta opción solo surtirá efecto tras reiniciar Internet Explorer.

c Haga clic en Aceptar.

6 Inicie sesión en la interfaz web para comprobar el acceso.

Si la autenticación de Kerberos se realizó correctamente, la URL de prueba abre la interfaz web.

El protocolo Kerberos protege todas las interacciones entre esta instancia de Internet Explorer yVMware Identity Manager. Los usuarios ya podrán utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar Firefox para acceder a la interfaz web

Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz webmediante Firefox, deberá configurar el explorador Firefox.


Prerequisitos

Una vez que haya configurado Kerberos, configure el explorador Firefox para cada usuario o bienproporcione las instrucciones correspondientes a los usuarios.


VMware, Inc. 69

Procedimiento

1 En el cuadro de texto de la dirección URL del explorador Firefox, escriba about:config paraacceder a la configuración avanzada.

2 Haga clic en ¡Tendré cuidado, lo prometo!

3 Haga doble clic en network.negotiate-auth.trusted-uris en la columna Nombre de la preferencia.

4 Escriba la dirección URL de VMware Identity Manager en el cuadro de texto.

https://hostdemiconector.dominio.com


6 Haga doble clic en network.negotiate-auth.delegation-uris en la columna Nombre de lapreferencia.

7 Escriba la dirección URL de VMware Identity Manager en el cuadro de texto.

https://hostdemiconector.dominio.com/authenticate/


9 Utilice el explorador Firefox para iniciar sesión en la dirección URL de inicio de sesión de ycomprobar así la funcionalidad de Kerberos. Por ejemplo,https://hostdemiconector.dominio.com/authenticate/.

Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba accederá a lainterfaz web.

El protocolo Kerberos protege cualquier interacción entre la instancia en cuestión del explorador Firefox yVMware Identity Manager. Los usuarios ya podrán utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar el navegador Chrome para acceder a la interfaz web

Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz webmediante el explorador Chrome, deberá configurar este explorador.


NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.

Prerequisitos

n Configure Kerberos.

n Dado que Chrome utiliza la configuración de Internet Explorer para habilitar la autenticación deKerberos, deberá configurar Internet Explorer para que permita a Chrome utilizar su configuración.Consulte la documentación de Google para obtener información sobre cómo configurar Chrome parala autenticación de Kerberos.


VMware, Inc. 70

Procedimiento

1 Utilice el explorador Chrome para comprobar la funcionalidad de Kerberos.

2 Inicie sesión en VMware Identity Manager en la direcciónhttps://mihostdeconector.dominio.com/autenticar/.

Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba se conectará ala interfaz web.

Si todas las configuraciones relacionadas con Kerberos son correctas, el protocolo relativo (Kerberos)protegerá todas las interacciones entre esta instancia del explorador Chrome yVMware Identity Manager. Los usuarios pueden utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar SecurID para VMware Identity ManagerCuando se configura el servidor RSA SecurID, debe añadir la información del servicio de deVMware Identity Manager como el agente de autenticación del servidor RSA SecurID y configurar lainformación del servidor de RSA SecurID en el servicio de de VMware Identity Manager.

Cuando configura SecurID para proporcionar seguridad adicional, debe asegurarse de que la red estácorrectamente configurada para la implementación de VMware Identity Manager. En concreto paraSecurID, debe asegurarse que que el puerto correcto está abierto para habilitar SecurID para autenticarusuarios fuera de la red.

Tras ejecutar el asistente para la instalación de de VMware Identity Manager y configurar la conexión deActive Directory, dispone de la información necesaria para preparar el servidor RSA SecurID. Traspreparar el servidor RSA SecurID de VMware Identity Manager, habilite SecurID en la consola deadministración.

n Preparar el servidor RSA SecurID

El servidor RSA SecurID debe configurarse con información acerca del dispositivo del deVMware Identity Manager como el agente de autenticación. La información necesaria es el nombrede host y las direcciones IP de las interfaces de red.

n Configurar la autenticación de RSA SecurID

Después de configurar el dispositivo de de VMware Identity Manager como agente de autenticaciónen el servidor RSA SecurID, debe añadir la información de configuración de RSA SecurID alconector.

Preparar el servidor RSA SecurIDEl servidor RSA SecurID debe configurarse con información acerca del dispositivo del deVMware Identity Manager como el agente de autenticación. La información necesaria es el nombre dehost y las direcciones IP de las interfaces de red.


VMware, Inc. 71

Prerequisitos

n Compruebe que una de las siguientes versiones del administrador de autenticación RSA estéinstalada y en funcionamiento en la red empresarial: RSA AM 6.1.2, 7.1 SP2 y versiones posteriores,y 8.0 y versiones posteriores. El servidor del de VMware Identity Manager utilizaAuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1), que solo admite las versionesanteriores del administrador de autenticación RSA (el servidor RSA SecurID). Para obtener másinformación acerca de la instalación y configuración del administrador de autenticación RSA (servidorRSA SecurID), consulte la documentación de RSA.

Procedimiento

1 En una versión admitida del servidor RSA SecurID, añada el conector de VMware Identity Managercomo agente de autenticación. Escriba la siguiente información.


Nombre de host El nombre de host de VMware Identity Manager.

Dirección IP La dirección IP es VMware Identity Manager.

Dirección IP alternativa Si el tráfico del conector pasa a través de un dispositivo de traducción dedirecciones de red (NAT) para alcanzar el servidor RSA SecurID, escriba ladirección IP privada del dispositivo.

2 Descargue el archivo de configuración comprimido y extraiga el archivo sdconf.rec.

Esté preparado para cargar este archivo más tarde cuando configure RSA SecurID deVMware Identity Manager.


Vaya a la consola de administración y, en las páginas Configuración de administración de identidad yacceso, seleccione el conector y en la página Adaptadores de autenticación configure SecurID.

Configurar la autenticación de RSA SecurIDDespués de configurar el dispositivo de de VMware Identity Manager como agente de autenticación en elservidor RSA SecurID, debe añadir la información de configuración de RSA SecurID al conector.

Prerequisitos

n Compruebe que el administrador de autenticación RSA (el servidor RSA SecurID) esté instalado yconfigurado de forma correcta.

n Descargue el archivo comprimido del servidor RSA SecurID y extraiga el archivo de configuración delservidor.

Procedimiento



VMware, Inc. 72

2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar conRSA SecurID.

3 Haga clic en Adaptadores de autenticación y después en SecurIDldpAdapter.


4 En la página Adaptadores de autenticación, en la fila SecurIDldpAdapter, haga clic en Editar.

5 Configure la página Adaptador de autenticación SecurID.

La información usada y los archivos generados en el servidor RSA SecurID son necesarios cuandose configura la página de SecurID.

Opción Acción

Nombre Es necesario un nombre. El nombre predeterminado es SecurIDldpAdapter. Puede cambiarlo.

HabilitarSecurID

Seleccione esta casilla para habilitar la autenticación SecurID.

Número deintentos deautenticaciónpermitidos

Introduzca el número máximo de intentos de inicio de sesión fallidos cuando se usa el token de RSASecurID. El valor predeterminado es cinco intentos.

NOTA: Si más de un directorio está configurado e implementa la autenticación de RSA SecurID condirectorios adicionales, configure la opción Número de intentos de autenticación permitidos con elmismo valor para cada configuración de RSA. Si el valor es distinto, se produce un error en laautenticación SecurID.

Dirección deConnector

Introduzca la dirección IP de la instancia de Connector. El valor que introduzca debe coincidir con el queusó cuando agregó el dispositivo de Connector como agente de autenticación al servidor RSA SecurID. Siel servidor RSA SecurID tiene un valor asignado para la solicitud de dirección IP alternativa, introduzcadicho valor como dirección IP de Connector. Si no hay ninguna dirección IP alternativa asignada,introduzca el valor asignado a la solicitud IP.

Dirección IPdel agente

Introduzca el valor asignado a la solicitud Dirección IP en el servidor RSA SecurID.

Configuracióndel servidor

Cargue el archivo de configuración del servidor RSA SecurID. En primer lugar, debe descargar el archivocomprimido dese el servidor RSA SecurID y extraer el archivo de configuración del servidor, que de formapredeterminada se denomina sdconf.rec.

Secreto delnodo

Si deja el campo Secreto del nodo en blanco, dicho secreto se vuelve a generar. Se recomienda que borreel archivo de secreto del nodo en el servidor RSA SecurID y no cargue, de forma intencionada, el archivode secreto del nodo. Asegúrese de que el archivo de secreto del nodo en el servidor RSA SecurID y en lainstancia del conector del servidor siempre coincidan. Si cambia el secreto del nodo en una ubicación,cámbielo también en la otra.



Añada el método de autenticación a la política de acceso predeterminada. Vaya a la páginaAdministración de acceso e identidad > Administrar > Directivas y edite las reglas de la directivapredeterminada para agregar el método de autenticación SecurID a la regla. Consulte Administrarmétodos de autenticación que se apliquen a los usuarios.


VMware, Inc. 73

Configurar RADIUS para VMware Identity ManagerPuede configurar VMware Identity Manager para que los usuarios necesiten utilizar la autenticaciónRADIUS (Servicio de autenticación remota telefónica de usuario). La información del servidor RADIUS seconfigura en el servicio de VMware Identity Manager.

El soporte de RADIUS ofrece un amplio rango de opciones de autenticación alternativas en dos fasesbasada en tokens. Dado que las soluciones de autenticación de dos fases, como RADIUS, trabajan conadministradores de autenticación instalados en servidores separados, el servidor RADIUS debe seraccesible para el servicio del administrador de identidad.

Cuando los usuarios inician sesión en el portal de Workspace ONE y la autenticación RADIUS estáhabilitada, aparece en el navegador un cuadro de diálogo de inicio de sesión especial. Los usuariosescriben el nombre de usuario y código de acceso de autenticación RADIUS en el cuadro de diálogo deinicio de sesión. Si el servidor RADIUS emite un desafío de acceso, el servicio del administrador deidentidad muestra un cuadro de diálogo que solicita un segundo código de acceso. Actualmente, elsoporte para los desafíos RADIUS se limita a solicitar la entrada de texto.

Cuando un usuario ha escrito sus credenciales en el cuadro de diálogo, el servidor RADIUS puedeenviarle un código a través de un mensaje de correo electrónico, un mensaje de texto SMS o bien algúnotro mecanismo fuera de banda. El usuario puede escribir este texto y código en el cuadro de diálogo deinicio de sesión para completar la autenticación.

Si el servidor RADIUS ofrece la posibilidad de importar usuarios desde Active Directory, puede que a losusuarios finales se les pidan credenciales de Active Directory antes de solicitar un nombre de usuario ycódigo de acceso de autenticación RADIUS.

Preparar el servidor RADIUSInstale el servidor RADIUS y configúrelo para que acepte solicitudes RADIUS del servicioVMware Identity Manager.

Consulte las guías de configuración del proveedor de RADIUS para obtener información sobre laconfiguración del servidor RADIUS. Tenga en cuenta que la información de configuración de RADIUScuando la utilice para configurar RADIUS en el servicio. Para saber qué tipo de información RADIUS serequiere para configurar VMware Identity Manager, consulte Configurar la autenticación RADIUS enVMware Identity Manager.

Puede configurar un servidor de autenticación de Radius secundario para los casos de altadisponibilidad. Si el servidor RADIUS principal no responde en el tiempo de espera del servidorconfigurado para la autenticación de RADIUS, la solicitud se enruta al servidor secundario. Cuando elservidor principal no responde, el segundo recibe todas las solicitudes de autenticación que llegan acontinuación.

Configurar la autenticación RADIUS en VMware Identity ManagerTanto la habilitación de la autenticación RADIUS como la configuración de RADIUS se realizan en laconsola de administración de VMware Identity Manager.


VMware, Inc. 74

Prerequisitos

Instale y configure el software de RADIUS en un servidor de administrador de autenticación. Para laautenticación RADIUS, siga las instrucciones en la documentación de configuración del proveedor.

Necesita conocer la siguiente información del servidor RADIUS para configurar RADIUS en el servicio.

n Dirección IP o nombre DNS del servidor RADIUS.

n Números de puertos de autenticación. El puerto de autenticación suele ser el 1812.

n Tipo de autenticación. Entre los tipos de autenticación, se incluyen Protocolo de autenticación decontraseña (Password Authentication Protocol, PAP), Protocolo de autenticación por desafío mutuo(Challenge Handshake Authentication Protocol, CHAP) y Protocolo de autenticación por desafíomutuo de Microsoft, versiones 1 y 2 (Microsoft Challenge Handshake Authentication Protocol,versions 1 and 2; MSCHAP1 y MSCHAP2).

n Secreto compartido de RADIUS que se usa para el cifrado y descifrado en los mensajes delprotocolo RADIUS.

n Valores específicos de tiempo de espera y reintento necesarios para la autenticación RADIUS.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración.

2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurarpara la autenticación RADIUS.

3 Haga clic en Adaptadores de autenticación y después en RadiusAuthAdapter.


4 Haga clic en Editar para configurar estos campos en la página Adaptador de autenticación.

Opción Acción

Nombre Es necesario un nombre. El nombre predeterminado es RadiusAuthAdapter. Puede cambiarlo.

Habilitaradaptador deRadius

Active esta casilla para habilitar la autenticación RADIUS.

Número deintentos deautenticaciónpermitidos

Escriba el número máximo de intentos de inicio de sesión fallidos cuando se usa RADIUS para iniciarsesión. El valor predeterminado es cinco intentos.

Número deintentos en elservidorRadius

Especifique el número total de reintentos. Si el servidor principal no responde, el servicio espera el tiempoconfigurado antes de volver a intentarlo.

Nombre delhost/direccióndel servidorRadius

Escriba el nombre del host o la dirección IP del servidor RADIUS.


VMware, Inc. 75

Opción Acción

Puerto deautenticación

Escriba el número de puerto para la autenticación RADIUS. Suele ser el 1812.

Puerto decuentas

Escriba 0 como número de puerto. En estos momentos, no se usa el puerto de cuentas.

Tipo deautenticación

Indique el protocolo de autenticación compatible con el servidor RADIUS. Elija PAP, CHAP, MSCHAP1 oMSCHAP2.

Secretocompartido

Escriba el secreto compartido que se usa entre el servidor RADIUS y el servicio de VMware IdentityManager.

Tiempo deespera delservidor ensegundos

Escriba el tiempo de espera del servidor RADIUS en segundos, después del cual se enviará un reintentosi el servidor RADIUS no responde.

Prefijo deterritorio

(Opcional) La ubicación de la cuenta de usuario se denomina territorio.

Si especifica una cadena de prefijo de territorio, se coloca al principio del nombre de usuario cuando seenvía al servidor RADIUS. Por ejemplo, si el nombre de usuario es jdoe y se especifica el prefijo deterritorio DOMAIN-A\, se envía el nombre de usuario DOMAIN-A\jdoe al servidor RADIUS. Si no configuraestos campos, solamente se envía el nombre de usuario que se indique.

Sufijo deterritorio

(Opcional) Si especifica un sufijo de territorio, la cadena se coloca al final del nombre de usuario. Porejemplo, si el sufijo es @myco.com, se envía el nombre de usuario [email protected] al servidor RADIUS.

Sugerenciade frase decontraseña depágina deinicio desesión

Escriba la cadena de texto que se mostrará en el mensaje de la página de inicio de sesión de usuario a losusuarios directos para que escriban el código de acceso de RADIUS correcto. Por ejemplo, si este campoestá configurado con contraseña de AD primero y después el código de acceso SMS, el mensaje de lapágina de inicio de sesión sería Escriba su contraseña de AD primero y después el código de accesoSMS. La cadena de texto predeterminada es Código de acceso de RADIUS.

5 Puede habilitar un servidor RADIUS secundario para lograr una disponibilidad elevada.

Configure el servidor secundario tal como se describe en el paso 4.



Añada el método de autenticación RADIUS a la política de acceso predeterminada. Vaya a la páginaAdministración de acceso e identidad > Administrar > Directivas y edite las reglas de la directivapredeterminada para agregar el método de autenticación RADIUS a la regla. Consulte Administrarmétodos de autenticación que se apliquen a los usuarios.

Configurar la autenticación adaptativa de RSA en VMwareIdentity ManagerLa autenticación RSA puede implementarse para proporcionar una autenticación multifactor más seguraque la que solo utiliza un nombre de usuario y una contraseña en Active Directory. La autenticaciónadaptativa supervisa y autentica los intentos de inicio de sesión del usuario según las directivas y losniveles de riesgo.


VMware, Inc. 76

Cuando se habilita la autenticación adaptativa, los indicadores de riesgo especificados en las directivasde riesgo se configuran en la aplicación RSA Policy Management y la configuración del servicio VMwareIdentity Manager de la autenticación adaptativa se utiliza para determinar si un usuario se autentica conel nombre de usuario y la contraseña o si se necesita más información para autenticar al usuario.

Métodos de autenticación compatibles de la autenticaciónadaptativa de RSALos métodos de autenticación seguros de la autenticación adaptativa de RSA compatibles en el servicioVMware Identity Manager son la autenticación fuera de banda por correo electrónico, teléfono o SMS ymediante preguntas de comprobación. En el servicio, debe habilitar los métodos de la autenticaciónadaptativa de RSA que pueden proporcionarse. Las directivas de la autenticación adaptativa de RSAdeterminan qué método de autenticación secundaria se utiliza.

La autenticación fuera de banda es un proceso que requiere que se envíe una verificación adicional juntocon el nombre de usuario y la contraseña. Cuando los usuarios se registran en un servidor conautenticación adaptativa de RSA, deben proporcionar una dirección de correo electrónico, un número deteléfono, o ambos, según la configuración del servidor. Cuando se solicite la verificación adicional, elservidor de autenticación adaptativa de RSA envía un código de acceso de un solo uso a través delcanal proporcionado. Los usuarios introducirán ese código junto con su nombre de usuario y sucontraseña.

Las preguntas de comprobación requieren que el usuario conteste una serie de preguntas cuando seregistran en el servidor de autenticación adaptativa de RSA. Puede configurar el número de preguntas deregistro y el número de preguntas de comprobación que aparecerán en la página de inicio de sesión.

Registrar usuarios con el servidor de autenticación adaptativa deRSASe debe aprovisionar a los usuarios en la base de datos de autenticación adaptativa de RSA para utilizarla autenticación adaptativa en el proceso de autenticación. Los usuarios se agregan a la base de datosde la autenticación adaptativa de RSA cuando inician sesión por primera vez con su nombre de usuario ysu contraseña. En función de cómo configure la autenticación adaptativa en el servicio, se puede pedir alos usuarios que proporcionen su dirección de correo electrónico, su número de teléfono, su número deservicio de mensajes de texto (SMS) o que establezcan respuestas para las preguntas de comprobación.

NOTA: La autenticación adaptativa de RSA no permite introducir caracteres internacionales en losnombres de usuario. Si su intención es permitir caracteres multibyte en los nombres de usuario, póngaseen contacto con el equipo de soporte técnico de RSA para configurar la autenticación de RSA y eladministrador de esta función.


VMware, Inc. 77

Configurar la autenticación adaptativa de RSA en IdentityManagerPara configurar en el servicio la autenticación adaptativa de RSA, debe habilitarla, seleccionar losmétodos de autenticación adaptativa que se van a aplicar y agregar el certificado y la información de laconexión de Active Directory.

Prerequisitos

n Debe configurar correctamente la autenticación adaptativa de RSA con los métodos de autenticaciónque se van a utilizar en la autenticación secundaria.

n Detalles sobre el nombre de usuario SOAP y la dirección del terminal SOAP.

n Debe tener disponible la información de la configuración y el certificado SSL de Active Directory.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración.

2 En la columna Trabajo de la página Conector, seleccione el vínculo del conector que se estáconfigurando.

3 Haga clic en Adaptadores de autenticación y, a continuación, en RSAAAldpAdapter.

Se le redirige a la página del adaptador de autenticación de Identity Manager.

4 Haga clic en el vínculo Editar situado junto a RSAAAIdpAdapter.

5 Seleccione la configuración adecuada para su entorno.

NOTA: El asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


*Nombre Es necesario un nombre. El nombre predeterminado es RSAAAIdpAdapter.Puede cambiarlo.

Habilitar adaptador de autenticaciónadaptativa de RSA

Active la casilla para habilitar la autenticación adaptativa de RSA.

*Terminal SOAP Introduzca la dirección del terminal SOAP para permitir la integración entre elservicio y el adaptador de autenticación adaptativa de RSA.

*Nombre de usuario SOAP Introduzca el nombre de usuario y la contraseña que se utilizó para firmar losmensajes SOAP.

Dominio de RSA Introduzca la dirección del dominio del servidor de autenticación adaptativa.

Habilitar correo electrónico deautenticación fuera de banda

Seleccione esta casilla para habilitar la autenticación fuera de banda que envíaun código de acceso de un solo uso al usuario final a través de un correoelectrónico.

Habilitar SMS de autenticación fuerade banda

Seleccione esta casilla para habilitar la autenticación fuera de banda que envíaun código de acceso de un solo uso al usuario final a través de un SMS.

Habilitar SecurID Seleccione esta casilla para habilitar SecurID. Se pide a los usuarios queintroduzcan el código de acceso y el token de RSA.


VMware, Inc. 78


Habilitar pregunta secreta Seleccione esta casilla si va a utilizar preguntas de comprobación y de registropara la autenticación.

*Número de preguntas de registro Introduzca el número de preguntas que el usuario debe configurar cuando seinscriba en el servidor del adaptador de autenticación.

*Número de preguntas decomprobación

Introduzca el número de preguntas de comprobación que los usuarios debencontestar correctamente para iniciar sesión.

*Número de intentos de autenticaciónpermitidos

Introduzca el número de veces que se muestran las preguntas de comprobacióna un usuario que intenta iniciar sesión antes de que se produzca un error en laautenticación.

Tipo de directorio El único directorio compatible es Active Directory.

Puerto de servidor Introduzca el número de puerto de Active Directory.

Host de servidor Introduzca el nombre de host de Active Directory.

Utilizar SSL Seleccione esta casilla si utiliza SSL en la conexión del directorio. Agregue elcertificado SSL de Active Directory en el campo Certificado del directorio.

Utilizar la ubicación del servicio DNS Seleccione esta casilla si se utiliza la ubicación del servicio DNS en la conexióndel directorio.

DN base Introduzca el DN desde el que deben empezar las búsquedas en cuentas. Porejemplo, OU=myUnit,DC=myCorp,DC=com.

DN de enlace Introduzca la cuenta que puede buscar usuarios. Por ejemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com

Contraseña de enlace Introduzca la contraseña de la cuenta de DN de enlace.

Atributo de búsqueda Introduzca el atributo de cuenta que contiene el nombre de usuario.

Certificado del directorio Para establecer conexiones SSL seguras, agregue el certificado de servidor deldirectorio en el cuadro de texto. En el caso de varios servidores, agregue elcertificado raíz de la autoridad de certificación.



Habilite el método de autenticación Autenticación adaptativa de RSA en el proveedor de identidadesintegrado en la pestaña Administración de acceso e identidad > Administrar. Consulte Usar proveedoresde identidades integrados.

Agregue el método de autenticación "autenticación adaptativa de RSA" a la directiva de accesopredeterminada. Acceda a la página Administración de acceso e identidad > Administrar > Directivas yedite las reglas de la directiva para agregar la autenticación adaptativa. Consulte Administrar métodos deautenticación que se apliquen a los usuarios.

Configurar un certificado o adaptador de tarjetainteligente para utilizarlo con VMware Identity ManagerPuede configurar la autenticación del certificado x509 para que los clientes puedan autenticar concertificados desde su escritorio o dispositivos móviles, o bien para utilizar un adaptador de tarjetainteligente para la autenticación. La autenticación basada en certificados se basa en lo que tiene elusuario (la clave privada o tarjeta inteligente) y en lo que sabe la persona (la contraseña de la clave


VMware, Inc. 79

privada o el PIN de la tarjeta inteligente). Un certificado X.509 utiliza el estándar de infraestructura declave pública (PKI) para comprobar que la clave pública que contiene el certificado pertenece al usuario.Gracias a la autenticación con tarjeta inteligente, los usuarios se conectan a esta con el equipo yescriben un PIN.

Los certificados de tarjeta inteligente se copian en el almacén de certificados local del equipo del usuario.Los certificados del almacén de certificados local están disponibles en todos los navegadores que seejecuten en el equipo del usuario, excepto en algunos casos, y por lo tanto están disponibles para unainstancia de VMware Identity Manager en el navegador.

NOTA: Cuando se configura la autenticación mediante certificado y el dispositivo del servicio estáconfigurado tras un equilibrador de carga, asegúrese de que VMware Identity Manager Connector estáconfigurado con acceso directo a SSL en el equilibrador de carga y no para finalizar SSL en elequilibrador de carga. Esta configuración garantiza que el protocolo de enlace SSL se encuentre entre elconector y el cliente para pasar el certificado al conector. Cuando el equilibrador de carga estáconfigurado para finalizar SSL en el equilibrador de carga, puede implementar un segundo conector trasotro equilibrador de carga para admitir la autenticación mediante certificado.

Consulte la guía Instalación y configuración de VMware Identity Manager para obtener información sobrela adición de un segundo conector.

Usar el nombre principal de usuario para la autenticación decertificadoPuede usar la asignación de certificados en Active Directory. Los inicios de sesión con certificado ytarjeta inteligente usan el nombre principal de usuario (UPN) de Active Directory para validar las cuentasde usuario. Las cuentas de Active Directory de los usuarios que intentan autenticarse en el servicio deVMware Identity Manager deben poseer un UPN válido que se corresponda con el UPN en el certificado.

Puede configurar el de VMware Identity Manager para que use la dirección de correo electrónico paravalidar la cuenta de usuario si no existe un UPN en el certificado.

También puede habilitar un tipo de UPN alternativo para que se use.

Entidad de certificación necesaria para la autenticaciónPara habilitar el inicio de sesión mediante la autenticación de certificado, se deben cargar los certificadosraíz e intermedios en el de VMware Identity Manager.

Los certificados se copian en el almacén de certificados local del equipo del usuario. Los certificados delalmacén de certificados local están disponibles en todos los navegadores que se ejecuten en el equipodel usuario, excepto en algunos casos, y por lo tanto están disponibles para una instancia deVMware Identity Manager en el navegador.


VMware, Inc. 80

Para la autenticación de tarjeta inteligente, cuando un usuario inicia una conexión con la instancia deVMware Identity Manager, el servicio de VMware Identity Manager envía una lista de entidades decertificación (CA) de confianza al navegador. El navegador compara la lista de CA de confianza con loscertificados de usuario disponibles, selecciona uno adecuado y después solicita al usuario que intoduzcaun PIN de tarjeta inteligente. Si se dispone de varios certificados de usuario, el navegador solicita alusuario que seleccione uno.

Si un usuario no se puede autenticar, es posible que la CA raíz y las intermedias no estén configuradascorrectamente, o bien que el servicio no se haya reiniciado después de que las CA raíces e intermediasse cargaran en el servidor. En estos casos, el navegador no puede mostrar los certificados instalados, elusuario no puede seleccionar el correcto y, por tanto, la autenticación de certificado genera un error.

Usar la comprobación de revocación de certificadosPuede configurar la comprobación de revocación de certificados para impedir la autenticación de losusuarios cuyos certificados de usuario se hayan revocado. Los certificados se revocan con frecuenciacuando un usuario abandona una organización, pierde una tarjeta inteligente o se traslada de undepartamento a otro.

Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) ycon el Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP). Una CRLes una lista de certificados revocados publicada por la autoridad de certificación que los emitió. OCSP esun protocolo de validación de certificados que se usa para obtener el estado de revocación de uncertificado.

Puede definir tanto CRL como OCSP en la configuración del mismo adaptador de autenticación decertificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casillaUsar CRL en caso de error de OCSP está habilitada, se comprueba antes con OCSP y, si esto nofunciona, la comprobación de revocación de certificados recae en la CRL. La comprobación derevocación no recae en OCSP si falla la CRL.

Iniciar sesión con la comprobación con CRLCuando habilita la revocación de certificados, el servidor del de VMware Identity Manager lee una CRLpara determinar el estado de revocación de un certificado de usuario.

Si el certificado está revocado, la autenticación mediante él genera un error.

Iniciar sesión con la comprobación de certificado con OCSPCuando configura la comprobación de revocación con el protocolo OCSP de estado de certificado, el deVMware Identity Manager envía una solicitud a un respondedor OCSP para determinar el estado derevocación de un certificado de usuario concreto. El servidor del de VMware Identity Manager usa elcertificado de firma de OCSP para comprobar que las respuestas que reciba del respondedor OCSPsean genuinas.


VMware, Inc. 81

Si el certificado está revocado, la autenticación genera un error.

Puede configurar la autenticación para que recurra a la comprobación con CRL si no recibe respuestadel respondedor OCSP o si la respuesta no es válida.

Configurar la autenticación basada en certificadosLa autenticación de certificado se habilita y se configura en la consola de administración.

Puede configurar la autenticación de certificado x509 para permitir que los clientes se autentiquen concertificados en sus dispositivos móviles y de sobremesa. Consulte Configurar un certificado o adaptadorde tarjeta inteligente para utilizarlo con VMware Identity Manager.

Prerequisitos

n Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificadospresentados por sus usuarios.

n (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para laautenticación de certificado.

n Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidorOCSP.

n (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

n Contenido del formulario de consentimiento, si se muestra antes de la autenticación.

Procedimiento


2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar.

3 Haga clic en Adaptadores de autenticación y después en CertificateAuthAdapter.

4 Configure la página del adaptador de autenticación del servicio de certificado.

NOTA: Un asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


*Nombre Es necesario un nombre. El nombre predeterminado es CertificateAuthAdapter.Puede cambiarlo.

Habilitar adaptador de certificado Seleccione esta casilla para habilitar la autenticación de certificados.

*Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados como DER o PEM.

Certificados de CA descargados Los archivos de certificado cargados aparecen en la sección Certificados de CAcargados del formulario.

Usar correo electrónico si no hay UPNen el certificado

Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuarios.


VMware, Inc. 82


Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados.

Escriba los números de ID de objeto (OID) para la política de emisión decertificados. Haga clic en Añadir otro valor para añadir más OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.La comprobación de la revocación impide la autenticación de los usuarios concertificados de usuario revocados.

Usar CRL de certificados Active esta casilla para usar la lista de revocación de certificados (CRL)publicada por la CA que emitió los certificados para validar el estado de uncertificado, es decir, si está revocado o no.

Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.

Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir denuevo a la CRL si la comprobación con OCSP no está disponible.

Enviar nonce de OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificadorúnico de la solicitud de OCSP.

URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP parala comprobación de la revocación.

Certificado de firma de quien respondede OCSP

Introduzca la ruta del certificado OCSP para quien responde, /ruta/al/archivo.cer.

Habilitar el formulario deconsentimiento antes de laautenticación

Seleccione esta casilla para que aparezca una página de formulario deconsentimiento antes de que los usuarios inicien sesión en su portal deWorkspace ONE mediante la autenticación de certificado.

Contenido del formulario deconsentimiento

Escriba el texto que aparece en el formulario de consentimiento en este cuadrode texto.



n Agregue el método de autenticación de certificado a la directiva de acceso predeterminada. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.

n Cuando se configura la autenticación mediante certificado y el dispositivo del servicio estáconfigurado tras un equilibrador de carga, asegúrese de que el conector deVMware Identity Manager está configurado con acceso directo a SSL en el equilibrador de carga y nopara finalizar SSL en el equilibrador de carga. Esta configuración garantiza que el protocolo deenlace SSL se encuentre entre el conector y el cliente para pasar el certificado al conector.

Configurar VMware para la autenticación en dos fasesEn la consola de administración de VMware Identity Manager, puede habilitar el servicio de VMwareVerify como el segundo método de autenticación cuando se refiere una autenticación en dos fases.

Habilite VMware Verify en el proveedor de identidades integrado en la consola de administración yagregue el token de seguridad de VMware Verify que envía el equipo de asistencia de VMware.


VMware, Inc. 83

Configure una autenticación en dos fases en las reglas de directiva de acceso para solicitar que losusuarios se autentiquen utilizando dos métodos de autenticación.

Los usuarios instalan la aplicación VMware Verify en los dispositivos y proporcionan un número deteléfono para registrar el dispositivo con el servicio de VMware Verify. El número de teléfono y eldispositivo también están registrados en el perfil de usuario que aparece en Usuarios y grupos en laconsola de administración.

Los usuarios registran su cuenta una vez cuando inician sesión utilizando la autenticación por contraseñaen primer lugar y, a continuación, introducen el código de acceso de VMware Verify que aparece en eldispositivo. Después de la autenticación inicial, los usuarios pueden autenticarse a través de uno de esostres métodos.

n Envíe la aprobación con una notificación OneTouch. Los usuarios aprueban o rechazan el accesodesde VMware Identity Manager con un clic. Los usuarios pueden hacer clic en Aprobar o enDenegar en el mensaje que se les envía.

n Código de acceso de contraseñas TOTP (contraseñas de un solo uso). Se genera un código deacceso cada 20 segundos. Los usuarios introducen este código de acceso en la pantalla de inicio desesión.

n Mensaje de texto. Los SMS telefónicos se utilizan para enviar un código de verificación con un plazolimitado en un mensaje de texto para registrar el número de teléfono. Los usuarios introducen estecódigo de verificación en la pantalla de inicio de sesión.

VMware Verify utiliza un servicio de terceros en la nube para enviar esta función a los dispositivos de losusuarios. Para ello, la información de los usuarios, como el nombre, el correo electrónico y el número deteléfono, se almacenan en el servicio, pero solo se utiliza con el fin de enviar esta función.

Habilitar VMware VerifyPara habilitar una autenticación en dos fases con el servicio de VMware Verify, debe agregar un token deseguridad a la página VMware Verify y habilitar este servicio en el proveedor de identidades integrado.

Prerequisitos

Cree una incidencia de soporte técnico con los equipos de asistencia de VMware o AirWatch para recibirel token de seguridad que habilita VMware Verify. El equipo de asistencia procesa su solicitud y actualizala incidencia con instrucciones y un token de seguridad. Agregue este token de seguridad a la página deVMware Verify.

(Opcional) Personalice el logotipo y el icono que aparecen en la aplicación VMware Verify en losdispositivos. Consulte Personalización de marca para la aplicación VMware Verify.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Métodos deautenticación.

2 En la columna para configurar VMware Verify, haga clic en el icono.


VMware, Inc. 84

3 Copie el token de seguridad que recibió del equipo de asistencia de VMware o AirWatch en el cuadrode texto Token de seguridad.

4 Seleccione la casilla de verificación Habilitar VMware Verify.



Habilite VMware Verify como método de autenticación en un proveedor de identidades integrado. Configurar el proveedor de identidades integrado.

Cree una regla en la directiva de acceso predeterminada para agregar en dicha regla el método deautenticación de VMware Verify como el segundo método de autenticación. Consulte Administrarmétodos de autenticación que se apliquen a los usuarios.

Aplique la personalización de marca en la página de inicio de sesión de VMware Verify. Consulte Personalización de marca para la aplicación VMware Verify.

Registrar usuarios finales con VMware VerifySi es necesaria la autenticación en VMware Verify para una autenticación en dos fases, los usuariosinstalan y utilizan la aplicación VMware Verify para registrar el dispositivo.

NOTA: La aplicación VMware Verify se puede descargar desde las tiendas de aplicaciones.

Cuando se habilita la autenticación en dos fases de VMware Verify, la primera vez que los usuariosinician sesión en la aplicación Workspace ONE, se les solicita que introduzcan el nombre de usuario y lacontraseña. Cuando se verifican estos datos, se les solicita que introduzcan su número de teléfono pararegistrarse en VMware Verify.

Cuando hacen clic en Registrar, se registra el número de teléfono con VMware Verify y, si nodescargaron la aplicación VMware Verify, se les solicita que lo hagan.

Cuando se instala la aplicación, se solicita a los usuarios que introduzcan el mismo número de teléfonoque introdujeron antes y que seleccionen un método de notificación para recibir un código de registro conun plazo determinado. El código de registro se introduce en la página de registro anclada.

Después de registrar el número de teléfono, los usuarios puede utilizar un código de acceso de plazodeterminado que aparece en la aplicación VMware Verify para iniciar sesión en Workspace ONE. Elcódigo de acceso es un número único que se genera en el dispositivo y cambia constantemente.

Los usuarios pueden registrar más de un dispositivo. El código de acceso de VMware Verify sesincroniza automáticamente al resto de los dispositivos registrados.

Eliminar un número de teléfono registrado del perfil del usuarioPara solucionar los problemas relacionados con el inicio de sesión en Workspace ONE, puede eliminar elnúmero de teléfono en el perfil de usuario desde la consola de administración deVMware Identity Manager.


VMware, Inc. 85

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos.

2 En la página Usuario, seleccione el nombre que desea restablecer.

3 En la pestaña VMware Verify, haga clic en Restablecer VMware Verify.

Los números de teléfono se eliminan del perfil del usuario y la lista Usuario muestra N/A en la columnaNúmero de teléfono de VMware Verify. Se elimina el registro del número de teléfono del servicio VMwareVerify. Cuando el usuario inicia sesión en la aplicación Workspace ONE, se le solicita que introduzca elnúmero de teléfono para registrarse en el servicio de VMware Verify de nuevo.

Usar proveedores de identidades integradosLos proveedores de identidades integrados pueden configurarse con los métodos de autenticación queno requieren el uso de un conector en las instalaciones. Hay un proveedor de identidades integradodisponible en Administración de acceso e identidad > página Proveedores de identidades de la consolade administración. Puede crear proveedores de identidades integrados adicionales.

Configure los métodos de autenticación en Administración de acceso e identidad > Administrar > páginaMétodos de autenticación. Cuando configure el proveedor de identidades integrado, asocie los métodosde autenticación que desea utilizar en el proveedor de identidades integrado.

También puede configurar los proveedores de identidades integrados para usar los métodos deautenticación configurados en un conector implementado en el modo de conexión de solo salida. Losconectores de solo salida no necesitan que el puerto 443 del firewall de entrada esté abierto. El conectorestablece una conexión de solo salida (a través de WebSockets) con el servicio en la nube y recibesolicitudes de autenticación a través de este canal. Consulte la guía Implementación de VMware IdentityManager Cloud, Modelos de implementación para obtener más información sobre cómo implementar unconector de solo salida.

Después de asociar los métodos de autenticación en los proveedores de identidades integrados, puedecrear directivas de acceso que se apliquen a estos métodos de autenticación.

Configurar métodos de autenticación para proveedores deidentidades integradosPuede configurar los métodos de autenticación del servicio que pueden utilizarse en los proveedores deidentidades integrados. Estos métodos de autenticación no requieren el uso de un conector en lasinstalaciones.

Cuando configure el proveedor de identidades integrado, habilite los métodos de autenticación quedesea utilizar.

Los siguientes métodos de autenticación no requieren el uso de un conector. Habilite y configure losmétodos de autenticación en Administración de acceso e identidad > Administrar > página Métodos deautenticación y asocie el método de autenticación a un proveedor de identidades integrado.

n SSO móvil de iOS


VMware, Inc. 86

n Certificado (implementación en la nube)

n Contraseña que utiliza AirWatch Connector

n Comprobación de VMware de autenticación en dos fases

n SSO móvil para Android

n Cumplimiento normativo del dispositivo con AirWatch

n Contraseña (directorio local)

Después de habilitar los métodos de autenticación, puede crear directivas de acceso que se apliquen aestos métodos de autenticación.

Deshabilitar métodos de autenticación asociados a los proveedores deidentidades integradosPuede deshabilitar los métodos de autenticación que configuró desde la página Métodos deautenticación. Al deshabilitar un método de autenticación, si el método de autenticación está asociado aalgún proveedor de identidades, dicho método estará deshabilitado en el proveedor de identidades.También se elimina el método de autenticación como una opción en todas las reglas de las directivas deacceso.

ADVERTENCIA: Si el método de autenticación que deshabilitó se configuró en una regla de directivade acceso, esta debe actualizarse para seleccionar otro método de autenticación. Si la regla de directivade acceso no está actualizada, es posible que los usuarios no puedan iniciar sesión en su portal deaplicaciones ni acceder a sus recursos.

Para deshabilitar una autenticación para los proveedores de identidades integrados específicos, en lapágina de configuración de proveedores de identidades integrados, anule la selección de la casilla parael método de autenticación asociado.

Administrar configuración de autenticación con contraseña en AirWatchPuede revisar y administrar la configuración Contraseña (AirWatch Connector) que se estableció cuandoinstaló AirWatch y agregó el servicio de VMware Identity Manager.

El método de autenticación Contraseña (AirWatch Connector) se administra desde la páginaAdministración de acceso e identidad > Métodos de autenticación y se asocia al proveedor deidentidades integrado en la página Proveedores de identidades.

IMPORTANTE: Cuando se actualiza el software AirWatch Cloud Connector, asegúrese de que actualicela configuración de AirWatch de VMware Identity Manager en la página AirWatch de la consola deadministración de VMware Identity Manager.

Procedimiento

1 Para revisar y administrar la configuración, en la pestaña Administración de acceso e identidad,seleccione Métodos de autenticación.

2 En la columna para configurar Contraseña (AirWatch Connector), haga clic en el icono de lápiz.


VMware, Inc. 87

3 Revise la configuración.


Habilitar la autenticación concontraseña de AirWatch

Esta casilla de verificación habilita la autenticación con contraseña de AirWatch.

URL de la consola de administraciónde AirWatch

Se rellena automáticamente con la dirección URL de AirWatch.

Clave de API de AirWatch Se rellena automáticamente con la clave de API de administrador de AirWatch.

Certificado utilizado para laautenticación

Se rellena automáticamente con el certificado de AirWatch Cloud Connector.

Contraseña del certificado Se rellena automáticamente con la contraseña del certificado de AirWatch CloudConnector.

ID de grupo de AirWatch Se rellena automáticamente con el ID del grupo organizativo.

Número de intentos de autenticaciónpermitidos

Número máximo de intentos de inicio de sesión fallidos cuando se utiliza laautenticación con contraseña de AirWatch. No se permitirán más inicios desesión tras alcanzar este número de inicios de sesión fallidos. El servicio VMwareIdentity Manager intenta utilizar el método de autenticación de reserva si esteestá configurado. El valor predeterminado es cinco intentos.

JIT habilitado Si JIT no está habilitado, seleccione esta casilla de verificación para habilitar elaprovisionamiento de usuarios Just-In-Time en el servicio de VMware IdentityManager de forma dinámica cuando inician sesión la primera vez.


Habilitar la comprobación de conformidad para dispositivos administradospor AirWatchCuando los usuarios registran sus dispositivos en la aplicación AirWatch Agent, los datos de ejemploutilizados para evaluar la conformidad se envían de forma programada. La evaluación de estos datos deejemplo garantiza que el dispositivo cumple las reglas de conformidad que establece el administrador enla consola de AirWatch. Si el dispositivo no cumple con la conformidad, se llevan a cabo las accionescorrespondientes en la consola de AirWatch.

El servicio VMware Identity Manager incluye una opción de directiva de acceso que se puede configurarpara comprobar el estado de conformidad del dispositivo de servidor de AirWatch cuando los usuariosinician la sesión en el dispositivo. Esta comprobación de conformidad garantiza que los usuarios nopuedan iniciar sesión en una aplicación ni usar un inicio de sesión único en el portal de Workspace ONEsi el dispositivo deja de cumplir las reglas de conformidad. Cuando el dispositivo vuelve a ser conforme,se restaurará la capacidad de iniciar la sesión.

La aplicación Workspace ONE cierra sesión automáticamente y bloquea el acceso a las aplicaciones si eldispositivo está en peligro. Si el dispositivo se registró a través de una administración adaptativa, uncomando de borrado empresarial emitido por la consola de AirWatch anula el registro del dispositivo yelimina las aplicaciones administradas desde el dispositivo. Las aplicaciones que no están administradasno se eliminan.

Para obtener más información sobre las directivas de conformidad de AirWatch, consulte la guía deVMware AirWatch Mobile Device Management disponible en el sitio web AirWatch Resources.


VMware, Inc. 88

Habilitar la comprobación del cumplimiento normativo

En VMware Identity Manager, habilite el cumplimiento normativo del dispositivo en la página deconfiguración de AirWatch y configure Cumplimiento normativo del dispositivo en Administrar > páginaMétodos de autenticación.

Si se configura Cumplimiento normativo del dispositivo, las reglas de las directivas de acceso puedenconfigurarse para comprobar el estado que indica el cumplimiento normativo de los dispositivos en elservidor de AirWatch cuando los usuarios inicien sesión en sus dispositivos. Consulte Habilitar lacomprobación de conformidad para dispositivos administrados por AirWatch.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > AirWatch.

2 En la sección Cumplimiento normativo del dispositivo, seleccione Habilitar y haga clic en Guardar.


4 En la columna para configurar Cumplimiento normativo del dispositivo (con AirWatch), haga clicen el icono.

5 Habilite la autenticación Cumplimiento normativo del dispositivo y establezca el número máximo deintentos de inicio de sesión fallidos. El resto de los cuadros de texto se rellenan previamente con losvalores configurados de AirWatch.


Habilitar el adaptador de conformidaddel dispositivo

Seleccione esta casilla de verificación para habilitar la autenticación concontraseña de AirWatch.

URL de la consola de administraciónde AirWatch

Se rellena automáticamente con la URL de AirWatch que configuró en la páginade configuración de AirWatch.

Clave de API de AirWatch Se rellena automáticamente con la clave de API de administrador de AirWatch.

Certificado utilizado para laautenticación

Se rellena automáticamente con el certificado de AirWatch Cloud Connector.

Contraseña del certificado Se rellena automáticamente con la contraseña del certificado de AirWatch CloudConnector.



Asocie el método de autenticación Cumplimiento normativo del dispositivo en el proveedor deidentidades integrado. Consulte Configurar el proveedor de identidades integrado.

Configure la directiva de acceso predeterminada para crear reglas con el fin de utilizar el cumplimientonormativo del dispositivo con AirWatch. Consulte Configurar la regla de directiva de acceso.


VMware, Inc. 89

Configurar el método de autenticación de contraseña del directorio localConfigure la autenticación de contraseña para los directorios locales en Administración de acceso eidentidad > Administrar > página Métodos de autenticación.

Después de configurar el método de autenticación, asocie el método Contraseña (directorio local) en elproveedor de identidades integrado asociado al directorio local.

Procedimiento


2 En la columna para configurar Contraseña (directorio local), haga clic en el icono.

3 Seleccione la casilla de verificación Habilitar la autenticación con contraseña del directorio local.

4 En el cuadro de texto Número de intentos de contraseña, introduzca el número máximo deintentos de inicio de sesión fallidos. No se permitirán más inicios de sesión tras alcanzar este númerode inicios de sesión fallidos. El valor predeterminado es cinco intentos.



n Asocie el método de autenticación Contraseña (directorio local) en el proveedor de identidadesintegrado. Para implementar un directorio local, consulte la guía Implementación de VMware IdentityManager Cloud, Capítulo 5 Usar directorios locales.

Configurar la autenticación basada en certificadosLa autenticación de certificado se habilita y se configura en la consola de administración.

Puede configurar la autenticación de certificado x509 para permitir que los clientes se autentiquen concertificados en sus dispositivos móviles y de sobremesa. Consulte Configurar un certificado o adaptadorde tarjeta inteligente para utilizarlo con VMware Identity Manager.

Prerequisitos





n Contenido del formulario de consentimiento, si se muestra antes de la autenticación.


VMware, Inc. 90

Procedimiento


2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar.

3 Haga clic en Adaptadores de autenticación y después en CertificateAuthAdapter.

4 Configure la página del adaptador de autenticación del servicio de certificado.

NOTA: Un asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


*Nombre Es necesario un nombre. El nombre predeterminado es CertificateAuthAdapter.Puede cambiarlo.

Habilitar adaptador de certificado Seleccione esta casilla para habilitar la autenticación de certificados.

*Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados como DER o PEM.

Certificados de CA descargados Los archivos de certificado cargados aparecen en la sección Certificados de CAcargados del formulario.


Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuarios.

Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados.

Escriba los números de ID de objeto (OID) para la política de emisión decertificados. Haga clic en Añadir otro valor para añadir más OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.La comprobación de la revocación impide la autenticación de los usuarios concertificados de usuario revocados.



Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.





Introduzca la ruta del certificado OCSP para quien responde, /ruta/al/archivo.cer.


VMware, Inc. 91


Habilitar el formulario deconsentimiento antes de laautenticación

Seleccione esta casilla para que aparezca una página de formulario deconsentimiento antes de que los usuarios inicien sesión en su portal deWorkspace ONE mediante la autenticación de certificado.

Contenido del formulario deconsentimiento

Escriba el texto que aparece en el formulario de consentimiento en este cuadrode texto.



n Agregue el método de autenticación de certificado a la directiva de acceso predeterminada. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.

n Cuando se configura la autenticación mediante certificado y el dispositivo del servicio estáconfigurado tras un equilibrador de carga, asegúrese de que el conector deVMware Identity Manager está configurado con acceso directo a SSL en el equilibrador de carga y nopara finalizar SSL en el equilibrador de carga. Esta configuración garantiza que el protocolo deenlace SSL se encuentre entre el conector y el cliente para pasar el certificado al conector.

Configurar la autenticación SSO móvil para iOS en el proveedor deidentidades integradoPuede configurar el método de autenticación SSO móvil para iOS desde la página Métodos deautenticación en la consola de administración. Asocie el método de autenticación SSO móvil alproveedor de identidades integrado.

Para un dispositivo iOS, se debe integrar el servicio con Kerberos. La autenticación Kerberosproporciona acceso al portal de aplicaciones sin solicitudes adicionales de credenciales a los usuariosque iniciaron sesión en su dominio correctamente.

VMware Identity Manager utiliza un proveedor de identidades que se encuentra integrado al servicio deIdentity Manager para proporcionar acceso a la autenticación SSO móvil. Este método de autenticaciónpara los dispositivos iOS utiliza un centro de distribución de claves (KDC, Key Distribution Center) sinutilizar un conector o un sistema externo.

En el servicio de VMware Identity Manager, se puede integrar Kerberos de dos maneras.

n KDC como un servicio alojado en la nube de VMware Identity Manager. El uso de KDC en la nuberequiere la selección de un nombre de territorio apropiado en la página del adaptador deautenticación de iOS.

NOTA: El servicio KDC alojado en la nube es la única opción cuando se implementa VMwareIdentity Manager con AirWatch en un entorno de Windows.

n KDC integrado en el dispositivo. El KDC integrado requiere inicializar KDC en el dispositivo y crearentradas de DNS públicas para permitir que los clientes de Kerberos encuentren el KDC.


VMware, Inc. 92

Usar el servicio KDC alojado en la nube

Para admitir el uso de la autenticación Kerberos en SSO móvil para iOS, VMware Identity Managerproporciona un servicio KDC alojado en la nube.

El servicio KDC alojado en la nube debe utilizarse cuando se implementa el servicio de VMware IdentityManager con AirWatch en un entorno de Windows.

Para utilizar el KDC administrado en el dispositivo de VMware Identity Manager, consulte Preparaciónpara utilizar la autenticación Kerberos en dispositivos iOS en la Guía de configuración e instalación deVMware Identity Manager.

Al configurar la autenticación SSO móvil para iOS, configure el nombre de territorio para el servicio KDCalojado en la nube. El territorio es el nombre de la entidad administrativa que mantiene los datos deautenticación. Al hacer clic en Guardar, el servicio de VMware Identity Manager se registrará con elservicio KDC alojado en la nube. Los datos que se almacenan en el servicio KDC se basan en laconfiguración del método de autenticación SSO móvil para iOS, lo que incluye el certificado de CA, elcertificado de firma OCSP y los detalles de configuración de la solicitud OCSP. No se almacena ningunaotra información específica del usuario en el servicio en la nube.

Los registros de inicio de sesión se almacenan en el servicio en la nube. La información de identificaciónpersonal (Personally Identifiable Information, PII) en los registros de inicio de sesión abarca el nombreprincipal de Kerberos del perfil del usuario, el DN de sujeto, los valores de UPN y SAN de correoelectrónico, el identificador de dispositivo del certificado del usuario y el nombre de dominio completo delservicio IDM al que el usuario obtiene acceso.

Para utilizar el servicio KDC alojado en la nube, VMware Identity Manager debe configurarse de lasiguiente manera.

n El nombre de dominio completo del servicio de VMware Identity Manager debe ser accesible desdeInternet. El certificado SSL/TLS utilizado por VMware Identity Manager debe estar firmadopúblicamente.

n Los puertos de respuesta/solicitud de salida 88 (UDP) y 443 (HTTPS/TCP) deben ser accesiblesdesde el servicio VMware Identity Manager.

n Si habilita OCSP, el respondedor de OCSP debe ser accesible desde Internet.

Configurar la autenticación SSO móvil para iOS en el proveedor de identidades integrado

Puede configurar el método de autenticación SSO móvil para iOS desde la página Métodos deautenticación en la consola de administración. En el proveedor de identidades integrado, seleccione elmétodo de autenticación SSO móvil (para iOS) que desea usar.

Prerequisitos

n Debe utilizar un archivo DER o PEM de la autoridad de certificación para emitir certificados a losusuarios en el arrendatario de AirWatch.

n Debe utilizar el certificado de firma de quien responde de OCSP para la comprobación de larevocación.


VMware, Inc. 93

n Para el servicio KDC, seleccione el nombre de territorio de dicho servicio. Si utiliza el servicio KDCintegrado, se debe inicializar KDC. Consulte Instalar y configurar VMware Identity Manager paraobtener más información del KDC integrado.

Procedimiento


2 En la columna para configurar SSO móvil (para iOS), haga clic en el icono.

3 Configure el método de autenticación Kerberos.


Habilitar autenticación de KDC Seleccione esta casilla para permitir que los usuarios inicien sesión condispositivos iOS compatibles con la autenticación de Kerberos.

Territorio Si utiliza el servicio de KDC alojado en la nube, introduzca el nombre de territoriocompatible predefinido que se le suministró. Debe introducir el texto de esteparámetro todo en mayúsculas. Por ejemplo, OP. VMWAREIDENTITY.COM

Si utiliza el KDC integrado, se muestra el nombre de territorio que configurócuando inicializó KDC.

Certificados de CA intermedio y raíz Cargue el archivo del certificado del emisor de la autoridad de certificación. Elformato del archivo puede ser PEM o DER.

DN de sujeto del certificado de CAcargado

El contenido del archivo del certificado cargado se muestra aquí. Se puedecargar más de un archivo y cualquier certificado incluido en la lista o agregado aella.

Habilitar OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.



Cargue el certificado OCSP de quien responde.

Cuando utiliza la autoridad de certificación de AirWatch, el certificado emisor seutiliza como el certificado OCSP. Cargue también aquí el certificado de AirWatch.

DN de sujeto del certificado de firmade quien responde de OCSP

El archivo del certificado OCSP cargado se muestra aquí.

Habilitar vínculo de cancelación Cuando el proceso de autenticación tarde demasiado, proporcione al usuario laopción de hacer clic en Cancelar para detener el intento de autenticación ycancelar el inicio de sesión.

Cuando el vínculo Cancelar está habilitado, aparece la opción Cancelar al finaldel mensaje de error de autenticación que se muestra.

Mensaje de cancelación Cree un mensaje personalizado que se muestre cuando el proceso deautenticación de Kerberos tarde demasiado. Si no crea un mensajepersonalizado, el mensaje predeterminado es Attempting to authenticateyour credentials.



VMware, Inc. 94


n Asocie el método de autenticación SSO móvil (para iOS) en el proveedor de identidades integrado.

n En la sección Exportación de certificado KDC, haga clic en Descargar certificado. Guarde estecertificado en un archivo al que se pueda acceder desde la consola de administración de AirWatch.Cargue este certificado cuando configure el perfil del dispositivo iOS en AirWatch.

n Configure la regla de la directiva de acceso predeterminada de la autenticación de Kerberos para losdispositivos iOS. Asegúrese de que este método de autenticación es el primer método configuradoen la regla.

n Acceda a la consola de administración de AirWatch, configure el perfil del dispositivo iOS enAirWatch y agregue el certificado emisor del certificado del servidor KDC desde Identity Manager.

Configurar la autenticación de SSO móvil para Android en el proveedor deidentidades integradoPara proporcionar un inicio de sesión único en los dispositivos Android administrados con AirWatch, debeconfigurar el SSO de dispositivos móviles para la autenticación de Android en el proveedor deidentidades integrado de VMware Identity Manager.

Para obtener más información sobre cómo configurar el método de autenticación del certificado, consulte Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware Identity Manager.

Prerequisitos





Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Haga clic en el proveedor de identidades etiquetado como Integrado.

3 Compruebe que la configuración de los usuarios y las redes en el proveedor de identidadesintegrado sea correcta.

Si no es así, modifique las secciones de los usuarios y las redes según sea necesario.

4 En la sección Métodos de autenticación, haga clic en el icono de la rueda dentada SSO móvil (paraAndroid).


VMware, Inc. 95

5 En la página ertProxyAuthAdapter, configure el método de autenticación.


Habilitar adaptador de certificado Seleccione esta casilla para habilitar el SSO móvil para Android.

Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados. El formato delarchivo puede ser PEM o DER.

DN de sujeto del certificado de CAcargado

El contenido del archivo del certificado cargado se muestra aquí.


Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuario.

Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados. Escriba el número de ID de objeto (OID) para lapolítica de emisión de certificados. Haga clic en Añadir otro valor para añadirmás OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.Esto impide la autenticación de los usuarios con certificados de usuariorevocados.



Habilitar revocación con OCSP Active esta casilla para usar el protocolo de validación de certificados Protocolode estado de certificados en línea (Online Certificate Status Protocol, OCSP)para obtener el estado de revocación de un certificado.





Escriba la ruta del certificado OCSP para el quien responde. Introdúzcalacomo /path/to/file.cer


7 Haga clic en Guardar en la página del proveedor de identidades integrado.


Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android. Consulte Administrar métodos de autenticación que se apliquen a los usuarios

NOTA: El rango de red utilizado en la regla de directiva del SSO móvil para Android debe estar formadosolo por las direcciones IP usadas para recibir respuestas del servidor proxy de AirWatch Tunnel.


VMware, Inc. 96

Configurar el proveedor de identidades integradoPuede configurar varios proveedores de identidades integrados y asociar métodos de autenticación quese hayan configurado en Administración de acceso e identidad > Administrar > página Métodos deautenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.


Nombre del proveedor de identidades Introduzca el nombre de esta instancia del proveedor de identidades integrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.Seleccione los rangos de redes para los usuarios en función de las direcciones IPque desea dirigir a esta instancia del proveedor de identidades para laautenticación.

Métodos de autenticación Se muestran los métodos de autenticación que están configurados en el servicio.Seleccione la casilla de los métodos de autenticación que se asociarán a esteproveedor de identidades integrado.

Para el Cumplimiento normativo del dispositivo (con AirWatch) y la Contraseña(AirWatch Connector), asegúrese de que esta opción está habilitada en la páginade configuración de AirWatch.

3 Si se utiliza autenticación integrada Kerberos, descargue el certificado del emisor KDC que se va a

utilizar en la configuración de AirWatch del perfil de administración de dispositivos iOS. Consulte Usar el servicio KDC alojado en la nube.



Asegúrese de que los métodos de autenticación que haya seleccionado estén configurados en lasdirectivas de acceso.

Utilizar el conector de salida para realizar la autenticación enproveedores de identidades integradosUn proveedor de identidades integrado puede configurarse para que ofrezca métodos de autenticaciónque no necesiten ningún conector instalado con un firewall. El conector se instala en el modo deconexión saliente y no necesita que el puerto 443 del firewall de entrada esté abierto.

El conector establece una conexión de solo salida (a través de WebSockets) con el servicio en la nube yrecibe solicitudes de autenticación a través de este canal.


VMware, Inc. 97

Los métodos de autenticación que están configurados en un conector implementado detrás de DMZ enun modo de conexión de solo salida pueden asociarse al proveedor de identidades cuando configure unproveedor de identidades integrado.

Se pueden configurar los siguientes métodos de autenticación del conector.

n Contraseña (implementación en la nube)

n Autenticación adaptativa de RSA (implementación en la nube)

n RSA SecurID (implementación en la nube)

n RADIUS (implementación en la nube)

Después de configurar los métodos de autenticación, puede crear directivas de acceso que se apliquen aestos métodos de autenticación.

Configurar un proveedor de identidades integrado con métodosde autenticación configurados en un conector de solo salidaLos métodos de autenticación que están configurados en un conector implementado detrás de DMZ enun modo de conexión de solo salida pueden asociarse al proveedor de identidades integrado cuando loconfigure.

Prerequisitos

n Los usuarios y los grupos que se ubican en un directorio empresarial deben sincronizarse en eldirectorio de VMware Identity Manager.

n Indica los rangos de redes que se desea dirigir hacia la instancia del proveedor de identidadesintegrado para la autenticación.

n Para habilitar los métodos de autenticación desde el proveedor de identidades integrado, asegúresede que los métodos de autenticación están configurados en el conector.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.

2 Seleccione el proveedor de identidades con la etiqueta Integrado y configure sus detalles.


Nombre del proveedor de identidades Introduzca el nombre de esta instancia del proveedor de identidades integrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.Seleccione los rangos de redes para los usuarios en función de las direcciones IPque desea dirigir a esta instancia del proveedor de identidades para laautenticación.


VMware, Inc. 98


Métodos de autenticación Se muestran los métodos de autenticación que están configurados enAdministración de acceso e identidad > Administrar > página Métodos deautenticación. Seleccione la casilla de verificación de los métodos deautenticación para asociarlos al proveedor de identidades.

Para el Cumplimiento normativo del dispositivo (con AirWatch) y la Contraseña(AirWatch Connector), asegúrese de que esta opción está habilitada en la páginade configuración de AirWatch.

Conector(es) Selecciona el conector que está configurado en modo de conexión de solo salida.

Métodos de autenticación del conector En esta sección aparecen los métodos de autenticación configurados en elconector. Active esta casilla para asociar los métodos de autenticación.

3 Si se utiliza autenticación integrada Kerberos, descargue el certificado del emisor KDC que se va a

utilizar en la configuración de AirWatch del perfil de administración de dispositivos iOS.


Configurar proveedores de identidades adicionales deWorkspaceCuando el conector de VMware Identity Manager está configurado inicialmente, al habilitar el conectorpara autenticar usuarios, se crea un IDP de Workspace como proveedor de identidades y se habilita laautenticación con contraseña.

Se pueden configurar conectores adicionales detrás de distintos equilibradores de carga. Si el entornoincluye más de un equilibrador de carga, se puede configurar un proveedor de identidades de Workspacedistinto para la autenticación en cada configuración con equilibrio de carga. Consulte los temas relativosa la instalación de dispositivos de conector adicionales en la guía para la instalación y configuración deVMware Identity Manager.

Los distintos proveedores de identidades de Workspace se pueden asociar al mismo directorio o, si sehan configurado varios, se puede seleccionar el que se desee utilizar.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP de Workspace.

3 Edite los parámetros de la instancia del proveedor de identidades.


Nombre del proveedor de identidades Escriba un nombre para la instancia del proveedor de identidades de Workspace.

Usuarios Seleccione el directorio de VMware Identity Manager de los usuarios que puedenautenticarse con este proveedor de identidades de Workspace.


VMware, Inc. 99


Conector(es) Se indican los conectores que no están asociados al directorio seleccionado.Seleccione el conector que se va a asociar al directorio.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.

Seleccione los rangos de redes para los usuarios en función de sus direccionesIP que desea dirigir a esta instancia de proveedor de identidades para laautenticación.


Configurar una instancia de proveedor de identidades deterceros para autenticar usuariosPuede configurar un proveedor de identidades externo que se use para autenticar usuarios en el serviciode VMware Identity Manager.

Realice las siguientes tareas antes de poder utilizar la instancia para agregar un proveedor deidentidades de terceros.

n Verifique que las instancias de terceros sean compatibles con SAML 2.0 y que el servicio puedaacceder a la instancia de terceros.

n Obtenga la información de metadatos externa adecuada para agregarla cuando configure elproveedor de identidades en la consola de administración. La información de los metadatos queobtenga de la instancia externa será la URL a los metadatos o los metadatos reales.

Agregar y configurar una instancia de proveedor de identidadesAl agregar y configurar instancias de proveedores de identidades para la implementación deVMware Identity Manager, se puede conseguir alta disponibilidad, compatibilidad con métodos deautenticación de usuario adicionales y una mayor flexibilidad en la manera de administrar los procesosde autenticación de usuarios en función de los rangos de direcciones IP.

Prerequisitos

n Configure los rangos de redes que desea dirigir hacia esta instancia del proveedor de identidadespara la autenticación. Consulte Agregar o editar un rango de redes.

n Acceda al documento de metadatos de terceros. Puede ser la dirección URL de los metadatos o lospropios metadatos.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneProveedores de identidades.

2 Haga clic en Agregar proveedor de identidades.


VMware, Inc. 100

3 Edite los parámetros de la instancia del proveedor de identidades.

Elemento delformulario Descripción

Nombre del proveedorde identidades

Escriba un nombre para la instancia del proveedor de identidades.

Enlace de SAML Seleccione la forma en que se debe enviar AuthnRequest, ya sea mediante HTTP POST oredireccionamiento HTTP.

El redireccionamiento HTTP es la opción predeterminada.

Metadatos SAML Agregue el documento de metadatos basado en XML del proveedor de identidades externo paraestablecer una relación de confianza con el proveedor de identidades.

1 Escriba la dirección URL de los Metadatos SAML o bien el contenido xml en el cuadro detexto.

2 Haga clic en Procesar metadatos del IDP. Los formatos de NameID compatibles con elIDP se extraen de los metadatos y se añaden a la tabla Formato de ID de nombre.

3 En la columna de Valor de ID de nombre, seleccione el atributo de usuario del servicio paraasignarlo a los formatos de ID que aparecen. Puede agregar formatos de ID de nombrepersonalizados de terceros y asignarlos a los valores de atributos de usuario del servicio.

4 (Opcional) Seleccione el formato de cadena de identificador de respuesta NameIDPolicy.

Aprovisionamiento Just-in-Time

N/A

Usuarios Seleccione el Otro directorio que incluye los usuarios que pueden autenticarse con esteproveedor de identidades.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.

Seleccione los rangos de redes para los usuarios en función de sus direcciones IP que deseadirigir a esta instancia de proveedor de identidades para la autenticación.

Métodos deautenticación

Agregue los métodos de autenticación que admite el proveedor de identidades de terceros.Seleccione la clase de contexto de autenticación SAML compatible con el método deautenticación.

Configuración de cierrede sesión único

Habilite el cierre de sesión único para cerrar la sesión del usuario y de su proveedor deidentidades al mismo tiempo. Si esta opción no está habilitada, la sesión del proveedor deidentidades seguirá activa cuando el usuario cierre sesión.

(Opcional) Si el proveedor de identidades es compatible con el perfil de cierre de sesión únicoSAML, habilítelo y deje el cuadro de texto URL de redireccionamiento en blanco. Si elproveedor de identidades no es compatible con el perfil de cierre de sesión único SAML,habilítelo e introduzca la URL de cierre de sesión del proveedor de identidades a la que seredirigen los usuarios al cerrar la sesión en VMware Identity Manager.

Si configuró la URL de redireccionamiento y desea volver a enviar a los usuarios a la página deinicio de sesión de VMware Identity Manager después de redirigirlos a la URL de cierre desesión del proveedor de identidades, introduzca el nombre del parámetro utilizado por la URL deredireccionamiento del proveedor de identidades.


VMware, Inc. 101


Certificado de firmaSAML

Haga clic en Metadatos del proveedor de servicios (SP) para ver la dirección URL de losmetadatos del proveedor de servicios de SAML de VMware Identity Manager. Copie la direcciónURL y guárdela. Esta dirección URL se configura al editar la aserción de SAML en el proveedorde identidades de terceros para asignar usuarios de VMware Identity Manager.

Nombre de host de IdP Si aparece el cuadro de texto Nombre de host, escriba el nombre del host al que seredireccionará el proveedor de identidades para la autenticación. Si utiliza un puerto no estándardistinto del 443, puede definir el nombre del host con el formato Nombredehost:Puerto. Porejemplo, miemp.ejemplo.com:8443.



n Edite la configuración del proveedor de identidades externo para agregar la URL del certificado defirma SAML que se guardó.

Administrar métodos de autenticación que se apliquen alos usuariosEl servicio de VMware Identity Manager intenta autenticar a los usuarios basándose en los métodos deautenticación, la directiva de acceso predeterminada, los rangos de redes y las instancias de proveedorde identidades que configure.

Cuando los usuarios tratan de iniciar sesión, el servicio evalúa las reglas de la directiva de accesopredeterminada para seleccionar qué regla aplicar a la directiva. Los métodos de autenticación seaplican en el orden en el que se muestran en la regla. Se selecciona la primera instancia del proveedorde identidades que reúna los requisitos del método de autenticación y del rango de redes de la regla. Lasolicitud de autenticación de usuario se reenvía a la instancia del proveedor de identidades para suautenticación. Si se produce un error en la autenticación, se aplicará el siguiente método deautenticación configurado en la regla.

Puede agregar reglas que especifiquen los métodos de autenticación que se usarán según el tipo dedispositivo, o bien según el tipo de dispositivo y desde un rango de redes específico. Por ejemplo, puedeconfigurar una regla que solicite a los usuarios que inicien sesión desde dispositivos iOS y desde una redespecífica autenticarse con RSA SecurID. A continuación, configure otra regla que solicite a los usuariosque inicien sesión con otro tipo de dispositivo desde una dirección IP de red interna autenticarse con sucontraseña.

Agregar o editar un rango de redesCree rangos de redes para definir las direcciones IP desde las que los usuarios pueden iniciar sesión.Los rangos de redes que cree se añaden a las instancias específicas de proveedor de identidades y a lasreglas de directivas de acceso.


VMware, Inc. 102

Se crea un rango de redes denominado ALL RANGES, que pasa a ser el predeterminado. Este rango deredes incluye todas las direcciones IP disponibles en Internet, de 0.0.0.0 a 255.255.255.255. Si suimplementación cuenta con una única instancia del proveedor de identidades, puede cambiar el rango dedirecciones IP y agregar otros rangos para incluir o excluir direcciones IP específicas en el rango deredes predeterminado. Puede crear otros rangos de redes con direcciones IP específicas que podráaplicar para una finalidad concreta.

NOTA: El rango de redes predeterminado ALL RANGES y su descripción "a network for all ranges" sepueden editar. Puede editar el nombre y la descripción, y cambiar el idioma del texto por uno diferente,mediante la función Editar de la página Rangos de redes.

Prerequisitos

n Defina rangos de redes para su implementación de VMware Identity Manager basándose en sutopología de la red.

Procedimiento

1 En la pestaña Directivas de la consola de administración, seleccione Rangos de redes.

2 Edite un rango de redes existente o agregue uno nuevo.


Editar un rango existente Haga clic en el nombre del rango de redes para editarlo.

Agregar un rango Haga clic en Agregar rango de redes para añadir un nuevo rango.

3 Habilite la página Agregar rango de redes.

Elemento del formulario Descripción

Nombre Especifique un nombre para el rango de redes.

Descripción Especifique una descripción para el rango de redes.

Rangos de IP Edite o agregue rangos de IP hasta que se incluyan todas las direcciones IP deseadas y seexcluyan las no deseadas.


n Asocie cada rango de redes con una instancia de proveedor de identidades.

n Asocie los rangos de redes con la regla de directivas de acceso según sea necesario. Consulte Capítulo 9 Administrar directivas de acceso.

Aplicar la política de acceso predeterminadaEl servicio de VMware Identity Manager incluye una directiva de acceso predeterminada que controla elacceso del usuario a sus portales de Workspace ONE y sus aplicaciones web. Puede editar la políticapara cambiar sus reglas en caso necesario.

Al habilitar los métodos de autenticación distintos a la autenticación con contraseña, debe editar lapolítica predeterminada para añadir el método de autenticación habilitado a las reglas de la política.


VMware, Inc. 103

Todas las reglas de la directiva de acceso predeterminada deben cumplir un conjunto de criterios parapermitir que los usuarios accedan al portal de aplicaciones. Puede aplicar un rango de redes, seleccionarel tipo de usuario que puede acceder al contenido y los métodos de autenticación que desee utilizar.Consulte Capítulo 9 Administrar directivas de acceso.

El número de intentos del servicio para iniciar la sesión de un usuario mediante un determinado métodode autenticación varía. El servicio solo realiza un intento de autenticación de Kerberos o de certificado. Siel intento de iniciar la sesión de un usuario no se lleva a cabo, se intenta con el siguiente método deautenticación de la regla. De manera predeterminada, está configurado en cinco el máximo número deintentos de inicio de sesión con errores para la contraseña Active Directory y la autenticación RSASecurID. Cuando un usuario alcanza cinco intentos de inicio de sesión fallidos, el servicio trata de iniciarla sesión del usuario con el método de autenticación que aparece a continuación en la lista. Cuando sehayan agotado todos los métodos de autenticación, el servicio emitirá un mensaje de error.

Aplicar métodos de autenticación a reglas de políticasEl único método de autenticación configurado en las reglas de la directiva predeterminada es el decontraseña. Debe editar las reglas de la directiva para seleccionar los otros métodos de autenticaciónque configuró y establecer el orden en que se usan para la autenticación.

Consulte Establecer la configuración de la directiva de acceso para conocer más sobre la configuraciónde reglas de directivas.

Prerequisitos

Habilite y configure los métodos de autenticación que su organización admita. Consulte Capítulo 8Configurar la autenticación de usuario de VMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en la política de acceso predeterminada para editarla.

3 En la sección Reglas de la directiva, haga clic en el método de autenticación para editarlo, o bien, sidesea agregar una nueva regla de la directiva, haga clic en el icono +.

a Compruebe que el rango de redes sea el correcto. Si va a agregar una nueva regla, seleccione elrango de redes para esta regla de directiva.

b Seleccione el dispositivo que administrará esta regla en el menú desplegable y el usuariointenta acceder a contenido con....

c Si planea aplicar esta regla de acceso a grupos específicos, haga clic en Editar grupos yseleccione los grupos.

Si no selecciona un grupo, la directiva de acceso se aplicará a todos los usuarios.


VMware, Inc. 104

d Configure el orden de autenticación. En el menú desplegable entonces el usuario debeautenticarse con el siguiente método, seleccione el método de autenticación que se aplicaráen primer lugar.

Para solicitar que los usuarios se autentiquen mediante dos métodos de autenticación, haga clicen + en el menú desplegable y seleccione el segundo método.

e (Opcional) Para configurar métodos de autenticación de reserva, en el menú desplegable Si elmétodo de autenticación anterior no funciona:, seleccione otro método de autenticaciónhabilitado.

Puede agregar varios métodos de autenticación de reserva a una regla.

f En el menú desplegable Volver a autenticar después de:, seleccione el tiempo de duración dela sesión después del cual los usuarios deben volver a autenticarse.

g (Opcional) Cree un mensaje de error personalizado de acceso denegado que se muestra cuandofalla la autenticación del usuario. Puede usar hasta 4000 caracteres, unas 650 palabras. Sidesea enviar a los usuarios a otra página, introduzca la dirección del vínculo de la URL en elcuadro de texto URL del enlace. En Texto del enlace, introduzca el texto que debe aparecercomo vínculo. Si deja este cuadro de texto en blanco, se mostrará la palabra Continuar.

h Haga clic en Guardar.



VMware, Inc. 105

Administrar directivas deacceso 9Para proporcionar acceso seguro al portal de aplicaciones de los usuarios y para iniciar aplicaciones deescritorio y web, configure directivas de acceso. Las directivas de acceso incluyen reglas que especificanlos criterios que se deben cumplir para iniciar sesión en el portal de aplicaciones y utilizar los recursos.

Las reglas de directivas asignan la dirección IP que realiza la solicitud a rangos de redes y designan eltipo de dispositivos que pueden usar los usuarios para iniciar sesión. Las reglas definen los métodos deautenticación y el número de horas durante las que será válida la autenticación. Puede seleccionar uno ovarios grupos para asociarlos con la regla de acceso.

El servicio de VMware Identity Manager incluye una directiva predeterminada que controla el acceso alservicio en su totalidad. Esta directiva se configura para permitir el acceso a todos los rangos de redes,desde todos los tipos de dispositivos, para todos los usuarios. El tiempo de espera de la sesión es deocho horas y el método de autenticación es la autenticación con contraseña. Puede editar la directivapredeterminada.

NOTA: Las directivas no controlan el tiempo que dura una sesión de aplicación, sino que controlan eltiempo del que disponen los usuarios para iniciar una aplicación.


n Establecer la configuración de la directiva de acceso

n Administrar las directivas específicas de aplicaciones de escritorio y web

n Agregar una directiva específica de aplicaciones de escritorio y web

n Configurar el mensaje de error personalizado de acceso denegado

n Editar la directiva de acceso predeterminada

n Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch

n Habilitación de cookies persistentes en dispositivos móviles

Establecer la configuración de la directiva de accesoUna directiva contiene una o más reglas de acceso. Cada regla consta de opciones que puede configurarpara administrar el acceso de los usuarios a todo el portal de Workspace ONE o a las aplicaciones deescritorio y web específicas.

VMware, Inc. 106

Se puede configurar una regla de directiva para realizar acciones como bloquear, permitir o autenticar aun nivel superior los usuarios en función de condiciones como la red, el tipo de dispositivo, la inscripciónde dispositivos de AirWatch y el estado de cumplimiento, o la aplicación a la que se desea obteneracceso. Es posible agregar grupos a una directiva para administrar la autenticación en gruposespecíficos.

Rango de redesPara cada regla, determine la base de usuarios especificando un rango de redes. Un rango de redesestá compuesto por uno o varios rangos de IP. Los rangos de redes se crean en la pestañaAdministración de acceso e identidades, dentro de la página Configuración > Rangos de redes antes deconfigurar los grupos de directivas de acceso.

Cada instancia del proveedor de identidades de su implementación vincula rangos de redes con métodosde autenticación. Cuando configure una regla de política, asegúrese de que el rango de redes quedecubierto por una instancia de proveedor de identidades existente.

Puede configurar rangos de redes concretos para restringir desde dónde pueden iniciar sesión losusuarios y acceder a sus aplicaciones.

Tipo de dispositivoSeleccione el tipo de dispositivo que administra la regla. Los tipos de cliente son Navegador web,Aplicación Workspace ONE, iOS, Android, Windows 10, Mac OS X y Todos los tipos de dispositivos.

Puede configurar reglas para designar qué tipo de dispositivo puede acceder al contenido y todas lassolicitudes de autenticación que provienen de dicho tipo de dispositivo utilizarán la regla de la directiva.

Agregar gruposPuede aplicar diferentes directivas para la autenticación basada en la afiliación de un usuario a un grupo.Para asignar grupos de usuarios que inicien sesión a través de un flujo de autenticación específico,puede agregar grupos a la regla de directiva de acceso. Los grupos pueden ser grupos sincronizados deldirectorio empresarial y grupos locales creados en la consola de administración. Los nombres de grupodeben ser únicos dentro de un dominio.

Para utilizar grupos en las reglas de directiva de acceso, seleccione un identificador único de la páginaAdministración de acceso e identidad > Preferencias. Se debe asignar el atributo de identificador únicoen la página Atributos de usuario y se debe sincronizar el atributo seleccionado con el directorio. Elidentificador único puede ser un nombre de usuario, una dirección de correo electrónico, UPN o ID deempleado. Consulte Experiencia de inicio de sesión con identificador único.

Cuando se utilizan grupos en una regla de directiva de acceso, la experiencia de inicio de sesión para elusuario cambia. En lugar de solicitar a los usuarios que seleccionen su dominio y, a continuación,escriban sus credenciales, se muestra una página donde se les solicita especificar su identificador único.VMware Identity Manager busca el usuario en la base de datos interna, según el identificador único, ymuestra la página de autenticación configurada en esa regla.


VMware, Inc. 107

Cuando no se selecciona un grupo, la regla de directiva de acceso se aplica a todos los usuarios. Alconfigurar reglas de directiva de acceso donde se incluyen reglas basadas en grupos y una regla paratodos los usuarios, asegúrese de que la regla designada para todos los usuarios sea la última reglaenumerada en la sección Reglas de directiva de la directiva.

Métodos de autenticaciónEn la regla de la directiva, debe establecer el orden en el que se aplican los métodos de autenticación.Los métodos de autenticación se aplican en el orden en que se muestran. Se selecciona la primerainstancia del proveedor de identidades que cumple la configuración del rango de red y del método deautenticación de la directiva. La solicitud de autenticación del usuario se reenvía a la instancia delproveedor de identidades para la autenticación. En caso de error de autenticación, se selecciona elsiguiente método de autenticación de la lista.

Duración de la sesión de autenticaciónPara cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valorVolver a autenticar después de: determina el tiempo que los usuarios tienen desde el último evento deautenticación para acceder a su portal o iniciar una aplicación concreta. Por ejemplo, el valor 4 en unaregla de aplicación web proporciona a los usuarios cuatro horas para iniciar la aplicación web, a menosque inicien otro evento de autenticación que prolongue la duración.

Mensaje de error personalizado de acceso denegadoCuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas,la configuración no es correcta o se produce un error en el sistema, se mostrará un mensaje de accesodenegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se hanencontrado métodos de autenticación válidos.

Puede crear un mensaje de error personalizado para cada regla de la directiva de acceso para anular elmensaje predeterminado. El mensaje personalizado puede incluir texto y un vínculo de un mensaje dellamada a la acción. Por ejemplo, en la regla de la directiva para dispositivos móviles que deseeadministrar, puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesióndesde un dispositivo que no esté registrado. Registre su dispositivo para acceder a losrecursos corporativos. Para ello, haga clic en el vínculo que encontrará al final de

este mensaje. Si su dispositivo ya está registrado, póngase en contacto con el

equipo de soporte técnico para obtener ayuda.

Administrar las directivas específicas de aplicaciones deescritorio y webCuando agregue aplicaciones de escritorio y web al catálogo, puede crear directivas de accesoespecíficas de aplicaciones. Por ejemplo, puede crear una directiva con reglas para una aplicación webque especifique las direcciones IP que tienen acceso a la aplicación, los métodos de autenticación quese deben usar y el tiempo que debe pasar hasta que sea necesaria una nueva autenticación.


VMware, Inc. 108

La siguiente política específica de aplicaciones web proporciona un ejemplo de política que puede crearpara controlar el acceso a aplicaciones web especificadas.

Ejemplo 1 Política estricta específica de aplicaciones webEn este ejemplo, se crea una nueva directiva y se aplica a una aplicación web confidencial.

1 Para acceder al servicio desde fuera de la red empresarial, es necesario que el usuario inicie sesióncon RSA SecurID. Después de iniciar sesión con un navegador, el usuario ya puede acceder al portalde aplicaciones durante una sesión de cuatro horas, el tiempo que permite la regla de accesopredeterminada.

2 Una vez transcurridas las cuatro horas, el usuario intenta iniciar una aplicación web con el conjuntode directivas de aplicaciones web aplicadas.

3 El servicio comprueba las reglas de la directiva y la aplica con el rango de redes TODOS LOSRANGOS, ya que la solicitud del usuario procede de un navegador web y de este rango de redes.

El usuario inició la sesión mediante el método de autenticación RSA SecurID, pero la sesión acabade finalizar. Se redirige al usuario para que haya reautenticación. La nueva autenticación proporcionaal usuario otra sesión de cuatro horas y la posibilidad de iniciar la aplicación. Durante las próximascuatro horas, el usuario puede seguir ejecutando la aplicación sin necesidad de volver aautenticarse.


VMware, Inc. 109

Ejemplo 2 Política más estricta específica de aplicaciones webPara aplicar una regla más estricta en aplicaciones extremadamente confidenciales, puede solicitar quese vuelva a realizar la autenticación con SecurId en todos los dispositivos transcurrida una hora. Elsiguiente es un ejemplo de cómo se implementa este tipo de regla de directiva de acceso.

1 El usuario inicia la sesión desde dentro de la red empresarial mediante el método de autenticaciónKerberos.

El usuario ya puede acceder al portal de aplicaciones durante ocho horas, como se establece en elejemplo 1.

2 El usuario intenta iniciar inmediatamente una aplicación web con la regla de la directiva del Ejemplo2 aplicada, que requiere autenticación RSA SecurID.

3 Se redirige al usuario a la página de inicio de sesión con autenticación RSA SecurID.

4 Después de que el usuario inicia la sesión correctamente, el servicio inicia la aplicación y guarda elevento de autenticación.

El usuario puede seguir ejecutando esta aplicación durante una hora, pero transcurrido este tiempose le solicita una nueva autenticación, según lo establecido por la regla de la directiva.

Agregar una directiva específica de aplicaciones deescritorio y webSe pueden crear directivas específicas de aplicaciones para administrar el acceso de los usuarios adeterminadas aplicaciones de escritorio y web.


VMware, Inc. 110

Prerequisitos

n Configure los rangos de redes apropiados para su implementación. Consulte Agregar o editar unrango de redes.

n Si tiene previsto editar la directiva predeterminada (para controlar el acceso de usuarios al serviciode manera global), configúrela antes de crear la directiva específica de la aplicación.

Procedimiento

1 En la pestaña Directivas de la consola de administración, haga clic en Agregar directiva paraagregar una nueva directiva.

2 Añada un nombre y una descripción a la directiva en los cuadros de texto correspondientes.

3 En la sección Se aplica a, haga clic en Seleccionar y, en la página que aparece, seleccione lasaplicaciones que se asociarán a esta directiva.

4 En la sección Reglas de la directiva, haga clic en + para añadir una regla.

Aparece la página Agregar una regla de directiva.

a Seleccione el rango de redes que se aplicará a esta regla.

b Seleccione el tipo de dispositivo que podrá acceder a las aplicaciones de esta regla.

c Seleccione los métodos de autenticación que se utilizarán en el orden en que deberán aplicarse.

d Especifique el número de horas que puede permanecer abierta la sesión de la aplicación.

e Haga clic en Guardar.

5 Configure otras reglas según crea conveniente.


Configurar el mensaje de error personalizado de accesodenegadoPara cada regla de la directiva, puede creer un mensaje de error personalizado de acceso denegadocuando los usuarios intentan iniciar sesión y se produce un error porque sus credenciales no son válidas.

El mensaje personalizado puede incluir texto y un vínculo a otra URL para ayudar a los usuarios aresolver los problemas que encuentren. Puede utilizar hasta 4000 caracteres (aproximadamente 650palabras).

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Políticas.

2 Haga clic en la directiva de acceso para editarla.

3 Para abrir una página de la regla de la directiva, haga clic en el nombre de la autenticación situadoen la columna Método de autenticación de la regla que va a editar.


VMware, Inc. 111

4 En el cuadro de texto Mensaje de error personalizado, escriba el mensaje de error.

5 Para agregar un vínculo a una URL, introduzca una descripción del vínculo en el cuadro Texto delenlace e introduzca la URL en el cuadro Url del enlace.

El vínculo se muestra al final del mensaje personalizado. Si no agrega texto en el campo Texto delenlace pero agrega una URL, el texto del vínculo que se mostrará es

Continuar.



Cree mensajes de error personalizados para otras reglas de directivas.e

Editar la directiva de acceso predeterminadaPuede editar la directiva de acceso predeterminada para cambiar las reglas de la directiva y tambiénpuede editar las directivas específicas de las aplicaciones para agregar o eliminar aplicaciones y cambiarlas reglas de la directiva.

Puede eliminar en cualquier momento una directiva de acceso específica de aplicación. La directiva deacceso predeterminada es permanente. No es posible eliminar la directiva predeterminada.

Prerequisitos

n Configure los rangos de redes apropiados para su implementación. Consulte Agregar o editar unrango de redes.

Procedimiento

1 En la pestaña Directivas de la consola de administración, seleccione Editar directivapredeterminada.

2 En la columna Método de autenticación de la sección Reglas de la directiva, seleccione la regla quedesee editar.

Se mostrará la página Editar regla de directivas con la configuración existente.

3 Para configurar el orden de autenticación, en el menú desplegable entonces el usuario debeautenticarse con el siguiente método, seleccione el método de autenticación que se aplicará enprimer lugar.

4 (Opcional) Para configurar un método de autenticación de reserva en caso de que el primero nofuncione, seleccione otro método en el siguiente menú desplegable.

Puede agregar varios métodos de autenticación de reserva a una regla.

5 Haga clic en Guardar y de nuevo en Guardar en la página de las directivas.

La regla de directivas editada será efectiva de inmediato.


VMware, Inc. 112


Si la directiva es de acceso específica para las aplicaciones, puede también aplicar esta directiva a lasaplicaciones en la página Catálogo. Consulte Agregar una directiva específica de aplicaciones deescritorio y web

Habilitar la comprobación de conformidad paradispositivos administrados por AirWatchCuando los usuarios registran sus dispositivos en la aplicación AirWatch Agent, los datos de ejemploutilizados para evaluar la conformidad se envían de forma programada. La evaluación de estos datos deejemplo garantiza que el dispositivo cumple las reglas de conformidad que establece el administrador enla consola de AirWatch. Si el dispositivo no cumple con la conformidad, se llevan a cabo las accionescorrespondientes en la consola de AirWatch.




Configurar la regla de directiva de accesoPara proporcionar acceso seguro al portal de aplicaciones de los usuarios y para iniciar aplicaciones deescritorio y web, configure directivas de acceso. Las directivas de acceso incluyen reglas que especificanlos criterios que se deben cumplir para iniciar sesión en el portal de aplicaciones y utilizar los recursos.

Debe editar las reglas predeterminadas de directiva para seleccionar los métodos de autenticación queconfiguró. Se puede configurar una regla de directiva para realizar acciones como bloquear, permitir oautenticar a un nivel superior los usuarios en función de condiciones como la red, el tipo de dispositivo, lainscripción de dispositivos de AirWatch y el estado de cumplimiento, o bien la aplicación a la que sedesea obtener acceso. Es posible agregar grupos a una directiva para administrar la autenticación engrupos específicos.

Cuando se habilite Comprobación de conformidad, cree una regla de directiva de acceso que solicite laverificación de conformidad del dispositivo y la autenticación de los dispositivos administrados porAirWatch.


VMware, Inc. 113

La regla de directiva de comprobación de conformidad funciona en una cadena de autenticación con elSSO móvil para iOS, el SSO móvil para Android y la implementación en la nube del certificado. Elmétodo de autenticación que se utilice debe ir delante de la opción de conformidad de dispositivos en laconfiguración de las reglas de la directiva.

Prerequisitos

Los métodos de autenticación deben estar configurados y asociados a un proveedor de identidadesintegrado.

La comprobación de conformidad debe estar habilitada en la página AirWatch de VMware IdentityManager.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Directivas.

2 Seleccione la directiva de acceso que desee editar.

3 En la sección Reglas de la directivas, seleccione la regla de la directiva que desee editar.

4 En el menú desplegable El usuario se debe autenticar con el siguiente método..., haga clic en + yseleccione el método de autenticación que desee utilizar.

5 En el segundo menú desplegable El usuario se debe autenticar con el siguiente método...,seleccione enCumplimiento normativo del dispositivo (con AirWatch).

6 (Opcional) En el cuadro Texto del mensaje de la sección Personalizar error, cree un mensajepersonalizado que se muestre cuando se produce un error en la autenticación del usuario debido aque el dispositivo no es compatible. En el cuadro de texto Enlace del error personalizado, puedeagregar un vínculo al mensaje.



VMware, Inc. 114

Habilitación de cookies persistentes en dispositivosmóvilesHabilite cookies persistentes para proporcionar inicio de sesión único entre el navegador del sistema ylas aplicaciones nativas e inicio de sesión único entre aplicaciones nativas cuando estas aplicacionesusan el Controlador de vistas de Safari en dispositivos con iOS y pestañas personalizadas de Chrome endispositivos con Android.

Las cookies persistentes almacenan detalles de la sesión que ha iniciado el usuario para que no tengaque introducir de nuevo sus credenciales al obtener acceso a sus recursos administrados medianteVMware Identity Manager. El tiempo de espera de las cookies se puede configurar en las reglas dedirectivas de acceso que configure para dispositivos con iOS y Android.

NOTA: Las cookies son vulnerables y susceptibles de robo y de sufrir ataques por script entre sitios(XSS, cross site script attacks) en navegadores comunes.

Habilitar cookie persistenteLas cookies persistentes almacenan detalles de la sesión que ha iniciado el usuario para que no tengaque introducir de nuevo sus credenciales al obtener acceso a sus recursos administrados desdedispositivos con iOS o Android.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfigurar > Preferencias.

2 Active Habilitar cookie persistente.



Para establecer el tiempo de espera de la sesión de cookies persistentes, edite el valor para volver aautenticar en las reglas de directivas de acceso para dispositivos con iOS y Android.


VMware, Inc. 115

Administrar usuarios y grupos 10Los usuarios y los grupos del servicio de VMware Identity Manager se importan desde su directorioempresarial o se crean como grupos y usuarios locales en la consola de administración deVMware Identity Manager.

En la consola de administración, las páginas Usuarios y Grupos ofrecen una vista del servicio centradaen los usuarios y los grupos. Puede administrar autorizaciones de grupos y usuarios, afiliaciones degrupos y números de teléfonos de VMware Verify. En el caso de usuarios locales, también puedeadministrar directivas de contraseñas.


n Tipos de usuarios y grupos

n Acerca de los nombres de usuario y de grupo

n Administrar usuarios

n Crear grupos y configurar reglas de grupo

n Editar reglas de grupo

n Agregar recursos a grupos

n Crear usuarios locales

n Administrar contraseñas

Tipos de usuarios y gruposLos usuarios del servicio de VMware Identity Manager pueden ser usuarios sincronizados desde eldirectorio empresarial,usuarios locales que aprovisiona en la consola de administración o usuarioscreados con el aprovisionamiento Just-In-Time.

Los grupos del servicio de VMware Identity Manager pueden ser grupos sincronizados del directorioempresarial y grupos locales que se crearon en la consola de administración.

Los usuarios y los grupos importados desde el directorio empresarial se actualizan en el directorio deVMware Identity Manager, de acuerdo con la programación de sincronización del servidor. Puede ver lascuentas de usuarios y grupos desde las páginas Usuarios y grupos. No puede editar ni eliminar estosusuarios y grupos.

VMware, Inc. 116

Sin embargo, puede crear grupos y usuarios locales. Los usuarios locales se agregan a un directoriolocal. Puede administrar la asignación de atributos de los usuarios locales y las directivas decontraseñas. Puede crear grupos locales para administrar las autorizaciones de recursos para losusuarios.

Los usuarios creados con el aprovisionamiento Just-In-Time se crean y se actualizan de forma dinámicacuando el usuario inicia sesión, según las aserciones SAML que envía el proveedor de identidades. Todala administración de usuarios se realiza mediante aserciones SAML. Para usar el aprovisionamientoJust-In-Time, consulte Capítulo 6 Aprovisionamiento de usuarios Just-in-Time.

Acerca de los nombres de usuario y de grupoEn el servicio VMware Identity Manager, los usuarios y grupos se identifican de manera única mediantesu nombre y dominio. Esto permite tener varios usuarios o grupos con el mismo nombre en distintosdominios de Active Directory. Los nombres de usuarios y grupos deben ser únicos dentro de un dominio.

Nombres de usuarioEl servicio VMware Identity Manager permite tener varios usuarios con el mismo nombre en distintosdominios de Active Directory. Los nombres de usuario deben ser únicos dentro de un dominio. Porejemplo, puede haber un usuario juan en el dominio ing.ejemplo.com, y otro usuario juan en el dominioventas.ejemplo.com.

Los usuarios se identifican de manera única mediante sus nombres de usuario y sus dominios. EnVMware Identity Manager, el atributo userName se utiliza para nombres de usuario y se asignanormalmente al atributo sAMAccountName en Active Directory. El atributo domain se utiliza paradominios y se asigna normalmente al atributo canonicalName en Active Directory.

Durante la sincronización del directorio, los usuarios con el mismo nombre de usuario pero distintodominio se sincronizarán correctamente. Si existe un conflicto de nombres de usuario dentro de undominio, se sincronizará el primer usuario y ocurrirá un error con los siguientes usuarios que tengan elmismo nombre.

NOTA: Si existe un directorio de VMware Identity Manager en el que falte el dominio del usuario o nosea correcto, compruebe la configuración del dominio y sincronice de nuevo el directorio. Consulte Sincronizar directorio con la correcta información de dominio.

En la consola de administración, se puede identificar a los usuarios de manera única mediante susnombres de usuario y dominios. Por ejemplo:

n En la columna Usuarios y grupos de la pestaña Panel de información, los usuarios aparecen comousuario (dominio). Por ejemplo, juan (ventas.ejemplo.com).

n En la página Usuarios y grupos, la columna DOMINIO indica el dominio al que pertenece el usuario.

n Los informes que muestran información del usuario, como el informe de autorizaciones de recursos,incluyen una columna DOMINIO.


VMware, Inc. 117

Cuando los usuarios finales inician la sesión en el portal del usuario, seleccionan el dominio al quepertenecen en la página de inicio de sesión. Si hay varios usuarios con el mismo nombre, cada uno deellos podrá iniciar la sesión correctamente con el dominio correspondiente.

NOTA: Esta información se aplica a los usuarios sincronizados de Active Directory. Si se utiliza unproveedor de identidades externo y se ha configurado el aprovisionamiento de usuarios Just-in-Time,consulte Capítulo 6 Aprovisionamiento de usuarios Just-in-Time para obtener información. Elaprovisionamiento de usuarios Just-in-Time también es compatible con varios usuarios con el mismonombre en distintos dominios.

Nombres de grupoEl servicio VMware Identity Manager permite tener varios grupos con el mismo nombre en distintosdominios de Active Directory. Los nombres de grupo deben ser únicos dentro de un dominio. Porejemplo, puede haber un grupo todoslosusuarios en el dominio ing.ejemplo.com, y otro grupotodoslosusuarios en el dominio ventas.ejemplo.com.

Los grupos se identifican de manera única mediante sus nombres de usuario y sus dominios.

Durante la sincronización del directorio, los grupos con el mismo nombre de usuario pero distinto dominiose sincronizarán correctamente. Si existe un conflicto de nombres de grupo dentro de un dominio, sesincronizará el primer grupo y ocurrirá un error con los siguientes grupos que tengan el mismo nombre.

En la pestaña Usuarios y grupos de la página Grupos de la consola de administración, los grupos deActive Directory se muestran por su nombre de grupo y su dominio. Esto permite distinguir entre gruposcon el mismo nombre. Los grupos que se crearon localmente en el servicio VMware Identity Manager semuestran por el nombre del grupo. El dominio se muestra como usuarios locales.

Sincronizar directorio con la correcta información de dominioSi existe un directorio de VMware Identity Manager en el que falte el dominio del usuario o no seacorrecto, debe comprobar la configuración del dominio y sincronizar de nuevo el directorio. Es necesariocomprobar la configuración del dominio para que los usuarios y los grupos que tienen el mismo nombreen diferentes dominios de Active Directory se sincronicen correctamente con el directorio deVMware Identity Manager y los usuarios puedan iniciar sesión.

Procedimiento

1 En la consola de administración, diríjase a la página Administración de acceso e identidad >Directorios.

2 Seleccione el directorio que desee sincronizar y, a continuación, haga clic en Configuración desincronización y en la pestaña Atributos asignados.

3 En la página Atributos asignados, compruebe que el atributo domain de VMware Identity Managerse asignó al nombre de atributo correcto de Active Directory.

El atributo domain se asigna normalmente al atributo canonicalName en Active Directory.

El atributo domain no aparece como obligatorio.


VMware, Inc. 118

4 Haga clic en Guardar y sincronizar para sincronizar el directorio.

Administrar usuariosEn la página Usuarios de la consola de administración, se muestran los usuarios que pueden iniciarsesión en Workspace ONE.

Seleccione un nombre de usuario para ver su información detallada.

Perfil de usuarioLa página del perfil de usuario muestra los datos personales asociados al usuario y a la funciónasignada: usuario o administrador. La información del usuario que se sincroniza desde un directorioexterno también puede incluir el nombre principal, el nombre distintivo y la información del ID externo. Lapágina de perfil de un usuario local muestra los atributos de usuario disponibles para los usuarios deldirectorio local de usuarios.

No se pueden editar los datos de la página de perfil de los usuarios que se sincronizan desde eldirectorio externo. Puede cambiar la función del usuario.

Crear grupos y configurar reglas de grupoPuede crear grupos, agregar miembros y crear reglas que le permitan rellenar los grupos.

Use los grupos para autorizar varios usuarios en los mismos recursos al mismo tiempo, en lugar deautorizar cada usuario individualmente. Un usuario puede pertenecer a varios grupos. Por ejemplo, si secrea un grupo Ventas y un grupo Dirección, un director de ventas puede pertenecer a ambos grupos.

Puede especificar las opciones de directivas que se aplican a los miembros de un grupo. Los usuarios delos grupos se definen según las reglas que establece para un atributo de usuario. Si un valor del atributode usuario cambia del valor definido de la regla de grupo, el usuario se elimina del grupo.

Procedimiento

1 En la consola de administración, dentro de la pestaña Usuarios y grupos, haga clic en Grupos.

2 Haga clic en Agregar grupo.

3 Introduzca un nombre de grupo y una descripción. Haga clic en Siguiente.

4 Para agregar usuarios al grupo, introduzca las letras del nombre de usuario. A continuación, semostrará una lista de nombres que coinciden con el texto que introdujo.

5 Seleccione el nombre de usuario y haga clic en +Agregar usuario.

Continúe para agregar miembros al grupo.

6 Después de agregarlos, haga clic en Siguiente.


VMware, Inc. 119

7 En la página Reglas del grupo, seleccione cómo se concede la pertenencia al grupo. En el menúdesplegable, seleccione cualquiera o todo.

Opción Acción

Cualquiera Concede la pertenencia a un grupo cuando se cumple cualquiera de lascondiciones de pertenencia a grupos. Esta acción funciona como una condiciónO. Por ejemplo, si selecciona Cualquiera para las reglas Grupo Es Ventas yGrupo Es Marketing, se concederá la pertenencia a este grupo al personal deventas y marketing.

Todo Concede la pertenencia a un grupo cuando se cumplen todas las condiciones depertenencia a grupos. Esta acción funciona como una condición Y. Por ejemplo,si selecciona Todos los que hay a continuación para las reglas Grupo EsVentas y Correo electrónico Empieza por 'western_region', solo se concederála pertenencia a este grupo al personal de ventas de la región occidental. Lapertenencia no se concederá al personal de ventas de otras regiones.


VMware, Inc. 120

8 Configure una o más reglas para el grupo. También puede anidar reglas.


Atributo Seleccione uno de estos atributos en el menú desplegable de la primeracolumna. Seleccione Grupo para agregar un grupo existente al que está creando.Puede agregar otros tipos de atributos para administrar los usuarios de losgrupos que son miembros del que creó.

Reglas de atributos Las siguientes reglas están disponibles dependiendo del atributo que seleccionó.n Con es puede seleccionar un grupo o un directorio que se asocie a este

grupo. Escriba un nombre en el cuadro de texto. Al escribir, aparecerá unalista de grupos o directorios disponibles.

n Con no es puede seleccionar el grupo o el directorio que desea excluir.Escriba un nombre en el cuadro de texto. Al escribir, aparecerá una lista degrupos o directorios disponibles.

n Seleccione coincide para conceder la pertenencia a un grupo a las entradasque coincidan exactamente con los criterios introducidos. Por ejemplo, suorganización podría contar con un departamento de viajes de empresa quecomparte un número de teléfono central. Si desea conceder acceso a unaaplicación de reserva de viajes a todos los empleados que compartan dichonúmero de teléfono, cree una regla como Teléfono coincide (555) 555-1000.

n Seleccione no coincide para conceder la pertenencia a un grupo a todas lasentradas de servidor del directorio, excepto las que coincidan con los criteriosintroducidos. Por ejemplo, si uno de sus departamentos comparte un númerode teléfono central, puede excluir dicho departamento del acceso a unaaplicación de red social mediante la creación de una regla como Teléfono nocoincide (555) 555-2000. Las entradas de servidor del directorio con otrosnúmeros de teléfono tendrán acceso a la aplicación.

n Seleccione empieza por para conceder la pertenencia a un grupo a lasentradas de servidor del directorio que empiecen con los criteriosintroducidos. Por ejemplo, las direcciones de correo electrónico de laorganización podrían empezar por el nombre del departamento, como [email protected]. Si desea conceder acceso a unaaplicación a todo su personal de ventas, puede crear una regla, como correoelectrónico empieza por ventas_.

n Seleccione no empieza por para conceder la pertenencia a un grupo a todaslas entradas de servidor del directorio, excepto las que empiecen con loscriterios introducidos. Por ejemplo, si las direcciones de correo electrónico desu departamento de recursos humanos tienen el [email protected], puede configurar una regla para denegarel acceso a una aplicación como, por ejemplo, correo electrónico no empiezapor rrhh_. Las entradas de servidor del directorio con otras direcciones decorreo electrónico tendrán acceso a la aplicación.

Usar atributos Cualquiera y Todo (Opcional) Para incluir los atributos Cualquiera y Todo como parte de las reglasde grupo, agregue esta regla la última.n Seleccione Cualquiera para conceder la pertenencia a un grupo cuando,

para esta regla, se cumple cualquiera de las condiciones de pertenencia agrupos. Al utilizar el atributo Cualquiera se anidan reglas. Por ejemplo, puedecrear una regla que sea Todos los que hay a continuación: Grupo Es Ventas;


VMware, Inc. 121


Grupo Es California. Para Grupo Es California, Cualquiera de los siguientes:Teléfono empieza por 415; Teléfono empieza por 510. El miembro del grupodebe pertenecer al personal de ventas de California y tener un número deteléfono que empiece por 415 o 510.

n Seleccione Todo si desea que se cumplan todas las condiciones para estaregla. Esta es una forma de anidar reglas. Por ejemplo, puede crear unaregla que sea Cualquiera de los siguientes: Grupo Es Administradores;Grupo Es Atención al cliente. Para Grupo Es Atención al cliente, todos losque se especifican a continuación: Correo electrónico empieza por ac_;Teléfono empieza por 555. Los miembros del grupo pueden seradministradores o representantes del servicio de atención al cliente, peroestos últimos deben tener un correo electrónico que empiece por ac y unnúmero de teléfono que empiece por 555.

9 (Opcional) Para excluir usuarios específicos, introduzca un nombre de usuario en la casilla de texto y

haga clic en Excluir usuario.

10 Haga clic en Siguiente y revise la información del grupo. Haga clic en Crear grupo.


Agregue los recursos para cuyo uso está autorizado el grupo.

Editar reglas de grupoPuede editar reglas de grupo para cambiar el nombre, agregar y eliminar usuarios y cambiar las reglasde grupo.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos > Grupos.

2 Haga clic en el nombre del grupo para editarlo.

3 Haga clic en Editar usuarios del grupo.

4 Haga clic en las páginas para cambiar el nombre, los usuarios del grupo y las reglas.


Agregar recursos a gruposLa forma más efectiva de autorizar a los usuarios para usar los recursos es agregar las autorizaciones aun grupo. Todos los miembros del grupo pueden acceder a las aplicaciones para las que el grupo tieneautorización.

Prerequisitos

Las aplicaciones se agregan a la página Catálogo.


VMware, Inc. 122

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos > Grupos.

La página muestra una lista de los grupos.

2 Para agregar recursos a un grupo, haga clic en el nombre del grupo.

3 Haga clic en la pestaña Aplicaciones y, a continuación, haga clic en Agregar autorización.

4 Seleccione el tipo de aplicación a la que otorgar la autorización en el menú desplegable.

Los tipos de aplicaciones que aparecen en el menú desplegable se basan en los tipos deaplicaciones agregadas al catálogo.

5 Seleccione las aplicaciones a las que desea autorizar al grupo. Puede buscar una aplicaciónespecífica o marcar la casilla que aparece junto a Aplicaciones para seleccionar todas lasaplicaciones.

Si el grupo ya tiene autorización para una aplicación, esta no aparece en la lista.


Las aplicaciones aparecen en la página Aplicaciones y los usuarios del grupo tienen autorizacióninmediata a los recursos.

Crear usuarios localesPuede crear usuarios locales en el servicio de VMware Identity Manager para agregar y administrarusuarios que no estén aprovisionados en el directorio empresarial. Puede crear diferentes directorioslocales y personalizar la asignación de los atributos de cada directorio.

Puede crear un directorio, seleccionar atributos y crear atributos personalizados para dicho directoriolocal. Los atributos de usuario obligatorios userName, lastName, firstName y email se especifican a nivelglobal en la página Administración de acceso e identidad > Atributos de usuario. En la lista de atributosde usuarios del directorio local, puede seleccionar otros atributos obligatorios y crear atributospersonalizados para tener conjuntos de atributos para diferentes directorios locales. Consulte "Usardirectorios locales" en la guía Instalar y configurar VMware Identity Manager.

Cree usuarios locales cuando desee proporcionar a los usuarios acceso a las aplicaciones sin agregarlosal directorio empresarial.

n Puede crear un directorio local para un tipo específico de usuarios que no sea parte del directorioempresarial. Por ejemplo, puede crear un directorio local para partners, que no suelen ser parte deldirectorio empresarial, y proporcionarles acceso únicamente a las aplicaciones específicas quenecesitan.

n Puede crear varios directorios locales si desea asignar diferentes atributos de usuario o métodos deautenticación para diferentes grupos de usuarios. Por ejemplo, puede crear un directorio local paralos distribuidores que tengan atributos de usuario con la etiqueta de la región y el tamaño demercado. Cree otro directorio local para proveedores que tengan un atributo de usuario con laetiqueta de categoría de producto.


VMware, Inc. 123

Configure el método de autenticación que usen los usuarios locales para iniciar sesión en el sitio web desu empresa. Se establece una directiva de contraseñas para la contraseña del usuario local. Puededefinir las restricciones y las reglas de administración de las contraseñas.

Después de aprovisionar un usuario, se envía un mensaje por correo electrónico sobre cómo iniciarsesión para habilitar la cuenta. Cuando el usuario inicia sesión, crea una contraseña y se habilita sucuenta.

Agregar usuarios localesPuede crear un usuario cada vez. Cuando agrega al usuario, seleccione un directorio local que estáconfigurado con los atributos del usuario local que se usan y el dominio en el que el usuario inicia sesión.

Además de agregar la información del usuario, seleccione la función del usuario: administrador o usuario.La función de administrador permite al usuario acceder a la consola de administración para gestionar losservicios de VMware Identity Manager.

Prerequisitos

n Directorio local creado

n Dominio identificado para los usuarios locales

n Atributos de usuario que son obligatorios seleccionados en la página Atributos de usuario deldirectorio local

n Directivas de contraseñas configuradas

n Servidor SMTP configurado en la pestaña Configuración de dispositivos para que envíe unanotificación por correo electrónico a los usuarios locales creados recientemente

Procedimiento

1 En la consola de administración, dentro de la pestaña Usuarios y grupos, haga clic en Agregarusuario.

2 En la página Agregar un usuario, seleccione el directorio local para dicho usuario.

La página se expande para mostrar los atributos de usuario que debe configurar.

3 Seleccione el dominio al que ese usuario está asignado y complete la información de usuarionecesaria.

4 Si el usuario tiene la función de administrador, seleccione Administrador en el cuadro de textoUsuario.



VMware, Inc. 124

Se crea el usuario local. Se envía un correo electrónico al usuario solicitándole que inicie sesión parahabilitar la cuenta y crear una contraseña. El vínculo del correo electrónico caduca de acuerdo con elvalor establecido en la página Directiva de contraseñas. El valor predeterminado es siete días. Si elvínculo caduca, puede hacer clic en Restablecer contraseña para volver a enviar la notificación porcorreo electrónico.

Se agrega un usuario a los grupos existentes según las reglas de los atributos de grupo que esténconfiguradas.


Diríjase a la cuenta del usuario local para revisar el perfil, agregar el usuario a los grupos yproporcionarle autorización para usar los recursos.

Si creó un usuario administrador en el directorio del sistema con autorización para recursosadministrados por una directiva de acceso específica, asegúrese de que las reglas de la directiva de laaplicación incluye Contraseña (Directorio local) como un método de autenticación de reserva. Si elmétodo Contraseña (Directorio local) no está configurado, el administrador no puede iniciar sesión en laaplicación.

Deshabilitar o habilitar usuarios localesPuede deshabilitar usuarios locales, en lugar de eliminarlos, para que no inicien sesión y no tenganacceso al portal ni a los recursos autorizados.

Procedimiento


2 Seleccione al usuario en cuestión en la página Usuarios.

Aparece la página del perfil de usuario.

3 Dependiendo del estado del usuario local, realice la acción correspondiente.

a Para deshabilitar la cuenta, desmarque la casilla Habilitar.

b Para habilitar la cuenta, marque Habilitar.

Los usuarios deshabilitados no pueden iniciar sesión en el portal ni en los recursos para los que tienenautorización. Si están trabajando en un recurso autorizado cuando se deshabilita el usuario local, esteusuario puede acceder al recurso hasta que finalice el tiempo de la sesión.

Eliminar usuarios localesPuede eliminar usuarios locales.

Procedimiento



VMware, Inc. 125

2 Seleccione el usuario que va a eliminar.

Aparece la página del perfil de usuario.

3 Haga clic en Eliminar usuario.

4 En el cuadro de confirmación, haga clic en Aceptar.

Se elimina el usuario de la lista Usuarios.

Los usuarios eliminados no pueden iniciar sesión en el portal ni en los recursos para los que tienenautorización.

Administrar contraseñasPuede crear una directiva de contraseñas para administrar las contraseñas de los usuarios locales yestos pueden cambiarla según las reglas de la directiva de contraseñas.

Los usuarios locales pueden cambiar la contraseña en el portal de Workspace ONE, en la selección decuentas por nombre del menú desplegable.

Configurar la directiva de contraseñas de los usuarios localesLa directiva de contraseñas de los usuarios locales es un conjunto de reglas y restricciones sobre elformato y la caducidad de las contraseñas del usuario local. La directiva de contraseñas se aplicaúnicamente a los usuarios locales que creó desde la consola de administración deVMware Identity Manager.

La directiva de contraseñas puede incluir restricciones, la vigencia máxima de una contraseña y, para losrestablecimientos de contraseñas, la vigencia máxima de la contraseña temporal.

La directiva de contraseñas predeterminada necesita seis caracteres. Las restricciones de contraseñaspueden incluir una combinación de letra mayúscula, letra minúscula y caracteres especiales para solicitarque se establezcan contraseñas seguras.

Procedimiento

1 En la consola de administración, seleccione Usuarios y grupos > Configuración.

2 Haga clic en Directiva de contraseñas para editar los parámetros de restricción de la contraseña.


Longitud mínima para las contraseñas La longitud mínima son seis caracteres, pero es posible que necesite unacantidad superior. La longitud mínima no debe ser inferior a la cantidad mínimarequerida de caracteres alfabéticos, numéricos y especiales combinados.

Caracteres en minúsculas Número mínimo de caracteres en minúscula. a-z en minúscula

Caracteres en mayúscula Número mínimo de caracteres en mayúscula. A-Z en mayúscula

Caracteres numéricos (0-9) Número mínimo de caracteres numéricos. Diez dígitos básicos (0-9)

Caracteres especiales Número mínimo de caracteres no alfanuméricos, por ejemplo, & # % $ !


VMware, Inc. 126


Caracteres consecutivos idénticos Número máximo de caracteres idénticos adyacentes. Por ejemplo, si introduce 1,se admite la siguiente contraseña: p@s$word; sin embargo, no se admite esta:p@$$word.

Historial de contraseñas Número de contraseñas anteriores que no pueden seleccionarse. Por ejemplo, siun usuario no puede reutilizar ninguna de las últimas seis contraseñas, escriba 6.Para deshabilitar esta función, configure el valor como 0.

3 En la sección Administración de contraseñas, edite los parámetros de vigencia de la contraseña.


Vigencia de la contraseña temporal Número de horas durante el cual es válido el vínculo de contraseña olvidada o derestablecimiento de contraseña. El valor predeterminado es 168 horas

Vigencia de la contraseña Cantidad máxima de días de vigencia de la contraseña, antes de que el usuariodeba cambiarla.

Recordatorio de contraseña Número de días en el que se envía una notificación de caducidad antes de queuna contraseña caduque.

Frecuencia de notificación delrecordatorio de contraseña

La frecuencia con la que se enviarán los recordatorios después de que se envíela notificación por primera vez.

Cada casilla debe tener un valor para configurar la directiva de vigencia de las contraseñas. Para noenviar una opción de directiva, introduzca 0.



VMware, Inc. 127

Administración del catálogo 11El catálogo es el repositorio de todos los recursos que puede autorizar para que los usen los usuarios. Lapestaña Catálogo permite agregar directamente aplicaciones al catálogo. Para ver las aplicacionesagregadas al catálogo, haga clic en la pestaña Catálogo de la consola de administración.

En la página Catálogo, puede realizar las tareas siguientes:

n Agregar recursos nuevos al catálogo.

n Ver los recursos que puede autorizar actualmente para que los usen los usuarios.

n Obtener acceso a información sobre cada recurso del catálogo.

Se pueden agregar aplicaciones web al catálogo directamente desde la página Catálogo.

Otros tipos de recurso requieren realizar acciones fuera de consola de administración. ConsulteConfiguración de recursos en VMware Identity Manager para obtener información sobre la configuraciónde recursos.

Recurso Cómo ver el recurso en el catálogo

Aplicación web En la página Catálogo de la consola de administración, seleccione el tipo de aplicaciónAplicaciones web.

Aplicación Windowsvirtualizada capturadacomo un paquete deThinApp

Sincronice los paquetes de ThinApp en su catálogo desde la página Aplicaciones en paquetes -ThinApp de la consola de administración. En la página Catálogo de la consola de administración,seleccione el tipo de aplicación Paquetes de ThinApp.

Grupo de escritorios deView

Sincronice los grupos de View en su catálogo desde la página Grupos de View de la consola deadministración. En la página Catálogo de la consola de administración, seleccione el tipo deaplicación Grupos de escritorio de View.

Aplicaciones alojadas deView

Sincronice las aplicaciones alojadas de View en su catálogo desde la página Grupos de View de laconsola de administración. En la página Catálogo de la consola de administración, seleccione el tipode aplicación Aplicaciones alojadas de View.

Aplicación basada enCitrix

Sincronice las aplicaciones basadas en Citrix en su catálogo desde la página Aplicacionespublicadas - Citrix de la consola de administración. En la página Catálogo de la consola deadministración, seleccione el tipo de aplicación Aplicaciones publicadas de Citrix.


n Administrar recursos del catálogo

n Agrupar recursos en categorías

VMware, Inc. 128

n Administración de la configuración de catálogo

Administrar recursos del catálogoAntes de poder autorizar un recurso determinado a los usuarios, se debe incluir ese recurso en elcatálogo. El método a utilizar para ello dependerá del tipo de recurso de que se trate.

Los tipos de recursos que se pueden definir en el catálogo para su autorización y distribución a losusuarios son aplicaciones web, aplicaciones de Windows obtenidas como paquetes de ThinApp deVMware, aplicaciones alojadas de View y grupos de Horizon View o aplicaciones basadas en Citrix.

Para integrar y habilitar grupos de aplicaciones y escritorios de View, recursos publicados de Citrix opaquetes de aplicaciones de ThinApp, se utiliza el menú Administrar aplicaciones de escritorio de lapestaña Catálogo.

Para obtener información sobre los requisitos, la instalación y la configuración de estos recursos,consulte Configuración de recursos en VMware Identity Manager.

Aplicaciones webEl catálogo se rellena directamente con aplicaciones web desde la página Catálogo de la consola deadministración. Al hacer clic en una aplicación de la página Catálogo, se muestra información sobre esaaplicación. En la página que se muestra se pueden configurar parámetros de la aplicación web eintroducir los atributos SAML adecuados para configurar el inicio de sesión único entreVMware Identity Manager y la aplicación web de destino. Cuando la aplicación web está configurada sepueden autorizar usuarios y grupos para acceder a ella. Consulte Agregar aplicaciones web al catálogo.

Agregar aplicaciones web al catálogoLas aplicaciones web se pueden agregar directamente al catálogo mediante la página Catálogo de laconsola de administración.


VMware, Inc. 129

Para obtener instrucciones detalladas para agregar una aplicación web al catálogo, consulte la secciónConfiguración de recursos en VMware Identity Manager, en el capítulo Proporcionar acceso aaplicaciones web.

Las instrucciones siguientes describen de forma general los pasos necesarios para agregar este tipo derecursos al catálogo.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Haga clic en + Agregar aplicación.

3 Elija la opción correspondiente al tipo de recurso y la ubicación de la aplicación.

Nombre del enlaceTipo derecurso Descripción

Aplicación web ...delcatálogo de aplicacionesen la nube

Aplicación web VMware Identity Manager incluye acceso a las aplicaciones webdisponibles en el catálogo de aplicaciones en la nube que se puedenagregar al catálogo como recursos.

Aplicación web ...crearuna nueva

Aplicación web Al completar el formulario correspondiente, se crea un registro deaplicaciones para las aplicaciones web que se desea agregar al catálogocomo recursos.

Aplicación web ...importarun archivo ZIP o JAR

Aplicación web Se puede importar una aplicación web configurada anteriormente. Estemétodo se puede utilizar para pasar una implementación desde la fasede ensayo a la de producción. En este caso, se exporta la aplicación webde la implementación de ensayo como un archivo ZIP. A continuación, seimporta el archivo ZIP a la implementación de producción.

4 Siga las indicaciones para acabar de agregar recursos al catálogo.

Agregar aplicaciones web al catálogoAl agregar una aplicación web al catálogo, se crea una entrada que dirige indirectamente a la aplicaciónweb. La entrada se define en el registro de aplicación, que es un formulario que incluye una URL paraacceder a la aplicación web.

Procedimiento


2 Haga clic en Agregar aplicación > Aplicación web ...del catálogo de aplicaciones en la nube.

3 Haga clic en el icono de la aplicación web que desee agregar.

El registro de aplicación se agregará al catálogo y aparecerá la página Detalles con el nombre y elperfil de autenticación ya especificados.

4 (Opcional) Personalice la información de la página Detalles de acuerdo a las necesidades de suorganización.

Los elementos de la página se rellenan con información específica de la aplicación web.

Se pueden editar algunos elementos, en función de la aplicación.


VMware, Inc. 130


Nombre El nombre de la aplicación.

Descripción Una descripción de la aplicación que los usuarios pueden leer.

Icono Haga clic en Examinar para cargar un icono para la aplicación. Son compatibles los iconos enarchivos de hasta 4 MB en formato PNG, JPG e ICON.

Los iconos de las aplicaciones que se carguen deben ser de 180 x 180 píxeles como mínimo. Si elicono es demasiado pequeño, no se mostrará. Se mostrará el icono de Workspace ONE en su lugar.

Categorías Para permitir que una aplicación aparezca en una búsqueda por categoría de recursos del catálogo,seleccione una categoría en el menú desplegable. La categoría se debe haber creadoanteriormente.


6 Haga clic en Configuración, edite los detalles de configuración del registro de aplicación y haga clicen Guardar.

Algunos elementos de la página se rellenan automáticamente con información específica de laaplicación web. Algunos de los elementos rellenados automáticamente se pueden editar y otros no.La información solicitada varía de una aplicación a otra.

Para algunas aplicaciones, el formulario tiene una sección llamada Parámetros de la aplicación. Siexiste esa sección para una aplicación y alguno de sus parámetros no tiene un valor predeterminado,se deberá indicar un valor para permitir que la aplicación se inicie. Los valores predeterminadosproporcionados se pueden editar.

7 Seleccione las pestañas Autorizaciones, Licencias y Aprovisionamiento y personalice lainformación como corresponda.


Autorizaciones Autorice usuarios y grupos para la aplicación. Puede configurar autorizaciones al configurarinicialmente la aplicación o en cualquier momento posterior.

Directivas de acceso Aplique una directiva de acceso para controlar el acceso de los usuarios a la aplicación.

Licencias Configure el seguimiento de aprobación. Agregue información de licencias para que la aplicaciónhaga un seguimiento del uso de licencias en los informes. Las aprobaciones deben estarhabilitadas y configuradas en la página Catálogo > Configuración. También debe registrar el URIde devolución de llamada del controlador de la solicitud de aprobación.

Aprovisionamiento Aprovisione una aplicación web para recuperar información específica del servicioVMware Identity Manager. Si el aprovisionamiento de una aplicación web está configurado, alautorizar a un usuario a utilizar la aplicación, se aprovisiona a dicho usuario en la aplicación web.Actualmente hay un adaptador de aprovisionamiento para Google Apps y Office 365. Diríjase aIntegraciones de VMware Identity Manager disponible en https://www.vmware.com/support/pubs/vidm_webapp_sso.html para obtener las guías deconfiguración de estas aplicaciones.

Agregar aplicaciones alojadas y de escritorio de Horizon 7El catálogo se completa con las aplicaciones alojadas y los grupos de escritorios de Horizon 7; además,se debe integrar la implementación de VMware Identity Manager con Horizon 7.


VMware, Inc. 131

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

Al hacer clic en Aplicación de Horizon 7 en el menú Catálogo > Administrar aplicaciones de escritorio, selo redirige a la página Grupos de Horizon 7. Seleccione Habilitar grupos de Horizon 7 para agregarpods, realizar una sincronización de directorios de Horizon 7 y configurar el tipo de implementación queusa el servicio para ampliar las autorizaciones de recursos de Horizon 7 a los usuarios.

Después de realizar estas tareas, las aplicaciones alojadas y los escritorios de Horizon 7 para los que haautorizado usuarios con Horizon estarán disponibles como recursos en su catálogo.

Puede volver a la página en cualquier momento para modificar la configuración o para agregar o eliminarpods.

Para obtener información detallada sobre la integración de Horizon 7 con VMware Identity Manager,consulte Proporcionar acceso a los escritorios de Horizon 7 en la guía de configuración de recursos.

Adición de aplicaciones publicadas de CitrixPuede usar VMware Identity Manager para realizar la integración con implementaciones de Citrix yaexistentes y completar su catálogo con aplicaciones basadas en Citrix.

Al hacer clic en Aplicaciones publicadas de Citrix en el menú Catálogo > Administrar aplicaciones deescritorio, se le redirigirá a la página Aplicaciones publicadas - Citrix. Seleccione Habilitar aplicacionesbasadas en Citrix para establecer la comunicación y programar la frecuencia de sincronización entreVMware Identity Manager y la granja de servidores de Citrix.

Para obtener información detallada sobre la integración de aplicaciones publicadas de Citrix con VMwareIdentity Manager, consulte el tema sobre cómo proporcionar acceso a recursos publicados de Citrix en laguía de configuración de recursos.

Agrupar recursos en categoríasLos recursos se pueden organizar en categorías lógicas para que los usuarios puedan localizarfácilmente el recurso que necesitan en el espacio de trabajo del portal de Workspace ONE.

Al crear las categorías tenga en cuenta la estructura de la organización, la función de trabajo de losrecursos y el tipo de recurso. Se puede asignar más de una categoría a un recurso. Por ejemplo, puedecrear una categoría llamada Editor de texto y otra llamada Recursos recomendados. Asigne Editor detexto a todos los recursos de editor de texto del catálogo. Asigne también Recursos recomendados alrecurso de editor de texto específico que prefiera que utilicen los usuarios.

Crear una categoría de recursoPuede crear una categoría de recurso sin aplicarla inmediatamente o crearla y aplicarla al recurso almismo tiempo.

Procedimiento


2 Para crear categorías y aplicarlas a la vez, seleccione las casillas de las aplicaciones a las que seaplica la nueva categoría.


VMware, Inc. 132

3 Haga clic en Categorías.

4 Introduzca un nombre de categoría nuevo en el cuadro de texto.

5 Haga clic en Agregar categoría....

Se creará una nueva categoría pero no se aplicará a ningún recurso.

6 Para aplicar la categoría a los recursos seleccionados, active la casilla del nombre de categoríanuevo.

La categoría se agregará a la aplicación y aparecerá en la columna Categorías.


Aplique la categoría a otras aplicaciones. Consulte Aplicar una categoría a los recursos.

Aplicar una categoría a los recursosDespués de crear una categoría, esta se puede aplicar a cualquiera de los recursos del catálogo. Puedeaplicar varias categorías al mismo recurso.

Prerequisitos

Cree una categoría.

Procedimiento


2 Seleccione las casillas de todas las aplicaciones a las que aplicar la categoría.

3 Haga clic en Categorías y seleccione el nombre de la categoría que se va a aplicar.

La categoría se aplicará a las aplicaciones seleccionadas.

Eliminar una categoría de una aplicaciónEs posible disociar una categoría de una aplicación.

Procedimiento


2 Seleccione las casillas de las aplicaciones para eliminar una categoría.


Las categorías aplicadas a las aplicaciones estarán marcadas.

4 Cancele la selección de la categoría que desee eliminar de la aplicación y cierre el cuadro de menú.

La categoría se eliminará de la lista de categorías de la aplicación.

Eliminar una categoríaPuede quitar permanentemente una categoría del catálogo


VMware, Inc. 133

Procedimiento



3 Coloque el puntero en la categoría que quiere eliminar. Aparece una x. Haga clic en la x.

4 Haga clic en Aceptar para quitar la categoría.

La categoría ya no aparece en el menú desplegable Categorías o como una etiqueta de cualquieraplicación a la que ha sido aplicada anteriormente.

Administración de la configuración de catálogoLa página de configuración del catálogo permite administrar recursos del catálogo, descargar uncertificado SAML, personalizar el portal de usuario y establecer opciones globales.

Certificados de firma SAMLLos certificados de firma SAML garantizan que los mensajes procedan de la identidad y los proveedoresde servicios esperados. El certificado SAML se utiliza para firmar solicitudes, respuestas y asercionesSAML del servicio a aplicaciones de confianza, como WebEx o Google Apps.

En la página de metadatos SAML Catálogo > Configuración, se muestra el certificado de firma SAML yse incluyen vínculos de los archivos de metadatos del proveedor de identidades y del proveedor deservicios SAML. Los metadatos incluyen información de configuración y los certificados.

Se crea automáticamente un certificado autofirmado en el servicio de VMware Identity Manager para lafirma SAML. Si su organización requiere un certificado de una entidad de certificación, puede generaruna solicitud de firma del certificado (Certificate Signing Request, CSR) desde la consola deadministración y usar la CSR para generar un certificado. Cuando reciba el certificado firmado, cárgueloen el servicio de VMware Identity Manager y reemplace el certificado autofirmado. Los archivos demetadatos SAML y el certificado de firma SAML se actualizarán con el nuevo certificado.

Descarga de certificados SAML para configurar con aplicaciones deconfianzaDebe copiar el certificado de firma SAML y los metadatos del proveedor de servicios SAML desde elservicio y editar la aserción de SAML en el proveedor de identidades externo para asignar usuarios deVMware Identity Manager.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > MetadatosSAML.

a Copie la información del certificado incluida en la sección Certificado de firma.


VMware, Inc. 134

2 Haga que los metadatos del proveedor de servicios SAML estén disponibles para la instancia delproveedor de identidades externo.

a En la página Descargar certificado de SAML, haga clic en Metadatos del proveedor deservicios.

b Copie y guarde la información mostrada con el método que mejor se adapte a su organización.

Use esta información copiada más tarde cuando configure el proveedor de identidades externo.

3 Determine la asignación de usuarios desde la instancia del proveedor de identidades externo enVMware Identity Manager.

Cuando configure el proveedor de identidades externo, edite la aserción de SAML en el proveedor deidentidades externo para asignar usuarios de VMware Identity Manager.

Formato de NameID Asignación de usuarios

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

El valor de NameID de la aserción de SAML se asigna al atributo de dirección decorreo electrónico en VMware Identity Manager.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

El valor de NameID de la aserción de SAML se asigna al atributo de nombre deusuario en VMware Identity Manager.


Aplique la información copiada en esta tarea para configurar la instancia del proveedor de identidadesexterno.

Generar una solicitud de firma de certificadoPara utilizar un certificado externo para la firma de SAML, debe generar una solicitud de firma delcertificado (Certificate Signing Request, CSR) desde la consola de administración. La solicitud CSR seenvía a una entidad de certificación para generar el certificado SSL.

NOTA: No se admite un certificado generado sin la solicitud CSR desde la consola de administración.

Procedimiento

1 En la pestaña Catálogo, seleccione Configuración > Metadatos SAML.

2 Haga clic en Generar CSR

3 Introduzca la información solicitada. Las opciones con un asterisco (*) son obligatorias.


Nombre común* Introduzca el nombre de dominio completo. Por ejemplo, www.example.com

Organización* Introduzca el nombre legalmente registrado de la organización. Por ejemplo,Mycompany, Inc.

Departamento Introduzca el departamento de su empresa que se agregó al certificado. Porejemplo, IT Services.

Ciudad* Introduzca la ciudad donde se encuentra legalmente ubicada su organización.


VMware, Inc. 135


Estado/provincia* Introduzca el estado o la región donde se encuentra ubicada su organización. Nouse abreviaturas.

País* Introduzca algunas letras del nombre de su país para seleccionar el país correctode la lista.

Algoritmo de generación de claves* Seleccione el algoritmo hash seguro utilizado para firmar la solicitud CSR.

Tamaño de clave* Seleccione el número de bits utilizados en la clave. Se recomienda usar 2048 deRSA. Un tamaño de clave de RSA menor que 2048 se considera no seguro.

4 Haga clic en Generar.

Entregue la solicitud CSR a la entidad de certificación para crear el certificado.


Cuando reciba el certificado, cargue el certificado en el servicio de VMware Identity Manager. La entidadde certificación reemplazará el certificado autofirmado.

Cargar una nueva entidad de certificación para certificados de firma SAMLDespués de que se emite el certificado firmado, cargue el archivo de la página Metadatos SAML decatálogo y reinicie el servicio para actualizar los metadatos.

Prerequisitos

Genere una solicitud de firma del certificado.

Guarde el certificado firmado recibido en un archivo al que pueda acceder desde la consola deadministración.

Procedimiento

1 En la pestaña Catálogo, seleccione Configuración > Metadatos SAML.

2 Haga clic en Generar CSR.

3 Haga clic en Cargar certificado y desplácese hasta el certificado.

4 Haga clic en Abrir.

Los archivos de metadatos SAML y el certificado de firma SAML se actualizarán con el nuevocertificado.

5 Vaya a la pestaña Administración de acceso e identidad, Configuración > Conectores y haga clicen Reiniciar.

Se actualizarán los metadatos en el conector.


VMware, Inc. 136


IMPORTANTE: Vuelva a configurar todas las opciones de proveedor de identidades y proveedor deservicios de SAML con el archivo de metadatos SAML actualizado. Esto incluye volver a configurar losconectores adicionales que se configuraron. De lo contrario, se producirá un error en las transaccionesde SAML y Single Sign-On no funcionará.

Deshabilitación de preguntas para la descarga de aplicacionesauxiliaresLos escritorios de View, las aplicaciones publicadas de Citrix y los recursos de ThinApp requieren que lasaplicaciones auxiliares siguientes estén instaladas en los equipos o el dispositivo de los usuarios.

n Los escritorios de View usan Horizon Client.

n Las aplicaciones publicadas de Citrix requieren Citrix Receiver.

n Los recursos de ThinApp requieren VMware Identity Manager para escritorios.

Se pide a los usuarios que descarguen aplicaciones auxiliares en su escritorio o dispositivo la primeravez que inician aplicaciones desde estos tipos de recursos. Puede deshabilitar completamente lavisualización de este mensaje cada vez que el recurso se inicia desde la página Catálogo >Configuración > Configuración global.

Deshabilitar la visualización del mensaje es una buena opción cuando se administran equipos odispositivos, y sabe que las aplicaciones auxiliares se encuentran en la imagen local del usuario.

Procedimiento

1 En la consola de administración, seleccione Catálogo > Configuración.

2 Seleccione Configuración global.

3 Seleccione los sistemas operativos que no deben solicitar el inicio de aplicaciones auxiliares.


Crear clientes para habilitar el acceso a aplicaciones remotasEs posible crear un cliente para habilitar que una aplicación única se registre conVMware Identity Manager para permitir el acceso de los usuarios a una aplicación específica en lapágina de la consola de administración Catálogo > Configuración.

SDK utiliza una autenticación basada en OAuth para conectarse a VMware Identity Manager. Debe crearun valor ID de cliente y un valor clientSecret en la consola de administración.

Crear acceso remoto a un recurso de catálogo únicoEs posible crear un cliente para que una aplicación única pueda registrarse con los servicios deVMware Identity Manager y permitir el acceso de los usuarios a una aplicación específica.


VMware, Inc. 137

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Accesoremoto a la aplicación.

2 En la página de los clientes haga clic en Crear cliente.

3 En la página Crear cliente, introduzca la siguiente información sobre la aplicación.

Etiqueta Descripción

Tipo de acceso Las opciones son las siguientes: Token de acceso de usuario o Token de cliente deservicio.

ID del cliente Introduzca un ID de cliente único para registrar el recurso con VMware Identity Manager.

Aplicación Seleccione Identity Manager.

Ámbito Seleccione el ámbito adecuado. Cuando selecciona NAPPS, también se seleccionaOpenID.

URI de redireccionamiento Introduzca el URI de redireccionamiento registrado.

Sección Avanzada

Secreto compartido Haga clic en Generar secreto compartido para generar un secreto que comparten esteservicio y el servicio de recursos de la aplicación.

Copie y guarde el secreto del cliente para configurarlo en la aplicación.

El secreto del cliente debe ser confidencial. Si una aplicación implementada no puedemantener el secreto, dicho secreto no se utilizará. El secreto compartido no se utiliza conaplicaciones basadas en navegadores Web.

Emitir token de actualización Desmarque la casilla.

Tipo de token Seleccione el portador.

Longitud de token Mantenga la configuración predeterminada (32 bytes).

Emitir token de actualización Compruebe el token de actualización.

TTL de token de acceso De forma opcional, cambie la configuración de Tiempo de vida (TTL) de token deacceso.

TTL de token de actualización (Opcional)

Concesión de usuario No seleccione la opción Preguntar al usuario antes de conceder acceso.


La configuración del cliente aparece en la página del cliente OAuth2, junto con el secreto compartido quese generó.


Introduzca el ID del cliente y el secreto compartido en las páginas de configuración de los recursos.Consulte la documentación de la aplicación.

Crear una plantilla de acceso remotoPuede crear una plantilla para permitir que un grupo de clientes se registre dinámicamente con elservicio de VMware Identity Manager y permitir que el usuario acceda a una aplicación concreta.


VMware, Inc. 138

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Accesoremoto a la aplicación.

2 Haga clic en Plantillas.

3 Haga clic en Crear plantilla.

4 En la página Crear plantilla, introduzca la siguiente información sobre la aplicación.

Etiqueta Descripción

ID de plantilla Introduzca un identificador único para este recurso.

Aplicación Seleccione Identity Manager.

Ámbito Seleccione el ámbito adecuado. Cuando selecciona NAPPS, también se seleccionaOpenID.

URI de redireccionamiento Introduzca el URI de redireccionamiento registrado.

Sección Avanzada

Tipo de token Seleccione el portador.

Longitud de token Mantenga la configuración predeterminada (32 bytes).

Emitir token de actualización Compruebe el token de actualización.

TTL de token de acceso (Opcional)

TTL de token de actualización (Opcional)

Concesión de usuario No seleccione la opción Preguntar al usuario antes de conceder acceso.



En la aplicación del recurso, establezca la URL del servicio VMware Identity Manager como el sitio queadmite la autenticación integrada.

Edición de las propiedades de ICA en aplicaciones publicadas deCitrixPuede editar la configuración de escritorios y aplicaciones publicados de Citrix en su implementación deVMware Identity Manager desde las páginas Catálogo > Configuración > Aplicaciones publicadas deCitrix.

La página Configuración de ICA está configurada para aplicaciones individuales. Los cuadros de texto delas propiedades de ICA de aplicaciones individuales están vacíos hasta que agregue propiedadesmanualmente. Al editar la configuración de entrega de aplicaciones, las propiedades de ICA, de unrecurso publicado de Citrix individual, esta configuración tendrá prioridad sobre la configuración global.

En la página Configuración de NetScaler, puede configurar el servicio con la configuración apropiadapara que cuando los usuarios inicien aplicaciones basadas en Citrix, el tráfico se enrute a través deNetScaler al servidor de XenApp.


VMware, Inc. 139

Al editar las propiedades de ICA en la pestaña Aplicaciones publicadas de Citrix > Configuración de ICAde Netscaler, la configuración se aplica al tráfico de inicio de aplicaciones que se enruta a través deNetScaler.

Para obtener información sobre la configuración de las propiedades de ICA, consulte en el centro dedocumentación los temas sobre la configuración de NetScaler y la edición de la configuración de entregade aplicaciones de VMware Identity Manager para un solo recurso publicado de Citrix.

Habilitar la aprobación de aplicaciones para el uso de los recursosPuede habilitar aprobaciones desde la página de configuración del catálogo y configurar las licencias enla aplicación para administrar el acceso a las aplicaciones que requieran la aprobación de laorganización.

Cuando esta opción esté configurada, los usuarios verán las aplicaciones en el catálogo de WorkspaceONE y solicitarán el uso de la aplicación. El icono de la aplicación muestra una notificación pendiente.

VMware Identity Manager envía el mensaje de solicitud de aprobación a la dirección URL del endpointREST de aprobación configurada por la organización. El proceso de flujo de trabajo del servidor revisa lasolicitud y devuelve un mensaje de aprobación o de rechazo a VMware Identity Manager. Cuando unaaplicación se aprueba en estado Pendiente, cambia al estado Agregado y la aplicación se muestra en lapágina de inicio de Workspace ONE del usuario.

Hay disponibles dos motores de aprobación.

n REST API. El motor de aprobación de la REST API utiliza una herramienta de aprobación externaque se enruta a través de la REST API del servidor web para ejecutar las respuestas de laaprobación y de la solicitud. Introduzca la dirección URL de la REST API en el servicio de VMwareIdentity Manager; a continuación, configure las REST API con los valores de credenciales de clientede VMware Identity Manager OAuth y la acción de solicitud y respuesta de la llamada.

n REST API a través del conector. El motor de aprobación de la REST API a través del conector enrutalas llamadas de devolución a través del conector con el canal de comunicación basado enWebSocket. Puede configurar el endpoint de la REST API con la acción de solicitud y respuesta dela llamada.

Puede consultar los informes sobre la autorización y el uso de los recursos de VMware Identity Managerpara ver el número de aplicaciones aprobadas que se utilizan.

Configurar el motor de aprobación de REST APIPuede registrar su URI de REST de llamada para integrar el sistema de administración de aplicacionescon VMware Identity Manager.

Prerequisitos

Cuando se selecciona el motor de aprobación de REST API, se debe configurar el sistema deadministración de aplicaciones y el URI disponible a través de la REST API de llamada que recibe lassolicitudes de VMware Identity Manager.


VMware, Inc. 140

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración >Aprobaciones.

2 Marque Habilitar aprobaciones.

3 En el menú desplegable Motor de aprobación, seleccione API de REST.

4 Configure los siguientes cuadros de texto.


URI Introduzca el URI de devolución de llamada para el recurso REST que escucha lasolicitud de llamada.

Nombre de usuario (Opcional) Si REST API solicita un nombre de usuario y una contraseña paraacceder, introduzca el nombre aquí. Si no se solicita una autenticación, puededejar el nombre de usuario y la contraseña en blanco.

Contraseña De forma opcional, introduzca la contraseña del usuario.

Certificado SSL en formato PEM (Opcional) Si el recurso REST se ejecuta en un servidor que tiene un certificadoautofirmado o un certificado que no es de confianza para una entidad decertificación pública y utiliza HTTPS, agregue el certificado SSL aquí con formatoPEM.


Diríjase a la página Catálogo y configure la función Concesión de licencia para aquellas aplicaciones quesoliciten una aprobación antes de que el usuario las pueda utilizar.


VMware, Inc. 141

Trabajar en el panel deinformación de la consola deadministración 12Hay dos paneles de información disponibles en la consola de administración. El panel de información deinteracción del usuario se puede utilizar para supervisar usuarios y uso de recursos. El panel deinformación de diagnósticos del sistema se puede utilizar para supervisar el estado de funcionamientodel servicio VMware Identity Manager.


n Supervisar los usuarios y el uso de recursos desde el panel de información

n Supervisar el estado y la información del sistema

n Ver informes

Supervisar los usuarios y el uso de recursos desde elpanel de informaciónEl panel de información de interacción del usuario muestra información sobre usuarios y recursos.Permite ver qué usuarios han iniciado la sesión, qué aplicaciones se están utilizando y la frecuencia conque se accede a las aplicaciones. Se pueden crear informes para hacer un seguimiento de lasactividades de grupos y usuarios y el uso de recursos.

El tiempo que se muestra en el panel de información de interacción del usuario se basa en la zonahoraria establecida para el navegador. El panel de información se actualiza cada minuto.

Procedimiento

n El encabezado muestra el número de usuarios únicos que iniciaron la sesión ese día y una línea detiempo que indica el número de eventos de inicio de sesión diarios en un período de siete días. Elnúmero del campo Usuarios que han iniciado sesión hoy está rodeado por un círculo que muestra elporcentaje de usuarios que inició la sesión. El gráfico deslizante de inicios de sesión muestra loseventos de inicio de sesión durante la semana. Señale uno de los puntos del gráfico para ver elnúmero de inicios de sesión del día.

n La sección Usuarios y grupos muestra el número de cuentas de usuario y grupos establecido enVMware Identity Manager. Se muestran primero los usuarios que iniciaron la sesión másrecientemente. Puede hacer clic en Ver informe completo para crear un informe de eventos deauditoría que muestre los usuarios que iniciaron la sesión en un intervalo de días.

VMware, Inc. 142

n La sección Popularidad de aplicaciones muestra un gráfico de barras agrupado por tipo de aplicaciónque indica el número de veces que se iniciaron las aplicaciones en un período de siete días. Alseñalar un día específico aparece una descripción emergente que muestra el tipo de aplicacionesque se utilizaron y cuántas se iniciaron ese día. La lista debajo del gráfico muestra el número deveces que se iniciaron las aplicaciones específicas. Expanda la flecha a la derecha para ver estainformación a lo largo de un día, una semana, un mes o 12 semanas. Puede hacer clic en Verinforme completo para crear un informe de Uso de recursos que muestre la actividad de losusuarios, el tipo de recurso y las aplicaciones en un intervalo de tiempo.

n La sección Adopción de aplicaciones muestra un gráfico de barras que indica el porcentaje depersonas que abrieron las aplicaciones que están autorizados a usar. Al señalar la aplicaciónaparece una descripción emergente que muestra el número de adopciones y autorizaciones.

n El gráfico circular Aplicaciones iniciadas muestra el porcentaje del total de recursos que se iniciaron.Al señalar una sección determinada del gráfico circular se muestra el número real por tipo derecursos. Expanda la flecha a la derecha para ver esta información a lo largo de un día, una semana,un mes o 12 semanas.

n La sección de clientes muestra el número de instancias de Identity Manager Desktop que se utiliza.

Supervisar el estado y la información del sistemaEl panel de información de diagnósticos del sistema de VMware Identity Manager muestra unadescripción general detallada del estado de los dispositivos VMware Identity Manager de su entorno einformación sobre los servicios. Puede consultar el estado general en todo el servidor de base de datosVMware Identity Manager, las máquinas virtuales y los servicios disponibles en cada una de ellas.

El panel de información de diagnósticos del sistema permite seleccionar la máquina virtual que se deseesupervisar y observar el estado de los servicios de esa máquina virtual, incluyendo la versión instaladade VMware Identity Manager. Si la base de datos de la máquina virtual tiene problemas, la barra deencabezado muestra el estado de la máquina en rojo. Para ver los problemas, puede seleccionar lamáquina virtual que se muestre en rojo.

Procedimiento

n Caducidad de la contraseña de usuario. Se muestran las contraseñas de inicio de sesión remoto yusuario root del dispositivo VMware Identity Manager. Si una contraseña caduca, vaya a la páginaConfiguración y seleccione Configuración del dispositivo virtual. Abra la página Seguridad delsistema para cambiar la contraseña.

n Certificados. Se muestra el emisor del certificado, la fecha de inicio y la fecha de finalización. Paraadministrar el certificado, vaya a la página Configuración y seleccione Configuración deldispositivo virtual. Abra la página Instalar el certificado.

n Configurador - Estado de implementación de las aplicaciones. Se muestra información de losservicios del Configurador de dispositivos. La sección de estado del servidor web indica si se estáejecutando el servidor de Tomcat. La sección de estado de la aplicación web muestra si se puedeacceder a la página del Configurador de dispositivos. La sección de versión de la aplicación muestrala versión del dispositivo VMware Identity Manager instalada.


VMware, Inc. 143

n Application Manager - Estado de implementación de las aplicaciones. Se muestra el estado deconexión del dispositivo VMware Identity Manager.

n Conector - Estado de implementación de las aplicaciones. Se muestra el estado de conexión deconsola de administración. Si se indica que la conexión es correcta, podrá acceder a las páginas deconsola de administración.

n FQDN de VMware Identity Manager. Muestra el nombre de dominio plenamente cualificado quedeben introducir los usuarios para acceder a su portal de aplicaciones de VMware Identity Manager.Si se utiliza un equilibrador de carga, el FQDN de VMware Identity Manager dirige a ese equilibradorde carga.

n Application Manager - Componentes integrados. Se muestra información de la conexión de la basede datos de VMware Identity Manager, los servicios de auditoría y los análisis de la conexión.

n Conector - Componentes integrados. Se muestra información de los servicios que se administrandesde las páginas de Administración de servicios de conector. Se muestra información sobre losrecursos de ThinApp, View y aplicaciones publicadas de Citrix.

n Módulos. Se muestran los recursos habilitados en VMware Identity Manager. Haga clic en Habilitadopara acceder a la página Administración de servicios de conector de ese recurso.

Ver informesSe pueden crear informes para hacer un seguimiento de las actividades de grupos y usuarios y el uso derecursos. Los informes se pueden consultar en la página Panel de información > Informes de la consolade administración.

Los informes se pueden exportar en formato de archivo de valores separados por comas (csv).

Tabla 12‑1. Tipos de informes

Informe Descripción

Actividad reciente El informe de actividad reciente incluye las acciones realizadas por los usuarios en el portalWorkspace ONE el día, la semana, el mes o las 12 semanas anteriores. La actividad puedeincluir información del usuario como el número de inicios de sesión de usuario únicos, losinicios de sesión generales y la información de recursos, como el número de recursosiniciados y las autorizaciones de recursos agregadas. Puede hacer clic en Mostrar eventospara consultar la fecha, la hora y los detalles del usuario de la actividad.

Uso de recursos El informe de uso de recursos incluye todos los recursos del catálogo con detalles de cadarecurso relativos al número de usuarios, los inicios y las licencias. Se puede elegir ver lasactividades del día, la semana, el mes o las 12 últimas semanas anteriores.

Autorizaciones de recursos El informe de autorizaciones de recursos muestra en cada recurso el número de usuariosautorizados, el número de inicios y el número de licencias utilizadas.

Actividad del recurso El informe de actividad del recurso se puede crear para todos los usuarios o para un grupoespecífico. La información de actividad del recurso indica el nombre del usuario, el recursopara el que tiene autorización, la fecha en que se accedió al recurso por última vez einformación sobre el tipo de dispositivo utilizado para acceder a él.

Pertenencia a grupos El informe de pertenencia a grupos incluye una lista de los miembros del grupo que seespecifique.


VMware, Inc. 144

Tabla 12‑1. Tipos de informes (Continua)

Informe Descripción

Asignación de funciones El informe de asignación de funciones incluye los usuarios que son administradores o soloadministradores de API y sus direcciones de correo electrónico.

Usuarios El informe de usuarios incluye todos los usuarios y proporciona detalles sobre cada uno deellos, como dirección de correo electrónico, función y afiliaciones a grupos.

Usuarios simultáneos El informe de usuarios simultáneos muestra el número de sesiones de usuario que seabrieron a la vez, la fecha y la hora.

Uso del dispositivo El informe de uso del dispositivo se puede crear para todos los usuarios o para un grupoespecífico. Se muestra la información del dispositivo por usuario individual e incluye elnombre de usuario y el del dispositivo, información del sistema operativo y fecha de últimautilización.

Eventos de auditoría El informe de eventos de auditoría muestra los eventos relacionados con el usuario que seespecifique, como los inicios de sesión del usuario en los últimos 30 días. También sepueden ver los detalles del evento de auditoría. Esta función es útil para la resolución deproblemas. Para ejecutar informes de eventos de auditoría, la auditoría debe estar habilitadaen la página Catálogo > Configuración > Auditoría. Consulte Generación de un informe deeventos de auditoría.

Generación de un informe de eventos de auditoríaPuede generar un informe de los eventos de auditoría que especifique.

Los informes de eventos de auditoría pueden resultar útiles como método para la resolución deproblemas.

Prerequisitos

La auditoría debe estar habilitada. Para comprobar si se encuentra habilitada, en la consola deadministración, vaya a la página Catálogo > Configuración y seleccione Auditoría.

Procedimiento

1 En la consola de administración, seleccione la opción de Informes > Auditar eventos

2 Seleccione los criterios de los eventos de auditoría.

Criterios deeventos deauditoría Descripción

Administración Este cuadro de texto le permite limitar la búsqueda de los eventos de auditoría generados por unusuario específico.

Tipo Esta lista desplegable le permite limitar la búsqueda de los eventos de auditoría a un tipo de eventode auditoría específico. La lista desplegable no muestra todos los tipos de eventos de auditoríaposibles. La lista solo muestra los que se han producido en su implementación. Los tipos de eventosde auditoría que aparecen con todas sus letras en mayúsculas son eventos de acceso, como LOGINy LAUNCH, que no generan cambios en la base de datos. Otros tipos de evento de auditoríaproducen cambios en la base de datos.


VMware, Inc. 145

Criterios deeventos deauditoría Descripción

Acción Esta lista desplegable le permite limitar la búsqueda a acciones específicas. En la lista se muestranlos eventos que causan cambios específicos en la base de datos. Si selecciona un evento de accesoen la lista desplegable Tipo, que incluye eventos que no son acciones, no especifique ninguna acciónen la lista desplegable Acción.

Objeto Este cuadro de texto le permite limitar la búsqueda a un objeto específico. Ejemplos de objetos songrupos, usuarios y dispositivos. Los objetos se identifican mediante un nombre o un número de ID.

Rango de fechas Estos cuadros de texto le permite limitar la búsqueda a un rango de fechas con el formato "desdehace ___ días hasta hace ___ días". El rango de fechas máximo es de 30 días. Por ejemplo, desdehace 90 días hasta hace 60 días es un rango válido, mientras que desde hace 90 días hasta hace45 días no es un rango válido porque supera el máximo de 30 días.

3 Haga clic en Mostrar.

Los informes de eventos de auditoría se muestran en función de los eventos especificados.

NOTA: En aquellos momentos en que se reinicie el subsistema de auditoría, puede que se muestreun error en la página Auditar eventos y que no se genere el informe. Si recibe un mensaje de errorde este tipo sobre la imposibilidad de generar el informe, espere unos minutos e inténtelo de nuevo.

4 Para obtener más información sobre un evento de auditoría, haga clic en Ver detalles junto a dichoevento de auditoría.


VMware, Inc. 146

Personalización de marca paralos servicios deVMware Identity Manager 13Puede personalizar los logotipos, las fuentes y el fondo que aparecen en la consola de administración,las pantallas de inicio de sesión del administrador y del usuario, la vista web del portal de aplicaciones deWorkspace ONE y la vista web de la aplicación Workspace ONE en dispositivos móviles.

Puede usar la herramienta de personalización para que coincidan con el estilo, el diseño, los logotipos ylos colores de su empresa.


n Personalizar marcas en el servicio de VMware Identity Manager

n Personalizar marcas para el portal de usuario

n Personalización de marca para la aplicación VMware Verify

Personalizar marcas en el servicio deVMware Identity ManagerPuede agregar el nombre de la empresa y el nombre del producto en la consola de administración y elportal del usuario, así como el icono de favoritos en la barra de direcciones para ambos elementos.También puede personalizar la página de inicio de sesión para establecer los colores de fondo que seadecuen al diseño del logotipo y los colores de su compañía.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Personalización de marca.

2 Edite la configuración siguiente de la forma que corresponda.

Campo del formulario Descripción

Pestaña Nombres y logotipos

Nombre de la empresa Nombre de la empresa se aplica tanto a los dispositivos móviles como a los escritorios. Puedeagregar el nombre de la empresa como el título que aparecerá en la pestaña del navegador.

Si desea cambiar el nombre de la empresa, introduzca otro nombre sobre el que ya aparece.

Nombre del producto Nombre del producto se aplica tanto a los dispositivos móviles como a los escritorio. El nombredel producto se muestra tras el nombre de la empresa en la pestaña del navegador.

VMware, Inc. 147

Campo del formulario Descripción

Icono de favoritos Un icono de favoritos es un icono asociado a una URL que se muestra en la barra dedirecciones del navegador.

El tamaño máximo de la imagen del icono de favoritos es 16 x 16 px. El formato puede serJPEG, PNG, GIF o ICO.

Haga clic en Cargar para cargar una nueva imagen que sustituya al icono de favoritos actual.Se le pedirá que confirme el cambio. El cambio se realiza inmediatamente.

Pestaña Pantalla de inicio de sesión

Logotipo Haga clic en Cargar para cargar un nuevo logotipo que sustituya al actual en las pantallas deinicio de sesión. Al hacer clic en Confirmar, el cambio se realiza inmediatamente.

El tamaño mínimo de imagen recomendado para cargar es 350 x 100 px. Si carga imágenes conun tamaño superior a 350 x 100 px, se ajustarán a un tamaño de 350 x 100 px. El formato puedeser JPEG, PNG o GIF.

Color de fondo Color de fondo que se muestra en la pantalla de inicio de sesión.

Para cambiar el color de fondo, introduzca el código de color hexadecimal de seis dígitos sobreel que ya aparece.

Color de fondo delcuadro

El color del cuadro de la pantalla de inicio de sesión se puede personalizar.

Introduzca el código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo delbotón de inicio desesión

El color del botón de inicio de sesión se puede personalizar.

Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color del texto delbotón de inicio desesión

El color del texto que aparece en el botón de inicio de sesión se puede personalizar.

Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Cuando personalice la pantalla de inicio de sesión, podrá ver los cambios en el panel Vista previaantes de guardarlos.


Las actualizaciones de personalización de marca realizadas en la consola de administración y laspáginas de inicio de sesión se aplican en un plazo de cinco minutos después de hacer clic en Guardar.


Compruebe el aspecto de los cambios de personalización de marca en las distintas interfaces.

Actualice el aspecto de la vista en el tablet, el móvil y el portal de Workspace ONE de usuario final.Consulte Personalizar marcas para el portal de usuario

Personalizar marcas para el portal de usuarioPuede agregar un logotipo, cambiar los colores del fondo y agregar imágenes para personalizar el portalde Workspace ONE.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración >Personalización de marca del portal de usuario.


VMware, Inc. 148

2 Edite la configuración de la forma oportuna.


Logotipo Agregue un logotipo de cabecera para que sea el banner en la parte superior de la consola deadministración y las páginas web del portal de Workspace ONE.

El tamaño máximo de la imagen es 220 x 40 px. El formato puede ser JPEG, PNG o GIF.

Portal

Color de fondo de lacabecera

Para cambiar el color de fondo de la cabecera, introduzca un código de color hexadecimal deseis dígitos sobre el que ya aparece. Al introducir el nuevo código de color, cambiará el color defondo en la pantalla de vista previa del portal de la aplicación.

Color del texto de lacabecera

Para cambiar el color del texto que aparece en la cabecera, introduzca un código de colorhexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo Color de fondo que se muestra en la pantalla del portal web.

Para cambiar el color de fondo, introduzca un nuevo código de color hexadecimal de seis dígitossobre el que ya aparece. Al introducir el nuevo código de color, cambiará el color de fondo en lapantalla de vista previa del portal de la aplicación.

Seleccione Fondo resaltado para destacar el color de fondo. Si la opción Fondo resaltado estáhabilitada, los navegadores que admiten varias imágenes de fondo muestran la superposiciónen el programa de inicio y las páginas del catálogo.

Seleccione Trama de fondo para establecer la trama prediseñada del triángulo en el color defondo.

Color de fondo de icono Introduzca un código de color hexadecimal de seis dígitos para cambiar el cuadro de color defondo que rodea los iconos de las aplicaciones.

Transparencia de icono Para establecer un color de transparencia, mueva el control deslizante de la barra detransparencia.

Color del nombre y delicono

Puede seleccionar el color del texto de los nombres que aparecen debajo de los iconos en laspáginas del portal de la aplicación.

Para cambiar el color de fondo, introduzca un código de color hexadecimal sobre el que yaaparece.

Efecto de las letras Seleccione el tipo de letras que utilizará para el texto en las pantallas del portal de WorkspaceONE.

Imagen (opcional) Para agregar una imagen al fondo en la pantalla del portal de la aplicación en vez de un color,cargue una imagen.


Las actualizaciones de personalización de marca se realizan cada 24 horas para el portal del usuario.Para realizar un envío push más rápido de los cambios, abra una nueva pestaña como administrador,introduzca esta URL y sustituya su nombre de dominio por miempr.ejemplo.com.https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true


Revise el aspecto de los cambios de personalización de marca en las distintas interfaces.


VMware, Inc. 149

Personalización de marca para la aplicación VMwareVerifySi habilita la autenticación en dos fases para VMware Verify, puede personalizar la página de inicio con ellogotipo de su empresa.

Prerequisitos

VMware Verify habilitado.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración >Personalización de marca del portal de usuario.

2 Edite la sección VMware Verify.


Logotipo Cargue el logotipo de la empresa que se mostrará en las páginas de solicitud de aprobación.

El tamaño de la imagen es 540x170 px, el formato es PNG y debe ser de 128 kB o menor.

Icono Cargue el icono que se mostrará en el dispositivo cando VMware Verify se inicie.

El tamaño de la imagen es 81x81 px, el formato es PNG y debe ser de 128 kB o menor.



VMware, Inc. 150

Integrar AirWatch con VMwareIdentity Manager 14AirWatch proporciona administración móvil empresarial para dispositivos y VMware Identity Managerproporciona inicio de sesión único y administración de identidades para usuarios.

Cuando se integran AirWatch y VMware Identity Manager, los usuarios de los dispositivos registrados enAirWatch pueden conectarse de forma segura a las aplicaciones habilitadas sin tener que introducirvarias contraseñas.

Cuando AirWatch se integra con VMware Identity Manager, puede configurar las integraciones siguientescon AirWatch.

n Un directorio de AirWatch que sincroniza usuarios y grupos de AirWatch en un directorio del servicioVMware Identity Manager y configura a continuación una autenticación con contraseña medianteAirWatch Cloud Connector.

n Inicio de sesión único en un catálogo unificado que contiene aplicaciones autorizadas de AirWatch yVMware Identity Manager administrado.

n Inicio de sesión único mediante autenticación de Kerberos en dispositivos iOS 9.

n Reglas de directivas de acceso para comprobar que los dispositivos iOS 9 administrados porAirWatch cumplen las reglas de conformidad.


n Configurar AirWatch para la integración con VMware Identity Manager

n Configurar una instancia de AirWatch en VMware Identity Manager

n Habilitación del catálogo unificado de AirWatch

n Implementación de la autenticación con AirWatch Cloud Connector

n Implementar la autenticación Single Sign-On móvil para los dispositivos iOS administrados porAirWatch

n Implementar la autenticación Single-Sign-On móvil en dispositivos Android administrados porAirWatch

n Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch

n Registro de dominios de correo electrónico para detección automática

VMware, Inc. 151

Configurar AirWatch para la integración con VMwareIdentity ManagerLa configuración para la comunicación con VMware Identity Manager se realiza en la consola deadministración de AirWatch antes de configurar AirWatch en la consola de administración de VMwareIdentity Manager.

Para integrar AirWatch y VMware Identity Manager, son necesarias las siguientes especificaciones.

n El grupo de la organización de AirWatch para el que está configurando VMware Identity Manager esCliente.

n Una clave de administración de la REST API para la comunicación con el servicio de VMwareIdentity Manager y una clave de API de usuario registrado en REST para la autenticación concontraseña de AirWatch Cloud Connector se crean en el mismo grupo de organización en el que seconfigura VMware Identity Manager.

n La configuración de la cuenta de administrador de API y el certificado de autenticación deadministrador de AirWatch se agregó a la configuración de AirWatch en la consola de administraciónde VMware Identity Manager.

n Las cuentas de usuario de Active Directory se configuran en el mismo grupo de la organización en elque se configura VMware Identity Manager.

n Si los usuarios finales están ubicados en un grupo de la organización secundario desde donde seconfigura VMware Identity Manager después del registro, se debe utilizar la asignación del grupo y elusuario en la configuración del registro de AirWatch para filtrar usuarios y sus respectivosdispositivos en el grupo de la organización apropiado.

En la consola de administración de AirWatch se configura lo siguiente.

n Clave de API de administrador de REST para la comunicación con el servicio VMware IdentityManager

n Cuenta de administrador de API de VMware Identity Manager y el certificado de autenticación deadministrador que se exporta de AirWatch y se agrega a la configuración de AirWatch en VMwareIdentity Manager

n Clave de API de usuario registrado en REST para la autenticación con contraseña de AirWatchCloud Connector

Crear claves de la REST API en AirWatchSe debe habilitar el acceso de los usuarios registrados y de la API del administrador de REST en laconsola de administración de AirWatch para integrar VMware Identity Manager con AirWatch. Cuandohabilite el acceso de la API, se generará una clave de API.


VMware, Inc. 152

Procedimiento

1 En la consola de administración de AirWatch, seleccione Global y, a continuación, el grupo de laorganización a nivel de cliente, y acceda a Grupos y ajustes > Todos los ajustes > Sistema >Avanzado > API > REST API.

2 En la pestaña General, haga clic en Agregar para generar la clave de API que se utilizará en elservicio VMware Identity Manager. El tipo de cuenta debe ser Admin.

Proporcione un nombre de servicio único. Agregue una descripción, como AirWatchAPI for IDM.

3 Para generar la clave de API del usuario registrado, vuelva a hacer clic en Agregar.

4 En el menú desplegable Tipo de cuenta, seleccione Usuario de inscripción.

Proporcione un nombre de servicio único. Agregue una descripción, como UserAPI for IDM.

5 Copie las dos claves de API y guárdelas en un archivo.

Debe agregar estas claves cuando configure AirWatch en la consola de administración de VMwareIdentity Manager.


Crear un certificado y una cuenta de administrador en AirWatchDespués de crear la clave de API de administrador, debe agregar una cuenta de administrador yconfigurar la autenticación con certificado en la consola de administración de AirWatch.

Para la autenticación basada en certificado de REST API, se generará un certificado a nivel de usuariodesde la consola de administración de AirWatch. El certificado utilizado es un certificado de AirWatchautofirmado que se generó desde el certificado raíz del administrador de AirWatch.

Prerequisitos

Debe haber creado la clave de API de administrador de REST de AirWatch.


VMware, Inc. 153

Procedimiento

1 En la consola de administración de AirWatch, seleccione Global y, continuación, el grupo de laorganización a nivel de cliente, y acceda a Cuentas > Administradores > Vista en lista.

2 Haga clic en Agregar > Agregar administrador.

3 En la pestaña Básico, introduzca la contraseña y el nombre del usuario administrador del certificadoen los cuadros de texto obligatorios.

4 Seleccione la pestaña Funciones, elija el grupo de organización actual, haga clic en el segundocuadro de texto y, a continuación, seleccione Administrador de AirWatch.

5 Seleccione la pestaña API y haga clic en Certificados en el cuadro de texto Autenticación.

6 Introduzca la contraseña del certificado. La contraseña es la misma que introdujo para eladministrador en la pestaña Básico.


Se crearán el certificado de cliente y la cuenta del administrador nuevos.

8 En la página Vista en lista, seleccione el administrador que creó y vuelva a abrir la pestaña API.

La página de certificados mostrará información sobre el certificado.


VMware, Inc. 154

9 Introduzca la contraseña que estableció en el cuadro de texto Contraseña del certificado, haga clicen Exportar el certificado de cliente y guarde el archivo.

El certificado de cliente se guardará como un tipo de archivo .p12.


Configure las opciones de la URL de AirWatch en la consola de administración de VMware IdentityManager.

Configurar una instancia de AirWatch en VMware IdentityManagerDespués de configurar las opciones en la consola de administración de AirWatch, debe introducir la URLde AirWatch, los valores de la clave de API y el certificado en la página Administración de acceso eidentidad de la consola de administración de VMware Identity Manager. Después de configurar lasopciones de AirWatch, puede habilitar las opciones de las funciones disponibles con la integración deAirWatch.

Mapping VMware Identity Manager Domains to MultipleOrganization Groups in AirWatchWhen setting up users and devices in AirWatch, AirWatch uses organization groups (OG) to organize andgroup users and to establish permissions. When AirWatch is integrated with VMware Identity Manager,the admin and enrollment user REST API keys can only be configured at the AirWatch organization groupof type Customer.

In AirWatch environments configured for multi-tenancy, many organization groups are created for usersand devices. Devices become registered or enrolled into an organization group. Organization groups canbe set up in unique configurations in a multi-tenancy environment. For example, organization groups byseparate geographies, departments, or use cases. In the AirWatch integration page, you add theorganization group ID and enter the AirWatch admin API key that is used to make API requests.


VMware, Inc. 155

You can link domains configured in VMware Identity Manager to specific organization groups in AirWatchto manage device registration through Workspace ONE. When users log in to Workspace ONE, a deviceregistration event is triggered within VMware Identity Manager. During the device registration, a request issent to AirWatch to pull any applications that the user and device combination is entitled to.

The device organization groups must be identified when AirWatch is integrated with VMware IdentityManager so that identity manager can locate the user and successfully register the device into theappropriate organization group.

When you configure the AirWatch settings in the VMware Identity Manager service, you can enter deviceorganization group IDs and the API keys to map multiple OG to a domain. When users sign in toWorkspace ONE from their devices, the user records are verified and the device is registered to theappropriate organization group in AirWatch.

Note When AirWatch is integrated with VMware Identity Manager and multiple AirWatch organizationgroups are configured, the Active Directory Global Catalog option cannot be configured for use with theVMware Identity Manager service.

Add AirWatch Settings in VMware Identity Manager AdminConsoleConfigure the AirWatch settings in the VMware Identity Manager admin console to integrate AirWatch withVMware Identity Manager.

You can link domains configured in VMware Identity Manager to specific organization groups in AirWatchto facilitate device registration in AirWatch. See Mapping VMware Identity Manager Domains to MultipleOrganization Groups.

Prerequisites

n AirWatch server URL that the admin uses to log in to the AirWatch admin console.

n AirWatch admin API key that is used to make API requests from VMware Identity Manager to theAirWatch server to set up integration.

n AirWatch certificate file used to make API calls and the certificate password. The certificate file mustbe in the .p12 file format.

n AirWatch enrolled user API key.

n AirWatch group ID for your tenant, which is the tenant identifier in AirWatch.

Procedure

1 In the VMware Identity Manager administration console, Identity & Access Management tab, clickSetup > AirWatch.


VMware, Inc. 156

2 Enter the AirWatch integration settings in the following fields.

Field Description

AirWatch API URL Enter the AirWatch URL. For example, https://myco.airwatch.com

AirWatch API Certificate Upload the certificate file used to make API calls.

Certificate Password Enter the certificate password.

AirWatch Admin API Key Enter the admin API key value. Example of an API key valueFPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

AirWatch Enrolled User API Key Enter the enrolled user API key value.

AirWatch Group ID. Enter the AirWatch group ID for the organization group that the API key andadmin account were created in.

3 To map domains to multiple organization groups, select the Map Domains to Multiple Organization

Groups check box.

a Select the domain to map from the drop-down menu and . Click + to map additional organizationgroups to the domain.

b enter the organization group name and the admin API key for that group in the text boxes thatdisplay

c Click + to map additional organization groups to the domain.

d To map another domain, click + next to the drop-down menu.


VMware, Inc. 157

4 Click Save.

What to do next

n Habilite la opción Catálogo unificado para fusionar las aplicaciones configuradas en el catálogo deAirWatch con el catálogo unificado.

n Habilite Comprobación de conformidad para verificar que los dispositivos administrados por AirWatchcumplen sus directivas.

Habilitación del catálogo unificado de AirWatchAl configurar VMware Identity Manager con su instancia de AirWatch, puede habilitar el catálogounificado para que los usuarios finales puedan ver todas las aplicaciones para las que tienenautorización en VMware Identity Manager y AirWatch.

Cuando AirWatch no está integrado con el catálogo unificado, los usuarios finales solo ven lasaplicaciones para las que tienen autorización en el servicio de VMware Identity Manager.

Prerequisitos

AirWatch configurado en VMware Identity Manager.


VMware, Inc. 158

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > AirWatch.

2 En la sección Catálogo unificado de esta página, seleccione Habilitar.



Notifique a los usuarios finales de AirWatch cómo obtener acceso al catálogo unificado y ver su portal deWorkspace ONE mediante VMware Identity Manager.

Implementación de la autenticación con AirWatch CloudConnectorEl componente de AirWatch Cloud Connector (ACC) del VMware Enterprise Systems Connector estáintegrado con VMware Identity Manager para la autenticación de contraseña de usuario en WorkspaceONE.

NOTA: Instale ACC y configure el componente ACC en AirWatch. Consulte la guía Instalación yconfiguración de VMware Enterprise Systems Connector para obtener más información sobre cómoinstalar y configurar AirWatch Cloud Connector. Después de que ACC esté instalado y configurado, debeintegrar los servicios del directorio de AirWatch con Active Directory. Consulte la guía sobre los serviciosdel directorio de VMware AirWatch para obtener más información sobre cómo habilitar los servicios deldirectorio.

Para implementar la autenticación de AirWatch Cloud Connector para Workspace ONE, en la consola deadministración de VMware Identity Manager, el método de autenticación Contraseña (AirWatchConnector) está asociado a un proveedor de identidades integrado.

Puede habilitar la compatibilidad con just-in-time en AirWatch para agregar nuevos usuarios a VMwareIdentity Manager cuando estos inicien sesión por primera vez. Cuando la compatibilidad con just-in-timeestá habilitada, los usuarios no tienen que esperar a la siguiente sincronización programada en elservidor de AirWatch para acceder a Workspace ONE. En su lugar, los nuevos usuarios inician sesión enel portal Workspace ONE, desde un dispositivo Android o iOS, o bien desde el equipo, y deben introducirel nombre de usuario y la contraseña de Active Directory. El servicio de VMware Identity Managerautentica las credenciales de Active Directory a través de AirWatch Cloud Connector y agrega el perfil deusuario al directorio.

Después de asociar los métodos de autenticación en el proveedor de identidades integrado, puede creardirectivas de acceso que se apliquen a estos métodos de autenticación.

NOTA: La autenticación de nombre de usuario y contraseña se integra con la implementación deAirWatch Cloud Connector. Para autenticar usuarios con otros métodos de autenticación de VMwareIdentity Manager compatibles, se debe configurar VMware Identity Manager Connector.


VMware, Inc. 159

Administración de la asignación de atributos de usuarioPuede configurar la asignación de atributos de usuario entre el directorio de AirWatch y el directorio deVMware Identity Manager.

La página Atributos de usuario de la pestaña Administración de acceso e identidad de VMware IdentityManager muestra los atributos de directorio predeterminados que se asignan a los atributos del directoriode AirWatch. Los atributos obligatorios aparecen marcados con un asterisco. Los usuarios a los que lesfalte algún atributo obligatorio en el perfil no se sincronizan con el servicio de VMware Identity Manager.

Tabla 14‑1. Asignación de atributos de directorio de AirWatch predeterminados

Nombre de atributo de usuario de VMware IdentityManager

Asignación predeterminada a atributos de usuario deAirWatch

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

dominio Dominio

disabled (usuario externo deshabilitado) deshabilitado

phone telephoneNumber

lastName apellido*

firstName nombre*

correo electrónico correo electrónico*

userName nombre de usuario*

Sincronizar los usuarios y grupos del directorio de AirWatch en eldirectorio de VMware IdentityEstablezca la configuración de VMware Identity Manager en la consola de administración de AirWatchpara establecer una conexión entre la instancia del grupo de su organización del directorio de AirWatch yVMware Identity Manager. Esta conexión se usa para sincronizar usuarios y grupos de un directoriocreado en le servicio VMware Identity Manager.

El directorio de VMware Identity Manager se puede usar con AirWatch Cloud Connector para autenticarla contraseña.

Los usuarios y los grupos se sincronizan inicialmente en el directorio de VMware Identity Manager deforma manual. La programación de sincronización de AirWatch determina cuándo se sincronizan losgrupos y los usuarios con el directorio de VMware Identity Manager.

Cuando se agrega o se elimina un usuario o un grupo en el servidor de AirWatch, el cambio se reflejainmediatamente en el servicio de VMware Identity Manager.

Prerequisitos

n Nombre de administrador local y contraseña de VMware Identity Manager


VMware, Inc. 160

n Identifique los valores del atributo que desea asignar del directorio de AirWatch. Consulte Administración de la asignación de atributos de usuario.

Procedimiento

1 En la consola de administración de AirWatch, Grupos y ajustes, en la página Todos los ajustes,seleccione Global, acceda al grupo de la organización a nivel de cliente y navegue hasta Sistema >Integración empresarial >VMware Identity Manager.

2 En la sección Servidor, haga clic en Configurar.

NOTA: El botón de configuración solo está disponible cuando el servicio de directorio también estáconfigurado para el mismo grupo de organización. Si el botón Configurar no está visible, no seencuentra en el correcto grupo de organización. Puede cambiar el grupo de organización en el menúdesplegable Global.

3 Introduzca las opciones de VMware Identity Manager.


URL Introduzca la URL del arrendatario de VMware. Por ejemplo,https://myco.identitymanager.com.

Nombre de usuario de administrador Introduzca el nombre del usuario administrador local de VMware IdentityManager.

Contraseña del administrador Introduzca la contraseña del usuario administrador local de VMware IdentityManager.


5 Habilite la asignación personalizada para la asignación de los atributos de usuarios de AirWatch en elservicio VMware Identity Manager.

6 Haga clic en Probar conexión para verificar que las opciones son correctas.

7 Haga clic en Sincronizar ahora para sincronizar manualmente todos los grupos y usuarios en elservicio VMware Identity Manager.

NOTA: Para controlar la carga del sistema, la sincronización manual solo se puede llevar a cabocuatro horas después de una sincronización anterior.

Se crea un directorio de AirWatch en el servicio VMware Identity Manager y los usuarios y grupos sesincronizan en un directorio de VMware Identity Manager.


Revise la pestaña Usuarios y grupos en la consola de administración de VMware Identity Manager paracomprobar que se realizó la sincronización de los nombres de grupos y usuarios.


VMware, Inc. 161

Actualizar VMware Identity Manager después de actualizarAirWatchCuando actualiza AirWatch a una nueva versión, debe actualizar las opciones de configuración Catálogounificado y Autenticación de contraseña de usuario a través de AirWatch en el servicio de VMwareIdentity Manager.

Cuando se guardan estas opciones después de actualizar AirWatch, la configuración de AirWatch en elservicio de VMware Identity Manager se actualiza con la nueva versión de AirWatch.

Procedimiento

1 Después de actualizar AirWatch, inicie sesión en la consola de administración de VMware IdentityManager.

2 En la pestaña Administración de acceso e identidad, haga clic en Configurar > AirWatch.

3 Diríjase a la sección Catálogo unificado y haga clic en Guardar.

4 Diríjase a la sección Autenticación de contraseña de usuario a través de AirWatch y haga clic enGuardar.

Se actualiza la configuración de AirWatch con la nueva versión en el servicio de VMware IdentityManager.

Implementar la autenticación Single Sign-On móvil paralos dispositivos iOS administrados por AirWatchPara la autenticación de los dispositivos iOS, VMware Identity Manager utiliza un proveedor deidentidades que está integrado en el servicio VMware Identity Manager para proporcionar acceso a laautenticación de SSO móvil. Este método de autenticación para los dispositivos iOS utiliza un centro dedistribución de claves (KDC, Key Distribution Center) sin utilizar un conector o un sistema externo.Mediante la autenticación de Kerberos, los usuarios que iniciaron sesión correctamente en su dominiopueden acceder al portal de aplicaciones Workspace ONE sin solicitudes adicionales de credenciales.

Los arrendatarios de VMware Identity Manager Cloud no necesitan administrar ni configurar KDC.

Para la versión local de VMware Identity Manager, encontrará dos opciones de servicio KDC disponibles.Una opción consiste en utilizar el KDC integrado que se inicializa en el dispositivo de VMware IdentityManager antes de habilitar el método de autenticación SSO móvil desde la consola de administración. Lasegunda opción consiste en utilizar el servicio KDC alojado en la nube de VMware Identity Manager.Para obtener más información sobre el KDC integrado, consulte la guía Instalar y configurar VMwareIdentity Manager. Para utilizar el servicio KDC alojado de nube, consulte Usar el servicio KDC alojado enla nube.

Cuando Identity Manager está configurado con AirWatch en un entorno de Windows, debe configurarseel método de autenticación móvil para iOS a fin de utilizar el servicio KDC alojado en VMware IdentityManager Cloud.


VMware, Inc. 162

Para implementar la autenticación de SSO móvil para los dispositivos iOS 9 o posteriores administradospor AirWatch, es necesario completar los siguientes pasos de configuración.

n Descargue el certificado del emisor para configurar el SSO móvil para iOS.

n Si utiliza los servicios de certificado de Active Directory, configure una plantilla de entidad decertificación para la distribución del certificado de Kerberos en los servicios de certificado deActive Directory. Configure entonces AirWatch para utilizar la autoridad de certificación de ActiveDirectory. Agregue la plantilla del certificado en la consola de administración de AirWatch.Descargue el certificado expedido para configurar el SSO móvil para iOS.

n Si usa la autoridad de certificación de AirWatch, habilite Certificados en la página deintegraciones de VMware Identity Manager. Descargue el certificado expedido para configurar elSSO móvil para iOS.

n Configure el perfil de dispositivos con iOS y habilite el inicio de sesión único en la consola deadministración de AirWatch.

n Configure el método de autenticación SSO móvil (iOS).

n Configure el proveedor de identidades integrado y asocie el SSO móvil para la autenticación de iOSen la consola de administración de VMware Identity Manager.

Configurar la autoridad de certificación de Active Directory enAirWatchPara configurar el single sign-on único en dispositivos móviles iOS 9 administrados por AirWatch, puedeestablecer una relación de confianza entre Active Directory y AirWatch y habilitar el método deautenticación SSO móvil para iOS en VMware Identity Manager.

Después de configurar la autoridad y la plantilla de certificación para la distribución de certificados deKerberos en los servicios de certificado de Active Directory, se debe habilitar AirWatch para que solicite elcertificado utilizado para la autenticación y agregar la autoridad de certificación a la consola deadministración de AirWatch.

Procedimiento

1 En el menú principal de la consola de administración de AirWatch, vaya a Dispositivos >Certificados > Autoridades de certificación.


3 En la página Autoridad de certificación, establezca la siguiente configuración.

NOTA: Asegúrese de que Microsoft AD CS esté seleccionado como tipo de autoridad antes deempezar a completar este formulario.


Nombre Introduzca un nombre para la nueva autoridad de certificación.

Tipo de autoridad Asegúrese de que la opción Microsoft ADCS esté seleccionada.

Protocolo Seleccione ADCS como protocolo.


VMware, Inc. 163


Nombre de host del servidor Introduzca la dirección URL del servidor. Introduzca el nombre de host en esteformato https://{servername.com}/certsrv.adcs/. El sitio puede usar elprotocolo http o https, en función de cómo esté configurado. La URL debe incluiruna barra inclinada (/) al final.

NOTA: Si la conexión falla al probar la URL, quite http:// o https:// de la direccióny vuelva a probarla.

Nombre de la autoridad Introduzca el nombre de la autoridad de certificación a la que esté conectado eldispositivo de destino de ADCS. Para encontrarlo, puede iniciar la aplicaciónCertification Authority en el servidor de la autoridad de certificación.

Autenticación Asegúrese de que la opción Cuenta del servicio esté seleccionada.

Nombre de usuario y contraseña Introduzca el nombre de usuario y la contraseña de una cuenta de administradorde AD CS con derechos de acceso suficientes para permitir que AirWatch solicitey emita certificados.



Configure la plantilla del certificado en AirWatch.

Configurar AirWatch para utilizar la autoridad de certificación de ActiveDirectoryLa plantilla de la autoridad de certificación debe estar correctamente configurada para la distribución decertificados de Kerberos. En los servicios de certificado de Active Directory (AD CS), se puede duplicar laplantilla de autenticación de Kerberos existente para configurar una nueva plantilla de autoridad decertificación para la autenticación de Kerberos en iOS.

Al duplicar la plantilla de autenticación de Kerberos de AD CS, se debe configurar la informaciónsiguiente en el cuadro de diálogo de propiedades de la nueva plantilla.

Figura 14‑1. Cuadro de diálogo de propiedades de la nueva plantilla de los servicios decertificados de Active Directory

n Pestaña General . Introduzca el nombre de la plantilla que se mostrará y el nombre de la plantilla.Por ejemplo, iOSKerberos. Este nombre es el que se muestra en el complemento de plantillas decertificado, el complemento de certificados y el complemento de autoridad de certificación.


VMware, Inc. 164

n Pestaña Nombre del usuario. Seleccione el botón de opción para incluirlo en la solicitud. Elnombre del usuario lo proporciona AirWatch al solicitar el certificado.

n Pestaña Extensiones. Defina las directivas de la aplicación.

n Seleccione la opción de directivas de las aplicaciones y haga clic en Editar para agregar unanueva directiva de aplicación. Llame a esta directiva Kerberos Client Authentication.

n Agregue el identificador de objeto (OID) como sigue: 1.3.6.1.5.2.3.4. No lo cambie.

n En la lista de descripción de las directivas de aplicaciones, elimine todas las directivas indicadasexcepto la directiva Kerberos Client Authentication y la directiva de autenticación de Smart Card.

n Pestaña Seguridad. Agregue la cuenta de AirWatch a la lista de usuarios que pueden utilizar elcertificado. Establezca los permisos de la cuenta. Elija la opción de control total para permitir que elusuario principal de seguridad pueda modificar todos los atributos de una plantilla de certificado,incluyendo los permisos de la plantilla del certificado. De lo contrario, establezca los permisos deacuerdo a las necesidades de su organización.

Guarde los cambios. Agregue la plantilla a la lista de plantillas utilizadas por la autoridad de certificaciónde Active Directory.

En AirWatch, configure la autoridad de certificación y agregue la plantilla del certificado.

Agregar una plantilla de certificación en AirWatchSe agrega la plantilla de certificación que asocia la autoridad de certificación utilizada para generar elcertificado del usuario.

Prerequisitos

Configure la autoridad de certificación en AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial >Entidades de certificación.

2 Seleccione la pestaña Solicitar plantilla y haga clic en Agregar.

3 Aplique la siguiente configuración en la página de la plantilla de certificación.


Nombre Introduzca el nombre de la nueva plantilla de solicitud en AirWatch.

Entidad de certificación En el menú desplegable, seleccione la entidad de certificación que se creó.

Emitir una plantilla Introduzca el nombre de la plantilla de certificación de Microsoft CA exactamentecomo se creó en AD CS. Por ejemplo, iOSKerberos.

Nombre del usuario Después de CN=, introduzca {EnrollmentUser}, donde el cuadro de texto {} esel valor de búsqueda de AirWatch. El texto introducido aquí es el Usuario delcertificado, que se puede utilizar para determinar quién recibió el certificado.Eltexto introducido aquí es el sujeto del certificado

Longitud de la clave privada La longitud de esta clave privada coincide con el valor de la plantilla decertificación que utiliza AD CS. Normalmente es 2048.


VMware, Inc. 165


Tipo de clave privada Seleccione la casilla para Firma y cifrado.

Tipo de SAN Como nombre alternativo del usuario (SAN), seleccione Nombre principal delusuario. El valor debe ser {EnrollmentUser}. Si la comprobación deconformidad del dispositivo está configurada con la autenticación de Kerberos,debe configurar un segundo tipo SAN para incluir el UDID. Seleccione el tipo deSAN DNS. El valor debe ser UDID={DeviceUid}.

Renovación automática de certificados Seleccione esta casilla para que los certificados que utilicen esta plantilla serenueven automáticamente antes de sus fechas de caducidad.

Período de renovación automática(días)

Especifique el período de renovación automática en días.

Habilitar revocación de certificados Seleccione esta casilla para que los certificados se revoquen automáticamentecuando los dispositivos aplicables se borren o se cancele su inscripción, o bien sise borra el perfil aplicable.

Publicar clave privada Seleccione esta casilla de verificación para publicar la clave privada.

Destino de clave privada Servicio de directorio o servicio web personalizado



En la consola de administración del proveedor de identidades, configure el proveedor de identidadesintegrado con el método de autenticación de SSO para dispositivos móviles con iOS.


VMware, Inc. 166

Configurar el perfil de iOS de Apple en AirWatch mediante la autoridad decertificación de Active Directory y la plantilla de certificadoCree e implemente el perfil del dispositivo iOS de Apple en AirWatch para realizar un envío push de laconfiguración del proveedor de identidades al dispositivo. Este perfil contiene la información necesariapara que el dispositivo se conecte al proveedor de identidades de VMware y al certificado que utilizó eldispositivo para autenticarse. Habilite el single sign-on para permitir acceso continuo sin solicitar laautenticación en cada aplicación.

Prerequisitos

n Se configura el SSO móvil para iOS en VMware Identity Manager.

n Archivo de la autoridad de certificación de Kerberos para iOS guardado en un equipo al que sepuede acceder desde la consola de administración de AirWatch.

n Su autoridad de certificación y la plantilla de certificado deben estar configuradas correctamente enAirWatch.

n Lista de las URL y los ID del paquete de la aplicación que utilizan el método de autenticación SSOmóvil para iOS integrado en dispositivos iOS.

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursos > Perfil.

2 Seleccione Agregar > Agregar perfil y seleccione Apple iOS.

3 Introduzca el nombre iOSKerberos y establezca la configuración General.

4 En el panel de navegación izquierdo, seleccione Credenciales > Configurar para configurar lacredencial.


Fuente de credenciales Seleccione Autoridad definida de certificación en el menú desplegable.

Entidad de certificación Seleccione la entidad de certificación en la lista del menú desplegable.

Plantilla de certificado Seleccione la plantilla de la solicitud que menciona a la autoridad de certificaciónen el menú desplegable. Esta es la plantilla de certificado creada en la secciónAgregar la plantilla de certificado en AirWatch.

5 Vuelva a hacer clic en + en la esquina inferior derecha de la página y cree una segunda credencial.

6 En el menú desplegable Fuente de credenciales, seleccione Cargar.

7 Introduzca un nombre de credencial.

8 Haga clic en Cargar para cargar el certificado raíz del servidor KDC que se descargó de la páginaAdministración de acceso e identidad > Administrar > Proveedores de identidades > Proveedor deidentidades integrado.

9 En el menú de navegación de la izquierda, seleccione Single Sign-On y haga clic en Configurar.


VMware, Inc. 167

10 Introduzca la información de la conexión.


Nombre de la cuenta Introduzca Kerberos.

Nombre principal de Kerberos Haga clic en + y seleccione {EnrollmentUser}.

Territorio Introduzca el nombre de territorio que utilizó cuando inicializó KDC en eldispositivo de VMware Identity Manager. Por ejemplo, EXAMPLE.COM

Certificado de renovación Seleccione la opción del certificado número 1 en el menú desplegable. Este esel certificado CA de Active Directory que se configuró primero con credenciales.

Prefijos de URL Introduzca los prefijos de URL que deben coincidir para utilizar esta cuenta parala autenticación de Kerberos a través de HTTP.

Introduzca la URL del servidor de VMware Identity Manager comohttps://myco.example.com.

Aplicaciones Introduzca la lista de las identidades de la aplicación que tienen permiso parautilizar este inicio de sesión. Para realizar un single sign-on con el navegadorSafari integrado en iOS, introduzca el primer ID del paquete de la aplicacióncomo com.apple.mobilesafari. Siga introduciendo los ID del paquete de laaplicación. Las aplicaciones que aparecen deben ser compatibles con laautenticación SAML

11 Haga clic en Guardar y publicar.

Cuando se realice correctamente un envío push del perfil de iOS a los dispositivos de los usuarios, estospodrán iniciar sesión en Workspace ONE con el método de autenticación SSO móvil para iOS sinintroducir sus credenciales.


Cree otro perfil para configurar cualquier otra función que desee, por ejemplo, iconos de favoritos paracrear iconos de aplicaciones web que envíe mediante push desde AirWatch al catálogo de aplicaciones oa las páginas de inicio del dispositivo iOS.

Utilizar la autoridad de certificación de AirWatch paraautenticación de KerberosPara configurar e inicio de sesión único con la autenticación de Kerberos integrada en dispositivosmóviles con iOS 9 administrados por AirWatch, puede utilizar la autoridad de certificación de AirWatch enlugar de la de Active Directory. Puede habilitar la autoridad de certificación de AirWatch en la consola deadministración de AirWatch y exportar el certificado del emisor de la CA para utilizarlo en el servicioVMware Identity Manager.

La autoridad de certificación de AirWatch se diseñó para seguir el protocolo Simple Certificate EnrollmentProtocol (SCEP) y se utiliza en dispositivos administrados por AirWatch compatibles con SCEP. En laintegración de VMware Identity Manager con AirWatch se utiliza la autoridad de certificación de AirWatchpara emitir certificados a dispositivos móviles con iOS 9 como parte del perfil.

En certificado raíz del emisor de la autoridad de certificación de AirWatch es también el certificado defirma de OCSP.


VMware, Inc. 168

Habilitación y exportación de la autoridad de certificación de AirWatchCuando VMware Identity Manager está habilitado en AirWatch, puede generar un certificado raíz deentidad emisora AirWatch y exportarlo para usarlo con la autenticación SSO móvil para iOS endispositivos móviles iOS 9 administrados.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > VMwareIdentity Manager.

2 Para habilitar la autoridad de certificación de AirWatch, el tipo del grupo de organización debe serCliente.

Tip Para ver o cambiar el tipo de grupo, vaya a Grupos y ajustes, Grupos > Gruposorganizativos> Detalles del grupo organizativo.

3 En la sección de CERTIFICADO, haga clic en Habilitar.

La página mostrará los detalles del certificado raíz de la entidad emisora.

4 Haga clic en Exportar y guarde el archivo.


En la consola de VMware Identity Manager, seleccione la opción de servicio KDC que desea utilizar.Consulte Configurar la autenticación SSO móvil para iOS en el proveedor de identidades integrado

En la consola de administración de VMware Identity Manager, configure la autenticación de Kerberos enel proveedor de identidades integrado y agregue el certificado emitido por la entidad de certificación.

Configurar el perfil de iOS de Apple en AirWatch con la autoridadde certificación de AirWatchCree e implemente el perfil del dispositivo iOS de Apple en AirWatch para realizar un envío push de laconfiguración del proveedor de identidades al dispositivo. Este perfil contiene la información necesariapara que el dispositivo se conecte al proveedor de identidades de VMware y el certificado que utiliza eldispositivo para autenticarse.

Prerequisitos

n Kerberos integrado configurado en Identity Manager.

n Archivo de certificado raíz del servidor KDC de VMware Identity Manager guardado en un equipo alque se pueda acceder desde la consola de administración de AirWatch.

n Certificado habilitado y descargado desde la página Sistema > Integración empresarial > VMwareIdentity Manager de la consola de administración de AirWatch.

n Lista de las URL y los ID del paquete de la aplicación que utilizan la autenticación de Kerberosintegrado en dispositivos iOS.


VMware, Inc. 169

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursos > Perfil> Agregar perfil y seleccione Apple iOS.

2 Configure la opción General del perfil e introduzca el nombre del dispositivo como iOSKerberos.

3 En el panel de navegación izquierdo, seleccione SCEP > Configurar para configurar la credencial.


Fuente de credenciales Seleccione Entidad de certificación de AirWatch en el menú desplegable.

Entidad de certificación Seleccione Entidad de certificación de AirWatch en el menú desplegable.

Plantilla de certificado Seleccione Inicio de sesión único para establecer el tipo de certificado emitidopor la autoridad de certificación de AirWatch.

4 Haga clic en Credenciales > Configurar y cree un segunda credencial.

5 En el menú desplegable Fuente de credenciales, seleccione Cargar.

6 Introduzca el nombre de la credencial de Kerberos para iOS.

7 Haga clic en Cargar para cargar el certificado raíz del servidor KDC de VMware Identity Managerque se descargó de la página Administración de acceso e identidad > Administrar > Proveedores deidentidades > Proveedor de identidades incorporado.

8 En el menú de navegación de la izquierda, seleccione Single Sign-On.

9 Introduzca la información de la conexión.


Nombre de la cuenta Introduzca Kerberos.

Nombre principal de Kerberos Haga clic en + y seleccione {EnrollmentUser}.

Territorio Introduzca el nombre de territorio que utilizó cuando inicializó KDC en eldispositivo de VMware Identity Manager. Por ejemplo, EXAMPLE.COM.

Certificado de renovación En dispositivos con iOS 8 o versiones posteriores, seleccione el certificado usadopara volver a autenticar al usuario automáticamente sin necesidad de interactuarcon el usuario cuando caduque la sesión Single Sign-On.

Prefijos de URL Introduzca los prefijos de URL que deben coincidir para utilizar esta cuenta parala autenticación de Kerberos a través de HTTP.

Introduzca la URL del servidor de VMware Identity Manager comohttps://myco.example.com.

Aplicaciones Introduzca la lista de las identidades de la aplicación que tienen permiso parautilizar este inicio de sesión. Para realizar un single sign-on con el navegadorSafari integrado en iOS, introduzca el primer ID del paquete de la aplicacióncomo com.apple.mobilesafari. Siga introduciendo los ID del paquete de laaplicación. Las aplicaciones que aparecen deben ser compatibles con laautenticación SAML



VMware, Inc. 170

Cuando se realice un envío push correctamente del perfil de iOS a los dispositivos de los usuarios, estospodrán iniciar sesión en VMware Identity Manager con el método de autenticación de Kerberos integradosin introducir sus credenciales.


Cree otro perfil para configurar cualquier otra función que desee de Kerberos para iOS, por ejemplo,iconos de favoritos para crear iconos de aplicaciones web que envíe mediante push desde AirWatch alcatálogo de aplicaciones o a las páginas de inicio del dispositivo iOS.

Implementar la autenticación Single-Sign-On móvil endispositivos Android administrados por AirWatchEl SSO móvil para Android es una implementación del método de autenticación mediante certificado paradispositivos gestionados por AirWatch.

La aplicación para dispositivos móviles AirWatch se instala en el dispositivo Android. El cliente AirWatchTunnel está configurado para acceder al servicio VMware Identity Manager para la autenticación. Elcliente del túnel utiliza el certificado del cliente para establecer una sesión SSL autenticada de formamutua y el servicio de VMware Identity Manager recupera el certificado de dicho cliente para laautenticación.

NOTA: La autenticación SSO móvil para Android es compatible con los dispositivos con Android 4.4 ouna versión posterior.

Single-Sign-On móvil sin acceso a la VPNLa autenticación Single-Sign-on móvil para dispositivos Android se puede configurar de modo que eviteel servidor de Tunnel cuando no sea necesario acceder a la VPN. Para implementar la autenticaciónSSO móvil para Android sin usar una VPN, hay que utilizar las mismas páginas de configuración quepara configurar AirWatch Tunnel. Dado que no se va a instalar el servidor de Tunnel, no hay queintroducir el nombre de host ni el puerto del servidor AirWatch Tunnel. Deberá configurar un perfil con elformulario de perfil de AirWatch Tunnel, pero el tráfico no se redirigirá al servidor de Tunnel. El cliente deTunnel solo se usa para el Single-Sign-On.

En la consola de administración de AirWatch puede configurar los siguientes ajustes.

n El componente del túnel por aplicaciones en AirWatch Tunnel. Esta configuración permite a losdispositivos Android acceder a aplicaciones internas y administradas de forma pública a través delcliente de la aplicación móvil de AirWatch Tunnel.

n Perfil de Tunnel por aplicaciones. Este perfil se utiliza para habilitar las funciones de los túneles poraplicaciones para Android.

n En la página de reglas de tráfico de red, como no se va a configurar el servidor de Tunnel, seleccioneOmitir para que el tráfico se redirija hacia un servidor de Tunnel.


VMware, Inc. 171

Single-Sign-On móvil con acceso a la VPNCuando la aplicación configurada para Single-Sign-On también se use para acceder a los recursos deintranet tras el firewall, configure el acceso a la VPN y configure el servidor Tunnel. Cuando Single-Sign-On esté configurado con la VPN, el cliente de Tunnel puede enrutar el tráfico de las aplicaciones y lassolicitudes de inicio de sesión a través del servidor de Tunnel. En lugar la configuración predeterminadautilizada para el cliente de Tunnel en la consola en el modo de Single-Sign-On, la configuración debedirigir al servidor de Tunnel.

Para implementar el SSO móvil para la autenticación de Android en los dispositivos gestionados porAirWatch, es necesario configurar AirWatchTunnel en la consola de administrador de AirWatch e instalarel servidor de AirWatch Tunnel antes de configurar el SSO móvil de Android en la consola deadministrador de VMware Identity Manager. El servicio de AirWatch Tunnel proporciona acceso a la VPNpor aplicación a las aplicaciones administradas por AirWatch. AirWatch Tunnel también proporciona lacapacidad de derivar el tráfico mediante un servidor proxy desde una aplicación móvil aVMware Identity Manager para Single-Sign-On.

En la consola de administración de AirWatch puede configurar los siguientes ajustes.

n El componente del túnel por aplicaciones en AirWatch Tunnel. Esta configuración permite a losdispositivos Android acceder a aplicaciones internas y administradas de forma pública a través delcliente de la aplicación móvil de AirWatch Tunnel.

Después de configurar los ajustes de AirWatch Tunnel en la consola de administración, descargue elinstalador AirWatch Tunnel y comience la instalación.

n Perfil VPN de Android. Este perfil se utiliza para habilitar las funciones de los túneles poraplicaciones para Android.

n Habilitar la VPN para cada aplicación que utilice la función del túnel de aplicaciones desde la consolade administración.

n Cree reglas del tráfico de dispositivo con una lista de todas las aplicaciones configuradas para laVPN por aplicación, los detalles del servidor proxy y la URL de VMware Identity Manager.

Para obtener más información sobre cómo instalar y configurar AirWatch Tunnel, consulte la guía deVMware AirWatch Tunnel en el sitio web de recursos de AirWatch.

Configurar Single-Sign-On para dispositivos Android desde laconsola de administración de AirWatchSingle-Sign-On para dispositivos Android permite a los usuarios iniciar sesión de forma segura enaplicaciones empresariales sin tener que introducir su contraseña.

Para configurar Single Sign-On para dispositivos Android, no es necesario configurar VMware Tunnel,pero se utilizan muchos de los mismos campos para configurar Single Sign-On.

Prerequisitos

n Android 4.4 o versiones posteriores


VMware, Inc. 172

n Las aplicaciones deben admitir SAML u otro estándar compatible

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > VMwareTunnel.

2 La primera vez que configure VMware Tunnel, seleccione Configurar y siga las instrucciones delasistente de configuración. De lo contrario, seleccione Reemplazar y marque la casilla HabilitarVMware Tunnel. Luego haga clic en Configurar.

3 En la página Tipo de configuración, habilite Túnel por cada aplicación (solo Linux). Haga clic enSiguiente.

Mantenga el modo de implementación Básico,

4 En la página Detalles, introduzca un valor ficticio en el cuadro de texto, ya que este campo no esnecesario para configurar Single-Sign-On. Haga clic en Siguiente.

5 En la página SSL, configure el certificado SSL de túnel por cada aplicación. Para utilizar un SSLpúblico, seleccione la casilla Utilizar certificado público de SSL. Haga clic en Siguiente.

El certificado raíz del dispositivo en túnel se genera automáticamente.

NOTA: Los certificados SAN no son compatibles. Asegúrese que su certificado se emitió para elnombre de host del servidor correspondiente o es un certificado comodín válido para el dominiocorrespondiente.

6 En la página Autenticación, seleccione el tipo de certificado que desea utilizar. Haga clic enSiguiente.


Predeterminado Seleccione Predeterminado para utilizar los certificados emitidos por AirWatch.

CA empresarial Aparece un menú desplegable con la lista de la entidad de certificación y laplantilla del certificado que se configuraron. También puede cargar el certificadoraíz de su CA.

Si selecciona CA empresarial, asegúrese de que la plantilla CA contiene siguiente nombre de asuntoCN=UDID. Puede descargar los certificados CA en la página de configuración de VMware Tunnel.


8 En la página Asociación de perfil, cree un perfil de VPN para VMware Tunnel de Android o asocieuno ya existente.

Debe publicar el perfil aunque lo cree en este paso. Consulte la sección sobre cómo configurar elperfil de Android en AirWatch.

9 Revise el resumen de la configuración y haga clic en Guardar.

Accederá a la página de configuración del sistema.


VMware, Inc. 173

Configurar el acceso a la VPN de AirWatch Tunnel desde laconsola de administración de AirWatchPuede habilitar el componente y la funcionalidad de túnel por aplicación en la configuración de AirWatchTunnel para los dispositivos Android. El túnel por cada aplicación permite a las aplicaciones internas ygestionadas de forma pública acceder a sus recursos corporativos por rango de aplicaciones.

La VPN se puede conectar automáticamente cuando inicie una aplicación específica. Para obtenerinstrucciones detalladas sobre cómo configurar AirWatch Tunnel, consulte la guía sobre VMwareAirWatch Tunnel en el sitio web de recursos de AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial >AirWatch Tunnel.

2 La primera vez que configure AirWatch Tunnel, seleccione Configurar y siga el asistente paraconfiguración. De lo contrario, seleccione Reemplazar y maque la casilla Habilitar AirWatchTunnel. Luego haga clic en Configurar.

3 En la página Tipo de configuración, habilite Túnel por cada aplicación (solo Linux). Haga clic enSiguiente.

Mantenga el modo de implementación Básico,

4 En la página Detalles, introduzca el puerto y el nombre del host del servidor de AirWatch Tunnel en laconfiguración del túnel por cada aplicación. Por ejemplo, introduzca tunnel.example.com. Haga clicen Siguiente.

5 En la página SSL, configure el certificado SSL de túnel por cada aplicación. Para utilizar un SSLpúblico, seleccione la casilla Utilizar certificado público de SSL. Haga clic en Siguiente.

El certificado raíz del dispositivo en túnel se genera automáticamente.

NOTA: Los certificados SAN no son compatibles. Asegúrese que su certificado se emitió para elnombre de host del servidor correspondiente o es un certificado comodín válido para el dominiocorrespondiente.

6 En la página Autenticación, seleccione el tipo de certificado que desea utilizar. Haga clic enSiguiente.


Predeterminado Seleccione Predeterminado para utilizar los certificados emitidos por AirWatch.

CA empresarial Aparece un menú desplegable con la lista de la entidad de certificación y laplantilla del certificado que se configuraron. También puede cargar el certificadoraíz de su CA.

Si selecciona CA empresarial, asegúrese de que la plantilla CA contiene siguiente nombre de asuntoCN=UDID. Puede descargar los certificados CA en la página de configuración de AirWatch Tunnel.


VMware, Inc. 174

Si la comprobación de cumplimiento de dispositivo está configurada para Android, asegúrese de quela plantilla de CA contenga el nombre de asunto CN=UDID o establezca un tipo de SAN para incluirel UDID. Seleccione el tipo de SAN DNS. El valor debe ser UDID={DeviceUid}.


8 En la página Asociación de perfil, cree un perfil de VPN para AirWatch Tunnel de Android o asocieuno ya existente.

Debe publicar el perfil aunque lo cree en este paso. Consulte la sección sobre cómo configurar elperfil de Android en AirWatch.

9 De forma opcional, en la página Variado, habilite los registros de acceso para los componentes deltúnel por aplicaciones. Haga clic en Siguiente.

Debe habilitar estos registros antes de instalar el servidor AirWatch Tunnel.

10 Revise el resumen de la configuración y haga clic en Guardar.

Accederá a la página de configuración del sistema.

11 Seleccione la pestaña General y descargue el dispositivo virtual de Tunnel.

Puede implementar el servidor de Tunnel con VMware Access Point.


Instale el servidor de AirWatch Tunnel. Para obtener más instrucciones, consulte la guía sobre VMwareAirWatch Tunnel en el sitio web de recursos de AirWatch.

Configurar el perfil de túnel por aplicaciones para AndroidDespués de configurar e instalar el componente del túnel por aplicaciones de AirWatch Tunnel, puedeconfigurar el perfil VPN de Android y agregar una versión al perfil.

Procedimiento

1 En la consola de administrador de AirWatch, diríjase a Dispositivos > Perfiles > Agregar perfil yseleccione Android o Android for Work.

2 Consulte que la Configuración general de Android esté preparada.

3 En la columna de la izquierda, seleccione VPN y haga clic en Configurar.

4 Complete la información de conexión de la VPN.


Tipo de conexión Seleccione AirWatch Tunnel.

Nombre de la conexión Introduzca un nombre para esta conexión. Por ejemplo,Configuración AndroidSSO.

Servidor La URL del servidor de AirWatch Tunnel se introduce automáticamente.

Reglas de VPN por aplicación Seleccione la casilla Reglas de VPN por aplicación.

5 Haga clic en Agregar versión.


VMware, Inc. 175



Habilite la VPN por aplicaciones para las aplicaciones Android a las que se acceden con el SSO móvilpara Android. Consulte Habilitar la VPN por aplicaciones para las aplicaciones Android.

Habilitar la VPN por aplicaciones para las aplicaciones AndroidLa configuración del perfil de la VPN por aplicaciones se habilita para las aplicaciones Android a las quese acceden con el SSO móvil para Android de VMware Identity Manager.

Prerequisitos

n Configurar AirWatch Tunnel con el componente del túnel por aplicaciones instalado.

n Tener creado un perfil VPN de Android.

Procedimiento

1 En la consola de administración de AirWatch, diríjase a Aplicaciones y libros > Aplicaciones >Vista en lista.

2 Seleccione la pestaña Interna.

3 Seleccione Agregar aplicación y agregue una aplicación.

4 Haga clic en Guardar y asignar.

5 En la página Asignación, seleccione Agregar asignación y en la sección Avanzado Perfil de VPNpor aplicación seleccione en el menú desplegable el perfil VPN de Android que creó.


Habilite la VPN por aplicaciones para todas las aplicaciones Android a las que se acceden con elSSO móvil para Android. Para obtener más información sobre agregar y editar aplicaciones, consultela guía de AirWatch Mobile Application Management en la página web AirWatch Recursos.


Cree las reglas de tráfico de red. Consulte Configurar las reglas del tráfico en AirWatch.

Configurar las reglas del tráfico en AirWatchConfigure las reglas del tráfico de red de tal forma que el cliente de AirWatch enrute el tráfico al proxyHTTPS para los dispositivos Android. Incluya una lista de las aplicaciones para Android que esténconfiguradas con la opción VPN por aplicación en las reglas de tráfico y configure la dirección delservidor proxy y el nombre de host de destino.

Configure las reglas de tráfico del dispositivo para controlar cómo gestionan los dispositivos el tráfico delas aplicaciones especificadas. Las reglas de tráfico del dispositivo fuerzan la aplicación AirWatch Tunnelpara que envíe tráfico a través del túnel, bloquee todo el tráfico en los dominios especificados, omita lared interna para conectarse directamente a Internet o envíe tráfico a un sitio del proxy HTTPS.


VMware, Inc. 176

Para obtener más información sobre cómo crear reglas de tráfico de red, consulte la guía de VMwareAirWatch Tunnel en la página web AirWatch Recursos.

Prerequisitos

n La opción AirWatch Tunnel configurada con el componente del túnel por aplicaciones instalado.

n Tener creado un perfil VPN de Android.

n Habilitar la VPN por aplicaciones para cada aplicación Android que se agrega a las reglas del tráficode red.

Procedimiento

1 En la consola de administración de AirWatch, diríjase a Sistema > Integración empresarial >AirWatch Tunnel > Reglas de acceso a la red.

2 En la pestaña Reglas de tráfico del dispositivo, configure las opciones de reglas de tráfico deldispositivo como se describe en la Guía de AirWatch Tunnel. Solo en la configuración del SSO móvilpara Android, configure las siguientes opciones.

a Seleccione la acción predeterminada.


Túnel Para la configuración de VPN con single sign-on en Android, seleccione Túnel como la acciónpredeterminada. Todas las aplicaciones del dispositivo que estén configuradas con la opción VPN poraplicación envían el tráfico de red a través del túnel.

Omitir Para realizar el single sign-on en Android, seleccione Omitir como la acción predeterminada.

IMPORTANTE: Con Omitir como la acción predeterminada, todas las aplicaciones configuradas con laopción VPN por aplicación en el dispositivo omiten el túnel y se conectan directamente a Internet. Con estaimplementación, no se envía tráfico al servidor de Tunnel cuando su cliente se utiliza solo para el singlesign-on.

Para realizar el single sign-on en Android con el uso de VPN, seleccione Omitir como la acciónpredeterminada.

IMPORTANTE: Con Omitir como la acción predeterminada, todas las aplicaciones configuradascon la opción VPN por aplicación en el dispositivo omiten el túnel y se conectan directamente aInternet. Con esta implementación, no se envía tráfico al servidor de Tunnel cuando su cliente seutiliza solo para el single sign-on.

b En la columna Aplicación, agregue las aplicaciones Android que están configuradas con el perfilVPN por aplicación.


VMware, Inc. 177

c En la columna Acción, seleccione Proxy y especifique la información sobre el proxy HTTPS.Introduzca el puerto y el nombre de host de VMware Identity Manager. Por ejemplo,login.example.com:5262.

NOTA: Si proporciona acceso externo al host de VMware Identity Manager, el puerto 5262 delfirewall debe estar abierto o el tráfico de dicho puerto debe ser redirigido a través del proxyinverso en el DMZ.

d En la columna Nombre de host de destino, introduzca el nombre de host de destino deVMware Identity Manager. Por ejemplo, myco.example.com. El cliente AirWatch Tunnel enruta eltráfico al proxy HTTPS desde el nombre de host de VMware Identity Manager.



Publique estas reglas. Después de que se publiquen estas reglas, el dispositivo recibe un perfil VPN deactualización y la aplicación AirWatch Tunnel se configura para habilitar el SSO.

Diríjase a la consola de administración de VMware Identity Manager y configure el SSO móvil paraAndroid en la página del proveedor de identidades integrado. Consulte la Guía de administración deVMware Identity Manager.

Habilitar la comprobación de conformidad paradispositivos administrados por AirWatchCuando los usuarios registran sus dispositivos en la aplicación AirWatch Agent, los datos de ejemploutilizados para evaluar la conformidad se envían de forma programada. La evaluación de estos datos deejemplo garantiza que el dispositivo cumple las reglas de conformidad que establece el administrador enla consola de AirWatch. Si el dispositivo no cumple con la conformidad, se llevan a cabo las accionescorrespondientes en la consola de AirWatch.


VMware, Inc. 178




Configurar la regla de directiva de accesoPara proporcionar acceso seguro al portal de aplicaciones de los usuarios y para iniciar aplicaciones deescritorio y web, configure directivas de acceso. Las directivas de acceso incluyen reglas que especificanlos criterios que se deben cumplir para iniciar sesión en el portal de aplicaciones y utilizar los recursos.

Debe editar las reglas predeterminadas de directiva para seleccionar los métodos de autenticación queconfiguró. Se puede configurar una regla de directiva para realizar acciones como bloquear, permitir oautenticar a un nivel superior los usuarios en función de condiciones como la red, el tipo de dispositivo, lainscripción de dispositivos de AirWatch y el estado de cumplimiento, o bien la aplicación a la que sedesea obtener acceso. Es posible agregar grupos a una directiva para administrar la autenticación engrupos específicos.

Cuando se habilite Comprobación de conformidad, cree una regla de directiva de acceso que solicite laverificación de conformidad del dispositivo y la autenticación de los dispositivos administrados porAirWatch.

La regla de directiva de comprobación de conformidad funciona en una cadena de autenticación con elSSO móvil para iOS, el SSO móvil para Android y la implementación en la nube del certificado. Elmétodo de autenticación que se utilice debe ir delante de la opción de conformidad de dispositivos en laconfiguración de las reglas de la directiva.

Prerequisitos

Los métodos de autenticación deben estar configurados y asociados a un proveedor de identidadesintegrado.

La comprobación de conformidad debe estar habilitada en la página AirWatch de VMware IdentityManager.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Directivas.

2 Seleccione la directiva de acceso que desee editar.


VMware, Inc. 179

3 En la sección Reglas de la directivas, seleccione la regla de la directiva que desee editar.

4 En el menú desplegable El usuario se debe autenticar con el siguiente método..., haga clic en + yseleccione el método de autenticación que desee utilizar.

5 En el segundo menú desplegable El usuario se debe autenticar con el siguiente método...,seleccione enCumplimiento normativo del dispositivo (con AirWatch).

6 (Opcional) En el cuadro Texto del mensaje de la sección Personalizar error, cree un mensajepersonalizado que se muestre cuando se produce un error en la autenticación del usuario debido aque el dispositivo no es compatible. En el cuadro de texto Enlace del error personalizado, puedeagregar un vínculo al mensaje.


Registro de dominios de correo electrónico paradetección automáticaPuede registrar su dominio de correo electrónico en el servicio de detección automática para que alusuario final le resulte más fácil acceder al portal de aplicaciones a través de la aplicación WorkspaceONE. El usuario final debe introducir su dirección de correo electrónico en vez de la URL de laorganización.

Si el dominio del correo electrónico de la organización se registra para la detección automática, losusuarios finales introducen solo la dirección de correo electrónico en la página de inicio de sesión paraacceder al portal de las aplicaciones. Por ejemplo, deben introducir, [email protected].

Si no se utiliza la detección automática, la primera vez que los usuarios finales abren la aplicaciónWorkspace ONE, deben proporcionar la URL completa de la organización. Por ejemplo, debe introducirmyco.vmwareidentity.com.


VMware, Inc. 180

Configurar detección automática en VMware Identity ManagerPara registrar un dominio, debe introducir el nombre de dominio y la dirección de correo electrónico en lapágina Detección automática de la consola de administración de Identity Manager.

Se le enviará un mensaje de correo electrónico con un token de activación a su dirección de correoelectrónico del dominio. Para activar el registro del dominio, introduzca el token en la página Detecciónautomática y compruebe que el dominio que registró es el suyo.

NOTA: Para configurar la detección automática para las implementaciones locales de VMware IdentityManager, debe iniciar sesión en la consola de administrador como el administrador local. Introduzca lacontraseña y el ID que creó en el sitio web de AirWatch, https://secure.air-watch.com/register.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > Detección automática.

2 (Solo implementaciones locales). Configure la URL de detección automática de AirWatch.


URL de detección automática Introduzca la URL como https://discovery.awmdm.com.

ID de AirWatch Introduzca la dirección de correo electrónico que registró en AirWatch para iniciar sesión enel sitio web.

Contraseña Introduzca la contraseña asociada a la cuenta de AirWatch.

3 En el cuadro de texto Dominio de correo electrónico, introduzca el dominio de correo electrónicode la organización que va a registrar.

4 En el cuadro de texto Dirección de correo electrónico de confirmación, introduzca una direcciónde correo electrónico de dicho dominio de correo electrónico para recibir el token de verificación.


El estado de registro de este dominio de correo electrónico está marcado como Pendiente. Solopuede tener un dominio de correo electrónico pendiente a la vez.

6 Vaya al correo electrónico y copie el token de activación que hay en el mensaje.

7 Vuelva a la página Administración de acceso e identidad > Detección automática y pegue eltoken en el cuadro de texto Token de activación

8 Haga clic en Verificar para registrar el dominio.

El dominio de correo electrónico se registró y agregó a la lista de dominios de correo electrónicoregistrados en la página Detección automática.

El usuario final ya puede introducir su dirección de correo electrónico en la aplicación Workspace ONEpara acceder al portal de su aplicación.


VMware, Inc. 181


Si tiene más de un dominio de correo electrónico, puede agregar otro dominio de correo electrónico pararegistrar.


VMware, Inc. 182

Documents

363n de VMware Identity Manager - VMware Identity … · recursos y de dispositivos, ... A continuación, se describen las opciones de configuración de la pestaña Administración