Administración de VMware Identity Manager · Contenido Acerca de la sección de administración de VMware Identity Manager 5 1 Uso de la consola de administración de VMware Identity

Administración deVMware Identity ManagerMayo de 2018VMware Identity Manager

Administración de VMware Identity Manager

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2013–2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la sección de administración de VMware Identity Manager 5

1 Uso de la consola de administración de VMware Identity Manager 6

Navegar por la consola de administración 6

Introducción a la configuración de Administración de acceso e identidad 7

2 Administrar las funciones de administrador 11

Acerca de las funciones de acceso basadas en funciones 11

Agregar una función de administrador 14

Asignar usuarios y grupos a una función de administrador 15

Quitar las funciones de administrador 16

Ejemplo 1. Cree una función para administrar las autorizaciones y la aplicación Office 365 18

Ejemplo 2. Crear una función para administrar el restablecimiento de contraseña en un directorio

local 20

3 Usar directorios locales 22

Crear un directorio local 24

Cambiar la configuración del directorio local 29

Eliminar un directorio local 31

Configurar el método de autenticación para los usuarios administradores del sistema 31

4 Aprovisionamiento de usuarios Just-in-Time 32

Acerca del aprovisionamiento de usuarios Just-in-Time 32

Preparar el aprovisionamiento Just-in-Time 33

Configurar el aprovisionamiento de usuarios Just-in-Time 35

Requisitos para las aserciones SAML 36

Deshabilitación del aprovisionamiento de usuarios Just-in-Time 37

Eliminar un directorio Just-in-Time 38

Mensajes de error 38

5 Administrar la experiencia de inicio de sesión del usuario 40

Seleccionar un dominio al iniciar sesión 40

Experiencia de inicio de sesión con identificador único 41

Configurar el inicio de sesión basado en identificador único 41

Requerir las condiciones de uso para obtener acceso al catálogo de Workspace ONE 42

6 Configurar la autenticación de usuario de VMware Identity Manager 45

Configurar Kerberos para VMware Identity Manager 47

VMware, Inc. 3

Configurar SecurID para VMware Identity Manager 52

Configurar RADIUS para VMware Identity Manager 54

Configurar la autenticación adaptativa de RSA en VMware Identity Manager 57

Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con

VMware Identity Manager 60

Configurar VMware para la autenticación en dos fases 64

Usar proveedores de identidades integrados 67

Habilitar la experiencia de fábrica de Workspace ONE en dispositivos Dell Windows 10 80

Configurar proveedores de identidades adicionales de Workspace 81

Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios 82

Administrar métodos de autenticación que se apliquen a los usuarios 84

7 Administrar directivas de acceso 90

Establecer la configuración de la directiva de acceso 90

Administrar las directivas específicas de aplicaciones de escritorio y web 92

Agregar una directiva específica de aplicaciones de escritorio y web 95

Configurar el mensaje de error personalizado de acceso denegado 96

Editar la directiva de acceso predeterminada 96

Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch 97

Habilitación de cookies persistentes en dispositivos móviles 99

8 Administrar usuarios y grupos 101

Administrar usuarios 102

Administración de grupos 104

Crear usuarios locales 109

Administrar contraseñas 112

Sincronizar directorio con la correcta información de dominio 114

9 Administración del catálogo 115

Agrupar recursos en categorías 115

Administrar la configuración en el catálogo 118

10 Trabajar en el panel de información de la consola de administración 131

Supervisar los usuarios y el uso de recursos desde el panel de información 131

Ver informes 132

11 Personalización de marca para los servicios de VMware Identity Manager 135

Personalizar marcas en el servicio de VMware Identity Manager 135

Personalizar marcas para el portal de usuario 136

Personalización de marca de fábrica de Workspace ONE para Windows 10 138

Personalización de marca para la aplicación VMware Verify 139


VMware, Inc. 4

Acerca de la sección de administración deVMware Identity Manager

La sección de administración de VMware Identity Manager proporciona información e instrucciones parautilizar y mantener los servicios de VMware Identity Manager. VMware Identity Manager™ permiteconfigurar y administrar métodos de autenticación y directivas de acceso, personalizar un catálogo derecursos para las aplicaciones de la organización y proporcionar a los usuarios un acceso seguro,multidispositivo y administrado a esos recursos. Esos recursos incluyen aplicaciones web, aplicacionesbasadas en Citrix, y grupos de aplicaciones y escritorios de Horizon.

Público objetivoEsta información está dirigida a cualquier usuario que desee configurar y administrarVMware Identity Manager. Esta información está escrita para administradores de sistemas Windows oLinux con experiencia y que estén familiarizados con la tecnología de máquina virtual, la gestión deidentidades, Kerberos y servicios de directorio. Es útil conocer otras tecnologías, como VMware Horizon®

7, Horizon® Cloud y la virtualización de aplicaciones de Citrix, al igual que métodos de autenticacióncomo RSA SecurID, si se prevé implementar esas funciones.

VMware, Inc. 5

Uso de la consola deadministración deVMware Identity Manager 1Las tareas clave que se realizan en la consola de administración son administrar la autenticación deusuarios y las directivas de acceso, y autorizar usuarios para que usen los recursos. Hay otras tareasque sustentan estas tareas clave al proporcionar un control más detallado de los usuarios o grupos quedisponen de autorización sobre determinados recursos y en qué condiciones.

Los usuarios finales pueden iniciar sesión en el portal de VMware Workspace™ ONE™ desde elescritorio o desde sus dispositivos móviles para acceder a recursos de trabajo, incluidos escritorios,navegadores, documentos corporativos compartidos y varios tipos de aplicaciones que autorizó para suuso.

Este capítulo cubre los siguientes temas:

n Navegar por la consola de administración

n Introducción a la configuración de Administración de acceso e identidad

Navegar por la consola de administraciónLas tareas de la consola de administración se organizan en pestañas.

Pestaña Descripción

Panel deinformación

El panel de información de interacción del usuario se puede utilizar para supervisar la actividad del usuarioy los recursos utilizados. Este panel muestra información sobre quién inició la sesión, las aplicaciones quese están utilizando y la frecuencia con que se utilizan.

Es posible crear informes para hacer un seguimiento de las actividades de grupos y usuarios, del uso derecursos y de dispositivos, así como de los eventos de auditoría de cada usuario.

Usuarios y grupos En la pestaña Usuarios y grupos, se pueden administrar y supervisar usuarios y grupos importados deActive Directory o del directorio LDAP, crear usuarios y grupos y autorizar a los usuarios y los grupos autilizar recursos. Puede configurar la directiva de contraseñas para los usuarios locales.

Catálogo El catálogo es el repositorio de todos los recursos cuyo uso se puede autorizar a los usuarios. En lapestaña Catálogo, puede agregar aplicaciones web y administrar los recursos existentes. En la página dela colección de aplicaciones virtuales, puede administrar las integraciones de aplicaciones y escritorios deHorizon, Citrix, Horizon Cloud y ThinApp. Puede crear una nueva aplicación, agrupar las aplicaciones encategorías y acceder a la información de cada recurso. En la página de configuración del catálogo sepueden descargar certificados SAML, administrar configuraciones de recursos y personalizar la aparienciadel portal del usuario.

VMware, Inc. 6

Pestaña Descripción

Administración deacceso e identidad

En la pestaña Administración de acceso e identidad, puede configurar el servicio del conector, configurarla integración de AirWatch, los métodos de autenticación y aplicar la personalización de marca en lapágina de inicio de sesión y la consola de administración. Puede administrar la configuración de losdirectorios, de los proveedores de identidades y las directivas de acceso. También se pueden configurarproveedores de identidades externos.

Funciones En la pestaña Funciones, puede administrar las funciones de administrador. Los usuarios puedenasignarse como administradores a las tres funciones de administrador predefinidas y también puedencrear funciones de administrador personalizadas que confieran permisos limitados a servicios específicosde la consola de administración.

Navegadores web admitidos para obtener acceso a la consola deadministraciónLa consola de administración de VMware Identity Manager es una aplicación basada en web que lepermite administrar su arrendatario. Puede acceder a consola de administración desde las versionesmás recientes de Mozilla Firefox, Google Chrome, Safari, Microsoft Edge e Internet Explorer 11.

NOTA: En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies parasuperar la autenticación de VMware Identity Manager.

Workspace ONE de VMware Identity Manager para usuariosfinalesLos usuarios finales pueden acceder a los recursos autorizados desde el portal de Workspace ONE.Workspace ONE es la interfaz predeterminada que se usa cuando los usuarios obtienen acceso a losrecursos para los que disponen de autorización y los utilizan en un navegador.

Cuando AirWatch se integra con VMware Identity Manager, los usuarios finales pueden ver todas lasaplicaciones para las que tienen autorización. Las aplicaciones nativas que estén desarrolladasinternamente o disponibles públicamente en las tiendas de aplicaciones pueden ponerse a disposición delos usuarios finales desde el portal de Workspace ONE.

Introducción a la configuración de Administración deacceso e identidadLa pestaña Administración de acceso e identidad de la consola de administración permite configurar yadministrar los métodos de autenticación, las directivas de acceso y el servicio de directorio, así comopersonalizar la marca del portal de usuario final y de la consola de administración.

A continuación, se describen las opciones de configuración de la pestaña Administración de acceso eidentidad.


VMware, Inc. 7

Tabla 1‑1. Opciones de configuración de Administración de acceso e identidad

Configuración Descripción

Configurar > Conectores La página Conectores muestra los conectores implementados en su red empresarial. El conectorse utiliza para sincronizar los datos de usuario y grupo entre el directorio empresarial y elservicio. Cuando se utiliza el conector como proveedor de identidades, autentica los usuarios enel servicio.

Cuando se asocia un directorio con una instancia de conectores, el conector crea una particiónpara el directorio asociado llamada trabajo. Una instancia de conectores puede tener variostrabajos asociados a ella. Cada trabajo actúa como proveedor de identidades. Se definen yconfiguran los métodos de autenticación para cada trabajo.

El conector sincroniza los datos de los usuarios y de los grupos entre el directorio empresarial yel servicio a través de uno o varios trabajos.n En la columna Trabajo, seleccione un trabajo para ver los detalles del conector y navegar a la

página Adaptadores de autenticación para consultar el estado de los métodos deautenticación disponibles. Para obtener información sobre la configuración, consulte Capítulo 6 Configurar la autenticación de usuario de VMware Identity Manager.

n En la columna Proveedor de identidades, seleccione el IdP para ver, editar o deshabilitar.Consulte Agregar y configurar una instancia de proveedor de identidades.

n En la columna Directorio asociado, acceda al directorio asociado a este trabajo.

Antes de poder añadir un nuevo conector, haga clic en Agregar conector para generar un códigode activación. Pegue este código de activación en el Asistente de configuración para establecercomunicación con el conector.

Configurar >Personalización de marca

La página Personalización de marca permite personalizar la pantalla de inicio de sesión y elencabezado de la consola de administración. Consulte Personalizar marcas en el servicio deVMware Identity Manager.

Para personalizar las vistas para móviles y tablets, y para el portal web de usuario final, vaya aCatálogo > Configuración > Personalización de marca del portal de usuario. Consulte Personalizar marcas para el portal de usuario.

Configurar > Atributos deusuario

En la página Atributos de usuario se muestran los atributos de usuario predeterminados que sesincronizan en el directorio. Puede agregar otros atributos para asignarlos a atributos de ActiveDirectory. Consulte la Guía Integración del directorio con VMware Identity Manager.

Configurar > Detecciónautomática

Registre el dominio de correo electrónico que usará el servicio de detección automática parafacilitar a los usuarios el acceso a su portal de aplicaciones mediante Workspace ONE. Losusuarios finales pueden introducir sus direcciones de correo electrónico en lugar de la URL de laorganización al obtener acceso a su portal de aplicaciones mediante Workspace ONE.

Para obtener más información sobre la detección automática, consulte la Guía deimplementación de VMware Workspace ONE.

Configurar > AirWatch Esta página permite configurar la integración con AirWatch. Una vez configurada y guardada laintegración, puede habilitar el catálogo unificado para fusionar la configuración de lasaplicaciones AirWatch Catalog para el catálogo unificado, habilitar la comprobación decumplimiento para verificar que los dispositivos administrados cumplen las directivas deconformidad de AirWatch y habilitar la autenticación con contraseña mediante AirWatch CloudConnector (ACC). Consulte la Guía de implementación de VMware Workspace ONE.


VMware, Inc. 8

Tabla 1‑1. Opciones de configuración de Administración de acceso e identidad (Continua)


Configurar > Preferencias La página Preferencias muestra las funciones que el administrador puede habilitar. Esto incluyelas siguientes preferencias.n Puede habilitarse Mostrar el dominio del sistema en la página de inicio de sesión.n Se pueden habilitar cookies persistentes en esta página. Consulte Habilitar cookie

persistente.n Habilite Ocultar menú desplegable de dominios cuando no desee exigir a los usuarios que

seleccionen su dominio antes de iniciar sesión.n Seleccione la opción Identificador de inicio de sesión único de usuario para mostrar la página

de inicio de sesión basado en identificador. Consulte Capítulo 5 Administrar la experiencia deinicio de sesión del usuario

n Personalizar el aviso de entrada de inicio de sesión puede utilizarse para personalizar elaviso en el cuadro de texto de usuario en la pantalla de inicio de sesión.

Condiciones de uso En esta página, puede configurar las condiciones de uso de Workspace ONE y garantizar que losusuarios finales las acepten antes de usar el portal de Workspace ONE.

A continuación, se describen las opciones de configuración usados para administrar los servicios de lapestaña Administración de acceso e identidad.

Tabla 1‑2. Configuración de administración de Administración de acceso e identidad


Administrar > Directorios La página Directorios enumera los clientes que ha creado. Cree uno o varios directorios ysincronícelos a continuación con la implementación del directorio empresarial. En esta página,puede consultar el número de grupos y usuarios que se han sincronizado en el directorio y eltiempo desde la última sincronización. Para iniciar la sincronización del directorio, haga clic enSincronizar ahora.

Consulte la Guía Integración del directorio con VMware Identity Manager.

Al hacer clic en el nombre de un directorio, puede editar la configuración de sincronización,navegar por la página Proveedores de identidades y consultar el registro de sincronización.

Desde la página de configuración de sincronización de directorios, puede programar la frecuenciade sincronización, consultar la lista de dominios asociados a este directorio, cambiar la lista deatributos asignados, actualizar el usuario y la lista de grupos que se sincroniza y configurar losdestinos de protección.

Administrar > Proveedoresde identidades

La página Proveedores de identidades enumera los proveedores de identidades que haconfigurado. El conector es el proveedor de identidades inicial. Puede agregar instancias deproveedor de identidades de terceros o combinar ambas. El proveedor de identidades integradode VMware Identity Manager se puede configurar para realizar tareas de autenticación.

Consulte Agregar y configurar una instancia de proveedor de identidades.

Administrar > Asistente derecuperación decontraseñas

En la página Asistente de recuperación de contraseñas, puede cambiar el comportamientopredeterminado cuando el usuario final hace clic en "He olvidado la contraseña" en la pantalla deinicio de sesión.


VMware, Inc. 9

Tabla 1‑2. Configuración de administración de Administración de acceso e identidad(Continua)


Métodos de autenticación La página Métodos de autenticación se utiliza para configurar métodos de autenticación que sepuedan asociar con proveedores de identidades integrados. Después de configurar los métodosde autenticación en esta página, debe asociar el método de autenticación en la página delproveedor de identidades integrado.

Administrar > Directivas En la página Directivas se muestra la directiva de acceso predeterminada y otras directivas deacceso de aplicaciones Web que haya creado. Configure los intervalos de red que se usan parapermitir el acceso de los usuarios a través de las direcciones IP.

Las directivas son un conjunto de reglas que especifican los criterios que se deben cumplir paraque los usuarios obtengan acceso a su portal Mis aplicaciones o inicien las aplicaciones web quetienen habilitadas. Puede editar la directiva predeterminada y, si se agregan aplicaciones web alcatálogo, puede agregar directivas nuevas para administrar el acceso a ellas. Consulte Capítulo 7 Administrar directivas de acceso.


VMware, Inc. 10

Administrar las funciones deadministrador 2VMware Identity Manager utiliza el control de acceso basado en funciones para gestionar las funcionesde administrador. Con el control de acceso basado en funciones, cree funcionales que controlen elacceso del administrador a las tareas en la consola de administración y asigne las funciones a uno ovarios usuarios y grupos.

Las tres funciones de administrador predefinidas están integradas en el servicio deVMware Identity Manager. Puede asignar estas funciones predefinidas a los usuarios y los grupos delservicio. No puede modificar ni eliminar estas funciones.

También puede crear funciones de administrador personalizadas que confieran permisos limitados aservicios específicos de la consola de administración. En del servicio, pueden seleccionarse operacionesespecíficas como el tipo de acción que se puede realizar en la función.

Este capítulo cubre los siguientes temas:n Acerca de las funciones de acceso basadas en funciones

n Agregar una función de administrador

n Asignar usuarios y grupos a una función de administrador

n Quitar las funciones de administrador

n Ejemplo 1. Cree una función para administrar las autorizaciones y la aplicación Office 365

n Ejemplo 2. Crear una función para administrar el restablecimiento de contraseña en un directoriolocal

Acerca de las funciones de acceso basadas en funcionesLos siguientes tipos de funciones se pueden conceder en el servidor de VMware Identity Manager.

Las tres funciones de administrador predefinidas incluyen los siguientes valores.

n La función de superadministrador que puede acceder a todas las características y las funciones delos servicios de VMware Identity Manager y administrarlas.

VMware, Inc. 11

El primer superadministrador es el usuario administrador local que VMware Identity Manager creacuando se configura por primera vez el servicio. El servicio crea el administrador en el dominio delsistema del directorio del sistema. Puede asignar la función de superadministrador a otros usuariosen el directorio del sistema. Como práctica recomendada, conceda la función de superadministradorsolo a algunos usuarios determinados.

n La función de administrador de solo lectura que puede ver los detalles de las páginas de la consolade administración, incluido el panel de control y los informes, pero no puede realizar ningún cambio.A todas las funciones de administrador se les asigna automáticamente la función de solo lectura.

n La función de administrador de directorio que puede administrar usuarios, grupos y directorios. Eladministrador de directorio puede administrar la integración del directorio para los directoriosempresariales y los directorios locales de la organización. El administrador de directorio tambiénpuede administrar los usuarios y los grupos locales.

Figura 2‑1. La pestaña Funciones en la consola de administración de VMware IdentityManager

Puede asignar estas funciones predefinidas a los usuarios y los grupos del servicio. No puede modificarni eliminar estas funciones.

También puede crear funciones de administrador personalizadas que confieran permisos limitados aservicios específicos de la consola de administración. En del servicio, pueden seleccionarse operacionesespecíficas como el tipo de acción que se puede realizar en la función.

Se pueden asignar varias funciones a los mismos usuarios y grupos. Cuando se asigna más de unafunción a un usuario, el comportamiento de las funciones que se aplica es acumulativo. Por ejemplo, sise asignan dos funciones a un administrador, una con acceso de escritura a la administración dedirectivas y la otra sin él, ese administrador podrá modificar directivas.

El control de acceso basado en funciones se puede configurar para administrar los siguientes serviciosen la consola del administrador.


VMware, Inc. 12

Tipo de servicio Descripción del servicio

Catálogo El catálogo es el repositorio de todos los recursos de Workspace ONE que se pueden autorizarpara los usuarios.

El servicio Catálogo puede administrar los siguientes tipos de acciones.n Aplicaciones webn Orígenes de aplicacionesn Aplicaciones de tercerosn Colección de aplicaciones virtuales ThinAppn La colección de aplicaciones virtuales que incluye Horizon, Horizon Cloud y las aplicaciones

basadas en Citrix.

NOTA: Es necesario que un superadministrador inicie el flujo de primeros pasos en la páginaColección de aplicaciones virtuales del Catálogo. Después del flujo de primeros pasos inicial, lasfunciones de administrador con el servicio Catálogo pueden administrar aplicaciones de escritorioy paquetes de ThinApp. Consulte Uso de las colecciones de aplicaciones virtuales para lasintegraciones de escritorio en la guía Configurar recursos en VMware Identity Manager 3.2.

Administración dedirectorios

El servicio Administración de directorios puede administrar los siguientes tipos de acciones de laorganización o de los directorios específicos de su organización.n Directorio empresarial. El administrador puede agregar, editar y eliminar los directorios del

servicio. Editar un directorio implica la administración de la configuración del directorio,incluida la configuración de sincronización.

n Directorio local. El administrador puede crear, editar y eliminar los directorios locales. Editarun directorio incluye administrar la configuración y crear, editar y eliminar usuarios y gruposlocales.

Cuando el servicio Administración de directorios está incluido en una función, el servicioAdministración de acceso e identidad también debe estar configurado en la función.

Usuarios y grupos El servicio Usuarios y grupos puede administrar los siguientes tipos de acciones en suorganización total o en dominios específicos de su organización.n Gruposn Usuariosn Restablecimientos de contraseña para usuarios locales

Autorizaciones El servicio Autorización puede asignar a los usuarios a aplicaciones virtuales y web.

Estos son los tipos de acciones de autorización que se pueden administrar. Para cada una deestas acciones, puede configurar la función de asignación de usuarios y grupos en todos losrecursos de su organización o en aplicaciones específicas. También puede autorizar aplicacionespara usuarios y grupos de dominios específicos.n Autorizaciones de webn Autorizaciones de aplicaciones de terceros


VMware, Inc. 13

Tipo de servicio Descripción del servicio

Administración defunciones

El servicio Administración de funciones puede administrar la asignación de la función deadministrador a los usuarios.

Al crear una función con el servicio Administración de funciones, debe configurar el servicioUsuario y grupos y seleccionar las acciones Administrar usuarios y Administrar grupos.

Los administradores que tienen asignada esta función pueden promover usuarios y grupos a lafunción de administrador y pueden eliminar la función de administrador de usuarios o grupos.

Administración de acceso eidentidad

El servicio Administración de acceso e identidad puede administrar la configuración de la pestañaAdministración de acceso e identidad. Para administrar la configuración del directorio, también serequiere el servicio Administración de directorios.

NOTA: Los administradores que tengan la función Administración de acceso e identidad puedenintegrar VMware Identity Manager con AirWatch y crear el directorio desde AirWatch.

Cuando agregue una función, seleccione el servicio y defina las acciones que podrán realizarse en elservicio. En algunos servicios, puede elegir administrar todos los recursos para la acción seleccionada osolo algunos recursos.

Administrar el acceso de solo lecturaEl acceso de solo lectura se concede con cada función asignada a un administrador. También puedeasignar usuarios y grupos a la función de solo lectura desde la página de funciones de administrador desolo lectura.

La función de administrador de solo lectura brinda a los usuarios acceso de administrador para ver laconsola de administración, pero, a menos que se asigne otra función con acceso adicional a unadministrador, solo podrán ver el contenido de la consola de administración.

Cuando se asigna la función de solo lectura como una función independiente, se puede eliminar desde lapágina de asignación de la función de administrador de solo lectura o desde la página del perfil delusuario o grupo.

Agregar una función de administradorCon control de acceso basado en funciones, puede crear una función para administrar una o muchasacciones.

Al crear una función, puede agregar uno o varios servicios a la función. Nombre de la función, seleccioneel tipo de servicios y las acciones específicas en el servicio que pueda administrar la función.

n Al crear una función con el servicio Administración de directorios, el servicio Administración deacceso e identidad también debe configurarse en la función.

n Al crear una función con el servicio Administración de funciones, también debe configurarse elservicio Usuario y grupos con las acciones para administrar usuarios y administrar los gruposseleccionados.


VMware, Inc. 14

Prerequisitos

Para crear una función, debe ser un superadministrador o administrador asignado a la función que estáconfigurada con el servicio Administración de funciones.

Procedimiento

1 En la pestaña Funciones de la consola de administración, haga clic en Agregar.

2 En el cuadro de texto Nombre de función, introduzca un nombre descriptivo para la función y añadauna descripción.

Cada nombre de función de su entorno debe ser único.

3 Haga clic en Siguiente.

4 Seleccione el servicio que se debe administrar mediante esta función.

5 En el menú desplegable Acciones, seleccione el tipo de acciones que pueden administrarse.

6 Seleccione Todos los recursos para administrar todos los recursos dentro de la acción, o seleccioneAlgunos y, a continuación, seleccione la condición que se pueda administrar desde el menúdesplegable Condiciones.

7 Para agregar acciones adicionales que se deben administrar mediante esta función, haga clic en + ycomplete la acción de configuración.

8 Haga clic en Guardar.

La página Servicios muestra la configuración definida.

9 Si desea agregar otro servicio a esta función, seleccione el servicio y complete los pasos deconfiguración 5 a 8.

10 Cuando termine, haga clic en Guardar en la página Configuración.

Qué hacer a continuación

Asigne esta función a los usuarios para que sean los administradores de este servicio.

Asignar usuarios y grupos a una función de administradorUn superadministrador o una función que incluya el servicio de administrador de funciones y el serviciode los usuarios y grupos puede asignar una función a usuarios y grupos para elevarlos a losadministradores de esa función.

Prerequisitos

Requisito previo específico de AirWatch.

n Asegúrese de que los usuarios que se sincronizan desde el directorio de AirWatch que se pasan auna función de administrador en VMware Identity Manager estén configurados con una cuentaPromover usuario administrador en la consola de administración de AirWatch.


VMware, Inc. 15

Cuando los usuarios con la cuenta Promover usuario administrador se sincronizan conVMware Identity Manager, se reconocen como administradores y pueden asignarse a una función enVMware Identity Manager. Si un administrador no está en esta cuenta en la consola de AirWatchcuando el directorio de AirWatch se sincroniza con el directorio de VMware Identity Manager, seelimina la función administrativa del perfil de usuario.

Procedimiento

1 En la pestaña Funciones de la consola de administración, seleccione la función y haga clic enAsignar.

2 Escriba un nombre en el cuadro de búsqueda y seleccione el usuario o grupo.

Solo los grupos con menos de 500 usuarios podrán promoverse a la función de administrador.


Los usuarios o grupos se convierten en los administradores de la función. La página de perfil deusuario se actualiza para mostrar la función.

Quitar las funciones de administradorLa función de administrador puede revocarse directamente desde la página Asignación de la funciónespecífica. Puede revocar todas las funciones que se asignan a un usuario desde la página de perfil delusuario.

Puede quitar el grupo de la función y así revocarla de todos los miembros del grupo. No se puede quitaruna función de un miembro específico del grupo. Para eliminar solo el usuario de la función, quite elusuario del grupo.

Quitar la función de administrador de usuarios individualesUn superadministrador o un administrador de función puede quitar un usuario administrador de unafunción.

Puede comenzar en la página de perfil del usuario en la pestaña Usuarios y grupos para revocar lafunción. Cuando empiece en la página de perfil, haga clic en el vínculo para eliminar la función y se loredireccionará a la página Funciones.

NOTA: Las funciones de administrador pueden revocarse directamente desde la página Asignación dela función.

Procedimiento

1 Para eliminar una función de la pestaña Usuarios y grupos, inicie sesión en la consola deadministración.

2 En la pestaña Usuarios y grupos, seleccione Usuarios y, a continuación, el nombre del usuario.

La fila Funciones en la página Perfil enumera todas las funciones asignadas a este usuario.


VMware, Inc. 16

3 En la fila Funciones, haga clic aquí.

Se lo redirigirá a la página Funciones.

4 Seleccione la función y haga clic en Asignar.

5 Haga clic en la X situada junto al nombre.


El usuario se elimina de la función, y esta se elimina del perfil del usuario.

Quitar un grupo de una funciónAl quitar un grupo de una función, se revoca el acceso para todos los miembros del grupo. La secciónFunciones del usuario y las páginas de perfil del grupo se actualizan para quitar la función.

No pueden quitarse de una función los miembros individuales de un grupo. Para quitar un miembro de ungrupo de una función, quite el usuario del grupo.

Si un usuario en el grupo se asignó directamente a la función, cuando se elimina el grupo de la función,se mantiene la función de administrador para el usuario.

NOTA: Las funciones de administrador de grupo se pueden revocar directamente desde la páginaAsignación de la función.

Procedimiento

1 Para eliminar una función de la pestaña Usuarios y grupos, inicie sesión en la consola deadministración.

2 En la pestaña Usuarios y grupos, seleccione Grupos y el nombre del grupo.

La fila Funciones en la página Perfil enumera todas las funciones asignadas a este grupo.

3 En la fila Funciones, haga clic aquí.

Se lo redirigirá a la página Funciones.

4 Seleccione la función y haga clic en Asignar.

5 Haga clic en la X situada junto al nombre de grupo.


El grupo se quita de la función. Se elimina la función del perfil del grupo y del perfil de cada miembro.

Ejemplo: Ejemplo de eliminación de grupos de una funciónEl Grupo A, que incluye Usuario1, Usuario2 y Usuario3, se asigna a la función de administrador dedirectorio. Los perfiles del Grupo A, Usuario1, Usuario2 y Usuario3, se actualizan para reflejar la funciónde administrador de directorio en sus páginas de perfil.

Usuario2 también se asigna directamente a la función de administrador de directorio.


VMware, Inc. 17

Usted revoca el acceso al Grupo A. Grupo A, Usuario1 y usuario3 se quitan de la función, y esta seelimina de esas páginas de perfil.

Debido a que se asignó Usuario2 directamente a la función de administrador de directorio, Usuario2 aúnestá asignado a la función de administrador de directorio.

Ejemplo 1. Cree una función para administrar lasautorizaciones y la aplicación Office 365Con el control de acceso basado en funciones, puede conceder acceso de administrador a los usuarios ygrupos, lo que les permite administrar aplicaciones específicas.

Por ejemplo, el superadministrador puede delegar las tareas cotidianas para administrar la aplicaciónOffice 365 en Workspace ONE a otro administrador. Cree una función de administrador para administrarOffice 365 en Workspace ONE y administrar las autorizaciones para la aplicación.

Procedimiento

1 En la página Funciones de la consola de administración, haga clic en Agregar. Cree un nombre defunción descriptivo y describa el propósito de la función. Haga clic en Siguiente.


VMware, Inc. 18

2 En la página Configuración, seleccione el servicio Catálogo. Para Acciones, seleccione Administraraplicaciones web. Para Recursos, seleccione Algunos. Para Condiciones, seleccioneAplicaciones web e introduzca Office 365 en el cuadro de búsqueda. Guarde la configuración.

Puede agregar otras aplicaciones para administrar. Por ejemplo, busque SalesForce y agréguelo a lalista de aplicaciones web que han de administrarse en esta función.

3 Nuevamente, en la página Configuración, seleccione el servicio Autorizaciones. Para Acciones,seleccione Administrar autorizaciones de web. Para Recursos, seleccione Algunos. ParaCondiciones, seleccione Aplicaciones y en el cuadro de búsqueda, escriba Office 365 paraseleccionar la misma aplicación. Guarde la configuración.

Si añade otra aplicación en el servicio Catálogo, asegúrese de añadirla aquí si desea que eladministrador administre las autorizaciones.

4 En la página Configuración, haga clic en Guardar nuevamente.

La función para administrar la aplicación Office 365 se crea y se muestra en la página Funciones.


VMware, Inc. 19

5 Seleccione la función que creó y haga clic en Asignar. En el cuadro de texto Buscar, introduzca losnombres del grupo o los usuarios a los que debe concederse el acceso. Seleccione el usuario o elgrupo, y haga clic en Guardar.

El usuario o grupo ahora es el administrador para esta función. La página de perfil se actualiza paramostrar la función de administrador asignada.

Ejemplo 2. Crear una función para administrar elrestablecimiento de contraseña en un directorio localPuede crear una función de administrador simple para administrar los restablecimientos de contraseñaspara dominios específicos.

Procedimiento

1 En la página Funciones de la consola de administración, haga clic en Agregar, introduzca un nombrede función descriptivo y describa el propósito de la función. Haga clic en Siguiente.


VMware, Inc. 20

2 En la página Configuración, seleccione el servicio Usuario y grupos. Para Acciones, seleccioneRestablecer contraseña. Para Recursos, seleccione Algunos. Para Condiciones, seleccione eldominio local e introduzca el nombre del directorio local en el cuadro de búsqueda para seleccionarel directorio local. Guarde la configuración.

3 Seleccione la función que creó y haga clic en Asignar. En el cuadro de texto Buscar, introduzca elnombre de usuario o del grupo de usuarios. Seleccione el usuario o el grupo, y haga clic en Guardar.

El grupo o los usuarios ahora son los administradores de esta función. La página de perfil seactualiza para mostrar la función de administrador asignada.


VMware, Inc. 21

Usar directorios locales 3Un directorio local es uno de los tipos de directorios que puede crear en el servicio deVMware Identity Manager. Este directorio le permite aprovisionar a los usuarios locales en el servicio yproporcionales acceso a aplicaciones específicas, sin tener que agregarlos al directorio empresarial. Undirectorio local no está conectado a un directorio de empresa y los usuarios y los grupos no sesincronizan desde ningún directorio de empresa. En su lugar, puede crear usuarios locales directamenteen el directorio local.

Un directorio local predeterminado, denominado directorio del sistema, está disponible en el servicio.También puede crear varios directorios locales nuevos.

Directorio del sistemaEl directorio del sistema es un directorio local que se crea automáticamente en el servicio cuando seconfigura por primera vez. Este directorio cuenta con el dominio de sistema. No puede cambiar elnombre ni el dominio del directorio del sistema, ni agregar nuevos dominios. Tampoco puede eliminar eldirectorio del sistema ni el dominio del sistema.

Se crea un usuario administrador local en el dominio del sistema del directorio del sistema cuando seconfigura el arrendatario por primera vez. Las credenciales que recibe cuando obtiene un nuevoarrendatario pertenecen a este usuario administrador local.

Puede agregar otros usuarios al directorio del sistema. El directorio del sistema se suele utilizar paraestablecer que algunos usuarios administradores locales gestionen el servicio. Se recomienda crear unnuevo directorio local para aprovisionar usuarios finales y administradores adicionales y otorgarlesautorización para las aplicaciones.

Directorios localesPuede crear varios directorios locales. Cada directorio local puede tener uno o varios dominios. Cuandocree un usuario local, especifique el directorio y el dominio de este usuario.

También puede seleccionar atributos para todos los usuarios de un directorio local. Los atributos de losusuarios como userName, lastName y firstName se especifican en el nivel global del servicio deVMware Identity Manager. Está disponible una lista predeterminada de atributos en la que puede agregaratributos personalizados. Los atributos de usuario globales se aplican a todos los directorios del servicio,

VMware, Inc. 22

incluidos los locales. En el nivel del directorio local, puede seleccionar qué atributos son necesarios parael directorio. Esto le permite tener un conjunto personalizado de atributos para directorios localesdiferentes. Tenga en cuenta que userName, firstName, lastName y email son siempre obligatorios paralos directorios locales.

NOTA: La capacidad de personalizar los atributos de usuario en el nivel del directorio solo estádisponible para los directorios locales, no para los directorios LDAP ni Active Directory.

Crear directorios locales es útil en escenarios como el siguiente.

n Puede crear un directorio local para un tipo específico de usuarios que no sea parte del directorioempresarial. Por ejemplo, puede crear un directorio local para partners, que no suelen ser parte deldirectorio empresarial, y proporcionarles acceso únicamente a las aplicaciones específicas quenecesitan.

n Puede crear varios directorios locales si desea asignar diferentes atributos de usuario o métodos deautenticación para diferentes grupos de usuarios. Por ejemplo, puede crear un directorio local paradistribuidores que tengan atributos de usuario como la región o el tamaño del mercado, y otrodirectorio local para proveedores que tengan atributos de usuario como tipo de proveedor y categoríade producto.

Proveedor de identidades del directorio del sistema y delos directorios localesDe forma predeterminada, el directorio del sistema se asocia con un proveedor de identidadesdenominado Proveedor de identidades del sistema. El método Contraseña (directorio en la nube) estáhabilitado de forma predeterminada en este proveedor de identidades y se aplica a la directivadefault_access_policy_set para el rango de red TODOS LOS INTERVALOS y el tipo de dispositivo delnavegador web. Puede configurar métodos de autenticación adicionales y establecer directivas deautenticación.

Cuando cree un directorio local nuevo, no estará asociado con ningún proveedor de identidades. Unavez que haya creado el directorio, cree un nuevo proveedor de identidades del tipo Incrustado y asócieloal directorio. Habilite el método de autenticación Contraseña (directorio en la nube) en el proveedor deidentidades. Se pueden asociar varios directorios locales al mismo proveedor de identidades.

El conector de VMware Identity Manager no es necesario para el directorio del sistema ni para losdirectorios locales que cree.

Para obtener más información, consulte "Configurar la autenticación de usuario en VMware IdentityManager" en Administración de VMware Identity Manager.


VMware, Inc. 23

Administración de contraseñas para los usuarios deldirectorio localDe forma predeterminada, todos los usuarios de los directorios locales tienen la capacidad de cambiar lacontraseña en la aplicación o el portal de Workspace ONE. Puede establecer una contraseña para losusuarios locales. También puede restablecer las contraseñas de los usuarios locales según seanecesario.

Los usuarios pueden cambiar sus contraseñas cuando inician sesión en el portal de Workspace ONE alhacer clic en el nombre situado en la esquina superior derecha, seleccionar Cuenta en el menúdesplegable y hacer clic en el vínculo Cambiar contraseña. En la aplicación Workspace ONE, losusuarios pueden cambiar las contraseñas al hacer clic en el icono de menú de barra triple y seleccionarContraseña.

Para obtener más información sobre cómo establecer directivas de contraseñas y restablecercontraseñas de usuarios locales, consulte "Administrar usuarios y grupos" en Administración de VMwareIdentity Manager.


n Crear un directorio local

n Cambiar la configuración del directorio local

n Eliminar un directorio local

n Configurar el método de autenticación para los usuarios administradores del sistema

Crear un directorio localPara crear un directorio local, especifique los atributos del usuario para dicho directorio, créelo eidentifíquelo con un proveedor de identidades.

Establecer atributos de usuario a nivel globalAntes de crear un directorio local, revise los atributos de usuario en la página Atributos de usuario y, si esnecesario, agregue atributos personalizados.

Los atributos de usuario, como firstName, lastName, email y domain, son parte del perfil del usuario. Enel servicio de VMware Identity Manager, los atributos de usuario se definen a nivel global y se aplican atodos los directorios del servicio, incluidos los directorios locales. En el nivel del directorio local, puedesobrescribir si desea que un atributo sea obligatorio u opcional para los usuarios en ese directorio, perono puede agregar atributos personalizados. Si un atributo es obligatorio, le debe asignar un valor cuandocree un usuario.

No se pueden utilizar las siguientes palabras cuando cree atributos personalizados.


VMware, Inc. 24

Tabla 3‑1. Palabras que no se pueden usar como nombres de atributos personalizados

active addresses costCenter

department displayName division

emails employeeNumber autorizaciones

externalId grupos id

ims locale manager

meta name nickName

organization contraseña phoneNumber

photos preferredLanguage profileUrl

funciones timezone title

userName userType x509Certificate

NOTA: La capacidad de sobrescribir los atributos de usuario en el nivel del directorio solo se aplica alos directorios locales, no a los directorios LDAP ni Active Directory.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Atributos de usuario.

3 Revise la lista de atributos de usuario y, si es necesario, agregue atributos adicionales.

NOTA: Aunque esta página le permite seleccionar los atributos obligatorios, se recomienda quehaga la selección para los directorios locales a nivel de estos directorios. Si un atributo se marcacomo obligatorio en esta página, se aplica a todos los directorios en el servicio, incluidos los deActive Directory o LDAP.



Cree el directorio local.

Crear un directorio localDespués de revisar y establecer los atributos de usuario globales, cree el directorio local.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en la pestaña Directorios.

2 Haga clic en Agregar directorio y seleccione Agregar directorio de usuario local en el menúdesplegable.


VMware, Inc. 25

3 En la página Agregar directorio, introduzca un nombre de directorio y especifique al menos un

nombre de dominio.

El nombre de los dominios debe ser único en todos los directorios del servicio.

Por ejemplo:


5 En la página Directorios, haga clic en el nuevo directorio.

6 Haga clic en la pestaña Atributos de usuario.

Aparecen todos los atributos de la página Administración de acceso e identidad > Configuración >Atributos de usuario del directorio local. Los atributos que están seleccionados como obligatorio enesta página también aparecen como obligatorios en la página del directorio local.


VMware, Inc. 26

7 Personalice los atributos para el directorio local.

Puede especificar los atributos obligatorios y los opcionales. También puede cambiar el orden en elque aparecen los atributos.

IMPORTANTE: Los atributos userName, firstName, lastName y email son siempre obligatorios paralos directorios locales.

n Para que un atributo sea obligatorio, seleccione la casilla de verificación que aparece junto alnombre del atributo.

n Para que un atributo sea opcional, desmarque la casilla de verificación que aparece junto alnombre del atributo.

n Para cambiar el orden de los atributos, haga clic y arrastre el atributo a la nueva posición.

Si un atributo es obligatorio, debe especificar un valor para dicho atributo cuando cree un usuario.

Por ejemplo:


VMware, Inc. 27



Asocie el directorio local al proveedor de identidades que desee usar para autenticar usuarios en eldirectorio.

Asociar el directorio local a un proveedor de identidadesAsocie el directorio local a un proveedor de identidades para que se pueden autenticar los usuarios deldirectorio. Cree un nuevo proveedor de identidades del tipo Incrustado y habilite en él el método deautenticación Contraseña (directorio local).

NOTA: No utilice el proveedor de identidades integrado. No se recomienda habilitar el método deautenticación Contraseña (directorio local) en el proveedor de identidades integrado.

Prerequisitos

El método de autenticación de contraseña (directorio Local) debe estar configurado en Administración deacceso e identidad > página Métodos de autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad, haga clic en la pestaña Proveedores deidentidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.

3 Escriba la siguiente información.

Opción Descripción

Nombre del proveedor de identidades Escriba un nombre para el proveedor de identidades.

Usuarios Seleccione el directorio local que ha creado.

Red Seleccione las redes desde las que se puede acceder a este proveedor deidentidades.

Métodos de autenticación Seleccione Contraseña (directorio local).

Exportación de certificado KDC No es necesario que descargue el certificado, a menos que vaya a configurar elSSO móvil para dispositivos iOS gestionados por AirWatch.


VMware, Inc. 28

4 Haga clic en Agregar.

El proveedor de identidades se crea y se asocia al directorio local. Podrá configurar otros métodos deautenticación en el proveedor de identidades más adelante. Para obtener más información sobre laautenticación, consulte "Configurar la autenticación de usuario en VMware Identity Manager" enAdministración de VMware Identity Manager.

Puede usar el mismo proveedor de identidades para varios directorios locales.


Crear grupos y usuarios locales. Puede crear grupos y usuarios locales en la pestaña Usuarios ygrupos de la consola de administración. Consulte "Administrar usuarios y grupos" en Administración deVMware Identity Manager para obtener más información.

Cambiar la configuración del directorio localDespués de crear un directorio local, puede modificar su configuración en cualquier momento.

Puede cambiar las siguientes opciones:

n Cambiar el nombre del directorio.

n Agregar, eliminar o cambiar el nombre de los dominios.

n Los nombres de los dominios deben ser únicos en todos los directorios del servicio.

n Cuando cambia un nombre de dominio, los usuarios que estaban asociados al dominio antiguose asocian al nuevo.

n El directorio debe tener un dominio al menos.

n No puede agregar un dominio al directorio del sistema ni eliminar el dominio del sistema.


VMware, Inc. 29

n Agregar nuevos atributos de usuarios o establecer un atributo existente como obligatorio u opcional.

n Si el directorio local no cuenta con ningún usuario aún, puede agregar nuevos atributos comoobligatorios u opcionales y cambiar estas categorías en los existentes.

n Si ya creó usuarios en el directorio local, solo puede agregar nuevos atributos como opcionales ycambiar los existentes de obligatorios a opcionales. No puede cambiar un atributo opcional aobligatorio después de crear los usuarios.

n Los atributos userName, firstName, lastName y email son siempre obligatorios para losdirectorios locales.

n Como los atributos de los usuarios se definen en el nivel global del servicio de VMware IdentityManager, los nuevos atributos que agregue aparecerán en todos los directorios del servicio.

n Cambiar el orden en el que aparecen los atributos.

Procedimiento

1 Haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el directorio que desea editar.

3 Edite la configuración del directorio local.

Opción Acción

Cambiar el nombre del directorio a En la pestaña Configuración, edite el nombre del directorio.

b Haga clic en Guardar.

Agregar, eliminar o cambiar el nombrede un dominio

a En la pestaña Configuración, edite la lista Dominios.

b Para agregar un dominio, haga clic en el icono verde del símbolo más.

c Para eliminar un dominio, haga clic en el icono rojo.

d Para cambiar el nombre de un dominio, edítelo en el cuadro de texto.

Agregar atributos de usuario en eldirectorio

a Haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en Configuración.

b Haga clic en la pestaña Atributos de usuario.

c Agregue los atributos en la lista Agregar otros atributos que desee utilizary haga clic en Guardar.

Establecer un atributo comoobligatorio u opcional para eldirectorio

a En la pestaña Administración de acceso e identidad, haga clic enDirectorios.

b Haga clic en el nombre del directorio local y, a continuación, en la pestañaAtributos de usuario.

c Marque la casilla que aparece junto a un atributo para que sea obligatorio odesmárquela para que sea opcional.

d Haga clic en Guardar.

Cambiar el orden de los atributos a En la pestaña Administración de acceso e identidad, haga clic enDirectorios.

b Haga clic en el nombre del directorio local y, a continuación, en la pestañaAtributos de usuario.

c Haga clic y arrastre el atributo a su nueva posición.

d Haga clic en Guardar.


VMware, Inc. 30

Eliminar un directorio localPuede eliminar un directorio local que creó en el servicio de VMware Identity Manager. No puedeeliminar el directorio del sistema, que se creó de forma predeterminada cuando configuró por primera vezel servicio.

ADVERTENCIA: Cuando elimina un directorio, todos los usuarios de dicho directorio también seeliminan del servicio.

Procedimiento

1 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaDirectorios.

2 Haga clic en el directorio que desea eliminar.

3 En la página de directorios, haga clic en Eliminar directorio.

Configurar el método de autenticación para los usuariosadministradores del sistemaEl método de autenticación predeterminado que los usuarios administradores introducen para iniciarsesión desde el directorio del sistema es Contraseña (directorio local). La directiva de accesopredeterminada incluye una regla de directiva que se configura con Contraseña (directorio local) comométodo de reserva para que los administradores puedan iniciar sesión en la consola de administraciónde VMware Identity Manager y el portal de Workspace ONE.

Al crear directivas de acceso para aplicaciones de escritorio y web específicas para las que estáautorizada la función de administrador del sistema, configure una regla en las directivas para incluirContraseña (directorio local) como un método de autenticación de reserva. De lo contrario, unadministrador no puede iniciar sesión en la aplicación.


VMware, Inc. 31

Aprovisionamiento de usuariosJust-in-Time 4El aprovisionamiento de usuarios Just-in-Time permite crear usuarios en el servicio de VMware IdentityManager dinámicamente en el momento e iniciar la sesión, mediante aserciones de SAML enviadas porun proveedor de identidades externo. El aprovisionamiento de usuarios Just-in-Time solo está disponiblepara proveedores de identidades externos. No se encuentra disponible para el conector de VMwareIdentity Manager.

Este capítulo cubre los siguientes temas:n Acerca del aprovisionamiento de usuarios Just-in-Time

n Preparar el aprovisionamiento Just-in-Time

n Configurar el aprovisionamiento de usuarios Just-in-Time

n Requisitos para las aserciones SAML

n Deshabilitación del aprovisionamiento de usuarios Just-in-Time

n Eliminar un directorio Just-in-Time

n Mensajes de error

Acerca del aprovisionamiento de usuarios Just-in-TimeEl aprovisionamiento Just-in-Time es otra manera de aprovisionar usuarios en el servicio VMware IdentityManager. En lugar de sincronizar usuarios de una instancia de Active Directory, con el aprovisionamientoJust-in-Time los usuarios se crean y actualizan dinámicamente al iniciar la sesión, de acuerdo con lasaserciones SAML enviadas por el proveedor de identidades.

En este caso, VMware Identity Manager actúa como proveedor del servicio (SP) SAML.

La configuración Just-in-Time solo se puede configurar para otros proveedores de identidades. No estádisponible para el conector.

Con la configuración Just-in-Time no es necesario instalar un conector, ya que todas las tareas decreación y administración de usuarios se realizan mediante aserciones SAML y la autenticación medianteel otro proveedor de identidades.

VMware, Inc. 32

Creación y administración de usuariosSi el aprovisionamiento de usuarios Just-in-Time está habilitado, cuando un usuario accede a la páginade inicio de sesión del servicio VMware Identity Manager y selecciona un dominio, la página redirige alusuario al proveedor de identidades correcto. El usuario inicia la sesión y el proveedor de identidades leautentica y le redirige de nuevo al servicio VMware Identity Manager con una aserción SAML. Losatributos de la aserción SAML se utilizan para crear al usuario en el servicio. Solo se utilizan los atributosque coincidan con los atributos de usuario definidos en el servicio; los demás atributos se ignoran. Elusuario también se agrega a grupos en función de los atributos y recibe las autorizaciones establecidaspara esos grupos.

En inicios de sesión posteriores, si se produce algún cambio en la aserción SAML, se actualizará alusuario en el servicio.

Los usuarios aprovisionados por Just-in-Time no se pueden eliminar. Para eliminar usuarios, se debeeliminar el directorio Just-in-Time.

Tenga en cuenta que toda la administración de usuarios se realiza mediante aserciones SAML. No sepueden crear ni actualizar estos usuarios directamente desde el servicio. Los usuarios de Just-in-Time nose pueden sincronizar desde Active Directory.

Para obtener información sobre los atributos requeridos en la aserción SAML, consulte Requisitos paralas aserciones SAML

Directorio Just-in-TimeEl otro proveedor de identidades debe tener un directorio Just-in-Time asociado a él en el servicio.

Al habilitar el aprovisionamiento Just-in-Time para un proveedor de identidades, se debe crear un nuevodirectorio Just-in-Time y especificar uno o más dominios para este directorio. Los usuarios quepertenecen a estos dominios se aprovisionan al directorio. Si hay varios dominios configurados para eldirectorio, las aserciones SAML deben incluir un atributo de dominio. Si solo se configura un dominiopara el directorio, no se necesita ningún atributo de dominio en las aserciones SAML, pero si seespecifica su valor debe coincidir con el nombre del dominio.

Solo se puede asociar un directorio de tipo Just-in-Time a un proveedor de identidades que tengahabilitado el aprovisionamiento Just-in-Time.

Preparar el aprovisionamiento Just-in-TimeAntes de configurar el aprovisionamiento de usuarios Just-in-Time, revise los grupos, las autorizacionesde grupos y los valores de los atributos de usuario y realice los cambios que sean necesarios. Identifiquetambién los dominios que desea utilizar para el directorio de Just-in-Time.


VMware, Inc. 33

Crear grupos localesLos usuarios aprovisionados a través del aprovisionamiento Just-in-Time se agregan a los grupos enfunción de los atributos de usuario. Derivan las autorizaciones de los recursos desde los grupos a losque pertenecen. Antes de configurar el aprovisionamiento Just-in-Time, asegúrese de que tiene gruposlocales en el servicio. Cree uno o varios grupos locales en función de sus necesidades. Para cada grupo,establezca las reglas de la pertenencia a grupos y agregue autorizaciones.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Usuarios y grupos.

2 Haga clic en Crear grupo, proporcione un nombre y una descripción para el grupo, y haga clic enAgregar.

3 En la página Grupos, haga clic en el grupo nuevo.

4 Establezca los usuarios del grupo.

a En el panel izquierdo, seleccione Usuarios de este grupo.

b Haga clic en Modificar los usuarios de este grupo y establezca las reglas para la pertenenciaa grupos.

5 Agregue autorizaciones al grupo.

a En el panel izquierdo, seleccione Autorizaciones.

b Haga clic en la opción de agregar autorizaciones y seleccione las aplicaciones y el método deimplementación de cada aplicación.

c Haga clic en Guardar.

Revisar atributos de usuarioRevise los atributos de usuario configurados para todos los directorios de VMware Identity Manager en lapágina de atributos de usuario y modifíquelos si es necesario. Al aprovisionar un usuario mediante Just-in-Time, la aserción SAML se utiliza para crear el usuario. Solo se utilizan los atributos de la aserciónSAML que coincidan con los atributos indicados en la página de atributos de usuario.

IMPORTANTE: Si un atributo está marcado como obligatorio en la página de atributos de usuario, laaserción SAML debe incluir el atributo o, de lo contrario, no se iniciará la sesión.

Al cambiar los atributos de usuario, considere sus efectos en otros directorios y configuraciones de suarrendatario. La página de atributos de usuario se aplica a todos los directorios del arrendatario.

NOTA: No es necesario marcar el atributo domain obligatorio.

Procedimiento



VMware, Inc. 34

2 Haga clic en Configuración y en Atributos de usuario.

3 Revise los atributos y haga los cambios que sean necesarios.

Configurar el aprovisionamiento de usuarios Just-in-TimeEl aprovisonamiento de usuarios Just-in-Time para un proveedor de identidades externo se debeconfigurar al crear o actualizar un proveedor de identidades del servicio VMware Identity Manager.

Cuando habilite el aprovisionamiento Just-in-Time, debe crear un nuevo directorio Just-in-Time yespecificar uno o varios dominios de este directorio. Los usuarios que pertenecen a estos dominios seagregan al directorio.

Debe especificar al menos un dominio. El nombre del dominio debe ser único en todos los directorios delservicio VMware Identity Manager. Si especifica varios dominios, las aserciones SAML deben incluir elatributo del dominio. Si especifica un solo dominio, este se utilizará como dominio de aserciones SAMLsin un atributo de dominio. Si se especifica un atributo de dominio, su valor debe coincidir con uno de losdominios. De lo contrario, se producirá un error en el inicio de sesión.

Procedimiento

1 Inicie sesión en la consola de administración del servicio VMware Identity Manager.


VMware, Inc. 35

2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Proveedoresde identidades.

3 Haga clic en Agregar proveedor de identidades o seleccione un proveedor de identidades.

4 En la sección Aprovisionamiento de usuarios Just-in-Time haga clic en Habilitar.

5 Especifique la siguiente información.

n Un nombre para el nuevo directorio Just-in-Time

n Uno o más dominios

IMPORTANTE: Los nombres de los dominios deben ser únicos en todos los directorios delarrendatario.

Por ejemplo:

6 Complete el resto de la página y haga clic en Agregar o Guardar. Para obtener información,

consulte Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios.

Requisitos para las aserciones SAMLSi el aprovisionamiento de usuarios Just-in-Time está habilitado para un proveedor de identidadesexterno, los usuarios se crean o actualizan en el servicio VMware Identity Manager durante el inicio desesión basándose en las aserciones SAML. Las aserciones SAML que envíe el proveedor de identidadesdeben contener ciertos atributos.

n La aserción SAML debe incluir el atributo userName.

n La aserción SAML debe incluir todos los atributos de usuario marcados como requeridos en elservicio VMware Identity Manager.


VMware, Inc. 36

Para ver o editar los atributos de usuario en la consola de administración, en la pestañaAdministración de acceso e identidad haga clic en Configuración y, a continuación, en Atributosde usuario.

IMPORTANTE: Asegúrese de que las claves de la aserción SAML coincidan exactamente con losnombres de atributo, incluyendo mayúsculas/minúsculas.

n Si se configuran varios dominios para el directorio de Just-In-Time, la aserción SAML debe incluir elatributo domain. El valor del atributo debe coincidir con uno de los dominios configurados para eldirectorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión.

n Si se configura un solo dominio para el directorio Just-In-Time, la especificación del atributo domainen la aserción SAML es opcional.

Si especifica el atributo domain, asegúrese de que su valor coincida con el dominio configurado parael directorio. Si la aserción SAML no contiene ningún atributo de dominio, se asociará al usuario conel dominio configurado para el directorio.

n Si desea permitir la actualización de nombres de usuario, incluya el atributo ExternalId en laaserción SAML. El usuario se identificará mediante ExternalId. Si en inicios de sesión posterioresla aserción SAML contiene un nombre diferente, se seguirá identificando correctamente al usuario, lasesión se iniciará y el nombre de usuario se actualizará en el servicio Identity Manager.

Los atributos de la aserción SAML se utilizan para crear o actualizar usuario como se indica acontinuación.

n Se utilizan los atributos obligatorios u opcionales del servicio Identity Manager (como aparecen en lapágina de atributos de usuario).

n Los atributos que no coinciden con ninguno de los atributos de la página de atributos de usuario seignoran.

n Los atributos sin ningún valor se ignoran.

Deshabilitación del aprovisionamiento de usuarios Just-in-TimePuede deshabilitar el aprovisionamiento de usuarios Just-in-Time. Cuando la opción está deshabilitada,no se crean nuevos usuarios y los existentes no se actualizan durante el inicio de sesión. Los usuariosexistentes se siguen autenticando mediante el proveedor de identidades.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en Proveedores de identidades.

2 Haga clic en el proveedor de identidades que desee editar.

3 En la sección Aprovisionamiento de usuarios Just-in-Time, anule la selección de la casillaHabilitar.


VMware, Inc. 37

Eliminar un directorio Just-in-TimeUn directorio Just-in-Time es el directorio asociado a un proveedor de identidades externo que tienehabilitado el aprovisionamiento de usuarios Just-in-Time. Al eliminar el directorio, todos los usuarios delmismo se eliminarán y la configuración Just-in-time se deshabilitará. Dado que un proveedor deidentidades Just-in-Time solo puede tener un directorio único, al eliminar dicho directorio, el proveedor deidentidades ya no se podrá utilizar.

Si desea volver a habilitar la configuración Just-in-Time para el proveedor de identidades, deberá crearun nuevo directorio.

Procedimiento


2 En la página Directorios, busque el directorio que desea eliminar.

Para identificar los directorios Just-in-Time, busque por tipo de directorio en la columna Tipo.

3 Haga clic en el nombre del directorio.

4 Haga clic en Eliminar directorio.

Mensajes de errorLos administradores o usuarios finales pueden ver errores relacionados con el aprovisionamiento Just-in-Time. Por ejemplo, si falta un atributo en la aserción de SAML, se produce un error y el usuario no puedeiniciar sesión.

Se pueden mostrar los errores siguientes en la consola de administración:


VMware, Inc. 38

Mensaje de error Solución

Si el aprovisionamiento de usuario JIT

está habilitado, se debe asociar al menos

un directorio a este proveedor de

identidades.

No hay ningún directorio asociado con el proveedor de identidades. Unproveedor de identidades con la opción de aprovisionamiento Just-in-Time debe tener un directorio Just-in-Time asociado a él.

1 En la pestaña Administración de acceso e identidad de laconsola de administración, haga clic en Proveedores deidentidades y, a continuación, seleccione el que desee.

2 En la sección Aprovisionamiento de usuarios Just-in-Time,especifique un nombre de directorio y uno o más dominios.

3 Haga clic en Guardar.Se creará un directorio Just-in-Time.

Se pueden mostrar los errores siguientes en la página de inicio de sesión:

Mensaje de error Solución

Falta el atributo de usuario: nombre. Falta un atributo de usuario obligatorio en la aserción de SAMLenviada por el proveedor de identidades externo. Todos losatributos marcados como obligatorios en la página Atributos deusuario se deben incluir en la aserción de SAML. Modifique laconfiguración del proveedor de identidades externo paraenviar las aserciones de SAML correctas.

Falta el dominio y no se puede inferir. La aserción de SAML no incluye el atributo de dominio y no sepuede determinar el dominio. Se requiere un atributo dedominio en los casos siguientes:n Si se han configurado varios dominios para el directorio

Just-in-Time.n Si se ha marcado un dominio como un atributo obligatorio

en la página Atributos de usuario.

Si se especifica un atributo de dominio, su valor debe coincidircon uno de los dominios especificados para el directorio.

Modifique la configuración del proveedor de identidadesexterno para enviar las aserciones de SAML correctas.

Nombre de atributo: nombre, valor: valor. El atributo de la aserción de SAML no coincide con ninguno delos atributos de la página Atributos de usuario del arrendatarioy se ignorará.

Error al crear o actualizar un usuario JIT. No se pudo crear el usuario en el servicio. Entre las posiblescausas se encuentran las siguientes:n Falta un atributo obligatorio en la aserción de SAML.

Revise los atributos de la página Atributos de usuario yasegúrese de que la aserción de SAML incluya todos losatributos que están marcados como obligatorios.

n No se pudo determinar el dominio del usuario.

Especifique el atributo de dominio en la aserción de SAMLy asegúrese de que su valor coincide con uno de losdominios configurados para el directorio Just-in-Time.


VMware, Inc. 39

Administrar la experiencia deinicio de sesión del usuario 5Los usuarios se identifican de manera única mediante sus nombres de usuario y sus dominios. De formapredeterminada, la experiencia de los usuarios que inician sesión en el portal de Workspace ONE desdeVMware Identity Manager es seleccionar el dominio al que pertenecen en la primera página de inicio desesión que se muestra.

Como los usuarios seleccionan su dominio primero, aquellos que tienen el mismo nombre de usuario,pero en diferentes dominios, pueden iniciar sesión correctamente. Por ejemplo, puede haber un usuariojuan en el dominio ing.ejemplo.com, y otro usuario juan en el dominio ventas.ejemplo.com

VMware Identity Manager muestra la página de autenticación en función de las reglas de directiva deacceso configuradas para ese dominio.


n Seleccionar un dominio al iniciar sesión

n Experiencia de inicio de sesión con identificador único

n Configurar el inicio de sesión basado en identificador único

n Requerir las condiciones de uso para obtener acceso al catálogo de Workspace ONE

Seleccionar un dominio al iniciar sesiónLa opción Mostrar el dominio del sistema en la página de inicio de sesión está habilitada de formapredeterminada en la página Administración de acceso e identidad > Instalación > Preferencias. Losusuarios se muestran en el menú de selección desplegable del dominio que enumera todos los dominiosde Active Directory integrados en el servidor de VMware Identity Manager y el dominio del sistema local.

Si anula la selección de Mostrar el dominio del sistema en la página de inicio de sesión, se elimina laentrada de dominio del sistema en el menú desplegable del dominio. Cuando el servicio VMware IdentityManager contiene un único dominio de Active Directory, los usuarios no ven el menú desplegable. Se lespide sus credenciales para iniciar sesión.

Cuando el dominio del sistema no se muestra en un menú desplegable, los usuarios de administraciónde VMware Identity Manager introducen la siguiente URL para iniciar sesión en la consola administrativa,<ejemplo.com>/SAAS/login/0. Se muestra la pantalla del nombre de usuario y la contraseña.

VMware, Inc. 40

Experiencia de inicio de sesión con identificador únicoSi no desea exigir que los usuarios seleccionen su dominio antes de iniciar sesión, oculte la página desolicitud de dominio. A continuación, seleccione un identificador único para distinguir los usuarios de todala organización.

Cuando los usuarios inician sesión, se muestra una página donde se les solicita que especifiquen suidentificador único. VMware Identity Manager intenta encontrar el usuario en la base de datos interna.Cuando el servicio de VMware Identity Manager busca el identificador, la información encontrada incluyeel dominio al que pertenece el usuario. La página de autenticación que se muestra se basa en las reglasde directiva de acceso de ese dominio.

El identificador único puede ser un nombre de usuario, una dirección de correo electrónico, UPN o ID deempleado. Seleccione el identificador que desea usar en la página Administración de acceso e identidad> Preferencias. Se debe asignar el atributo de identificador único en la página Atributos de usuario y sedebe sincronizar desde Active Directory.

Si se encuentran varios usuarios que coinciden con el identificador y no se puede determinar un usuarioúnico, se muestra un mensaje de error. Si no se encuentra ningún usuario, se muestra la página de iniciode sesión de usuario local para evitar posibles ataques de enumeración de nombre de usuario.

Configurar el inicio de sesión basado en identificadorúnicoCuando los usuarios utilizan un método de autenticación de nombre de usuario y contraseña, se puedehabilitar la opción de identificador único para mostrar las páginas de inicio de sesión basado enidentificador. Se les solicita a los usuarios que introduzcan su identificador único y, a continuación, queintroduzcan la autenticación apropiada en función de las reglas de directiva de acceso configuradas.

Los métodos de autenticación que admiten el inicio de sesión basado en identificador único incluyen losmétodos de autenticación de contraseña, RSA SecurID y RADIUS.

Prerequisitos

n Seleccione el atributo de usuario de identificador único que se utilizará en la página Administraciónde acceso e identidad > Atributos de usuario. Asegúrese de que el atributo solo se use paraidentificar objetos únicos.

n Asegúrese de que los atributos seleccionados se sincronicen con el directorio.

n Compruebe que las reglas de directiva de acceso predeterminadas para los dominios de usuarioreflejen el tipo de autenticación que se usará cuando el inicio de sesión basado en identificador seencuentre disponible.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enPreferencias.


VMware, Inc. 41

2 Si va a configurar el inicio de sesión basado en identificador único en un entorno de dominio único,habilite Mostrar el dominio del sistema en la página de inicio de sesión.

Solo es necesario habilitar esta funcionalidad cuando se configura un dominio enVMware Identity Manager.

3 Para ocultar la página de inicio de sesión de selección de dominio, marque la casilla de verificaciónHabilitar.

4 Seleccione el identificador único que desea usar en el menú desplegable. Las opciones son Nombrede usuario o Correo electrónico para los arrendatarios de nube de VMware Identity Manager. Elservicio local también incluye las opciones de los identificadores únicos Nombre de usuario principale ID de empleado.

5 En el cuadro de texto Personalizar el aviso de entrada de inicio de sesión, introduzca el aviso quese mostrará en el cuadro de texto del usuario en la pantalla de inicio de sesión.

Si este cuadro de texto está en blanco, se muestra el valor de identificador único de inicio de sesión.


Requerir las condiciones de uso para obtener acceso alcatálogo de Workspace ONEPuede escribir sus propias condiciones de uso de Workspace ONE para la organización y asegurarse deque el usuario final acepte estas condiciones de uso antes de utilizar Workspace ONE.

Las condiciones de uso se muestran después de que el usuario inicia sesión en Workspace ONE. Losusuarios deben aceptar las condiciones de uso antes de ir a su catálogo de Workspace ONE.

La función Condiciones de uso incluye las siguientes opciones de configuración.

n Crear versiones de condiciones de uso existentes.

n Editar las condiciones de uso.

n Crear varias condiciones de uso que se muestren en función del tipo de dispositivo.

n Crear copias específicas para cada idioma de las condiciones de uso.

Las directivas de condiciones de uso que se configuran se indican en la pestaña Administración deacceso e identidad. Puede editar la directiva de condiciones de uso para realizar una corrección en ladirectiva existente o crear una nueva versión de la directiva. Al agregar una nueva versión de lascondiciones de uso, se reemplazan las condiciones de uso existentes. La edición de una directiva nocambia la versión de las condiciones de uso.

Puede ver el número de usuarios que aceptaron o rechazaron las condiciones de uso desde la páginaCondiciones de uso. Haga clic en el número aceptado o rechazado para ver una lista de los usuarios ysu estado.


VMware, Inc. 42

Configurar y habilitar las condiciones de usoEn la página Condiciones de uso, agregue la directiva de condiciones de uso y configure los parámetrosde uso. Después de agregar las condiciones de uso, habilite la opción Condición de uso. Cuando losusuarios inicien sesión en Workspace ONE, deberán aceptar las condiciones de uso para acceder a sucatálogo.

Prerequisitos

El texto de la directiva de condiciones de uso en formato HTML para copiarlo y pegarlo en el cuadro detexto de contenido Condiciones de uso. Puede agregar condiciones de uso en inglés, alemán, español,francés, italiano y holandés.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Condiciones de uso.

2 Haga clic en Agregar condiciones de uso.

3 Introduzca un nombre descriptivo para las condiciones de uso.

4 Seleccione Cualquiera si la directiva de condiciones de uso es para todos los usuarios. Para utilizardirectivas de condiciones de uso por tipo de dispositivo, elija Plataformas de dispositivosseleccionadas y seleccione los tipos de dispositivos que deben mostrar esta directiva decondiciones de uso.

5 De forma predeterminada, el idioma de las condiciones de uso que se muestra primero depende dela configuración de preferencias de idioma de cada explorador. Introduzca el contenido de lascondiciones de uso para el idioma predeterminado en el cuadro de texto.


Para agregar una directiva de condiciones de uso en otro idioma, haga clic en Agregar idioma yseleccione otro idioma. Se actualizará el cuadro de texto de contenido Condiciones de uso y sepodrá agregar texto en el cuadro de texto.

Puede arrastrar el nombre de los idiomas para establecer el orden en el que se deben mostrar lascondiciones de uso.

7 Para comenzar a usar las condiciones de uso, haga clic en Habilitar condiciones de uso en lapágina que se muestra.


Si seleccionó un tipo de dispositivo específico para las condiciones de uso, puede crear condiciones deuso adicionales para los otros tipos de dispositivos.


VMware, Inc. 43

Ver el estado de aceptación de las condiciones de usoLas directivas de condiciones de uso que se enumeran en la página Administración de acceso eidentidad > Condiciones de uso muestran el número de usuarios que aceptaron o rechazaron la directiva.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Condiciones de uso.

2 En la columna Aceptar/Rechazar, haga clic en el número de Aceptada a la izquierda o el número deRechazada a la derecha.

Una página de estado muestra la acción realizada, ya sea aceptada o rechazada, con el nombre deusuario, el identificador de dispositivo, la versión de la directiva visualizada, la plataforma utilizada yla fecha.

3 Haga clic en Cancelar para cerrar la vista.


VMware, Inc. 44

Configurar la autenticación deusuario deVMware Identity Manager 6VMware Identity Manager es compatible con varios métodos de autenticación. Es posible configurar unmétodo de autenticación único y configurar una autenticación encadenada en dos fases. También esposible utilizar un método de autenticación externo a los protocolos SAML y RADIUS.

La instancia del proveedor de identidades que utiliza con los servicios de VMware Identity Manager creauna entidad de federación en red que se comunica con el servicio utilizando aserciones de SAML 2.0.

Cuando implementa inicialmente el servicio de VMware Identity Manager, el conector es el proveedor deidentidades inicial del servicio. La infraestructura existente de Active Directory se utiliza para la gestión yla autenticación del usuario.

Los métodos de autenticación que se configuran en un conector implementado en modo de conexión desolo salida se pueden habilitar en el proveedor de identidad integrado en la consola de administración.Cuando se habilitan los métodos de autenticación en el proveedor de identidades integrado, el serviciode VMware Identity Manager se comunica a través de un canal de comunicación basado en Websocketcon el conector para autenticar a los usuarios. Para habilitar los métodos de autenticación en elproveedor de identidades integrado, consulte Usar proveedores de identidades integrados.

Se pueden habilitar los siguientes métodos de autenticación que están configurados en el conector en elproveedor de identidades integrado.

Métodos de autenticación Descripción

Contraseña(implementación en lanube)

Sin ninguna configuración después de haber configurado Active Directory,VMware Identity Manager admite la autenticación con contraseña en Active Directory. Con estemétodo, los usuarios se autentican directamente en Active Directory.

RSA SecurID(implementación en lanube)

Cuando está configurada la autenticación RSA SecurID, VMware Identity Manager se configuracomo agente de autenticación en el servidor RSA SecurID. La autenticación RSA SecurIDrequiere que los usuarios utilicen un sistema de autenticación basado en tokens. RSA SecurID esun método de autenticación para los usuarios que obtienen acceso a VMware Identity Managerdesde fuera de la red empresarial.

RADIUS (implementaciónen la nube)

La autenticación RADIUS proporciona opciones de autenticación en dos fases. Se configura elservidor RADIUS que sea accesible para el servicio VMware Identity Manager. Cuando losusuarios inician sesión con su nombre de usuario y código de acceso, se envía una solicitud deacceso al servidor RADIUS para la autenticación.

VMware, Inc. 45

Métodos de autenticación Descripción

Autenticación adaptativa deRSA (implementación en lanube)

La autenticación RSA proporciona una autenticación multifactor más segura que la que solo usaun nombre de usuario y una contraseña en Active Directory. Si se habilita la autenticaciónadaptativa de RSA, los indicadores de riesgo especificados en la directiva de riesgos seconfiguran en la aplicación de administración de directivas de RSA. La configuración del servicioVMware Identity Manager de la autenticación adaptativa se utiliza para determinar la autenticaciónnecesaria.

Se configura la autenticación de Kerberos en los escritorios y se habilita en el conector.

Los siguientes métodos de autenticación se configuran desde la página del proveedor de identidadesintegrado sin utilizar el conector.

Método deautenticación Descripción

Certificado(implementación en lanube)

Se puede configurar la autenticación basada en certificados para permitir que los clientes seautentiquen con certificados desde su escritorio y dispositivos móviles, o bien para utilizar unadaptador de tarjeta inteligente para la autenticación.

La autenticación basada en certificados se basa en lo que tiene el usuario y en lo que sabe lapersona. Un certificado X.509 utiliza el estándar de infraestructura de clave pública para comprobarque una clave pública contenida en el certificado pertenezca al usuario.

SSO móvil (paraAndroid)

El SSO móvil para la autenticación de Android es una autenticación del proxy del certificado utilizadopara los inicios de sesión únicos en los dispositivos Android gestionados por AirWatch. Se configuraun servicio de proxy entre el servicio de VMware Identity Manager y AirWatch para recuperar elcertificado desde AirWatch para la autenticación.

SSO móvil (para iOS) El SSO móvil para la autenticación de iOS se utiliza para la autenticación de inicios de sesión únicosen los dispositivos iOS gestionados por AirWatch. El SSO móvil para la autenticación de iOS dedispositivos móviles utiliza un centro de distribución de claves (KDC, Key Distribution Center) que esparte del servicio de Identity Manager.

Contraseña (AirWatchConnector)

AirWatch Cloud Connector puede tener integrado el servicio de VMware Identity Manager para laautenticación de la contraseña del usuario. Configure el servicio de VMware Identity Manager parasincronizar los usuarios desde el directorio de AirWatch.

VMware Verify VMware Verify se puede utilizar como el segundo método de autenticación cuando sea necesario unmétodo de autenticación en dos fases. El primer método de autenticación es el nombre de usuario yla contraseña y el segundo es un código o una aprobación de solicitud de VMware Verify.

Después de configurar los métodos de autenticación, crea reglas de directivas de acceso queespecifiquen los métodos de autenticación que se debe utilizar según el tipo de dispositivo. Los usuariosse autentican siguiendo los métodos de autenticación, la reglas de la directiva de acceso por defecto, losrangos de la red y la instancia del proveedor de identidades de identidad que configura. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.


n Configurar Kerberos para VMware Identity Manager

n Configurar SecurID para VMware Identity Manager

n Configurar RADIUS para VMware Identity Manager

n Configurar la autenticación adaptativa de RSA en VMware Identity Manager


VMware, Inc. 46

n Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware IdentityManager

n Configurar VMware para la autenticación en dos fases

n Usar proveedores de identidades integrados

n Habilitar la experiencia de fábrica de Workspace ONE en dispositivos Dell Windows 10

n Configurar proveedores de identidades adicionales de Workspace

n Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios

n Administrar métodos de autenticación que se apliquen a los usuarios

Configurar Kerberos para VMware Identity ManagerLa autenticación de Kerberos proporciona acceso al portal de aplicaciones sin solicitudes adicionales decredenciales a los usuarios que iniciaron sesión en su dominio correctamente.

La autenticación Kerberos se puede configurar independientemente del tipo de directorio configurado enVMware Identity Manager, Active Directory mediante LDAP o Active Directory (Autenticación de Windowsintegrada).

El protocolo de autenticación Kerberos se puede configurar en el servicio de Identity Manager paraproteger las interacciones entre los navegadores de los usuarios y el servicio de Identity Manager, asícomo para el inicio de sesión único con un solo toque en los dispositivos móviles con iOS 9 o versionesposteriores administrados en AirWatch. Para obtener información sobre la autenticación Kerberos endispositivos con iOS, consulte Usar el servicio KDC alojado en la nube.

Implementación de Kerberos para escritorios con autenticaciónIWAPara configurar la autenticación de Kerberos para escritorios, tiene que habilitar la autenticación IWA(Integrated Windows Authentication, Autenticación integrada en Windows) para permitir que el protocolode Kerberos proteja las interacciones entre los navegadores de los usuarios y el servicio de IdentityManager.

Cuando se habilita la autenticación de Kerberos para los escritorios, el servicio de Identity Managervalida las credenciales de escritorio del usuario mediante los tickets de Kerberos distribuidos por elcentro de distribución de claves (KDC, Key Distribution Center) implementado como un servicio dedominios en Active Directory. No es necesario configurar Active Directory directamente para queKerberos funcione con la implementación existente.

Debe configurar los navegadores web para enviar sus credenciales de Kerberos al servicio cuando losusuarios inician la sesión. Consulte Configurar el navegador para Kerberos.


VMware, Inc. 47

Configurar la autenticación de Kerberos para escritorios con autenticación deWindows integradaPara configurar el servicio VMware Identity Manager para que proporcione autenticación de Kerberos enlos escritorios, debe unirse al dominio y habilitar la autenticación de Kerberos en el conector.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración.

2 En la columna Trabajo del conector, haga clic en Adaptadores de autenticación.

3 Haga clic en KerberosIdpAdapter.

Se le redirige a la página de inicio de sesión del administrador de identidades.

4 Haga clic en Editar en la fila de KerberosldpAdapter y configure la página de la autenticaciónKerberos.


Nombre Es necesario un nombre. El nombre predeterminado es KerberosIdpAdapter. Puede cambiarlo.

Atributo deUID dedirectorio

Introduzca el atributo de cuenta que contiene el nombre de usuario.

Habilitarautenticaciónde Windows

Seleccione esta opción para extender las interacciones de autenticación entre los navegadores de losusuarios y VMware Identity Manager.

HabilitarNTLM

Seleccione esta opción para habilitar la autenticación basada en el protocolo NT LAN Manager (NTLM)únicamente si la infraestructura de su entorno de Active Directory emplea la autenticación NTLM.

NOTA: El protocolo NTLM no está configurado cuando VMware Identity Manager está en un entorno deWindows.

Habilitarredireccionamiento

Seleccione esta opción si DNS de round robin y los equilibradores de carga no son compatibles conKerberos. Las solicitudes de autenticación se redirigen al nombre del host de redireccionamiento. Si seselecciona esta opción, escriba el nombre del host de redireccionamiento en el cuadro de texto Nombredel host de redireccionamiento. Suele tratarse del nombre del host del servicio.



Agregue el método de autenticación a la política de acceso predeterminada. Acceda a la páginaAdministración de acceso e identidades > Administrar > Directivas y edite las reglas de la directivapredeterminada para agregar el método de autenticación Kerberos a la regla en el orden deautenticación correcto.

Configurar el navegador para KerberosCuando se habilita Kerberos, debe configurar los navegadores web para enviar sus credenciales deKerberos al servicio cuando los usuarios inician sesión.


VMware, Inc. 48

Puede configurar los siguientes navegadores web para enviar sus credenciales de Kerberos al serviciode Identity Manager en ordenadores con Windows (Firefox, Internet Explorer y Chrome). Todos losnavegadores requieren configuración adicional.

Configurar Internet Explorer para acceder a la interfaz web

Debe configurar Internet Explorer si Kerberos está configurado para la implementación y si deseaconceder a los usuarios acceso a la interfaz web mediante Internet Explorer.

La autenticación de Kerberos opera conjuntamente con VMware Identity Manager en sistemas operativosWindows.

NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.

Prerequisitos

Configure Internet Explorer para cada usuario o envíe las instrucciones a los usuarios después deconfigurar Kerberos.

Procedimiento

1 Compruebe que haya iniciado sesión en Windows como usuario del dominio.

2 En Internet Explorer, habilite el inicio de sesión automático.

a Seleccione Herramientas > Opciones de Internet > Seguridad.

b Haga clic en Nivel personalizado.

c Seleccione Inicio de sesión automático solo en la zona intranet.

d Haga clic en Aceptar.

3 Compruebe que esta instancia del dispositivo virtual del conector forme parte de la zona intranetlocal.

a Use Internet Explorer para acceder a la URL de inicio de sesión de VMware Identity ManagerVMware Identity Manager en https://myconnectorhost.domain/authenticate/.

b Busque la zona en la esquina inferior derecha de la barra de estado de la ventana del explorador.

Si la zona es Intranet local, se ha completado la configuración de Internet Explorer.

4 Si la zona no es Intranet local, añada la URL de inicio de sesión de VMware Identity Managerconector a la zona intranet.

a Seleccione Herramientas > Opciones de Internet > Seguridad > Intranet local > Sitios.

b Seleccione Detectar redes intranet automáticamente.

Si esta opción no estaba seleccionada, selecciónela para añadir el conector a la zona intranet.

c (Opcional) Si seleccionó Detectar redes intranet automáticamente, haga clic en Aceptar hastaque se cierren todos los cuadros de diálogo.


VMware, Inc. 49

d En el cuadro de diálogo Intranet local, haga clic en Opciones avanzadas.

Aparece un segundo cuadro de diálogo denominado Intranet local.

e Escriba la URL de VMware Identity Managerconector en el cuadro de texto Agregar este sitioweb a la zona de.

https://myconnectorhost.domain/authenticate/

f Haga clic en Agregar > Cerrar > Aceptar.

5 Compruebe que Internet Explorer tenga permiso para enviar la autenticación de Windows al sitio deconfianza.

a En el cuadro de diálogo Opciones de Internet, haga clic en la pestaña Opciones avanzadas.

b Seleccione Habilitar autenticación integrada de Windows.

Esta opción solo surtirá efecto tras reiniciar Internet Explorer.

c Haga clic en Aceptar.

6 Inicie sesión en la interfaz web para comprobar el acceso.

Si la autenticación Kerberos se realizó correctamente, la URL de prueba abre la interfaz web.

El protocolo Kerberos protege todas las interacciones entre esta instancia de navegador Internet Explorery VMware Identity Manager. Los usuarios ya podrán utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar Firefox para acceder a la interfaz web

Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz webmediante Firefox, deberá configurar el explorador Firefox.


Prerequisitos

Una vez que haya configurado Kerberos, configure el explorador Firefox para cada usuario o bienproporcione las instrucciones correspondientes a los usuarios.

Procedimiento

1 En el cuadro de texto de la dirección URL del explorador Firefox, escriba about:config paraacceder a la configuración avanzada.

2 Haga clic en ¡Tendré cuidado, lo prometo!

3 Haga doble clic en network.negotiate-auth.trusted-uris en la columna Nombre de la preferencia.

4 Escriba la dirección URL de conector en el cuadro de texto.

https://hostdemiconector.dominio.com

5 Haga clic en Aceptar.


VMware, Inc. 50

6 Haga doble clic en network.negotiate-auth.delegation-uris en la columna Nombre de lapreferencia.

7 Escriba la dirección URL de conector en el cuadro de texto.

https://hostdemiconector.dominio.com/authenticate/

8 Haga clic en Aceptar.

9 Utilice el explorador Firefox para iniciar sesión en la dirección URL de inicio de sesión de conector ycomprobar así la funcionalidad de Kerberos. Por ejemplo,https://hostdemiconector.dominio.com/authenticate/.

Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba accederá a lainterfaz web.

El protocolo Kerberos protege cualquier interacción entre la instancia en cuestión del explorador Firefox yVMware Identity Manager. Los usuarios ya podrán utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar el navegador Chrome para acceder a la interfaz web

Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz webmediante el explorador Chrome, deberá configurar este explorador.


NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.

Prerequisitos

n Configure Kerberos.

n Dado que Chrome utiliza la configuración de Internet Explorer para habilitar la autenticación deKerberos, deberá configurar Internet Explorer para que permita a Chrome utilizar su configuración.Consulte la documentación de Google para obtener información sobre cómo configurar Chrome parala autenticación de Kerberos.

Procedimiento

1 Utilice el explorador Chrome para comprobar la funcionalidad de Kerberos.

2 Inicie sesión en conector en la dirección https://mihostdeconector.dominio.com/autenticar/.

Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba se conectará ala interfaz web.

Si todas las configuraciones relacionadas con Kerberos son correctas, el protocolo relativo (Kerberos)protegerá todas las interacciones entre esta instancia del explorador Chrome yVMware Identity Manager. Los usuarios pueden utilizar Single Sign-On para acceder a su portal deWorkspace ONE.


VMware, Inc. 51

Configurar SecurID para VMware Identity ManagerCuando se configura el servidor RSA SecurID, debe añadir la información del servicio de conector decomo el agente de autenticación del servidor RSA SecurID y configurar la información del servidor deRSA SecurID en el servicio de conector de .

Cuando configura SecurID para proporcionar seguridad adicional, debe asegurarse de que la red estácorrectamente configurada para la implementación de VMware Identity Manager. En concreto paraSecurID, debe asegurarse que que el puerto correcto está abierto para habilitar SecurID para autenticarusuarios fuera de la red.

Tras ejecutar el asistente para la instalación de conector de y configurar la conexión de Active Directory,dispone de la información necesaria para preparar el servidor RSA SecurID. Tras preparar el servidorRSA SecurID de VMware Identity Manager, habilite SecurID en la consola de administración.

n Preparar el servidor RSA SecurID

El servidor RSA SecurID debe configurarse con información acerca del dispositivo del conector decomo el agente de autenticación. La información necesaria es el nombre de host y las direccionesIP de las interfaces de red.

n Configurar la autenticación de RSA SecurID

Después de configurar el dispositivo de conector de como agente de autenticación en el servidorRSA SecurID, debe añadir la información de configuración de RSA SecurID al conector.

Preparar el servidor RSA SecurIDEl servidor RSA SecurID debe configurarse con información acerca del dispositivo del conector de comoel agente de autenticación. La información necesaria es el nombre de host y las direcciones IP de lasinterfaces de red.

Prerequisitos

n Compruebe que una de las siguientes versiones del administrador de autenticación RSA estéinstalada y en funcionamiento en la red empresarial: RSA AM 6.1.2, 7.1 SP2 y versiones posteriores,y 8.0 y versiones posteriores. El servidor del conector de utilizaAuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1), que solo admite las versionesanteriores del administrador de autenticación RSA (el servidor RSA SecurID). Para obtener másinformación acerca de la instalación y configuración del administrador de autenticación RSA (servidorRSA SecurID), consulte la documentación de RSA.


VMware, Inc. 52

Procedimiento

1 En una versión admitida del servidor RSA SecurID, añada el conector de como agente deautenticación. Escriba la siguiente información.


Nombre de host El nombre de host de .

Dirección IP La dirección IP es .

Dirección IP alternativa Si el tráfico del conector pasa a través de un dispositivo de traducción dedirecciones de red (NAT) para alcanzar el servidor RSA SecurID, escriba ladirección IP privada del dispositivo.

2 Descargue el archivo de configuración comprimido y extraiga el archivo sdconf.rec.

Esté preparado para cargar este archivo más tarde cuando configure RSA SecurID deVMware Identity Manager.


Vaya a la consola de administración y, en las páginas Configuración de administración de identidad yacceso, seleccione el conector y en la página Adaptadores de autenticación configure SecurID.

Configurar la autenticación de RSA SecurIDDespués de configurar el dispositivo de conector de como agente de autenticación en el servidor RSASecurID, debe añadir la información de configuración de RSA SecurID al conector.

Prerequisitos

n Compruebe que el administrador de autenticación RSA (el servidor RSA SecurID) esté instalado yconfigurado de forma correcta.

n Descargue el archivo comprimido del servidor RSA SecurID y extraiga el archivo de configuración delservidor.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneConfiguración.

2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar conRSA SecurID.

3 Haga clic en Adaptadores de autenticación y después en SecurIDldpAdapter.


4 En la página Adaptadores de autenticación, en la fila SecurIDldpAdapter, haga clic en Editar.

5 Configure la página Adaptador de autenticación SecurID.

La información usada y los archivos generados en el servidor RSA SecurID son necesarios cuandose configura la página de SecurID.


VMware, Inc. 53

Opción Acción

Nombre Es necesario un nombre. El nombre predeterminado es SecurIDldpAdapter. Puede cambiarlo.

HabilitarSecurID

Seleccione esta casilla para habilitar la autenticación SecurID.

Número deintentos deautenticaciónpermitidos

Introduzca el número máximo de intentos de inicio de sesión fallidos cuando se usa el token de RSASecurID. El valor predeterminado es cinco intentos.

NOTA: Si más de un directorio está configurado e implementa la autenticación de RSA SecurID condirectorios adicionales, configure la opción Número de intentos de autenticación permitidos con elmismo valor para cada configuración de RSA. Si el valor es distinto, se produce un error en laautenticación SecurID.

Dirección deConnector

Introduzca la dirección IP de la instancia de Connector. El valor que introduzca debe coincidir con el queusó cuando agregó el dispositivo de Connector como agente de autenticación al servidor RSA SecurID. Siel servidor RSA SecurID tiene un valor asignado para la solicitud de dirección IP alternativa, introduzcadicho valor como dirección IP de Connector. Si no hay ninguna dirección IP alternativa asignada,introduzca el valor asignado a la solicitud IP.

Dirección IPdel agente

Introduzca el valor asignado a la solicitud Dirección IP en el servidor RSA SecurID.

Configuracióndel servidor

Cargue el archivo de configuración del servidor RSA SecurID. En primer lugar, debe descargar el archivocomprimido dese el servidor RSA SecurID y extraer el archivo de configuración del servidor, que de formapredeterminada se denomina sdconf.rec.

Secreto delnodo

Si deja el campo Secreto del nodo en blanco, dicho secreto se vuelve a generar. Se recomienda que borreel archivo de secreto del nodo en el servidor RSA SecurID y no cargue, de forma intencionada, el archivode secreto del nodo. Asegúrese de que el archivo de secreto del nodo en el servidor RSA SecurID y en lainstancia del conector del servidor siempre coincidan. Si cambia el secreto del nodo en una ubicación,cámbielo también en la otra.



Habilite el método de autenticación RSA SecurID en el proveedor de identidades integrado en la pestañaAdministración de acceso e identidad > Administrar. Consulte Usar proveedores de identidadesintegrados.

Añada el método de autenticación a la política de acceso predeterminada. Vaya a la páginaAdministración de acceso e identidad > Administrar > Directivas y edite las reglas de la directivapredeterminada para agregar el método de autenticación SecurID a la regla. Consulte Administrarmétodos de autenticación que se apliquen a los usuarios.

Configurar RADIUS para VMware Identity ManagerPuede configurar VMware Identity Manager para que los usuarios necesiten utilizar la autenticaciónRADIUS (Servicio de autenticación remota telefónica de usuario). La información del servidor RADIUS seconfigura en el servicio de VMware Identity Manager.


VMware, Inc. 54

El soporte de RADIUS ofrece un amplio rango de opciones de autenticación alternativas en dos fasesbasada en tokens. Dado que las soluciones de autenticación de dos fases, como RADIUS, trabajan conadministradores de autenticación instalados en servidores separados, el servidor RADIUS debe seraccesible para el servicio del administrador de identidad.

Cuando los usuarios inician sesión en el portal de Workspace ONE y la autenticación RADIUS estáhabilitada, aparece en el navegador un cuadro de diálogo de inicio de sesión especial. Los usuariosescriben el nombre de usuario y código de acceso de autenticación RADIUS en el cuadro de diálogo deinicio de sesión. Si el servidor RADIUS emite un desafío de acceso, el servicio del administrador deidentidad muestra un cuadro de diálogo que solicita un segundo código de acceso. Actualmente, elsoporte para los desafíos RADIUS se limita a solicitar la entrada de texto.

Cuando un usuario ha escrito sus credenciales en el cuadro de diálogo, el servidor RADIUS puedeenviarle un código a través de un mensaje de correo electrónico, un mensaje de texto SMS o bien algúnotro mecanismo fuera de banda. El usuario puede escribir este texto y código en el cuadro de diálogo deinicio de sesión para completar la autenticación.

Si el servidor RADIUS ofrece la posibilidad de importar usuarios desde Active Directory, puede que a losusuarios finales se les pidan credenciales de Active Directory antes de solicitar un nombre de usuario ycódigo de acceso de autenticación RADIUS.

Preparar el servidor RADIUSInstale el servidor RADIUS y configúrelo para que acepte solicitudes RADIUS del servicioVMware Identity Manager.

Consulte las guías de configuración del proveedor de RADIUS para obtener información sobre laconfiguración del servidor RADIUS. Tenga en cuenta que la información de configuración de RADIUScuando la utilice para configurar RADIUS en el servicio. Para saber qué tipo de información RADIUS serequiere para configurar VMware Identity Manager, consulte Configurar la autenticación RADIUS enVMware Identity Manager.

Puede configurar un servidor de autenticación de Radius secundario para los casos de altadisponibilidad. Si el servidor RADIUS principal no responde en el tiempo de espera del servidorconfigurado para la autenticación de RADIUS, la solicitud se enruta al servidor secundario. Cuando elservidor principal no responde, el segundo recibe todas las solicitudes de autenticación que llegan acontinuación.

Configurar la autenticación RADIUS en VMware Identity ManagerTanto la habilitación de la autenticación RADIUS como la configuración de RADIUS se realizan en laconsola de administración de VMware Identity Manager.

Prerequisitos

Instale y configure el software de RADIUS en un servidor de administrador de autenticación. Para laautenticación RADIUS, siga las instrucciones en la documentación de configuración del proveedor.


VMware, Inc. 55

Necesita conocer la siguiente información del servidor RADIUS para configurar RADIUS en el servicio.

n Dirección IP o nombre DNS del servidor RADIUS.

n Números de puertos de autenticación. El puerto de autenticación suele ser el 1812.

n Tipo de autenticación. Entre los tipos de autenticación, se incluyen Protocolo de autenticación decontraseña (Password Authentication Protocol, PAP), Protocolo de autenticación por desafío mutuo(Challenge Handshake Authentication Protocol, CHAP) y Protocolo de autenticación por desafíomutuo de Microsoft, versiones 1 y 2 (Microsoft Challenge Handshake Authentication Protocol,versions 1 and 2; MSCHAP1 y MSCHAP2).

n Secreto compartido de RADIUS que se usa para el cifrado y descifrado en los mensajes delprotocolo RADIUS.

n Valores específicos de tiempo de espera y reintento necesarios para la autenticación RADIUS.

Procedimiento


2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurarpara la autenticación RADIUS.

3 Haga clic en Adaptadores de autenticación y después en RadiusAuthAdapter.


4 Haga clic en Editar para configurar estos campos en la página Adaptador de autenticación.

Opción Acción

Nombre Es necesario un nombre. El nombre predeterminado es RadiusAuthAdapter. Puede cambiarlo.

Habilitaradaptador deRadius

Active esta casilla para habilitar la autenticación RADIUS.

Número deintentos deautenticaciónpermitidos

Escriba el número máximo de intentos de inicio de sesión fallidos cuando se usa RADIUS para iniciarsesión. El valor predeterminado es cinco intentos.

Número deintentos en elservidorRadius

Especifique el número total de reintentos. Si el servidor principal no responde, el servicio espera el tiempoconfigurado antes de volver a intentarlo.

Nombre delhost/direccióndel servidorRadius

Escriba el nombre del host o la dirección IP del servidor RADIUS.

Puerto deautenticación

Escriba el número de puerto para la autenticación RADIUS. Suele ser el 1812.

Puerto decuentas

Escriba 0 como número de puerto. En estos momentos, no se usa el puerto de cuentas.


VMware, Inc. 56

Opción Acción

Tipo deautenticación

Indique el protocolo de autenticación compatible con el servidor RADIUS. Elija PAP, CHAP, MSCHAP1 oMSCHAP2.

Secretocompartido

Escriba el secreto compartido que se usa entre el servidor RADIUS y el servicio de VMware IdentityManager.

Tiempo deespera delservidor ensegundos

Escriba el tiempo de espera del servidor RADIUS en segundos, después del cual se enviará un reintentosi el servidor RADIUS no responde.

Prefijo deterritorio

(Opcional) La ubicación de la cuenta de usuario se denomina territorio.

Si especifica una cadena de prefijo de territorio, se coloca al principio del nombre de usuario cuando seenvía al servidor RADIUS. Por ejemplo, si el nombre de usuario es jdoe y se especifica el prefijo deterritorio DOMAIN-A\, se envía el nombre de usuario DOMAIN-A\jdoe al servidor RADIUS. Si no configuraestos campos, solamente se envía el nombre de usuario que se indique.

Sufijo deterritorio

(Opcional) Si especifica un sufijo de territorio, la cadena se coloca al final del nombre de usuario. Porejemplo, si el sufijo es @myco.com, se envía el nombre de usuario [email protected] al servidor RADIUS.

Sugerenciade frase decontraseña depágina deinicio desesión

Escriba la cadena de texto que se mostrará en el mensaje de la página de inicio de sesión de usuario a losusuarios directos para que escriban el código de acceso de RADIUS correcto. Por ejemplo, si este campoestá configurado con contraseña de AD primero y después el código de acceso SMS, el mensaje de lapágina de inicio de sesión sería Escriba su contraseña de AD primero y después el código de accesoSMS. La cadena de texto predeterminada es Código de acceso de RADIUS.

5 Puede habilitar un servidor RADIUS secundario para lograr una disponibilidad elevada.

Configure el servidor secundario tal como se describe en el paso 4.



Habilite el método de autenticación RADIUS en el proveedor de identidades integrado en la pestañaAdministración de acceso e identidad > Administrar. Consulte Usar proveedores de identidadesintegrados.

Añada el método de autenticación RADIUS a la política de acceso predeterminada. Vaya a la páginaAdministración de acceso e identidad > Administrar > Directivas y edite las reglas de la directivapredeterminada para agregar el método de autenticación RADIUS a la regla. Consulte Administrarmétodos de autenticación que se apliquen a los usuarios.

Configurar la autenticación adaptativa de RSA en VMwareIdentity ManagerLa autenticación RSA puede implementarse para proporcionar una autenticación multifactor más seguraque la que solo utiliza un nombre de usuario y una contraseña en Active Directory. La autenticaciónadaptativa supervisa y autentica los intentos de inicio de sesión del usuario según las directivas y losniveles de riesgo.


VMware, Inc. 57

Cuando se habilita la autenticación adaptativa, los indicadores de riesgo especificados en las directivasde riesgo se configuran en la aplicación RSA Policy Management y la configuración del servicio VMwareIdentity Manager de la autenticación adaptativa se utiliza para determinar si un usuario se autentica conel nombre de usuario y la contraseña o si se necesita más información para autenticar al usuario.

Métodos de autenticación compatibles de la autenticaciónadaptativa de RSALos métodos de autenticación seguros de la autenticación adaptativa de RSA compatibles en el servicioVMware Identity Manager son la autenticación fuera de banda por correo electrónico, teléfono o SMS ymediante preguntas de comprobación. En el servicio, debe habilitar los métodos de la autenticaciónadaptativa de RSA que pueden proporcionarse. Las directivas de la autenticación adaptativa de RSAdeterminan qué método de autenticación secundaria se utiliza.

La autenticación fuera de banda es un proceso que requiere que se envíe una verificación adicional juntocon el nombre de usuario y la contraseña. Cuando los usuarios se registran en un servidor conautenticación adaptativa de RSA, deben proporcionar una dirección de correo electrónico, un número deteléfono, o ambos, según la configuración del servidor. Cuando se solicite la verificación adicional, elservidor de autenticación adaptativa de RSA envía un código de acceso de un solo uso a través delcanal proporcionado. Los usuarios introducirán ese código junto con su nombre de usuario y sucontraseña.

Las preguntas de comprobación requieren que el usuario conteste una serie de preguntas cuando seregistran en el servidor de autenticación adaptativa de RSA. Puede configurar el número de preguntas deregistro y el número de preguntas de comprobación que aparecerán en la página de inicio de sesión.

Registrar usuarios con el servidor de autenticación adaptativa deRSASe debe aprovisionar a los usuarios en la base de datos de autenticación adaptativa de RSA para utilizarla autenticación adaptativa en el proceso de autenticación. Los usuarios se agregan a la base de datosde la autenticación adaptativa de RSA cuando inician sesión por primera vez con su nombre de usuario ysu contraseña. En función de cómo configure la autenticación adaptativa en el servicio, se puede pedir alos usuarios que proporcionen su dirección de correo electrónico, su número de teléfono, su número deservicio de mensajes de texto (SMS) o que establezcan respuestas para las preguntas de comprobación.

NOTA: La autenticación adaptativa de RSA no permite introducir caracteres internacionales en losnombres de usuario. Si su intención es permitir caracteres multibyte en los nombres de usuario, póngaseen contacto con el equipo de soporte técnico de RSA para configurar la autenticación de RSA y eladministrador de esta función.


VMware, Inc. 58

Configurar la autenticación adaptativa de RSA en IdentityManagerPara configurar en el servicio la autenticación adaptativa de RSA, debe habilitarla, seleccionar losmétodos de autenticación adaptativa que se van a aplicar y agregar el certificado y la información de laconexión de Active Directory.

Prerequisitos

n Debe configurar correctamente la autenticación adaptativa de RSA con los métodos de autenticaciónque se van a utilizar en la autenticación secundaria.

n Detalles sobre el nombre de usuario SOAP y la dirección del terminal SOAP.

n Debe tener disponible la información de la configuración y el certificado SSL de Active Directory.

Procedimiento


2 En la columna Trabajo de la página Conector, seleccione el vínculo del conector que se estáconfigurando.

3 Haga clic en Adaptadores de autenticación y, a continuación, en RSAAAldpAdapter.

Se le redirige a la página del adaptador de autenticación de Identity Manager.

4 Haga clic en el vínculo Editar situado junto a RSAAAIdpAdapter.

5 Seleccione la configuración adecuada para su entorno.

NOTA: El asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


*Nombre Es necesario un nombre. El nombre predeterminado es RSAAAIdpAdapter.Puede cambiarlo.

Habilitar adaptador de autenticaciónadaptativa de RSA

Active la casilla para habilitar la autenticación adaptativa de RSA.

*Terminal SOAP Introduzca la dirección del terminal SOAP para permitir la integración entre elservicio y el adaptador de autenticación adaptativa de RSA.

*Nombre de usuario SOAP Introduzca el nombre de usuario y la contraseña que se utilizó para firmar losmensajes SOAP.

Dominio de RSA Introduzca la dirección del dominio del servidor de autenticación adaptativa.

Habilitar correo electrónico deautenticación fuera de banda

Seleccione esta casilla para habilitar la autenticación fuera de banda que envíaun código de acceso de un solo uso al usuario final a través de un correoelectrónico.

Habilitar SMS de autenticación fuerade banda

Seleccione esta casilla para habilitar la autenticación fuera de banda que envíaun código de acceso de un solo uso al usuario final a través de un SMS.

Habilitar SecurID Seleccione esta casilla para habilitar SecurID. Se pide a los usuarios queintroduzcan el código de acceso y el token de RSA.


VMware, Inc. 59


Habilitar pregunta secreta Seleccione esta casilla si va a utilizar preguntas de comprobación y de registropara la autenticación.

*Número de preguntas de registro Introduzca el número de preguntas que el usuario debe configurar cuando seinscriba en el servidor del adaptador de autenticación.

*Número de preguntas decomprobación

Introduzca el número de preguntas de comprobación que los usuarios debencontestar correctamente para iniciar sesión.

*Número de intentos de autenticaciónpermitidos

Introduzca el número de veces que se muestran las preguntas de comprobacióna un usuario que intenta iniciar sesión antes de que se produzca un error en laautenticación.

Tipo de directorio El único directorio compatible es Active Directory.

Puerto de servidor Introduzca el número de puerto de Active Directory.

Host de servidor Introduzca el nombre de host de Active Directory.

Utilizar SSL Seleccione esta casilla si utiliza SSL en la conexión del directorio. Agregue elcertificado SSL de Active Directory en el campo Certificado del directorio.

Utilizar la ubicación del servicio DNS Seleccione esta casilla si se utiliza la ubicación del servicio DNS en la conexióndel directorio.

DN base Introduzca el DN desde el que deben empezar las búsquedas en cuentas. Porejemplo, OU=myUnit,DC=myCorp,DC=com.

DN de enlace Introduzca la cuenta que puede buscar usuarios. Por ejemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com

Contraseña de enlace Introduzca la contraseña de la cuenta de DN de enlace.

Atributo de búsqueda Introduzca el atributo de cuenta que contiene el nombre de usuario.

Certificado del directorio Para establecer conexiones SSL seguras, agregue el certificado de servidor deldirectorio en el cuadro de texto. En el caso de varios servidores, agregue elcertificado raíz de la autoridad de certificación.



Habilite el método de autenticación Autenticación adaptativa de RSA en el proveedor de identidadesintegrado en la pestaña Administración de acceso e identidad > Administrar. Consulte Usar proveedoresde identidades integrados.

Agregue el método de autenticación "autenticación adaptativa de RSA" a la directiva de accesopredeterminada. Acceda a la página Administración de acceso e identidad > Administrar > Directivas yedite las reglas de la directiva para agregar la autenticación adaptativa. Consulte Administrar métodos deautenticación que se apliquen a los usuarios.

Configurar un certificado o adaptador de tarjetainteligente para utilizarlo con VMware Identity ManagerPuede configurar la autenticación del certificado x509 para que los clientes puedan autenticar concertificados desde su escritorio o dispositivos móviles, o bien para utilizar un adaptador de tarjetainteligente para la autenticación. La autenticación basada en certificados se basa en lo que tiene elusuario (la clave privada o tarjeta inteligente) y en lo que sabe la persona (la contraseña de la clave


VMware, Inc. 60

privada o el PIN de la tarjeta inteligente). Un certificado X.509 utiliza el estándar de infraestructura declave pública (PKI) para comprobar que la clave pública que contiene el certificado pertenece al usuario.Gracias a la autenticación con tarjeta inteligente, los usuarios se conectan a esta con el equipo yescriben un PIN.

Los certificados de tarjeta inteligente se copian en el almacén de certificados local del equipo del usuario.Los certificados del almacén de certificados local están disponibles en todos los navegadores que seejecuten en el equipo del usuario, excepto en algunos casos, y por lo tanto están disponibles para unainstancia de VMware Identity Manager en el navegador.

Usar el nombre principal de usuario para la autenticación decertificadoPuede usar la asignación de certificados en Active Directory. Los inicios de sesión con certificado ytarjeta inteligente usan el nombre principal de usuario (UPN) de Active Directory para validar las cuentasde usuario. Las cuentas de Active Directory de los usuarios que intentan autenticarse en el servicio deVMware Identity Manager deben poseer un UPN válido que se corresponda con el UPN en el certificado.

Puede configurar el conector de para que use la dirección de correo electrónico para validar la cuenta deusuario si no existe un UPN en el certificado.

También puede habilitar un tipo de UPN alternativo para que se use.

Entidad de certificación necesaria para la autenticaciónPara habilitar el inicio de sesión mediante la autenticación de certificado, se deben cargar los certificadosraíz e intermedios en el conector de .

Los certificados se copian en el almacén de certificados local del equipo del usuario. Los certificados delalmacén de certificados local están disponibles en todos los navegadores que se ejecuten en el equipodel usuario, excepto en algunos casos, y por lo tanto están disponibles para una instancia deVMware Identity Manager en el navegador.

Para la autenticación de tarjeta inteligente, cuando un usuario inicia una conexión con la instancia deVMware Identity Manager, el servicio de VMware Identity Manager envía una lista de entidades decertificación (CA) de confianza al navegador. El navegador compara la lista de CA de confianza con loscertificados de usuario disponibles, selecciona uno adecuado y después solicita al usuario que intoduzcaun PIN de tarjeta inteligente. Si se dispone de varios certificados de usuario, el navegador solicita alusuario que seleccione uno.

Si un usuario no se puede autenticar, es posible que la CA raíz y las intermedias no estén configuradascorrectamente, o bien que el servicio no se haya reiniciado después de que las CA raíces e intermediasse cargaran en el servidor. En estos casos, el navegador no puede mostrar los certificados instalados, elusuario no puede seleccionar el correcto y, por tanto, la autenticación de certificado genera un error.


VMware, Inc. 61

Usar la comprobación de revocación de certificadosPuede configurar la comprobación de revocación de certificados para impedir la autenticación de losusuarios cuyos certificados de usuario se hayan revocado. Los certificados se revocan con frecuenciacuando un usuario abandona una organización, pierde una tarjeta inteligente o se traslada de undepartamento a otro.

Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) ycon el Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP). Una CRLes una lista de certificados revocados publicada por la autoridad de certificación que los emitió. OCSP esun protocolo de validación de certificados que se usa para obtener el estado de revocación de uncertificado.

Puede definir tanto CRL como OCSP en la configuración del mismo adaptador de autenticación decertificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casillaUsar CRL en caso de error de OCSP está habilitada, se comprueba antes con OCSP y, si esto nofunciona, la comprobación de revocación de certificados recae en la CRL. La comprobación derevocación no recae en OCSP si falla la CRL.

Iniciar sesión con la comprobación con CRLCuando habilita la revocación de certificados, el servidor del conector de lee una CRL para determinar elestado de revocación de un certificado de usuario.

Si el certificado está revocado, la autenticación mediante él genera un error.

Iniciar sesión con la comprobación de certificado con OCSPCuando configura la comprobación de revocación con el protocolo OCSP de estado de certificado, elconector de envía una solicitud a un respondedor OCSP para determinar el estado de revocación de uncertificado de usuario concreto. El servidor del conector de usa el certificado de firma de OCSP paracomprobar que las respuestas que reciba del respondedor OCSP sean genuinas.

Si el certificado está revocado, la autenticación genera un error.

Puede configurar la autenticación para que recurra a la comprobación con CRL si no recibe respuestadel respondedor OCSP o si la respuesta no es válida.

Configurar la autenticación basada en certificadosConfigure el método de autenticación Certificado (implementación en la nube) desde la página Métodosde autenticación en la consola de administración y, a continuación, seleccione el método de autenticaciónque se utilizará en el proveedor de identidades integrado.

Puede configurar la autenticación de certificado x509 para permitir que los clientes se autentiquen concertificados en sus dispositivos móviles y de sobremesa. Consulte Configurar un certificado o adaptadorde tarjeta inteligente para utilizarlo con VMware Identity Manager.


VMware, Inc. 62

Prerequisitos

n Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificadospresentados por sus usuarios.

n (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para laautenticación de certificado.

n Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidorOCSP.

n (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

n Contenido del formulario de consentimiento, si se muestra antes de la autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Métodos de autenticación.

2 En la sección Métodos de autenticación, haga clic en el icono Certificado (implementación en lanube).

3 Configure la página del adaptador de autenticación del servicio de certificado.

NOTA: Un asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


Habilitar adaptador de certificado Seleccione esta casilla para habilitar la autenticación de certificados.

*Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados como DER o PEM.

Certificados de CA descargados Los archivos de certificado cargados aparecen en la sección Certificados de CAcargados del formulario.

Usar correo electrónico si no hay UPNen el certificado

Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuarios.

Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados.

Escriba los números de ID de objeto (OID) para la política de emisión decertificados. Haga clic en Añadir otro valor para añadir más OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.La comprobación de la revocación impide la autenticación de los usuarios concertificados de usuario revocados.

Usar CRL de certificados Active esta casilla para usar la lista de revocación de certificados (CRL)publicada por la CA que emitió los certificados para validar el estado de uncertificado, es decir, si está revocado o no.

Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.


VMware, Inc. 63


Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir denuevo a la CRL si la comprobación con OCSP no está disponible.

Enviar nonce de OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificadorúnico de la solicitud de OCSP.

URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP parala comprobación de la revocación.

Certificado de firma de quien respondede OCSP

Introduzca la ruta del certificado OCSP para quien responde, /ruta/al/archivo.cer.

Habilitar el formulario deconsentimiento antes de laautenticación

Seleccione esta casilla para que aparezca una página de formulario deconsentimiento antes de que los usuarios inicien sesión en su portal deWorkspace ONE mediante la autenticación de certificado.

Contenido del formulario deconsentimiento

Escriba el texto que aparece en el formulario de consentimiento en este cuadrode texto.



n Asocie el método de autenticación Certificado (implementación en la nube) en el proveedor deidentidades integrado. Consulte Configurar el proveedor de identidades integrado.

n Agregue el método de autenticación de certificado a la directiva de acceso predeterminada. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.

Configurar VMware para la autenticación en dos fasesEn la consola de administración de VMware Identity Manager, puede habilitar el servicio de VMwareVerify como el segundo método de autenticación cuando se refiere una autenticación en dos fases.

Habilite VMware Verify en el proveedor de identidades integrado en la consola de administración.

Configure una autenticación en dos fases en las reglas de directiva de acceso para solicitar que losusuarios se autentiquen utilizando dos métodos de autenticación.

Los usuarios instalan la aplicación VMware Verify en los dispositivos y proporcionan un número deteléfono para registrar el dispositivo con el servicio de VMware Verify. El número de teléfono y eldispositivo también están registrados en el perfil de usuario que aparece en Usuarios y grupos en laconsola de administración.

Los usuarios registran su cuenta una vez cuando inician sesión utilizando la autenticación por contraseñaen primer lugar y, a continuación, introducen el código de acceso de VMware Verify que aparece en eldispositivo. Después de la autenticación inicial, los usuarios pueden autenticarse a través de uno de esostres métodos.

n Envíe la aprobación con una notificación OneTouch. Los usuarios aprueban o rechazan el accesodesde VMware Identity Manager con un clic. Los usuarios pueden hacer clic en Aprobar o enDenegar en el mensaje que se les envía.


VMware, Inc. 64

n Código de acceso de contraseñas TOTP (contraseñas de un solo uso). Se genera un código deacceso cada 20 segundos. Los usuarios introducen este código de acceso en la pantalla de inicio desesión.

n Mensaje de texto. Los SMS telefónicos se utilizan para enviar un código de verificación con un plazolimitado en un mensaje de texto para registrar el número de teléfono. Los usuarios introducen estecódigo de verificación en la pantalla de inicio de sesión.

Habilitar VMware VerifyPara utilizar la autenticación en dos fases con el servicio VMware Verify, habilítelo y, a continuación,agréguelo como un método de autenticación en un proveedor de identidades integrado.

Prerequisitos

(Opcional) Personalice el logotipo y el icono que aparecen en la aplicación VMware Verify en losdispositivos. Consulte Personalización de marca para la aplicación VMware Verify.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Métodos deautenticación.

2 En la columna para configurar VMware Verify, haga clic en el icono.

3 Seleccione la casilla de verificación Habilitar VMware Verify.



Habilite VMware Verify como método de autenticación en un proveedor de identidades integrado. Configurar el proveedor de identidades integrado.

Cree una regla en la directiva de acceso predeterminada para agregar en dicha regla el método deautenticación de VMware Verify como el segundo método de autenticación. Consulte Administrarmétodos de autenticación que se apliquen a los usuarios.

Aplique la personalización de marca en la página de inicio de sesión de VMware Verify. Consulte Personalización de marca para la aplicación VMware Verify.

Registrar usuarios finales con VMware VerifySi es necesaria la autenticación en VMware Verify para una autenticación en dos fases, los usuariosinstalan y utilizan la aplicación VMware Verify para registrar el dispositivo.

NOTA: La aplicación VMware Verify se puede descargar desde las tiendas de aplicaciones.

Cuando se habilita la autenticación en dos fases de VMware Verify, la primera vez que los usuariosinician sesión en la aplicación Workspace ONE, se les solicita que introduzcan el nombre de usuario y lacontraseña. Cuando se verifican estos datos, se les solicita que introduzcan su número de teléfono pararegistrarse en VMware Verify.


VMware, Inc. 65

Cuando hacen clic en Registrar, se registra el número de teléfono con VMware Verify y, si nodescargaron la aplicación VMware Verify, se les solicita que lo hagan.

Cuando se instala la aplicación, se solicita a los usuarios que introduzcan el mismo número de teléfonoque introdujeron antes y que seleccionen un método de notificación para recibir un código de registro conun plazo determinado. El código de registro se introduce en la página de registro anclada.

Después de registrar el número de teléfono, los usuarios puede utilizar un código de acceso de plazodeterminado que aparece en la aplicación VMware Verify para iniciar sesión en Workspace ONE. Elcódigo de acceso es un número único que se genera en el dispositivo y cambia constantemente.

Los usuarios pueden registrar más de un dispositivo. El código de acceso de VMware Verify sesincroniza automáticamente al resto de los dispositivos registrados.

Eliminar un número de teléfono registrado del perfil del usuarioPara solucionar los problemas relacionados con el inicio de sesión en Workspace ONE, puede eliminar elnúmero de teléfono en el perfil de usuario desde la consola de administración deVMware Identity Manager.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos.

2 En la página Usuario, seleccione el nombre que desea restablecer.

3 En la pestaña VMware Verify, haga clic en Restablecer VMware Verify.

Los números de teléfono se eliminan del perfil del usuario y la lista Usuario muestra N/A en la columnaNúmero de teléfono de VMware Verify. Se elimina el registro del número de teléfono del servicio VMwareVerify. Cuando el usuario inicia sesión en la aplicación Workspace ONE, se le solicita que introduzca elnúmero de teléfono para registrarse en el servicio de VMware Verify de nuevo.

Lista de direcciones IP del servidor de seguridad de VMwareVerifyPara la autenticación de VMware Verify, agregue las direcciones IP de la lista blanca a la lista de controlde acceso en el firewall. VMware Verify debe poder llegar a todas las direcciones IP a través del puerto443.

La tabla de direcciones IP de la lista blanca enumera las direcciones IP actuales que se agregarán a lasreglas de firewall.

Tabla 6‑1. Direcciones IP de la lista blanca

IPv4 IPv6

103.21.244.0/22 2400:cb00::/32

103.22.200.0/22 2405:8100::/32

103.31.4.0/22 2405:b500::/32

104.16.0.0/12 2606:4700::/32


VMware, Inc. 66

Tabla 6‑1. Direcciones IP de la lista blanca (Continua)

IPv4 IPv6

108.162.192.0/18 2803:f800::/32

131.0.72.0/22 2c0f:f248::/32

141.101.64.0/18 2a06:98c0::/29

162.158.0.0/15

172.64.0.0/13

173.245.48.0/20

188.114.96.0/20

190.93.240.0/20

197.234.240.0/22

198.41.128.0/17

Usar proveedores de identidades integradosLos proveedores de identidades integrados pueden configurarse con los métodos de autenticación queno requieren el uso de un conector en las instalaciones. Hay un proveedor de identidades integradodisponible en Administración de acceso e identidad > página Proveedores de identidades de la consolade administración. Puede crear proveedores de identidades integrados adicionales.

Configure los métodos de autenticación en Administración de acceso e identidad > Administrar > páginaMétodos de autenticación. Cuando configure el proveedor de identidades integrado, asocie los métodosde autenticación que desea utilizar en el proveedor de identidades integrado.

También puede configurar los proveedores de identidades integrados para usar los métodos deautenticación configurados en un conector implementado en el modo de conexión de solo salida. Losconectores de solo salida no necesitan que el puerto 443 del firewall de entrada esté abierto. El conectorestablece una conexión de solo salida (a través de WebSockets) con el servicio en la nube y recibesolicitudes de autenticación a través de este canal. Consulte la guía Implementación de VMware IdentityManager Cloud, Modelos de implementación para obtener más información sobre cómo implementar unconector de solo salida.

Después de asociar los métodos de autenticación en los proveedores de identidades integrados, puedecrear directivas de acceso que se apliquen a estos métodos de autenticación.

Configurar métodos de autenticación para proveedores deidentidades integradosPuede configurar los métodos de autenticación del servicio que pueden utilizarse en los proveedores deidentidades integrados. Estos métodos de autenticación no requieren el uso de un conector en lasinstalaciones.

Cuando configure el proveedor de identidades integrado, habilite los métodos de autenticación quedesea utilizar.


VMware, Inc. 67

Los siguientes métodos de autenticación no requieren el uso de un conector. Habilite y configure losmétodos de autenticación en Administración de acceso e identidad > Administrar > página Métodos deautenticación y asocie el método de autenticación a un proveedor de identidades integrado.

n Token de acceso externo de AirWatch

n SSO móvil de iOS

n Certificado (implementación en la nube)

n Contraseña que utiliza AirWatch Connector

n Comprobación de VMware de autenticación en dos fases

n SSO móvil para Android

n Cumplimiento normativo del dispositivo con AirWatch

n Contraseña (directorio local)

Después de habilitar los métodos de autenticación, puede crear directivas de acceso que se apliquen aestos métodos de autenticación.

Deshabilitar métodos de autenticación asociados a los proveedores deidentidades integradosPuede deshabilitar los métodos de autenticación que configuró desde la página Métodos deautenticación. Al deshabilitar un método de autenticación, si el método de autenticación está asociado aalgún proveedor de identidades, dicho método estará deshabilitado en el proveedor de identidades.También se elimina el método de autenticación como una opción en todas las reglas de las directivas deacceso.

IMPORTANTE: Si el método de autenticación que deshabilitó se configuró en una regla de directiva deacceso, esta debe actualizarse para seleccionar otro método de autenticación. Si la regla de directiva deacceso no está actualizada, es posible que los usuarios no puedan iniciar sesión en su portal deaplicaciones ni acceder a sus recursos.

Para deshabilitar una autenticación para los proveedores de identidades integrados específicos, en lapágina de configuración de proveedores de identidades integrados, anule la selección de la casilla parael método de autenticación asociado.

Administrar configuración de autenticación con contraseña en AirWatchPuede revisar y administrar la configuración Contraseña (AirWatch Connector) que se estableció cuandoinstaló AirWatch y agregó el servicio VMware Identity Manager.


VMware, Inc. 68

El método de autenticación Contraseña (AirWatch Connector) se administra desde la páginaAdministración de acceso e identidad > Métodos de autenticación y se asocia al proveedor deidentidades integrado en la página Proveedores de identidades.

IMPORTANTE: Cuando se actualiza el software AirWatch Cloud Connector, asegúrese de que actualicela configuración de AirWatch de VMware Identity Manager en la página AirWatch de la consola deadministración de VMware Identity Manager.

Procedimiento

1 Para revisar y administrar la configuración, en la pestaña Administración de acceso e identidad,seleccione Métodos de autenticación.

2 En la columna para configurar Contraseña (AirWatch Connector), haga clic en el icono de lápiz.

3 Revise la configuración.


Habilitar la autenticación concontraseña de AirWatch

Esta casilla de verificación habilita la autenticación con contraseña de AirWatch.

URL de la consola de administraciónde AirWatch

Se rellena automáticamente con la dirección URL de AirWatch.

Clave de API de AirWatch Se rellena automáticamente con la clave de API de administrador de AirWatch.

Certificado utilizado para laautenticación

Se rellena automáticamente con el certificado de AirWatch Cloud Connector.

Contraseña del certificado Se rellena automáticamente con la contraseña del certificado de AirWatch CloudConnector.

ID de grupo de AirWatch Se rellena automáticamente con el ID del grupo organizativo.

Número de intentos de autenticaciónpermitidos

Número máximo de intentos de inicio de sesión fallidos cuando se utiliza laautenticación con contraseña de AirWatch. No se permitirán más inicios desesión tras alcanzar este número de inicios de sesión fallidos. El servicio VMwareIdentity Manager intenta utilizar el método de autenticación de reserva si esteestá configurado. El valor predeterminado es cinco intentos.

JIT habilitado Si JIT no está habilitado, seleccione esta casilla de verificación para habilitar elaprovisionamiento de usuarios Just-In-Time en el servicio de VMware IdentityManager de forma dinámica cuando inician sesión la primera vez.


Habilitar la comprobación de conformidad para dispositivos administradospor AirWatchCuando los usuarios inscriben sus dispositivos, los datos de ejemplo utilizados para evaluar laconformidad se envían de forma programada. La evaluación de estos datos de ejemplo garantiza que eldispositivo cumple las reglas de conformidad que establece el administrador en la consola de AirWatch.Si el dispositivo no cumple con la conformidad, se llevan a cabo las acciones correspondientes en laconsola de AirWatch.


VMware, Inc. 69

El servicio VMware Identity Manager incluye una opción de directiva de acceso que se puede configurarpara comprobar el estado de conformidad del dispositivo de servidor de AirWatch cuando los usuariosinician la sesión en el dispositivo. Esta comprobación de conformidad garantiza que los usuarios nopuedan iniciar sesión en una aplicación ni usar un inicio de sesión único en el portal de Workspace ONEsi el dispositivo deja de cumplir las reglas de conformidad. Cuando el dispositivo vuelve a ser conforme,se restaurará la capacidad de iniciar la sesión.

La aplicación Workspace ONE cierra sesión automáticamente y bloquea el acceso a las aplicaciones si eldispositivo está en peligro. Si el dispositivo se registró a través de una administración adaptativa, uncomando de borrado empresarial emitido por la consola de AirWatch anula el registro del dispositivo yelimina las aplicaciones administradas desde el dispositivo. Las aplicaciones que no están administradasno se eliminan.

Para obtener más información sobre las directivas de conformidad de AirWatch, consulte la guía deVMware AirWatch Mobile Device Management disponible en el sitio web AirWatch Resources.

Habilitar la comprobación del cumplimiento normativo

En VMware Identity Manager, habilite el cumplimiento normativo del dispositivo en la página deconfiguración de AirWatch y configure Cumplimiento normativo del dispositivo en Administrar > páginaMétodos de autenticación.

Si se configura Cumplimiento normativo del dispositivo, las reglas de las directivas de acceso puedenconfigurarse para comprobar el estado que indica el cumplimiento normativo de los dispositivos en elservidor de AirWatch cuando los usuarios inicien sesión en sus dispositivos. Consulte Habilitar lacomprobación de conformidad para dispositivos administrados por AirWatch.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > AirWatch.

2 En la sección Cumplimiento normativo del dispositivo, seleccione Habilitar y haga clic en Guardar.


4 En la columna para configurar Cumplimiento normativo del dispositivo (con AirWatch), haga clicen el icono.

5 Habilite la autenticación Cumplimiento normativo del dispositivo y establezca el número máximo deintentos de inicio de sesión fallidos. El resto de los cuadros de texto se rellenan previamente con losvalores configurados de AirWatch.


Habilitar el adaptador de conformidaddel dispositivo

Seleccione esta casilla de verificación para habilitar la autenticación concontraseña de AirWatch.


Se rellena automáticamente con la URL de AirWatch que configuró en la páginade configuración de AirWatch.



VMware, Inc. 70







Asocie el método de autenticación Cumplimiento normativo del dispositivo en el proveedor deidentidades integrado. Consulte Configurar el proveedor de identidades integrado.

Configure la directiva de acceso predeterminada para crear reglas con el fin de utilizar el cumplimientonormativo del dispositivo con AirWatch. Consulte Configurar la regla de directiva de acceso.

Configurar el método de autenticación de contraseña del directorio localConfigure la autenticación de contraseña para los directorios locales en Administración de acceso eidentidad > Administrar > página Métodos de autenticación.

Después de configurar el método de autenticación, asocie el método Contraseña (directorio local) en elproveedor de identidades integrado asociado al directorio local.

Procedimiento


2 En la columna para configurar Contraseña (directorio local), haga clic en el icono.

3 Seleccione la casilla de verificación Habilitar la autenticación con contraseña del directorio local.

4 En el cuadro de texto Número de intentos de contraseña, introduzca el número máximo deintentos de inicio de sesión fallidos. No se permitirán más inicios de sesión tras alcanzar este númerode inicios de sesión fallidos. El valor predeterminado es cinco intentos.



n Asocie el método de autenticación Contraseña (directorio local) en el proveedor de identidadesintegrado.

Configurar la autenticación basada en certificadosConfigure el método de autenticación Certificado (implementación en la nube) desde la página Métodosde autenticación en la consola de administración y, a continuación, seleccione el método de autenticaciónque se utilizará en el proveedor de identidades integrado.

Puede configurar la autenticación de certificado x509 para permitir que los clientes se autentiquen concertificados en sus dispositivos móviles y de sobremesa. Consulte Configurar un certificado o adaptadorde tarjeta inteligente para utilizarlo con VMware Identity Manager.


VMware, Inc. 71

Prerequisitos





n Contenido del formulario de consentimiento, si se muestra antes de la autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Métodos de autenticación.

2 En la sección Métodos de autenticación, haga clic en el icono Certificado (implementación en lanube).

3 Configure la página del adaptador de autenticación del servicio de certificado.

NOTA: Un asterisco indica que el campo es obligatorio. Los otros campos son opcionales.


Habilitar adaptador de certificado Seleccione esta casilla para habilitar la autenticación de certificados.

*Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados como DER o PEM.

Certificados de CA descargados Los archivos de certificado cargados aparecen en la sección Certificados de CAcargados del formulario.


Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuarios.

Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados.

Escriba los números de ID de objeto (OID) para la política de emisión decertificados. Haga clic en Añadir otro valor para añadir más OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.La comprobación de la revocación impide la autenticación de los usuarios concertificados de usuario revocados.



Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.


VMware, Inc. 72






Introduzca la ruta del certificado OCSP para quien responde, /ruta/al/archivo.cer.

Habilitar el formulario deconsentimiento antes de laautenticación

Seleccione esta casilla para que aparezca una página de formulario deconsentimiento antes de que los usuarios inicien sesión en su portal deWorkspace ONE mediante la autenticación de certificado.

Contenido del formulario deconsentimiento

Escriba el texto que aparece en el formulario de consentimiento en este cuadrode texto.



n Asocie el método de autenticación Certificado (implementación en la nube) en el proveedor deidentidades integrado. Consulte Configurar el proveedor de identidades integrado.

n Agregue el método de autenticación de certificado a la directiva de acceso predeterminada. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.

Configuración de SSO móvil para la autenticación de iOS en VMware IdentityManagerPuede configurar el método de autenticación SSO móvil para iOS desde la página Métodos deautenticación en la consola de administración. Asocie el método de autenticación SSO móvil alproveedor de identidades integrado.

Usar el servicio KDC alojado en la nube

Para admitir el uso de la autenticación Kerberos en SSO móvil para iOS, VMware Identity Managerproporciona un servicio KDC alojado en la nube.

El servicio KDC alojado en la nube debe utilizarse cuando se implementa el servicio de VMware IdentityManager con AirWatch en un entorno de Windows.

Para utilizar el KDC administrado en el dispositivo de VMware Identity Manager, consulte Preparaciónpara utilizar la autenticación Kerberos en dispositivos iOS en la Guía de configuración e instalación deVMware Identity Manager.


VMware, Inc. 73

Al configurar la autenticación SSO móvil para iOS, configure el nombre de territorio para el servicio KDCalojado en la nube. El territorio es el nombre de la entidad administrativa que mantiene los datos deautenticación. Al hacer clic en Guardar, el servicio de VMware Identity Manager se registrará con elservicio KDC alojado en la nube. Los datos que se almacenan en el servicio KDC se basan en laconfiguración del método de autenticación SSO móvil para iOS, lo que incluye el certificado de CA, elcertificado de firma OCSP y los detalles de configuración de la solicitud OCSP. No se almacena ningunaotra información específica del usuario en el servicio en la nube.

Los registros de inicio de sesión se almacenan en el servicio en la nube. La información de identificaciónpersonal (Personally Identifiable Information, PII) en los registros de inicio de sesión abarca el nombreprincipal de Kerberos del perfil del usuario, el DN de sujeto, los valores de UPN y SAN de correoelectrónico, el identificador de dispositivo del certificado del usuario y el nombre de dominio completo delservicio IDM al que el usuario obtiene acceso.

Para utilizar el servicio KDC alojado en la nube, VMware Identity Manager debe configurarse de lasiguiente manera.

n El nombre de dominio completo del servicio de VMware Identity Manager debe ser accesible desdeInternet. El certificado SSL/TLS utilizado por VMware Identity Manager debe estar firmadopúblicamente.

n Los puertos de respuesta/solicitud de salida 88 (UDP) y 443 (HTTPS/TCP) deben ser accesiblesdesde el servicio VMware Identity Manager.

n Si habilita OCSP, el respondedor de OCSP debe ser accesible desde Internet.

Configurar el SSO móvil para la autenticación de iOS

Puede configurar el método de autenticación SSO móvil para iOS desde la página Métodos deautenticación en la consola administrativa. En el proveedor de identidades integrado, seleccione elmétodo de autenticación SSO móvil (para iOS) que desea usar.

Prerequisitos

n Debe utilizar un archivo DER o PEM de la autoridad de certificación para emitir certificados a losusuarios en el arrendatario de AirWatch.

n Debe utilizar el certificado de firma de quien responde de OCSP para la comprobación de larevocación.

n Para el servicio KDC, seleccione el nombre de territorio de dicho servicio. Si utiliza el servicio KDCintegrado, se debe inicializar KDC. Consulte Instalar y configurar VMware Identity Manager paraobtener detalles sobre KDC integrado.

Procedimiento


2 En la columna para configurar SSO móvil (para iOS), haga clic en el icono.


VMware, Inc. 74

3 Configure el método de autenticación Kerberos.


Habilitar autenticación de KDC Seleccione esta casilla para permitir que los usuarios inicien sesión condispositivos iOS compatibles con la autenticación de Kerberos.

Territorio El valor de territorio es de solo lectura. El dominio introducido aquí es el nombrede territorio de Identity Manager de su arrendatario.

Certificados de CA intermedio y raíz Cargue el archivo del certificado del emisor de la autoridad de certificación. Elformato del archivo puede ser PEM o DER.

DN de sujeto del certificado de CAcargado

El contenido del archivo del certificado cargado se muestra aquí. Se puedecargar más de un archivo y cualquier certificado incluido en la lista o agregado aella.

Habilitar OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.



Cargue el certificado OCSP de quien responde.

Cuando utiliza la autoridad de certificación de AirWatch, el certificado emisor seutiliza como el certificado OCSP. Cargue también aquí el certificado de AirWatch.

DN de sujeto del certificado de firmade quien responde de OCSP

El archivo del certificado OCSP cargado se muestra aquí.

Mensaje de cancelación Cree un mensaje personalizado de inicio de sesión que se muestre cuando elproceso de autenticación tarde demasiado. Si no crea un mensaje personalizado,el mensaje predeterminado es Attempting to authenticate yourcredentials.

Habilitar vínculo de cancelación Cuando el proceso de autenticación tarde demasiado, proporcione a los usuariosla opción de hacer clic en Cancelar para detener el intento de autenticación ycancelar el inicio de sesión.

Cuando el vínculo Cancelar está habilitado. Aparece la opción Cancelar al finaldel mensaje de error de autenticación que se muestra.

URL de servidor de administración dedispositivos empresariales

Introduzca la URL de servidor de administración de dispositivos móviles (MDM)para redirigir a los usuarios cuando se haya denegado el acceso debido a que eldispositivo no está inscrito en AirWatch para la administración de MDM. EstaURL se muestra en el mensaje de error de autenticación. Si no introduce unadirección URL aquí, se muestra el mensaje de acceso denegado genérico.



n Asocie el método de autenticación SSO móvil (para iOS) en el proveedor de identidades integrado.

n Configure la regla de la directiva de acceso predeterminada de la autenticación de Kerberos para losdispositivos iOS. Asegúrese de que este método de autenticación es el primer método configuradoen la regla.

n Acceda a la consola de administración de AirWatch, configure el perfil del dispositivo iOS enAirWatch y agregue el certificado emisor del certificado del servidor KDC desdeVMware Identity Manager.


VMware, Inc. 75

Configurar la autenticación de SSO móvil para Android en el proveedor deidentidades integradoPara proporcionar un inicio de sesión único en los dispositivos Android administrados con AirWatch, debeconfigurar el SSO de dispositivos móviles para la autenticación de Android en el proveedor deidentidades integrado de VMware Identity Manager.

Prerequisitos





Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Haga clic en el proveedor de identidades etiquetado como Integrado.

3 Compruebe que la configuración de los usuarios y las redes en el proveedor de identidadesintegrado sea correcta.

Si no es así, modifique las secciones de los usuarios y las redes según sea necesario.

NOTA: El rango de red utilizado en la regla de directiva del SSO móvil para Android debe estarformado solo por las direcciones IP usadas para recibir respuestas del servidor proxy de VMwareTunnel.

4 En la sección Métodos de autenticación, haga clic en el icono de la rueda dentada SSO móvil (paraAndroid).

5 En la página ertProxyAuthAdapter, configure el método de autenticación.


Habilitar adaptador de certificado Seleccione esta casilla para habilitar el SSO móvil para Android.

Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados. El formato delarchivo puede ser PEM o DER.

DN de sujeto del certificado de CAcargado

El contenido del archivo del certificado cargado se muestra aquí.


Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuario.


VMware, Inc. 76


Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados. Escriba el número de ID de objeto (OID) para lapolítica de emisión de certificados. Haga clic en Añadir otro valor para añadirmás OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.Esto impide la autenticación de los usuarios con certificados de usuariorevocados.



Habilitar revocación con OCSP Active esta casilla para usar el protocolo de validación de certificados Protocolode estado de certificados en línea (Online Certificate Status Protocol, OCSP)para obtener el estado de revocación de un certificado.





Escriba la ruta del certificado OCSP para el quien responde. Introdúzcalacomo /path/to/file.cer

Habilitar vínculo de cancelación Cuando la autenticación esté tardando mucho tiempo y si este vínculo estáhabilitado, los usuarios pueden hacer clic en Cancelar para detener el intento deautenticación y cancelar el inicio de sesión.

Mensaje de cancelación Cree un mensaje personalizado que se muestre cuando el proceso deautenticación tarde demasiado. Si no crea un mensaje personalizado, el mensajepredeterminado es Attempting to authenticate your credentials.


7 Haga clic en Guardar en la página del proveedor de identidades integrado.


Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android.

Configurar el proveedor de identidades integradoPuede configurar varios proveedores de identidades integrados y asociar métodos de autenticación quese hayan configurado en Administración de acceso e identidad > Administrar > página Métodos deautenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.


VMware, Inc. 77

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.


Nombre del proveedor de identidades Introduzca el nombre de esta instancia del proveedor de identidades integrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.Seleccione los rangos de redes para los usuarios en función de las direcciones IPque desea dirigir a esta instancia del proveedor de identidades para laautenticación.

Métodos de autenticación Se muestran los métodos de autenticación que están configurados en el servicio.Seleccione la casilla de los métodos de autenticación que se asociarán a esteproveedor de identidades integrado.

Para el Cumplimiento normativo del dispositivo (con AirWatch) y la Contraseña(AirWatch Connector), asegúrese de que esta opción está habilitada en la páginade configuración de AirWatch.



Configure la regla de directiva de acceso predeterminada para agregar la directiva de autenticación a laregla. Consulte Configurar la regla de directiva de acceso

Utilizar el conector de salida para realizar la autenticación enproveedores de identidades integradosUn proveedor de identidades integrado puede configurarse para que ofrezca métodos de autenticaciónque no necesiten ningún conector instalado con un firewall. El conector se instala en el modo deconexión saliente y no necesita que el puerto 443 del firewall de entrada esté abierto.

El conector establece una conexión de solo salida (a través de WebSockets) con el servicio en la nube yrecibe solicitudes de autenticación a través de este canal.

Los métodos de autenticación que están configurados en un conector implementado detrás de DMZ enun modo de conexión de solo salida pueden asociarse al proveedor de identidades cuando configure unproveedor de identidades integrado.

Se pueden configurar los siguientes métodos de autenticación del conector.

n Contraseña (implementación en la nube)

n Autenticación adaptativa de RSA (implementación en la nube)

n RSA SecurID (implementación en la nube)

n RADIUS (implementación en la nube)

Después de configurar los métodos de autenticación, puede crear directivas de acceso que se apliquen aestos métodos de autenticación.


VMware, Inc. 78

Configurar un proveedor de identidades integrado con métodosde autenticación configurados en un conector de solo salidaLos métodos de autenticación que están configurados en un conector implementado detrás de DMZ enun modo de conexión de solo salida pueden asociarse al proveedor de identidades integrado cuando loconfigure.

Prerequisitos

n Los usuarios y los grupos que se ubican en un directorio empresarial deben sincronizarse en eldirectorio de VMware Identity Manager.

n Indica los rangos de redes que se desea dirigir hacia la instancia del proveedor de identidadesintegrado para la autenticación.

n Para habilitar los métodos de autenticación desde el proveedor de identidades integrado, asegúresede que los métodos de autenticación están configurados en el conector.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.

2 Seleccione el proveedor de identidades con la etiqueta Integrado y configure sus detalles.


Nombre del proveedor de identidades Introduzca el nombre de esta instancia del proveedor de identidades integrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.Seleccione los rangos de redes para los usuarios en función de las direcciones IPque desea dirigir a esta instancia del proveedor de identidades para laautenticación.

Métodos de autenticación Se muestran los métodos de autenticación que están configurados enAdministración de acceso e identidad > Administrar > página Métodos deautenticación. Seleccione la casilla de verificación de los métodos deautenticación para asociarlos al proveedor de identidades.

Para el Cumplimiento normativo del dispositivo (con AirWatch) y la Contraseña(AirWatch Connector), asegúrese de que esta opción está habilitada en la páginade configuración de AirWatch.

Conector(es) Selecciona el conector que está configurado en modo de conexión de solo salida.

Métodos de autenticación del conector En esta sección aparecen los métodos de autenticación configurados en elconector. Active esta casilla para asociar los métodos de autenticación.

3 Si se utiliza autenticación integrada Kerberos, descargue el certificado del emisor KDC que se va a

utilizar en la configuración de AirWatch del perfil de administración de dispositivos iOS.



VMware, Inc. 79

Habilitar la experiencia de fábrica de Workspace ONE endispositivos Dell Windows 10Cuando los usuarios reciben un nuevo dispositivo Dell® Windows 10 con el aprovisionamiento deexperiencia de fábrica (OOBE) habilitado en el Servicio de Aprovisionamiento de AirWatch Windows 10,la aplicación Workspace ONE puede configurarse para abrirse de forma automática y distribuiraplicaciones al dispositivo.

Para proporcionar esta OOBE con la aplicación Workspace ONE, debe habilitar el método deautenticación de token de acceso externo como parte de la integración de AirWatch. Luego se habilita elmétodo de autenticación en el proveedor integrado, y usted crea una regla de directiva de acceso parautilizar el método de autenticación de token de acceso externo.

La OOBE de Workspace ONE ejecuta la aplicación Workspace ONE sin necesidad de que los usuariosintroduzcan sus credenciales de inicio de sesión una segunda vez. Si este método de autenticación noestá habilitado, los usuarios deben iniciar sesión en Workspace ONE además de iniciar sesión en eldispositivo durante el proceso de registro de Windows.

NOTA: Otros servicios que deben estar configurados para la OOBE en dispositivos Dell Windows 10incluyen el servicio de aprovisionamiento de AirWatch para Windows 10 y la federación con ActiveDirectory de Microsoft Azure. Consulte la Guía de la plataforma de escritorio de Windows de AirWatch eintroducción a la inscripción en escritorios de Windows y el servicio de aprovisionamiento de Windows 10para obtener detalles sobre la configuración de los servicios de aprovisionamiento.

Activar el token de acceso externo como método deautenticaciónEn VMware Identity Manager, el método de autenticación de token de acceso externo es único para laintegración de AirWatch y es obligatorio para el inicio de sesión único (SSO) y para la activación de laexperiencia de fábrica (OOBE) en Workspace ONE en dispositivos Windows 10.

Prerequisitos

Cuando se utiliza la autenticación de token de acceso externo de AirWatch, el componente AirWatchCloud Connector de VMware Enterprise Systems Connector debe estar implementado y configurado.

n Autenticación de token de acceso externo habilitada en la página de AirWatch en la pestañaAdministración de acceso e identidad.

n Servicio de Microsoft Azure Active Directory configurado.

n Servicio de aprovisionamiento de AirWatch para dispositivos Windows 10 configurado.

La configuración del token de acceso externo es de solo lectura y se basa en la configuración deAirWatch en VMware Identity Manager. La excepción es el campo de duración del token.


VMware, Inc. 80

Procedimiento

1 Para revisar y administrar la configuración, en la pestaña Administración de acceso e identidad,seleccione Métodos de autenticación.

2 En la columna Token de acceso externo de AirWatch Configurar, haga clic en el icono del lápiz.

3 Revise la configuración.


Habilitar token de acceso externo deAirWatch

Esta casilla de verificación se habilita en la página de AirWatch.


Se rellena automáticamente con la dirección URL de AirWatch.





Tiempo de vida del token de accesoexterno de AirWatch en segundos

El token de acceso se utiliza para validar la autenticación con VMware IdentityManager. Los tokens de acceso tienen una duración limitada. El tiempoconfigurado es el tiempo máximo durante el cual el token de acceso es válido. Laduración del token puede editarse y su valor predeterminado es 600 segundos,que equivale a 10 minutos.

Si caduca el token de acceso, se solicita a los usuarios que se autentiquen denuevo en la aplicación Workspace ONE.



Asocie el método de autenticación de token de acceso externo de AirWatch en el proveedor de identidadintegrado. Consulte Configurar el proveedor de identidades integrado

Después de que el token de acceso externo de AirWatch se asocie con el proveedor de identidadintegrado, cree una regla de directiva de acceso para utilizar este método de autenticación. Consulte Crear la directiva de acceso para el proceso de experiencia de fábrica de Workspace ONE.

Configurar proveedores de identidades adicionales deWorkspaceCuando el conector de VMware Identity Manager está configurado inicialmente, al habilitar el conectorpara autenticar usuarios, se crea un IDP de Workspace como proveedor de identidades y se habilita laautenticación con contraseña.

Se pueden configurar conectores adicionales detrás de distintos equilibradores de carga. Si el entornoincluye más de un equilibrador de carga, se puede configurar un proveedor de identidades de Workspacedistinto para la autenticación en cada configuración con equilibrio de carga. Consulte los temas relativosa la instalación de dispositivos de conector adicionales en la guía para la instalación y configuración deVMware Identity Manager.


VMware, Inc. 81

Los distintos proveedores de identidades de Workspace se pueden asociar al mismo directorio o, si sehan configurado varios, se puede seleccionar el que se desee utilizar.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP de Workspace.

3 Edite los parámetros de la instancia del proveedor de identidades.


Nombre del proveedor de identidades Escriba un nombre para la instancia del proveedor de identidades de Workspace.

Usuarios Seleccione el directorio de VMware Identity Manager de los usuarios que puedenautenticarse con este proveedor de identidades de Workspace.

Conector(es) Se indican los conectores que no están asociados al directorio seleccionado.Seleccione el conector que se va a asociar al directorio.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.

Seleccione los rangos de redes para los usuarios en función de sus direccionesIP que desea dirigir a esta instancia de proveedor de identidades para laautenticación.


Configurar una instancia de proveedor de identidades deterceros para autenticar usuariosPuede configurar un proveedor de identidades externo que se use para autenticar usuarios en el serviciode VMware Identity Manager.

Realice las siguientes tareas antes de poder utilizar la instancia para agregar un proveedor deidentidades de terceros.

n Verifique que las instancias de terceros sean compatibles con SAML 2.0 y que el servicio puedaacceder a la instancia de terceros.

n Obtenga la información de metadatos externa adecuada para agregarla cuando configure elproveedor de identidades en la consola de administración. La información de los metadatos queobtenga de la instancia externa será la URL a los metadatos o los metadatos reales.

Agregar y configurar una instancia de proveedor de identidadesAl agregar y configurar instancias de proveedores de identidades para la implementación deVMware Identity Manager, se puede conseguir alta disponibilidad, compatibilidad con métodos deautenticación de usuario adicionales y una mayor flexibilidad en la manera de administrar los procesosde autenticación de usuarios en función de los rangos de direcciones IP.


VMware, Inc. 82

Prerequisitos

n Acceda al documento de metadatos de terceros. Puede ser la dirección URL de los metadatos o lospropios metadatos.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneProveedores de identidades.

2 Haga clic en Agregar proveedor de identidades.

3 Edite los parámetros de la instancia del proveedor de identidades.

Elemento delformulario Descripción

Nombre del proveedorde identidades

Escriba un nombre para la instancia del proveedor de identidades.

Enlace de SAML Seleccione la forma en que se debe enviar AuthnRequest, ya sea mediante HTTP POST oredireccionamiento HTTP.

El redireccionamiento HTTP es la opción predeterminada.

Metadatos SAML Agregue el documento de metadatos basado en XML del proveedor de identidades externo paraestablecer una relación de confianza con el proveedor de identidades.

1 Escriba la dirección URL de los Metadatos SAML o bien el contenido xml en el cuadro detexto.

2 Haga clic en Procesar metadatos del IDP. Los formatos de NameID compatibles con elIDP se extraen de los metadatos y se añaden a la tabla Formato de ID de nombre.

3 En la columna de Valor de ID de nombre, seleccione el atributo de usuario del servicio paraasignarlo a los formatos de ID que aparecen. Puede agregar formatos de ID de nombrepersonalizados de terceros y asignarlos a los valores de atributos de usuario del servicio.

4 (Opcional) Seleccione el formato de cadena de identificador de respuesta NameIDPolicy.

Aprovisionamiento Just-in-Time

N/A

Usuarios Seleccione el Otro directorio que incluye los usuarios que pueden autenticarse con esteproveedor de identidades.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.

Seleccione los rangos de redes para los usuarios en función de sus direcciones IP que deseadirigir a esta instancia de proveedor de identidades para la autenticación.

Métodos deautenticación

Agregue los métodos de autenticación que admite el proveedor de identidades de terceros.Seleccione la clase de contexto de autenticación SAML compatible con el método deautenticación.


VMware, Inc. 83


Configuración de cierrede sesión único

Habilite el cierre de sesión único para cerrar la sesión del usuario y de su proveedor deidentidades al mismo tiempo. Si esta opción no está habilitada, la sesión del proveedor deidentidades seguirá activa cuando el usuario cierre sesión.

(Opcional) Si el proveedor de identidades es compatible con el perfil de cierre de sesión únicoSAML, habilítelo y deje el cuadro de texto URL de redireccionamiento en blanco. Si elproveedor de identidades no es compatible con el perfil de cierre de sesión único SAML,habilítelo e introduzca la URL de cierre de sesión del proveedor de identidades a la que seredirigen los usuarios al cerrar la sesión en VMware Identity Manager.

Si configuró la URL de redireccionamiento y desea volver a enviar a los usuarios a la página deinicio de sesión de VMware Identity Manager después de redirigirlos a la URL de cierre desesión del proveedor de identidades, introduzca el nombre del parámetro utilizado por la URL deredireccionamiento del proveedor de identidades.

Certificado de firmaSAML

Haga clic en Metadatos del proveedor de servicios (SP) para ver la dirección URL de losmetadatos del proveedor de servicios de SAML de VMware Identity Manager. Copie la direcciónURL y guárdela. Esta dirección URL se configura al editar la aserción de SAML en el proveedorde identidades de terceros para asignar usuarios de VMware Identity Manager.

Nombre de host de IdP Si aparece el cuadro de texto Nombre de host, escriba el nombre del host al que seredireccionará el proveedor de identidades para la autenticación. Si utiliza un puerto no estándardistinto del 443, puede definir el nombre del host con el formato Nombredehost:Puerto. Porejemplo, miemp.ejemplo.com:8443.



n Edite la configuración del proveedor de identidades externo para agregar la URL del certificado defirma SAML que se guardó.

Administrar métodos de autenticación que se apliquen alos usuariosEl servicio de VMware Identity Manager intenta autenticar a los usuarios basándose en los métodos deautenticación, la directiva de acceso predeterminada, los rangos de redes y las instancias de proveedorde identidades que configure.

Una regla de directiva también puede configurarse para que deniegue el acceso a los usuarios según eltipo de intervalo y dispositivo de red.

Cuando los usuarios tratan de iniciar sesión, el servicio evalúa las reglas de la directiva de accesopredeterminada para seleccionar qué regla aplicar a la directiva. Los métodos de autenticación seaplican en el orden en el que se muestran en la regla. Se selecciona la primera instancia del proveedorde identidades que reúna los requisitos del método de autenticación y del rango de redes de la regla. Lasolicitud de autenticación de usuario se reenvía a la instancia del proveedor de identidades para suautenticación. Si se produce un error en la autenticación, se aplicará el siguiente método deautenticación configurado en la regla.


VMware, Inc. 84

Por ejemplo, puede configurar una regla que solicite a los usuarios que inicien sesión desde dispositivosiOS y desde una red específica para autenticarse con RSA SecurID. A continuación, configure otra reglaque solicite a los usuarios que inicien sesión con otro tipo de dispositivo desde una dirección IP de redinterna autenticarse con su contraseña.

Agregar o editar un rango de redesCree rangos de redes para definir las direcciones IP desde las que los usuarios pueden iniciar sesión.Los rangos de redes que cree se añaden a las instancias específicas de proveedor de identidades y a lasreglas de directivas de acceso.

Se crea un rango de redes denominado ALL RANGES, que pasa a ser el predeterminado. Este rango deredes incluye todas las direcciones IP disponibles en Internet, de 0.0.0.0 a 255.255.255.255. Si suimplementación cuenta con una única instancia del proveedor de identidades, puede cambiar el rango dedirecciones IP y agregar otros rangos para incluir o excluir direcciones IP específicas en el rango deredes predeterminado. Puede crear otros rangos de redes con direcciones IP específicas que podráaplicar para una finalidad concreta.

NOTA: El rango de redes predeterminado ALL RANGES y su descripción "a network for all ranges" sepueden editar. Puede editar el nombre y la descripción, y cambiar el idioma del texto por uno diferente,mediante la función Editar de la página Rangos de redes.

Prerequisitos

n Defina rangos de redes para su implementación de VMware Identity Manager basándose en sutopología de la red.

Procedimiento

1 En la pestaña Directivas de la consola de administración, seleccione Rangos de redes.

2 Edite un rango de redes existente o agregue uno nuevo.


Editar un rango existente Haga clic en el nombre del rango de redes para editarlo.

Agregar un rango Haga clic en Agregar rango de redes para añadir un nuevo rango.

3 Habilite la página Agregar rango de redes.

Elemento del formulario Descripción

Nombre Especifique un nombre para el rango de redes.

Descripción Especifique una descripción para el rango de redes.

Rangos de IP Edite o agregue rangos de IP hasta que se incluyan todas las direcciones IP deseadas y seexcluyan las no deseadas.


n Asocie cada rango de redes con una instancia de proveedor de identidades.


VMware, Inc. 85

n Asocie los rangos de redes con la regla de directivas de acceso según sea necesario. Consulte Capítulo 7 Administrar directivas de acceso.

Aplicar la política de acceso predeterminadaEl servicio de VMware Identity Manager incluye una directiva de acceso predeterminada que controla elacceso del usuario a sus portales de Workspace ONE y sus aplicaciones web. Puede editar la directivapara cambiar sus reglas en caso de ser necesario.

Al habilitar métodos de autenticación distintos a la autenticación con contraseña, debe editar la directivapredeterminada para añadir el método de autenticación habilitado a las reglas de la directiva.

Todas las reglas de la directiva de acceso predeterminada deben cumplir con un conjunto de criteriospara permitir que los usuarios accedan a las aplicaciones en el portal. Puede aplicar un rango de redes,seleccionar el tipo de usuario que puede acceder al contenido y los métodos de autenticación que deseeutilizar. Consulte Capítulo 7 Administrar directivas de acceso.

El número de intentos del servicio para iniciar la sesión de un usuario mediante un determinado métodode autenticación varía. El servicio solo realiza un intento de autenticación de Kerberos o de certificado. Siel intento de iniciar la sesión de un usuario no se lleva a cabo, se intenta con el siguiente método deautenticación de la regla. De manera predeterminada, está configurado en cinco el máximo número deintentos de inicio de sesión con errores para la contraseña Active Directory y la autenticación RSASecurID. Cuando un usuario alcanza cinco intentos de inicio de sesión fallidos, el servicio trata de iniciarla sesión del usuario con el método de autenticación que aparece a continuación en la lista. Cuando sehayan agotado todos los métodos de autenticación, el servicio emitirá un mensaje de error.

Aplicar métodos de autenticación a reglas de políticasEl único método de autenticación configurado en las reglas de la directiva predeterminada es el decontraseña. Debe editar las reglas de la directiva para seleccionar los otros métodos de autenticaciónque configuró y establecer el orden en que se usan para la autenticación.

Consulte Establecer la configuración de la directiva de acceso para conocer más sobre la configuraciónde reglas de directivas.

Prerequisitos

Habilite y configure los métodos de autenticación que su organización admita. Consulte Capítulo 6Configurar la autenticación de usuario de VMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en Editar directiva predeterminada y, a continuación, haga clic en Siguiente.


VMware, Inc. 86

3 Seleccione el nombre de regla para editar en la columna Rango de redes o, para agregar una nuevaregla de directiva, haga clic en Agregar regla de directiva.

a Compruebe que el rango de redes sea el correcto. Si va a agregar una nueva regla, seleccione elrango de redes para esta regla de directiva.

b Seleccione el dispositivo que administrará esta regla en el menú desplegable y el usuario queaccede al contenido desde.

c Si esta regla de acceso se va a aplicar a grupos específicos, busque los grupos en el cuadro debúsqueda y el usuario pertenece a los grupos.

Si no selecciona un grupo, la directiva de acceso se aplicará a todos los usuarios.

d Seleccione Autenticar mediante... en el menú desplegable A continuación, realice estaacción.

e Configure el orden de autenticación. En el menú desplegable entonces el usuario debeautenticarse con, seleccione el método de autenticación que se aplicará en primer lugar.

Para solicitar que los usuarios se autentiquen mediante dos métodos de autenticación, haga clicen + en el menú desplegable y seleccione el segundo método.

f Para configurar los métodos de autenticación de reserva adicionales, en el menú desplegable Siel método anterior falla o no es aplicable, a continuación: , seleccione otro método deautenticación habilitado.

Puede agregar varios métodos de autenticación de reserva a una regla.

g En el menú desplegable Volver a autenticar después de:, seleccione el tiempo de duración dela sesión después del cual los usuarios deben volver a autenticarse.

h (Opcional) En Propiedades avanzadas, cree un mensaje de error personalizado de accesodenegado que se muestre cuando falle la autenticación del usuario. Puede usar hasta 4000caracteres, unas 650 palabras. Si desea enviar a los usuarios a otra página, introduzca ladirección del vínculo en el cuadro de texto URL del vínculo de error personalizado. En elcuadro de texto Texto del vínculo de error personalizado, introduzca el texto para describir elvínculo de error personalizado. Este texto es el vínculo. Si deja este cuadro de texto en blanco,se mostrará la palabra Continuar como vínculo.

i Haga clic en Guardar.

4 Haga clic en Siguiente para revisar las reglas y, a continuación, haga clic en Guardar.

Crear la directiva de acceso para el proceso de experiencia defábrica de Workspace ONEPara establecer la experiencia de fábrica de Workspace ONE (OOBE) después de que el token deacceso externo está habilitado y se haya agregado al proveedor de identidad integrado, debe agregar elmétodo de autenticación de token de acceso externo al conjunto de directivas de accesopredeterminado.


VMware, Inc. 87

Procedimiento


2 Haga clic en Editar directiva predeterminada y, a continuación, haga clic en Siguiente.

3 Seleccione la fila en la que figura la aplicación Workspace ONE en la columna Tipo de dispositivo.

Si la regla de la aplicación Workspace ONE no aparece, haga clic en Agregar regla de directiva.

4 Seleccione los métodos de autenticación que se usan para acceder al contenido desde la aplicaciónWorkspace ONE.

Enumere el método de autenticación de token de acceso externo como el último método de reservaen la regla. Cuando se detecte el token de acceso externo en la solicitud de autenticación, serespetará el método de autenticación. No se detecta ningún otro método de autenticación despuésdel token de acceso externo.

5 Haga clic en Siguiente para revisar la configuración.


Figura 6‑1.

7 En la página Configuración, revise el orden de las reglas en la lista de reglas. Si la regla deaplicación Workspace ONE no es la primera regla de la lista de directivas de accesopredeterminadas, arrastre la regla para que sea la primera fila de la lista.

La aplicación Workspace ONE debe ser la primera regla de la lista de reglas de directiva de accesopredeterminada.



VMware, Inc. 88

9 Revise la página Resumen y haga clic en Guardar.


VMware, Inc. 89

Administrar directivas deacceso 7Para proporcionar acceso seguro al portal de aplicaciones de los usuarios y para iniciar aplicaciones deescritorio y web, configure directivas de acceso. Las directivas de acceso incluyen reglas que especificanlos criterios que se deben cumplir para iniciar sesión en el portal de aplicaciones y utilizar los recursos.

Las reglas de directivas asignan la dirección IP que realiza la solicitud a rangos de redes y designan eltipo de dispositivos que pueden usar los usuarios para iniciar sesión. Las reglas definen los métodos deautenticación y el número de horas durante las que será válida la autenticación. Puede seleccionar uno ovarios grupos para asociarlos con la regla de acceso.

El servicio de VMware Identity Manager incluye una directiva predeterminada que controla el acceso alservicio en su totalidad. Esta directiva se configura para permitir el acceso a todos los rangos de redes,desde todos los tipos de dispositivos, para todos los usuarios. El tiempo de espera de la sesión es deocho horas y el método de autenticación es la autenticación con contraseña. Puede editar la directivapredeterminada.

NOTA: Las directivas no controlan el tiempo que dura una sesión de aplicación, sino que controlan eltiempo del que disponen los usuarios para iniciar una aplicación.


n Establecer la configuración de la directiva de acceso

n Administrar las directivas específicas de aplicaciones de escritorio y web

n Agregar una directiva específica de aplicaciones de escritorio y web

n Configurar el mensaje de error personalizado de acceso denegado

n Editar la directiva de acceso predeterminada

n Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch

n Habilitación de cookies persistentes en dispositivos móviles

Establecer la configuración de la directiva de accesoUna directiva contiene una o más reglas de acceso. Cada regla consta de opciones que puede configurarpara administrar el acceso de los usuarios a todo el portal de Workspace ONE o a las aplicaciones deescritorio y web específicas.

VMware, Inc. 90

Se puede configurar una regla de directiva para realizar acciones como bloquear, permitir o autenticar aun nivel superior los usuarios en función de condiciones como la red, el tipo de dispositivo, la inscripciónde dispositivos de AirWatch y el estado de cumplimiento, o la aplicación a la que se desea obteneracceso. Es posible agregar grupos a una directiva para administrar la autenticación en gruposespecíficos.

Rango de redesPara cada regla, determine la base de usuarios especificando un rango de redes. Un rango de redesestá compuesto por uno o varios rangos de IP. Los rangos de redes se crean en la pestañaAdministración de acceso e identidades, dentro de la página Configuración > Rangos de redes antes deconfigurar los grupos de directivas de acceso.

Cada instancia del proveedor de identidades de su implementación vincula rangos de redes con métodosde autenticación. Cuando configure una regla de política, asegúrese de que el rango de redes quedecubierto por una instancia de proveedor de identidades existente.

Puede configurar rangos de redes concretos para restringir desde dónde pueden iniciar sesión losusuarios y acceder a sus aplicaciones.

Tipo de dispositivoSeleccione el tipo de dispositivo que administra la regla. Los tipos de cliente son Navegador web,Aplicación Workspace ONE, iOS, Android, Windows 10, Mac OS X y Todos los tipos de dispositivos.

Puede configurar reglas para designar qué tipo de dispositivo puede acceder al contenido y todas lassolicitudes de autenticación que provienen de dicho tipo de dispositivo utilizarán la regla de la directiva.

Agregar gruposPuede aplicar diferentes directivas para la autenticación basada en la afiliación de un usuario a un grupo.Para asignar grupos de usuarios que inicien sesión a través de un flujo de autenticación específico,puede agregar grupos a la regla de directiva de acceso. Los grupos pueden ser grupos sincronizados deldirectorio empresarial y grupos locales creados en la consola de administración. Los nombres de grupodeben ser únicos dentro de un dominio.

Para utilizar grupos en las reglas de directiva de acceso, seleccione un identificador único de la páginaAdministración de acceso e identidad > Preferencias. Se debe asignar el atributo de identificador únicoen la página Atributos de usuario y se debe sincronizar el atributo seleccionado con el directorio. Elidentificador único puede ser un nombre de usuario, una dirección de correo electrónico, UPN o ID deempleado. Consulte Experiencia de inicio de sesión con identificador único.

Cuando se utilizan grupos en una regla de directiva de acceso, la experiencia de inicio de sesión para elusuario cambia. En lugar de solicitar a los usuarios que seleccionen su dominio y, a continuación,escriban sus credenciales, se muestra una página donde se les solicita especificar su identificador único.VMware Identity Manager busca el usuario en la base de datos interna, según el identificador único, ymuestra la página de autenticación configurada en esa regla.


VMware, Inc. 91

Cuando no se selecciona un grupo, la regla de directiva de acceso se aplica a todos los usuarios. Alconfigurar reglas de directiva de acceso donde se incluyen reglas basadas en grupos y una regla paratodos los usuarios, asegúrese de que la regla designada para todos los usuarios sea la última reglaenumerada en la sección Reglas de directiva de la directiva.

Métodos de autenticaciónEn la regla de la directiva, debe establecer el orden en el que se aplican los métodos de autenticación.Los métodos de autenticación se aplican en el orden en que se muestran. Se selecciona la primerainstancia del proveedor de identidades que cumple la configuración del rango de red y del método deautenticación de la directiva. La solicitud de autenticación del usuario se reenvía a la instancia delproveedor de identidades para la autenticación. En caso de error de autenticación, se selecciona elsiguiente método de autenticación de la lista.

Duración de la sesión de autenticaciónPara cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valorVolver a autenticar después de: determina el tiempo que los usuarios tienen desde el último evento deautenticación para acceder a su portal o iniciar una aplicación concreta. Por ejemplo, el valor 4 en unaregla de aplicación web proporciona a los usuarios cuatro horas para iniciar la aplicación web, a menosque inicien otro evento de autenticación que prolongue la duración.

Mensaje de error personalizado de acceso denegadoCuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas,la configuración no es correcta o se produce un error en el sistema, se mostrará un mensaje de accesodenegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se hanencontrado métodos de autenticación válidos.

Puede crear un mensaje de error personalizado para cada regla de la directiva de acceso para anular elmensaje predeterminado. El mensaje personalizado puede incluir texto y un vínculo de un mensaje dellamada a la acción. Por ejemplo, en la regla de la directiva para dispositivos móviles que deseeadministrar, puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesióndesde un dispositivo que no esté registrado. Registre su dispositivo para acceder a losrecursos corporativos. Para ello, haga clic en el vínculo que encontrará al final de

este mensaje. Si su dispositivo ya está registrado, póngase en contacto con el

equipo de soporte técnico para obtener ayuda.

Administrar las directivas específicas de aplicaciones deescritorio y webCuando agregue aplicaciones de escritorio y web al catálogo, puede crear directivas de accesoespecíficas de aplicaciones. Por ejemplo, puede crear una directiva con reglas para una aplicación webque especifique las direcciones IP que tienen acceso a la aplicación, los métodos de autenticación quese deben usar y el tiempo que debe pasar hasta que sea necesaria una nueva autenticación.


VMware, Inc. 92

La siguiente política específica de aplicaciones web proporciona un ejemplo de política que puede crearpara controlar el acceso a aplicaciones web especificadas.

Ejemplo 1 Directiva estricta específica de aplicaciones webEn este ejemplo, se crea una nueva directiva y se aplica a una aplicación web confidencial.

1 Para acceder al servicio desde fuera de la red empresarial, es necesario que el usuario inicie sesióncon RSA SecurID. Después de iniciar sesión con un navegador, el usuario ya puede acceder al portalde aplicaciones durante una sesión de cuatro horas, el tiempo que permite la regla de accesopredeterminada.

2 Una vez transcurridas las cuatro horas, el usuario intenta iniciar una aplicación web con el conjuntode directivas de aplicaciones web aplicadas.

3 El servicio comprueba las reglas de la directiva y la aplica con el rango de redes TODOS LOSRANGOS, ya que la solicitud del usuario procede de un navegador web y de este rango de redes.

El usuario inició la sesión mediante el método de autenticación RSA SecurID, pero la sesión acabade finalizar. Se redirige al usuario para que haya reautenticación. La nueva autenticación proporcionaal usuario otra sesión de cuatro horas y la posibilidad de iniciar la aplicación. Durante las próximascuatro horas, el usuario puede seguir ejecutando la aplicación sin necesidad de volver aautenticarse.


VMware, Inc. 93

Ejemplo 2 Directiva más estricta específica de aplicaciones webPara aplicar una regla más estricta en aplicaciones extremadamente confidenciales, puede solicitar quese vuelva a realizar la autenticación con SecurId en todos los dispositivos transcurrida una hora. Elsiguiente es un ejemplo de cómo se implementa este tipo de regla de directiva de acceso.

1 El usuario inicia la sesión desde dentro de la red empresarial mediante el método de autenticaciónKerberos.

El usuario ya puede acceder al portal de aplicaciones durante ocho horas, como se establece en elejemplo 1.

2 El usuario intenta iniciar inmediatamente una aplicación web con la regla de la directiva del Ejemplo2 aplicada, que requiere autenticación RSA SecurID.

3 Se redirige al usuario a la página de inicio de sesión con autenticación RSA SecurID.

4 Después de que el usuario inicia la sesión correctamente, el servicio inicia la aplicación y guarda elevento de autenticación.

El usuario puede seguir ejecutando esta aplicación durante una hora, pero transcurrido este tiempose le solicita una nueva autenticación, según lo establecido por la regla de la directiva.


VMware, Inc. 94

Agregar una directiva específica de aplicaciones deescritorio y webSe pueden crear directivas específicas de aplicaciones para administrar el acceso de los usuarios adeterminadas aplicaciones de escritorio y web.

Prerequisitos

n Configure los métodos de autenticación apropiados para su implementación.

n Si tiene previsto editar la directiva predeterminada (para controlar el acceso de usuarios al serviciode manera global), configúrela antes de crear la directiva específica de la aplicación.

n Agregue las aplicaciones web y de escritorio al catálogo. Debe aparecer al menos una aplicación enla página Catálogo para poder agregar una directiva específica de la aplicación.

Para agregar directivas de acceso para la autenticación heredada de los clientes de Office 365, configurelas directivas de acceso de cliente en la aplicación de Office 365 desde la página del catálogo. Consultela guía Integración de VMware Identity Manager con Office 365.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en Agregar directiva.

3 Añada un nombre y una descripción a la directiva en los cuadros de texto correspondientes.

4 En la sección Se aplica a, escriba la aplicación en el cuadro de texto Buscar y seleccione lasaplicaciones para asociar con esta directiva.


6 Haga clic en Agregar regla de directiva para agregar una regla.

Aparece la página Agregar una regla de directiva.

a Seleccione el rango de redes que se aplicará a esta regla.

b Seleccione el tipo de dispositivo que podrá acceder a las aplicaciones de esta regla.

c Seleccione los métodos de autenticación que se utilizarán en el orden en que deberán aplicarse.

d Especifique el número de horas que puede permanecer abierta la sesión de la aplicación.

e Haga clic en Guardar.

7 Configure otras reglas según crea conveniente.



VMware, Inc. 95

https://www.vmware.com/pdf/vidm-office365-saml.pdf

Configurar el mensaje de error personalizado de accesodenegadoPara cada regla de la directiva, puede creer un mensaje de error personalizado de acceso denegadocuando los usuarios intentan iniciar sesión y se produce un error porque sus credenciales no son válidas.

El mensaje personalizado puede incluir texto y un vínculo a otra URL para ayudar a los usuarios aresolver los problemas que encuentren. Puede utilizar hasta 4000 caracteres (aproximadamente 650palabras).

Procedimiento


2 Seleccione la directiva de acceso que desee editar.

3 Haga clic en Editar y, a continuación, en Siguiente.

4 Seleccionar la regla que se va a editar

5 Haga clic en Propiedades avanzadas y en el cuadro de texto Mensaje de error personalizado,escriba el mensaje de error.

6 Para agregar un vínculo a una dirección URL, en el cuadro de texto Texto del vínculo del errorpersonalizado escriba el mensaje que se muestra como el vínculo que envía a los usuarios a otrapágina cuando se produce un error de autenticación.

El vínculo se muestra al final del mensaje personalizado. Si no agrega texto en el campo Texto delenlace pero agrega una URL, el texto del vínculo que se mostrará es

Continuar.

7 En la URL del vínculo de error personalizado, escriba la dirección URL.

8 Haga clic en Guardar y, a continuación, haga clic en Siguiente y haga clic en Guardar nuevamente.


Cree mensajes de error personalizados para otras reglas de directivas.

Editar la directiva de acceso predeterminadaPuede editar la directiva de acceso predeterminada para cambiar las reglas de la directiva y tambiénpuede editar las directivas específicas de las aplicaciones para agregar o eliminar aplicaciones y cambiarlas reglas de la directiva.

Puede eliminar en cualquier momento una directiva de acceso específica de aplicación. La directiva deacceso predeterminada es permanente. No es posible eliminar la directiva predeterminada.


VMware, Inc. 96

Prerequisitos

n Configure los rangos de redes apropiados para su implementación. Consulte Agregar o editar unrango de redes.

Procedimiento

1 En la pestaña Directivas de la consola de administración, seleccione Editar directivapredeterminada.

2 En la columna Método de autenticación de la sección Reglas de la directiva, seleccione la regla quedesee editar.

Se mostrará la página Editar regla de directivas con la configuración existente.

3 Para configurar el orden de autenticación, en el menú desplegable entonces el usuario debeautenticarse con el siguiente método, seleccione el método de autenticación que se aplicará enprimer lugar.

4 (Opcional) Para configurar un método de autenticación de reserva en caso de que el primero nofuncione, seleccione otro método en el siguiente menú desplegable.

Puede agregar varios métodos de autenticación de reserva a una regla.

5 Haga clic en Guardar y de nuevo en Guardar en la página de las directivas.

La regla de directivas editada será efectiva de inmediato.


Si la directiva es de acceso específica para las aplicaciones, puede también aplicar esta directiva a lasaplicaciones en la página Catálogo. Consulte Agregar una directiva específica de aplicaciones deescritorio y web

Habilitar la comprobación de conformidad paradispositivos administrados por AirWatchCuando los usuarios inscriben sus dispositivos, los datos de ejemplo utilizados para evaluar laconformidad se envían de forma programada. La evaluación de estos datos de ejemplo garantiza que eldispositivo cumple las reglas de conformidad que establece el administrador en la consola de AirWatch.Si el dispositivo no cumple con la conformidad, se llevan a cabo las acciones correspondientes en laconsola de AirWatch.

El servicio VMware Identity Manager incluye una opción de directiva de acceso que se puede configurarpara comprobar el estado de conformidad del dispositivo de servidor de AirWatch cuando los usuariosinician la sesión en el dispositivo. Esta comprobación de conformidad garantiza que los usuarios nopuedan iniciar sesión en una aplicación ni usar un inicio de sesión único en el portal de Workspace ONEsi el dispositivo deja de cumplir las reglas de conformidad. Cuando el dispositivo vuelve a ser conforme,se restaurará la capacidad de iniciar la sesión.


VMware, Inc. 97

La aplicación Workspace ONE cierra sesión automáticamente y bloquea el acceso a las aplicaciones si eldispositivo está en peligro. Si el dispositivo se registró a través de una administración adaptativa, uncomando de borrado empresarial emitido por la consola de AirWatch anula el registro del dispositivo yelimina las aplicaciones administradas desde el dispositivo. Las aplicaciones que no están administradasno se eliminan.

Para obtener más información sobre las directivas de conformidad de AirWatch, consulte la guía deVMware AirWatch Mobile Device Management disponible en el sitio web AirWatch Resources.

Configurar la regla de directiva de accesoPara proporcionar acceso seguro al portal de aplicaciones de Workspace ONE de los usuarios y parainiciar aplicaciones de escritorio y web, configure directivas de acceso. Las directivas de acceso incluyenreglas que especifican los criterios que se deben cumplir para iniciar sesión y utilizar los recursos.

Debe editar las reglas predeterminadas de directiva para seleccionar los métodos de autenticación queconfiguró. Una regla de directiva puede configurarse para autenticar usuarios en función de condicionestales como la red, el tipo de dispositivo, el estado de compatibilidad y registro de dispositivos de AirWatcho la aplicación a la que se va a acceder. Una regla de directiva también puede configurarse para quedeniegue el acceso a los usuarios según el tipo de intervalo y dispositivo de red. Puede agregar grupos auna política para administrar la autenticación de grupos específicos.

Cuando se habilite Comprobación de conformidad, cree una regla de directiva de acceso que solicite laverificación de conformidad del dispositivo y la autenticación de los dispositivos administrados porAirWatch.

La regla de directiva de comprobación de conformidad funciona en una cadena de autenticación con elSSO móvil para iOS, el SSO móvil para Android y la implementación en la nube del certificado. Elmétodo de autenticación que se utilice debe ir delante de la opción de conformidad de dispositivos en laconfiguración de las reglas de la directiva.

Prerequisitos

Los métodos de autenticación deben estar configurados y asociados a un proveedor de identidadesintegrado.

La comprobación de conformidad debe estar habilitada en la página AirWatch de VMware IdentityManager.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en Editar política predeterminada.



VMware, Inc. 98

4 Haga clic en Agregar regla de directiva para agregar una regla o seleccione una regla que deseeeditar.

Aparece la página Agregar una regla de directiva.

a Seleccione el rango de redes que se aplicará a esta regla.

b En el menú desplegable y el usuario que accede al contenido desde, seleccione el tipo dedispositivo móvil.

c En el menú desplegable entonces el usuario debe autenticarse con, seleccione el método deautenticación que se usará.

d Haga clic en + para seleccionar Cumplimiento normativo del dispositivo (con AirWatch)

e Haga clic en Guardar.


Habilitación de cookies persistentes en dispositivosmóvilesHabilite cookies persistentes para proporcionar inicio de sesión único entre el navegador del sistema ylas aplicaciones nativas e inicio de sesión único entre aplicaciones nativas cuando estas aplicacionesusan el Controlador de vistas de Safari en dispositivos con iOS y pestañas personalizadas de Chrome endispositivos con Android.


VMware, Inc. 99

Las cookies persistentes almacenan detalles de la sesión que ha iniciado el usuario para que no tengaque introducir de nuevo sus credenciales al obtener acceso a sus recursos administrados medianteVMware Identity Manager. El tiempo de espera de las cookies se puede configurar en las reglas dedirectivas de acceso que configure para dispositivos con iOS y Android.

NOTA: Las cookies son vulnerables y susceptibles de robo y de sufrir ataques por script entre sitios(XSS, cross site script attacks) en navegadores comunes.

Habilitar cookie persistenteLas cookies persistentes almacenan detalles de la sesión que ha iniciado el usuario para que no tengaque introducir de nuevo sus credenciales al obtener acceso a sus recursos administrados desdedispositivos con iOS o Android.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfigurar > Preferencias.

2 Active Habilitar cookie persistente.



Para establecer el tiempo de espera de la sesión de cookies persistentes, edite el valor para volver aautenticar en las reglas de directivas de acceso para dispositivos con iOS y Android.


VMware, Inc. 100

Administrar usuarios y grupos 8Los usuarios y los grupos del servicio VMware Identity Manager se importan desde su directorioempresarial o se crean como grupos y usuarios locales en la consola administrativa deVMware Identity Manager.

Los usuarios en el servicio VMware Identity Manager pueden ser usuarios sincronizados desde eldirectorio empresarial, usuarios locales que aprovisiona en la consola administrativa o usuariosagregados con el aprovisionamiento Just-In-Time.

Los usuarios importados desde el directorio empresarial se actualizan en el directorio deVMware Identity Manager, de acuerdo con la programación de sincronización del servidor. No se puedeneditar ni eliminar los usuarios que se sincronizan desde Active Directory.

Sin embargo, puede crear grupos y usuarios locales. Los usuarios locales se agregan a un directoriolocal en el servicio. Puede administrar la asignación de atributos de los usuarios locales y las directivasde contraseñas. Puede crear grupos locales para administrar las autorizaciones de recursos para losusuarios.

Los usuarios agregados con el aprovisionamiento Just-In-Time se agregan y se actualizan de formadinámica cuando el usuario inicia sesión, según las aserciones SAML que envía el proveedor deidentidades. Toda la administración de usuarios se realiza mediante aserciones SAML. Para usar elaprovisionamiento Just-In-Time, consulte Capítulo 4 Aprovisionamiento de usuarios Just-in-Time.

Los grupos del servicio VMware Identity Manager pueden ser grupos sincronizados del directorioempresarial y grupos locales que se crearon en la consola administrativa. Los nombres de grupo deActive Directory se sincronizan con el directorio según el programa de sincronización. Los usuarios deestos grupos no se sincronizan con el directorio hasta que un grupo esté autorizado para los recursos ose agregue a las reglas de directivas de acceso. No se pueden editar ni eliminar grupos que sesincronizan desde Active Directory.

En la consola de administración, las páginas Usuarios y Grupos ofrecen una vista del servicio centradaen los usuarios y los grupos. Puede administrar usuarios y grupos, y supervisar las autorizaciones derecursos, las afiliaciones de grupos y los números de teléfono de VMware Verify. Para los usuarioslocales, también puede administrar la directiva de contraseñas.


n Administrar usuarios

n Administración de grupos

VMware, Inc. 101

n Crear usuarios locales

n Administrar contraseñas

n Sincronizar directorio con la correcta información de dominio

Administrar usuariosEn el servicio VMware Identity Manager, los usuarios se identifican de manera única mediante su nombrey dominio. Esto permite tener varios usuarios con el mismo nombre en distintos dominios de ActiveDirectory. Los nombres de usuario deben ser únicos dentro de un dominio.

Antes de configurar el directorio en VMware Identity Manager especifique qué atributos de usuariopredeterminados son obligatorios y añada otros adicionales que desee asignar a los atributos de ActiveDirectory. Los atributos y los filtros que selecciona en Active Directory para asignar a estos atributosdeterminan qué usuarios de Active Directory se sincronizan en el directorio de VMware Identity Manager.Consulte la publicación Integración de directorios con VMware Identity Manager para obtener másinformación sobre la integración de Active Directory con VMware Identity Manager.

El servicio VMware Identity Manager permite tener varios usuarios con el mismo nombre en distintosdominios de Active Directory. Los nombres de usuario deben ser únicos dentro de un dominio. Porejemplo, puede haber un usuario juan en el dominio ing.ejemplo.com, y otro usuario juan en el dominioventas.ejemplo.com.

Los usuarios se identifican de manera única mediante sus nombres de usuario y sus dominios. EnVMware Identity Manager, el atributo userName se utiliza para nombres de usuario y se asignanormalmente al atributo sAMAccountName en Active Directory. El atributo domain se utiliza paradominios y se asigna normalmente al atributo canonicalName en Active Directory.

Durante la sincronización del directorio, los usuarios con el mismo nombre de usuario pero distintodominio se sincronizarán correctamente. Si existe un conflicto de nombres de usuario dentro de undominio, se sincronizará el primer usuario y ocurrirá un error con los siguientes usuarios que tengan elmismo nombre.

Tip Si existe un directorio de VMware Identity Manager en el que falte el dominio del usuario o no seacorrecto, compruebe la configuración del dominio y sincronice de nuevo el directorio. Consulte Sincronizar directorio con la correcta información de dominio.

En la consola de administración, se puede identificar a los usuarios de manera única mediante susnombres de usuario y dominios. Por ejemplo:

n En la columna Usuarios y grupos de la pestaña Panel de información, los usuarios aparecen comousuario (dominio). Por ejemplo, juan (ventas.ejemplo.com).

n En la página Usuarios y grupos, la columna DOMINIO indica el dominio al que pertenece el usuario.

n Los informes que muestran información del usuario, como el informe de autorizaciones de recursos,incluyen una columna DOMINIO.


VMware, Inc. 102

Cuando los usuarios finales inician la sesión en el portal del usuario, seleccionan el dominio al quepertenecen en la página de inicio de sesión. Si hay varios usuarios con el mismo nombre, cada uno deellos podrá iniciar la sesión correctamente con el dominio correspondiente.

NOTA: Esta información se aplica a los usuarios sincronizados de Active Directory. Si se utiliza unproveedor de identidades externo y se ha configurado el aprovisionamiento de usuarios Just-in-Time,consulte Capítulo 4 Aprovisionamiento de usuarios Just-in-Time para obtener información. Elaprovisionamiento de usuarios Just-in-Time también es compatible con varios usuarios con el mismonombre en distintos dominios.

Seleccionar usuarios de Active Directory para agregar aldirectorioLos usuarios de Active Directory se agregan cuando los perfiles de usuario se sincronizan desde ActiveDirectory con el directorio de VMware Identity Manager.

Debido a que los miembros de grupos no se sincronizan hasta que el grupo tenga autorizaciones,agregue todos los usuarios que necesitan acceder al servicio VMware Identity Manager durante laconfiguración inicial de VMware Identity Manager.

Prerequisitos

Los atributos de Active Directory asignados a atributos de usuario en la página Administración de accesoe identidad > Instalación > Atributos de los usuarios. Consulte la publicación Integración del directoriocon VMware Identity Manager para obtener más información sobre la integración de Active Directory conVMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola administrativa, haga clic enConfigurar > Directorios.

2 Seleccione el directorio en el que desea actualizar los filtros de usuario.

3 Haga clic en Configuración de sincronización y seleccione Usuarios.

4 En la fila Especificar DN de usuario , haga clic en + e introduzca los DN de usuario.

Introduzca los DN de usuario que se encuentren bajo el DN base configurado para Active Directory.Si un DN de usuario está fuera del DN base, los usuarios de dicho DN se sincronizan, pero nopueden iniciar sesión.


Revisar información de perfil de usuarioEn la página Usuarios de la consola administrativa, se muestran los usuarios que pueden iniciar sesiónen Workspace ONE.

Seleccione un nombre de usuario para ver su información detallada.


VMware, Inc. 103

La página del perfil de usuario muestra los datos personales asociados al usuario y a la funciónasignada: usuario o administrador. La información del usuario que se sincroniza desde un directorioexterno también puede incluir el nombre principal, el nombre distintivo y la información del ID externo. Lapágina de perfil de un usuario local muestra los atributos de usuario disponibles para los usuarios deldirectorio local de usuarios.

No se pueden editar los datos de la página de perfil de los usuarios que se sincronizan desde eldirectorio externo. Puede cambiar la función del usuario.

La página de perfil de usuario también incluye vínculos a los grupos, VMware Verify y las aplicaciones.La página Grupos muestra los grupos de los que el usuario es miembro. VMware Verify enumera losdispositivos que se configuraron para autenticarse con VMware Verify. La página Aplicaciones muestralas aplicaciones para cuyo uso el usuario tiene autorización.

Administración de gruposEn el servicio VMware Identity Manager, los grupos se identifican de manera única mediante su nombrey dominio.

A partir de VMware Identity Manager 3.1, cuando se agregan nuevos grupos al directorio desde ActiveDirectory, los nombres de grupo se sincronizan con el directorio. Los usuarios que son miembros delgrupo pueden sincronizar con el directorio en las siguientes condiciones.

n El grupo tiene autorización para una aplicación Workspace ONE.

n El nombre del grupo se agrega a una directiva de acceso.

n Los usuarios en el grupo se sincronizarán manualmente desde la página de perfil Grupo > Usuarios.

Antes de la versión 3.1, los miembros del grupo se sincronizaban con el directorio cuando se agregaba elgrupo.

NOTA: Si algunos usuarios necesitan autenticarse antes de una sincronización de grupo en eldirectorio, puede agregar el usuario individual a la página Configuración de sincronización > Usuarios deldirectorio.

El servicio VMware Identity Manager permite tener varios grupos con el mismo nombre en distintosdominios de Active Directory. Los nombres de grupo deben ser únicos dentro de un dominio. Porejemplo, puede haber un grupo TODOS_LOS_USUARIOS en el dominio ing.ejemplo.com, y otro grupoTODOS_LOS_USUARIOS en el dominio ventas.ejemplo.com.

Durante la sincronización del directorio, los grupos con el mismo nombre de usuario pero distinto dominiose sincronizarán correctamente. Si existe un conflicto de nombres de grupo dentro de un dominio, sesincronizará el primer grupo y ocurrirá un error con los siguientes grupos que tengan el mismo nombre.

En la pestaña Usuarios y grupos de la página Grupos de la consola de administración, los grupos deActive Directory se muestran por su nombre de grupo y su dominio. En esta lista, se puede distinguirentre grupos con el mismo nombre. Los grupos que se crearon localmente en el servicioVMware Identity Manager se muestran por el nombre del grupo. El dominio se muestra como usuarioslocales.


VMware, Inc. 104

Sincronizar grupos de Active Directory con el directorioCuando se asigna un nombre distintivo del grupo del directorio empresarial al directorio deVMware Identity Manager, los nombres de grupo se añaden al directorio. Los miembros del grupo no sesincronizan con el directorio.

La página Grupos de la consola administrativa muestra los nombres de grupo que se sincronizan.Usuarios en la columna Grupo muestra el número de miembros que se sincronizaron. Si los miembros nose sincronizaron aún, Usuarios en la columna Grupo muestra Sin sincronizar.

Los miembros de grupo se sincronizan con el directorio cuando el grupo tiene autorización para unaaplicación en el catálogo o cuando el grupo se agrega a una regla en una directiva de acceso enVMware Identity Manager. También puede sincronizar manualmente los usuarios que son miembros delgrupo desde la página Grupos > Usuarios.

Cómo funciona la sincronización de grupos después de actualizara VMware Identity Manager 3.1Cuando se actualiza VMware Identity Manager a la versión 3.1 o una versión posterior, elcomportamiento de la sincronización de la afiliación a grupos depende de cuándo se haya configurado elDN de grupo en el servicio.

n Cuando se actualiza a VMware Identity Manager 3.1 y versiones posteriores, nuevos grupos que seañaden al servicio después de la actualización sincronizan los miembros cuando ese grupo tieneautorización para un recurso o cuando ese grupo se agrega a una regla de directiva de acceso. Lassiguientes sincronizaciones de este grupo siguen el comportamiento anterior.

n Los grupos que se agregaron antes de actualizar a la versión 3.1 siguen sincronizando a losmiembros del grupo a medida que se agregan al grupo, incluso si el grupo no tiene autorización paralos recursos o si se utiliza en una regla de directiva de acceso. Es decir, se conserva elcomportamiento anterior a la versión 3.1 para los usuarios y grupos existentes.

n Si ya existe un grupo antes de la actualización, y se modificó la configuración de DN, se cambia elperfil de sincronización de grupo a nuevo comportamiento. Los nombres de grupo se sincronizan conel directorio. Los miembros del grupo se sincronizan cuando el grupo tiene autorización para unrecurso o cuando el grupo se agrega a una regla de directiva de acceso.

n Incluso cuando se eliminan las autorizaciones de un grupo, los usuarios en el grupo siguensincronizándose en las sincronizaciones posteriores.

n Si se crea un grupo local en el servicio VMware Identity Manager que incluye grupos de ActiveDirectory, y el grupo local tiene autorización para los recursos, los usuarios que pertenecen a losgrupos de Active Directory en el grupo local no se sincronizan con el directorio como parte de laautorización. Para sincronizar los usuarios que se encuentran en los grupos de Active Directory,directamente autorice al grupo de Active Directory para los recursos.


VMware, Inc. 105

Crear grupos locales y configurar reglas de grupoPuede crear grupos, agregar miembros a grupos y crear reglas de grupo. A continuación, puede rellenarlos grupos en función de las reglas que defina.

Use los grupos para autorizar varios usuarios en los mismos recursos al mismo tiempo, en lugar deautorizar cada usuario individualmente. Un usuario puede pertenecer a varios grupos. Por ejemplo, si secrea un grupo Ventas y un grupo Dirección, un director de ventas puede pertenecer a ambos grupos.

Puede especificar las opciones de directivas que se aplican a los miembros de un grupo. Los usuarios delos grupos se definen según las reglas que establece para un atributo de usuario. Si un valor del atributode usuario cambia del valor definido de la regla de grupo, el usuario se elimina del grupo.

Procedimiento

1 En la consola de administración, dentro de la pestaña Usuarios y grupos, haga clic en Grupos.

2 Haga clic en Agregar grupo.

3 Introduzca un nombre de grupo y una descripción. Haga clic en Siguiente.

4 Agregue autorizaciones al grupo. Para agregar usuarios al grupo, introduzca algunas letras delnombre de usuario. A medida que introduzca texto, verá los nombres coincidentes.

5 Seleccione el nombre de usuario y haga clic en +Agregar usuario.

Continúe para agregar miembros al grupo.

6 Después de agregarlos, haga clic en Siguiente.

7 En la página Reglas del grupo, seleccione cómo se concede la pertenencia al grupo. En el menúdesplegable, seleccione cualquiera o todo.

Opción Acción

Cualquiera Concede la pertenencia a un grupo cuando se cumple cualquiera de lascondiciones de pertenencia a grupos. Esta acción funciona como una condiciónO. Por ejemplo, si selecciona Cualquiera para las reglas Grupo Es Ventas yGrupo Es Marketing, se concederá la pertenencia a este grupo al personal deventas y marketing.

Todo Concede la pertenencia a un grupo cuando se cumplen todas las condiciones depertenencia a grupos. Esta acción funciona como una condición Y. Por ejemplo,si selecciona Todos los que hay a continuación para las reglas Grupo EsVentas y Correo electrónico Empieza por 'western_region', solo se concederála pertenencia a este grupo al personal de ventas de la región occidental. Lapertenencia no se concederá al personal de ventas de otras regiones.


VMware, Inc. 106

8 Configure una o más reglas para el grupo. También puede anidar reglas.


Atributo Seleccione uno de estos atributos en el menú desplegable de la primeracolumna. Seleccione Grupo para agregar un grupo existente al que está creando.Puede agregar otros tipos de atributos para administrar los usuarios de losgrupos que son miembros del que creó.

Reglas de atributos Las siguientes reglas están disponibles dependiendo del atributo que seleccionó.n Con es puede seleccionar un grupo o un directorio que se asocie a este

grupo. Escriba un nombre en el cuadro de texto. Al escribir, aparecerá unalista de grupos o directorios disponibles.

n Con no es puede seleccionar el grupo o el directorio que desea excluir.Escriba un nombre en el cuadro de texto. Al escribir, aparecerá una lista degrupos o directorios disponibles.

n Seleccione coincide para conceder la pertenencia a un grupo a las entradasque coincidan exactamente con los criterios introducidos. Por ejemplo, suorganización podría contar con un departamento de viajes de empresa quecomparte un número de teléfono central. Si desea conceder acceso a unaaplicación de reserva de viajes a todos los empleados que compartan dichonúmero de teléfono, cree una regla como Teléfono coincide (555) 555-1000.

n Seleccione no coincide para conceder la pertenencia a un grupo a todas lasentradas de servidor del directorio, excepto las que coincidan con los criteriosintroducidos. Por ejemplo, si uno de sus departamentos comparte un númerode teléfono central, puede excluir dicho departamento del acceso a unaaplicación de red social mediante la creación de una regla como Teléfono nocoincide (555) 555-2000. Las entradas de servidor del directorio con otrosnúmeros de teléfono tendrán acceso a la aplicación.

n Seleccione empieza por para conceder la pertenencia a un grupo a lasentradas de servidor del directorio que empiecen con los criteriosintroducidos. Por ejemplo, las direcciones de correo electrónico de laorganización podrían empezar por el nombre del departamento, como [email protected]. Si desea conceder acceso a unaaplicación a todo su personal de ventas, puede crear una regla, como correoelectrónico empieza por ventas_.

n Seleccione no empieza por para conceder la pertenencia a un grupo a todaslas entradas de servidor del directorio, excepto las que empiecen con loscriterios introducidos. Por ejemplo, si las direcciones de correo electrónico desu departamento de recursos humanos tienen el [email protected], puede configurar una regla para denegarel acceso a una aplicación como, por ejemplo, correo electrónico no empiezapor rrhh_. Las entradas de servidor del directorio con otras direcciones decorreo electrónico tendrán acceso a la aplicación.

Usar atributos Cualquiera y Todo (Opcional) Para incluir los atributos Cualquiera y Todo como parte de las reglasde grupo, agregue esta regla la última.n Seleccione Cualquiera para conceder la pertenencia a un grupo cuando,

para esta regla, se cumple cualquiera de las condiciones de pertenencia agrupos. Al utilizar el atributo Cualquiera se anidan reglas. Por ejemplo, puedecrear una regla que sea Todos los que hay a continuación: Grupo Es Ventas;


VMware, Inc. 107


Grupo Es California. Para Grupo Es California, Cualquiera de los siguientes:Teléfono empieza por 415; Teléfono empieza por 510. El miembro del grupodebe pertenecer al personal de ventas de California y tener un número deteléfono que empiece por 415 o 510.

n Seleccione Todo si desea que se cumplan todas las condiciones para estaregla. Esta es una forma de anidar reglas. Por ejemplo, puede crear unaregla que sea Cualquiera de los siguientes: Grupo Es Administradores;Grupo Es Atención al cliente. Para Grupo Es Atención al cliente, todos losque se especifican a continuación: Correo electrónico empieza por ac_;Teléfono empieza por 555. Los miembros del grupo pueden seradministradores o representantes del servicio de atención al cliente, peroestos últimos deben tener un correo electrónico que empiece por ac y unnúmero de teléfono que empiece por 555.

9 (Opcional) Para excluir usuarios específicos, introduzca un nombre de usuario en la casilla de texto y

haga clic en Excluir usuario.

10 Haga clic en Siguiente y revise la información del grupo. Haga clic en Crear grupo.


Agregue los recursos para cuyo uso está autorizado el grupo.

Editar reglas de grupoPuede editar reglas de grupo para cambiar el nombre, agregar y eliminar usuarios y cambiar las reglasde grupo.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos > Grupos.

2 Haga clic en el nombre del grupo para editarlo.

3 Haga clic en Editar usuarios del grupo.

4 Haga clic en las páginas para cambiar el nombre, los usuarios del grupo y las reglas.


Agregar recursos a gruposLa forma más efectiva de autorizar a los usuarios para usar los recursos es agregar las autorizaciones aun grupo. Todos los miembros del grupo pueden acceder a las aplicaciones que tengan autorización parael grupo.

Prerequisitos

Las aplicaciones se agregan a la página Catálogo.


VMware, Inc. 108

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos > Grupos.

La página mostrará una lista de los grupos.

2 Para agregar recursos a un grupo, haga clic en el nombre del grupo.

3 Haga clic en la pestaña Aplicaciones y, a continuación, haga clic en Agregar autorización.

4 Seleccione el tipo de aplicación a la que otorgar la autorización en el menú desplegable.

Los tipos de aplicaciones que aparecen en el menú desplegable se basan en los tipos deaplicaciones agregadas al catálogo.

5 Seleccione las aplicaciones a las que desea autorizar al grupo. Puede buscar una aplicaciónespecífica o seleccionar la casilla que aparece junto a Aplicaciones para seleccionar todas lasaplicaciones mostradas.

Si el grupo ya tiene autorización para una aplicación, esta no aparece en la lista.


La sincronización se ejecuta en segundo plano. Cuando finalice la sincronización, los usuarios delgrupo se sincronizarán con el directorio y gozarán de autorización para las aplicaciones.

Sincronizar miembros de un grupo de forma manual con eldirectorio de VMware Identity ManagerPuede sincronizar los miembros de un grupo en el directorio de VMware Identity Manager antes de queel grupo tenga autorización para acceder a las aplicaciones o esté configurado en una regla de directiva.

Procedimiento

1 En la consola de administración, en la pestaña Usuarios y grupos, seleccione Grupos.

2 Haga clic en el nombre del grupo para sincronizar.

3 Abra la pestaña Usuarios y haga clic en Sincronizar usuarios.

Crear usuarios localesPuede crear usuarios locales en el servicio de VMware Identity Manager para agregar y administrarusuarios que no estén aprovisionados en el directorio empresarial. Puede crear diferentes directorioslocales y personalizar la asignación de los atributos de cada directorio.

Puede crear un directorio, seleccionar atributos y crear atributos personalizados para dicho directoriolocal. Los atributos de usuario obligatorios userName, lastName, firstName y email se especifican a nivelglobal en la página Administración de acceso e identidad > Atributos de usuario. En la lista de atributosde usuarios del directorio local, puede seleccionar otros atributos obligatorios y crear atributospersonalizados para tener conjuntos de atributos para diferentes directorios locales. Consulte "Usardirectorios locales" en la guía Instalar y configurar VMware Identity Manager.


VMware, Inc. 109

Cree usuarios locales cuando desee proporcionar a los usuarios acceso a las aplicaciones sin agregarlosal directorio empresarial.

n Puede crear un directorio local para un tipo específico de usuarios que no sea parte del directorioempresarial. Por ejemplo, puede crear un directorio local para partners, que no suelen ser parte deldirectorio empresarial, y proporcionarles acceso únicamente a las aplicaciones específicas quenecesitan.

n Puede crear varios directorios locales si desea asignar diferentes atributos de usuario o métodos deautenticación para diferentes grupos de usuarios. Por ejemplo, puede crear un directorio local paralos distribuidores que tengan atributos de usuario con la etiqueta de la región y el tamaño demercado. Cree otro directorio local para proveedores que tengan un atributo de usuario con laetiqueta de categoría de producto.

Configure el método de autenticación que usen los usuarios locales para iniciar sesión en el sitio web desu empresa. Se establece una directiva de contraseñas para la contraseña del usuario local. Puededefinir las restricciones y las reglas de administración de las contraseñas.

Después de aprovisionar un usuario, se envía un mensaje por correo electrónico sobre cómo iniciarsesión para habilitar la cuenta. Cuando el usuario inicia sesión, crea una contraseña y se habilita sucuenta.

Agregar usuarios localesPuede crear un usuario cada vez. Cuando agrega al usuario, seleccione un directorio local que estáconfigurado con los atributos del usuario local que se usan y el dominio en el que el usuario inicia sesión.

Además de agregar la información del usuario, seleccione la función del usuario: administrador o usuario.La función de administrador permite al usuario acceder a la consola de administración para gestionar losservicios de VMware Identity Manager.

Prerequisitos

n Directorio local creado

n Dominio identificado para los usuarios locales

n Atributos de usuario que son obligatorios seleccionados en la página Atributos de usuario deldirectorio local

n Directivas de contraseñas configuradas

Procedimiento

1 En la consola de administración, dentro de la pestaña Usuarios y grupos, haga clic en Agregarusuario.

2 En la página Agregar un usuario, seleccione el directorio local para dicho usuario.

La página se expande para mostrar los atributos de usuario que debe configurar.

3 Seleccione el dominio al que ese usuario está asignado y complete la información de usuarionecesaria.


VMware, Inc. 110

4 Si el usuario tiene la función de administrador, seleccione Administrador en el cuadro de textoUsuario.


Se crea el usuario local. Se envía un correo electrónico al usuario solicitándole que inicie sesión parahabilitar la cuenta y crear una contraseña. El vínculo del correo electrónico caduca de acuerdo con elvalor establecido en la página Directiva de contraseñas. El valor predeterminado es siete días. Si elvínculo caduca, puede hacer clic en Restablecer contraseña para volver a enviar la notificación porcorreo electrónico.

Se agrega un usuario a los grupos existentes según las reglas de los atributos de grupo que esténconfiguradas.


Diríjase a la cuenta del usuario local para revisar el perfil, agregar el usuario a los grupos yproporcionarle autorización para usar los recursos.

Si creó un usuario administrador en el directorio del sistema con autorización para recursosadministrados por una directiva de acceso específica, asegúrese de que las reglas de la directiva de laaplicación incluye Contraseña (Directorio local) como un método de autenticación de reserva. Si elmétodo Contraseña (Directorio local) no está configurado, el administrador no puede iniciar sesión en laaplicación.

Deshabilitar o habilitar usuarios localesPuede deshabilitar usuarios locales, en lugar de eliminarlos, para que no inicien sesión y no tenganacceso al portal ni a los recursos autorizados.

Procedimiento


2 Seleccione al usuario en cuestión en la página Usuarios.

Aparece la página del perfil de usuario.

3 Dependiendo del estado del usuario local, realice la acción correspondiente.

a Para deshabilitar la cuenta, desmarque la casilla Habilitar.

b Para habilitar la cuenta, marque Habilitar.

Los usuarios deshabilitados no pueden iniciar sesión en el portal ni en los recursos para los que tienenautorización. Si están trabajando en un recurso autorizado cuando se deshabilita el usuario local, esteusuario puede acceder al recurso hasta que finalice el tiempo de la sesión.

Eliminar usuarios localesPuede eliminar usuarios locales.


VMware, Inc. 111

Procedimiento


2 Seleccione el usuario que va a eliminar.

Aparece la página del perfil de usuario.

3 Haga clic en Eliminar usuario.

4 En el cuadro de confirmación, haga clic en Aceptar.

Se elimina el usuario de la lista Usuarios.

Los usuarios eliminados no pueden iniciar sesión en el portal ni en los recursos para los que tienenautorización.

Administrar contraseñasPuede crear una directiva de contraseñas para administrar las contraseñas de los usuarios locales yestos pueden cambiarla según las reglas de la directiva de contraseñas.

Los usuarios locales pueden cambiar la contraseña en el portal de Workspace ONE, en la página Perfilde configuración de cuentas por nombre del menú desplegable.

Configurar la directiva de contraseñas de los usuarios localesLa directiva de contraseñas de los usuarios locales es un conjunto de reglas y restricciones sobre elformato y la caducidad de las contraseñas del usuario local. La directiva de contraseñas se aplicaúnicamente a los usuarios locales que creó desde la consola de administración deVMware Identity Manager.

La directiva de contraseñas puede incluir restricciones, la vigencia máxima de una contraseña y, para losrestablecimientos de contraseñas, la vigencia máxima de la contraseña temporal. También puedeconfigurar la directiva de bloqueo

La directiva de contraseñas predeterminada necesita seis caracteres. Las restricciones de contraseñaspueden incluir una combinación de letra mayúscula, letra minúscula y caracteres especiales para solicitarque se establezcan contraseñas seguras.

Puede configurar una directiva de bloqueo de cuenta para evitar el acceso no autorizado a una cuenta.La configuración de directiva determina el número de intentos de inicio de sesión fallidos dentro de unintervalo de tiempo específico que activa el bloqueo de cuentas de usuario. Una cuenta se bloqueadurante la cantidad de minutos definidos en la directiva. La configuración predeterminada es cincointentos de sesión fallidos en 15 minutos. Cuando un usuario intenta iniciar sesión una sexta vez dentrode los 15 minutos y se produce un error, la cuenta se bloquea durante 15 minutos.

Procedimiento

1 En la consola de administración, seleccione Usuarios y grupos > Configuración.


VMware, Inc. 112

2 Haga clic en Directiva de contraseñas para editar los parámetros de restricción de la contraseña.


Longitud mínima para las contraseñas La longitud mínima son seis caracteres, pero es posible que necesite unacantidad superior. La longitud mínima no debe ser inferior a la cantidad mínimarequerida de caracteres alfabéticos, numéricos y especiales combinados.

Caracteres en minúsculas Número mínimo de caracteres en minúscula. a-z en minúscula

Caracteres en mayúscula Número mínimo de caracteres en mayúscula. A-Z en mayúscula

Caracteres numéricos (0-9) Número mínimo de caracteres numéricos. 10 dígitos (0-9) de base

Caracteres especiales Número mínimo de caracteres no alfanuméricos, por ejemplo, & # % $ !

Caracteres consecutivos idénticos Número máximo de caracteres idénticos adyacentes. Por ejemplo, si introduce 1,se admite la siguiente contraseña: p@s$word; sin embargo, no se admite esta:p@$$word.

Historial de contraseñas Número de contraseñas anteriores que no pueden seleccionarse. Por ejemplo, siun usuario no puede reutilizar ninguna de las últimas seis contraseñas, escriba 6.Para deshabilitar esta función, configure el valor como 0.

Número de caracteres de contraseñaanterior permitidos

Exija un número mínimo de caracteres que se puedan reutilizar en una nuevacontraseña. Por ejemplo, si se establece 0, los usuarios no pueden utilizarninguno de los mismos caracteres de la contraseña anterior. Si este cuadro detexto se deja en blanco, no se aplica esta regla.

3 En la sección Administración de contraseñas, edite los parámetros de vigencia de la contraseña.


Vigencia de la contraseña temporal Número de horas durante el cual es válido el vínculo de contraseña olvidada o derestablecimiento de contraseña. El valor predeterminado es 168 horas

Vigencia de la contraseña Cantidad máxima de días de vigencia de la contraseña, antes de que el usuariodeba cambiarla.

Recordatorio de contraseña Número de días en el que se envía una notificación de caducidad antes de queuna contraseña caduque.

Frecuencia de notificación delrecordatorio de contraseña

La frecuencia con la que se enviarán los recordatorios después de que se envíela notificación por primera vez.

Cada casilla debe tener un valor para configurar la directiva de vigencia de las contraseñas. Para noconfigurar una directiva de duración de contraseña, introduzca 0.


VMware, Inc. 113

4 Defina la directiva de bloqueo de cuenta en la sección Bloqueo de cuentas.


Intentos de contraseña con errores El número de contraseñas incorrectas que se pueden introducir. El valorpredeterminado es 5. Si el valor predeterminado se establece en 0, las cuentasnunca se bloquearán durante intentos fallidos de contraseña.

Intervalo de intentos de autenticacióncon errores

El número de minutos en los que se cuentan intentos de inicio de sesión conerrores. El valor predeterminado es 15 minutos.

Duración del bloqueo de cuenta Después de que se alcance el intervalo de intentos de autenticación con errores,una cuenta se bloquea durante el número de minutos establecido aquí. La cuentase desbloquea automáticamente cuando el tiempo se termina. El valorpredeterminado es 15 minutos. Si establece los minutos en 0, no se bloquea lacuenta de un usuario. Los usuarios pueden seguir intentando iniciar sesión.


Sincronizar directorio con la correcta información dedominioSi existe un directorio de VMware Identity Manager en el que falte el dominio del usuario o no seacorrecto, debe comprobar la configuración del dominio y sincronizar de nuevo el directorio. Es necesariocomprobar la configuración del dominio para que los usuarios y los grupos que tienen el mismo nombreen diferentes dominios de Active Directory se sincronicen correctamente con el directorio deVMware Identity Manager y los usuarios puedan iniciar sesión.

Procedimiento

1 En la consola de administración, diríjase a la página Administración de acceso e identidad >Directorios.

2 Seleccione el directorio que desee sincronizar y, a continuación, haga clic en Configuración desincronización y en la pestaña Atributos asignados.

3 En la página Atributos asignados, compruebe que el atributo domain de VMware Identity Managerse asignó al nombre de atributo correcto de Active Directory.

El atributo domain se asigna normalmente al atributo canonicalName en Active Directory.

El atributo domain no aparece como obligatorio.

4 Haga clic en Guardar y sincronizar para sincronizar el directorio.


VMware, Inc. 114

Administración del catálogo 9El catálogo es el repositorio de todos los recursos que puede autorizar para que los usen los usuarios.Antes de poder autorizar un recurso determinado a los usuarios, se debe incluir ese recurso en elcatálogo. El método que utilice para llenar el catálogo depende del tipo de recurso.

Puede integrar los siguientes tipos de recursos con VMware Identity Manager.

n aplicaciones web

n Aplicaciones y escritorios de VMware Horizon Cloud Service

n Grupos de aplicaciones y escritorios de VMware Horizon® 7, Horizon 6 y View

n Recursos publicados de Citrix

n Aplicaciones empaquetadas con VMware ThinApp®

Estos recursos se separan en la página Aplicaciones web para las aplicaciones web o la páginaAplicaciones virtuales para las aplicaciones y escritorios de ThinApp, Horizon Cloud, Citrix o Horizon. Lasaplicaciones web se pueden agregar al catálogo directamente desde la página Aplicaciones web.

Para integrar y habilitar Horizon Cloud Service, el grupo de escritorios y aplicaciones de Horizon Client,los recursos publicados de Citrix o las aplicaciones empaquetadas ThinApp, utilice la función Colecciónde aplicaciones virtuales en la página Aplicaciones virtuales.

Consulte Configuración de recursos en VMware Identity Manager para obtener información sobre laconfiguración de los recursos.

Este capítulo cubre los siguientes temas:n Agrupar recursos en categorías

n Administrar la configuración en el catálogo

Agrupar recursos en categoríasLos recursos se pueden organizar en categorías lógicas para que los usuarios puedan localizarfácilmente el recurso que necesitan en el espacio de trabajo del portal de Workspace ONE.

VMware, Inc. 115

Al crear las categorías tenga en cuenta la estructura de la organización, la función de trabajo de losrecursos y el tipo de recurso. Por ejemplo, puede crear una categoría llamada RR. HH. y otra llamadaBeneficios. Asigne RR. HH. a todos los recursos de RR. HH. en su catálogo. También puede asignarBeneficios a un recurso de beneficios de RR. HH. específico que prefiera que utilicen los usuarios.También se puede asignar más de una categoría a un recurso. Por ejemplo, los recursos en el ejemploanterior también pueden ser de una categoría de ventas.

Ahora está disponible en el catálogo una categoría predefinida con el nombre Recomendada. Puedeclasificar las aplicaciones preferidas como recomendadas, y estas aplicaciones se muestran en el vínculoRecomendada en la página Catálogo del portal de Workspace ONE. Los usuarios pueden ver la listarecomendada de aplicaciones y marcarlas para agregarlas a la página Marcador de Workspace ONE.

Además, las aplicaciones que se clasifican como recomendadas se pueden configurar para que seenvíen automáticamente a la página Marcadores del portal de Workspace ONE. En la página Catálogo >Configuración > Configuración del portal de usuario, seleccione la opción Mostrar aplicacionesrecomendadas en la pestaña Marcadores. Los usuarios ven estas aplicaciones automáticamente ensu página Marcadores. Esta función puede utilizarse para simplificar cómo los nuevos usuarios recibiránlas aplicaciones cuyo uso se recomienda. Esta función puede utilizarse para inicializar aplicacionesimportantes en la vista Marcador de todos los usuarios. Este enfoque simplifica cómo los usuariosnuevos recibirán aplicaciones.

Cuando las aplicaciones recomendadas aparecen automáticamente en Marcadores, se comportan comosi el usuario las hubiera agregado. Esto significa que solo el usuario puede quitarlas. Un administradorno puede eliminar una aplicación recomendada después de que se agrega a Marcadores.

Crear una categoría de recursoPuede crear una categoría de recurso sin aplicarla inmediatamente o crearla y aplicarla al recurso almismo tiempo.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Para crear categorías y aplicarlas a la vez, seleccione las casillas de las aplicaciones a las que seaplica la nueva categoría.

3 Haga clic en Categorías.

4 Introduzca un nombre de categoría nuevo en el cuadro de texto.

5 Haga clic en Agregar categoría....

Se creará una nueva categoría pero no se aplicará a ningún recurso.

6 Para aplicar la categoría a los recursos seleccionados, active la casilla del nombre de categoríanuevo.

La categoría se agregará a la aplicación y aparecerá en la columna Categorías.


VMware, Inc. 116


Aplique la categoría a otras aplicaciones. Consulte Aplicar una categoría a los recursos.

Aplicar una categoría a los recursosDespués de crear una categoría, esta se puede aplicar a cualquiera de los recursos del catálogo. Puedeaplicar varias categorías al mismo recurso.

Prerequisitos

Cree una categoría.

Procedimiento


2 Seleccione las casillas de todas las aplicaciones a las que aplicar la categoría.

3 Haga clic en Categorías y seleccione el nombre de la categoría que se va a aplicar.

La categoría se aplicará a las aplicaciones seleccionadas.

Eliminar una categoría de una aplicaciónEs posible disociar una categoría de una aplicación.

Procedimiento


2 Seleccione las casillas de las aplicaciones para eliminar una categoría.


Las categorías aplicadas a las aplicaciones estarán marcadas.

4 Cancele la selección de la categoría que desee eliminar de la aplicación y cierre el cuadro de menú.

La categoría se eliminará de la lista de categorías de la aplicación.

Eliminar una categoríaPuede quitar permanentemente una categoría del catálogo

Procedimiento



3 Coloque el puntero en la categoría que quiere eliminar. Aparece una x. Haga clic en la x.

4 Haga clic en Aceptar para quitar la categoría.

La categoría ya no aparece en el menú desplegable Categorías o como una etiqueta de cualquieraplicación a la que ha sido aplicada anteriormente.


VMware, Inc. 117

Administrar la configuración en el catálogoLa configuración del catálogo incluye la configuración global que se aplica a todos los recursos en elcatálogo y la configuración específica para aplicaciones web o para aplicaciones virtuales.

Se puede acceder a la siguiente configuración de catálogo global desde el menú Catálogo.

n Configuración global para deshabilitar el aviso de preferencias del programa de inicio para descargaraplicaciones auxiliares para las aplicaciones virtuales.

n Acceso a la aplicación remota para crear clientes para habilitar el acceso a las aplicaciones remotas.

n Personalización de marca del portal de usuario para personalizar las pantallas del portal de usuariode Workspace ONE.

n Configuración del portal de usuario para personalizar el modo en que se muestran los recursos enlas páginas del portal de usuario de Workspace ONE.

n Búsqueda de personas para habilitar esta función en Workspace ONE.

Los ajustes específicos disponibles en la página Aplicaciones web incluyen Aprobaciones globales paraadministrar el acceso a las aplicaciones que requieren aprobaciones y la página Aplicaciones SaaS paragenerar certificados de firma.

Los ajustes específicos disponibles en la página Aplicaciones virtuales incluyen Configuración de red queenumera los rangos de redes que se han configurado, la página Aplicación publicada de Citrix para editarla configuración de los escritorios y las aplicaciones publicadas de Citrix individuales y el vínculo Alertasde aplicaciones ThinApp para ver las alertas de ThinApp.

Configuración global para deshabilitar la solicitud de descarga deaplicaciones auxiliaresLos escritorios de Horizon, las aplicaciones publicadas de Citrix y los recursos de ThinApp requieren quelas siguientes aplicaciones auxiliares estén instaladas en el dispositivo o los equipos de los usuarios.

n Los escritorios de Horizon usan Horizon Client.

n Las aplicaciones publicadas de Citrix requieren Citrix Receiver.

n Los recursos de ThinApp requieren VMware Identity Manager para escritorios.

Se pide a los usuarios que descarguen aplicaciones auxiliares en su escritorio o dispositivo la primeravez que inician aplicaciones desde estos tipos de recursos. Puede deshabilitar completamente lavisualización de este mensaje cada vez que el recurso se inicia desde la página Catálogo >Configuración > Configuración global.

Deshabilitar la visualización del mensaje es una buena opción cuando se administran equipos odispositivos, y sabe que las aplicaciones auxiliares se encuentran en la imagen local del usuario.

Procedimiento

1 En la pestaña Catálogo, seleccione Configuración > Configuración global.


VMware, Inc. 118

2 Seleccione los sistemas operativos que no deben solicitar el inicio de aplicaciones auxiliares.


Crear clientes para acceso remoto a aplicacionesEs posible crear un cliente para habilitar que una única aplicación se registre conVMware Identity Manager para permitir el acceso de los usuarios a una aplicación específica habilitadaen la página de la Catálogo > Configuración.

También puede crear una plantilla para permitir que un grupo de clientes se registre dinámicamente conel servicio de VMware Identity Manager a fin de permitir el acceso a aplicaciones concretas.

La solicitud de autenticación de usuario inicial sigue el flujo de autenticación definido en la especificaciónOIDC.

Administrar la duración del token de accesoEl token de acceso ofrece acceso seguro temporal a la aplicación. Los tokens de acceso tienen unaduración limitada. Al crear las credenciales del cliente, el token de acceso se configura con una duración(TTL). El tiempo configurado es el tiempo máximo que el token de acceso es válido para su uso en unaaplicación.

Si los usuarios utilizan con frecuencia una aplicación, como Workspace ONE, puede configurar lascredenciales del cliente para que los usuarios no deban iniciar sesión cada vez que caduca el token deacceso.

Habilite Emitir token de actualización de modo que, cuando caduque el token de acceso, la aplicaciónutilice el token de actualización para solicitar un nuevo token de acceso. El token de actualización seconfigura con una duración. Se pueden solicitar nuevos tokens de acceso hasta que caduque el token deactualización. Cuando caduca el token de actualización, el usuario debe iniciar sesión en la aplicación.

Puede configure el tiempo que un token de actualización puede estar inactivo antes de que no se puedautilizar de nuevo. Si no se usa el token de actualización antes de la duración de inactividad del token deactualización, los usuarios deberán iniciar sesión en la aplicación de nuevo.

Ejemplo: Funcionamiento de la duración del token de accesoLa configuración de la duración del token de acceso en las credenciales del cliente se configura de lasiguiente manera.

n La duración del token de acceso se establece como nueve horas

n La duración del token de actualización se establece como tres meses

n La duración de inactividad del token de actualización se establece como siete días

Si el usuario utiliza la aplicación todos los días, no deberá iniciar sesión de nuevo durante tres meses,según la configuración de la duración del token de actualización. Sin embargo, si el usuario está inactivoy no utiliza la aplicación en siete días, deberá iniciar sesión después de siete días, según la configuraciónde la duración de inactividad del token de actualización.


VMware, Inc. 119

Configurar el acceso remoto a un recurso de catálogo únicoEs posible crear un cliente para que una única aplicación pueda registrarse con los servicios deVMware Identity Manager y permitir el acceso de los usuarios a una aplicación específica.

Registrar los detalles de la aplicación identifica la aplicación como un cliente de confianza para el serviciode OAuth.

Registre el ID de cliente, el secreto del cliente y un URI de redireccionamiento con el servicio deVMware Identity Manager.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Accesoremoto a la aplicación.

2 En la página de los clientes haga clic en Crear cliente.

3 En la página Crear cliente, introduzca la siguiente información sobre la aplicación.

Etiqueta Descripción

Tipo de acceso Las opciones son las siguientes: Token de acceso de usuario o Token de cliente deservicio. Establézcalo como Token de cliente de servicio. Esto indica que la aplicacióntiene acceso a las API en su propio nombre, no en nombre de un usuario.

ID del cliente Introduzca un identificador de cliente único para que la aplicación lo use al autenticarse enVMware Identity Manager. El ID de cliente no debe coincidir con ningún ID de cliente en eltenant. Se pueden usar los siguientes caracteres: alfanuméricos (A-z, a-z, 0-9), punto (.),guion bajo (_), guion (-) y arroba (@).

Aplicación Seleccione Identity Manager.

Ámbito Seleccione la información que contiene el token. Cuando selecciona NAPPS, también seselecciona OpenID.

URI de redireccionamiento Introduzca el URI de redireccionamiento registrado.

Sección Avanzada Haga clic en Opciones avanzadas.

Secreto compartido Haga clic en Generar secreto compartido para generar un secreto que comparten esteservicio y el servicio de recursos de la aplicación.

Copie y guarde el secreto del cliente para configurarlo en la aplicación.

El secreto del cliente debe ser confidencial. Si una aplicación implementada no puedemantener el secreto, dicho secreto no se utilizará. El secreto compartido no se utiliza conaplicaciones basadas en navegadores web.

Emitir token de actualización Para utilizar los tokens de actualización, deje esta opción habilitada.

Tipo de token Seleccione el portador. Este atributo indica qué tipo de token de acceso se concedió a laaplicación. Para VMware Identity Manager, los tokens son los tokens de portador.

TTL de token de acceso El token de acceso caduca en el número de segundos establecido en Duración del tokende acceso. Si Emitir token de actualización está habilitado, cuando el token de accesocaduca, la aplicación utiliza el token de actualización para solicitar un nuevo token deacceso.

TTL de token deactualización

Establezca la duración del token de actualización. Se pueden solicitar nuevos tokens deacceso hasta que caduque el token de actualización.


VMware, Inc. 120


TTL de token inactivo Configure el tiempo que un token de actualización puede estar inactivo antes de que no sepueda utilizar de nuevo.

Concesión de usuario No seleccione la opción Preguntar al usuario antes de conceder acceso.


La configuración del cliente se muestra en la página del cliente de OAuth2.


En la aplicación de recursos, configure el ID de cliente y el secreto compartido generado. Consulte ladocumentación de la aplicación.

Crear una plantilla de acceso remotoPuede crear una plantilla para permitir que un grupo de clientes se registre dinámicamente con elservicio de VMware Identity Manager y permitir que el usuario acceda a una aplicación concreta.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Accesoremoto a la aplicación.

2 Haga clic en Plantillas.

3 Haga clic en Crear plantilla.

4 En la página Crear plantilla, introduzca la siguiente información sobre la aplicación.


ID de plantilla Escriba un nombre único que identifique esta plantilla.

Aplicación Seleccione Identity Manager.

Ámbito Seleccione la información que contiene el token. Cuando selecciona NAPPS, tambiénse selecciona OpenID.

URI de redireccionamiento Introduzca el URI de redireccionamiento registrado.

Sección Avanzada Haga clic en Opciones avanzadas.

Tipo de token Seleccione el portador. Este atributo indica qué tipo de token de acceso se concedióa la aplicación. Para VMware Identity Manager, los tokens son los tokens de portador.

Longitud de token Mantenga la configuración predeterminada (32 bytes).

Emitir token de actualización Para utilizar los tokens de actualización, deje esta opción habilitada.

TTL de token de acceso Establezca la duración del tiempo de vida del token de acceso. El token de accesocaduca según el TTL establecido en Tiempo de vida de token de acceso. Si Emitirtoken de actualización está habilitado, cuando el token de acceso caduca, laaplicación utiliza el token de actualización para solicitar un nuevo token de acceso.

TTL de token de actualización Establezca la duración del token de actualización. Se pueden solicitar nuevos tokensde acceso hasta que caduque el token de actualización.


VMware, Inc. 121


Tiempo de vida (TTL) de tokeninactivo

Configure el tiempo que un token de actualización puede estar inactivo antes de nose pueda utilizar de nuevo.

Concesión de usuario No seleccione la opción Preguntar al usuario antes de conceder acceso.



En la aplicación del recurso, establezca la URL del servicio VMware Identity Manager como el sitio queadmite la autenticación integrada.

Personalizar la vista de la página del portal de usuario deWorkspace ONELa vista predeterminada del portal de Workspace ONE muestra una página Catálogo y una páginaMarcadores. Los usuarios inician sesión y ven la página Marcadores. La página Catálogo muestra losrecursos disponibles. Los usuarios pueden buscar, abrir, instalar y marcar estos recursos. La páginaMarcadores estará vacía hasta que se agregue un recurso a los marcadores.

Puede cambiar la configuración del portal para mostrar solo una de esas páginas. Si no se oculta lapágina Marcadores, puede seleccionar Mostrar aplicaciones recomendadas en la pestañaMarcadores para rellenar la página Marcadores con las aplicaciones que están etiquetadas comorecomendadas. Los nuevos usuarios verán las aplicaciones web o virtuales como un marcador con laetiqueta de recomendada en la página Marcado. Consulte Agrupar recursos en categorías.

Procedimiento

1 En la página Catálogo > Configuración, seleccione Configuración del portal de usuario.

2 Seleccione la pestaña para ocultar y haga clic en Guardar.

3 (Opcional) Si selecciona Ocultar la pestaña Catálogo, puede habilitar Mostrar aplicacionesrecomendadas en la pestaña Marcadores.

La pestaña Marcadores se rellenará automáticamente con las aplicaciones que están etiquetadascomo recomendadas.

La vista del portal de usuario se actualiza para mostrar estos cambios cada 24 horas. Para realizar unenvío push más rápido del cambio, abra una nueva pestaña como administrador, introduzca esta URL ysustituya su nombre de dominio por miempr.ejemplo.com.https://<miempr.ejemplo.com>/catalog-portal/services/api/branding?refreshCache=true

Habilitación de la aplicación de búsqueda de personas de VMwareLa aplicación de búsqueda de personas de VMware permite a los empleados de una organización buscara sus compañeros y ver los detalles de los usuarios y los organigramas. La aplicación está disponiblepara dispositivos Android e iOS.


VMware, Inc. 122

Para poder utilizar la aplicación de búsqueda de personas, la función de búsqueda de personas debehabilitarse en la página Catálogo > Configuración de la consola de administración deVMware Identity Manager. A continuación, debe seleccionar los atributos de perfil de usuario que deseamostrar en la aplicación de búsqueda de personas. Los atributos se asignan a los atributos de ActiveDirectory correspondientes. El directorio se actualiza con esta información cuando se sincroniza conActive Directory.

La aplicación de búsqueda de personas se agrega como una aplicación pública en la consola deAirWatch y se implementa en las tiendas de aplicaciones. En la consola, puede configurar los ajustespara administrar la aplicación. Para obtener información sobre la configuración de la aplicación debúsqueda de personas, consulte la Guía del administrador de búsqueda de personas de VMware en elsitio AirWatch Resources.

Cuando los usuarios utilicen la búsqueda de personas, se cumplirá con los perfiles de restricción dedispositivos que estén configurados en AirWatch para dispositivos Android e iOS.

Los usuarios pueden buscar usuarios por nombre, apellido y dirección de correo electrónico. En funciónde los atributos que estén asignados en el directorio, los resultados de búsqueda pueden incluir losiguiente.

n Detalles del perfil de los usuarios

n Una imagen de perfil

n Jerarquía de la organización del usuario

n Informes directos del usuario

Desde la página de resultados de perfil de usuario, los usuarios pueden enviar un mensaje de correoelectrónico, realizar una llamada o enviar un mensaje de texto al usuario de inmediato.

Habilitar búsqueda de personasHabilite la búsqueda de personas de VMware y asigne los atributos de Active Directory requeridos paraobtener información acerca de los empleados, incluidas las fotos de perfil y la jerarquía deadministración.

Prerequisitos

Una lista de los atributos de Active Directory que se deben sincronizar con el directorio para crear lajerarquía de la organización y los perfiles de usuario disponibles para consulta. Los atributos que debenasignarse son title, managerDN y distinguishedName.

Se muestran los atributos que se pueden asignar en la tabla de atributos de búsqueda de personas. Parasincronizar la imagen del usuario en el directorio, el atributo de Active Directory thumbnailPhoto deberellenarse automáticamente con la foto en miniatura de los usuarios.

Atributos que se pueden configurar para la búsqueda de personas

userName lastName firstName

email address alternatePhoneNumber

businessUnit costCenter country


VMware, Inc. 123

https://www.air-watch.com/

Atributos que se pueden configurar para la búsqueda de personas

locality managerDN mobile

phone physicalDeliveryOfficeName postalCode

region telephoneNumber title

userPrincipalName distinguishedName socialcast

slack linkedInProfileUrl imageURL

IMPORTANTE: Aquellos clientes que utilizaban la búsqueda de personas durante la versión Beta debenvolver a activar el atributo de búsqueda de personas para generar la plantilla de OAuth2 de búsqueda depersonas antes de la versión 3.1 de VMware Identity Manager. Puede configurar la hora de accesopredeterminada con valores activos en la plantilla.

Procedimiento

1 En la pestaña Catálogo de la consola administrativa, seleccione Configuración > Búsqueda depersonas.

2 Seleccione Habilitar búsqueda de personas y haga clic en Siguiente.

3 En la página que aparece, seleccione el directorio para configurar la búsqueda de personas.

4 Revise la lista de atributos y seleccione los atributos para reflejar los que se deben asignan a losatributos de Active Directory y haga clic en Siguiente.

Para sincronizar los perfiles fotográficos desde el atributo thumbnailPhoto en Active Directory,seleccione el atributo imageURL.

5 Asigne los nombres de atributo que aparecen en los atributos de Active Directory.

6 Si el servicio VMware Identity Manager ya no está configurado para sincronizar todos los usuarios,especifique el DN para sincronizar todos los usuarios. Por ejemplo, introduzcaCN=Usuarios,DC=ejemplo,DC=com.

Para utilizar correctamente la aplicación de búsqueda de personas, sincronice todos los usuarios dela organización con el directorio.

Se agrega el perfil de sincronización de directorio que configuró a la lista de sincronización deDirectorio > Configuración de sincronización > Usuarios.

7 Haga clic en Guardar y sincronizar.

Active Directory se sincroniza con el directorio.


Para cambiar la hora de acceso, la duración del token de actualización y la duración del token deinactividad, vaya a la página Catálogo > Configuración > Acceso a aplicaciones remotas >Plantillas. Edite PeopleSearchOAuth2Template. Consulte Crear clientes para acceso remoto aaplicaciones.


VMware, Inc. 124

Agregue la búsqueda de personas de VMware como una aplicación pública en la consola de AirWatch.Consulte la guía del administrador de búsqueda de personas de VMware en el sitio de AirWatchResources.

Habilitar la aprobación de aplicaciones para el uso de los recursosPuede habilitar aprobaciones desde la página Configuración aplicaciones web del catálogo y configurarlas licencias en la aplicación para administrar el acceso a las aplicaciones que requieran la aprobaciónde la organización.

Cuando esta opción esté configurada, los usuarios verán las aplicaciones en el catálogo de WorkspaceONE y solicitarán el uso de la aplicación. El icono de la aplicación muestra una notificación pendiente.

VMware Identity Manager envía el mensaje de solicitud de aprobación a la dirección URL del endpointREST de aprobación configurada por la organización. El proceso de flujo de trabajo del servidor revisa lasolicitud y devuelve un mensaje de aprobación o de rechazo a VMware Identity Manager. Cuando unaaplicación se aprueba en estado Pendiente, cambia al estado Agregado y la aplicación se muestra en lapágina de inicio de Workspace ONE del usuario.

Hay disponibles dos motores de aprobación.

n REST API. El motor de aprobación de la REST API utiliza una herramienta de aprobación externaque se enruta a través de la REST API del servidor web para ejecutar las respuestas de laaprobación y de la solicitud. Introduzca la dirección URL de la REST API en el servicio de VMwareIdentity Manager; a continuación, configure las REST API con los valores de credenciales de clientede VMware Identity Manager OAuth y la acción de solicitud y respuesta de la llamada.

n REST API a través del conector. El motor de aprobación de la REST API a través del conector enrutalas llamadas de devolución a través del conector con el canal de comunicación basado enWebSocket. Puede configurar el endpoint de la REST API con la acción de solicitud y respuesta dela llamada.

Puede consultar los informes sobre la autorización y el uso de los recursos de VMware Identity Managerpara ver el número de aplicaciones aprobadas que se utilizan.

Configurar el motor de aprobación de REST APIPuede registrar su URI de REST de llamada para integrar el sistema de administración de aplicacionescon VMware Identity Manager.

Prerequisitos

Cuando se selecciona el motor de aprobación de REST API, se debe configurar el sistema deadministración de aplicaciones y el URI disponible a través de la REST API de llamada que recibe lassolicitudes de VMware Identity Manager.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración >Aprobaciones.


VMware, Inc. 125



2 Marque Habilitar aprobaciones.

3 En el menú desplegable Motor de aprobación, seleccione API de REST.

4 Configure los siguientes cuadros de texto.


URI Introduzca el URI de devolución de llamada para el recurso REST que escucha lasolicitud de llamada.

Nombre de usuario (Opcional) Si REST API solicita un nombre de usuario y una contraseña paraacceder, introduzca el nombre aquí. Si no se solicita una autenticación, puededejar el nombre de usuario y la contraseña en blanco.

Contraseña De forma opcional, introduzca la contraseña del usuario.

Certificado SSL en formato PEM (Opcional) Si el recurso REST se ejecuta en un servidor que tiene un certificadoautofirmado o un certificado que no es de confianza para una entidad decertificación pública y utiliza HTTPS, agregue el certificado SSL aquí con formatoPEM.


Diríjase a la página Catálogo y configure la función Concesión de licencia para aquellas aplicaciones quesoliciten una aprobación antes de que el usuario las pueda utilizar.


VMware, Inc. 126

Certificados de firma SAMLLos certificados de firma SAML garantizan que los mensajes procedan de la identidad y los proveedoresde servicios esperados. El certificado SAML se utiliza para firmar solicitudes, respuestas y asercionesSAML del servicio a aplicaciones de confianza, como WebEx o Google Apps.

La página Metadatos SAML se muestra en la pestaña Catálogo > Configuración. Se muestra elcertificado de firma de SAML. Los vínculos de los archivos de metadatos del proveedor de servicio y elproveedor de identidad de SAML también están disponibles en esta página. Los metadatos incluyeninformación de configuración y los certificados.

Se crea automáticamente un certificado autofirmado en el servicio de VMware Identity Manager para lafirma SAML. Si su organización requiere un certificado de una entidad de certificación, puede generaruna solicitud de firma del certificado (Certificate Signing Request, CSR) desde la consola deadministración y usar la CSR para generar un certificado. Cuando reciba el certificado firmado, cárgueloen el servicio de VMware Identity Manager y reemplace el certificado autofirmado. Los archivos demetadatos SAML y el certificado de firma SAML se actualizarán con el nuevo certificado.

Descarga de certificados SAML para configurar con aplicaciones deconfianzaDebe copiar el certificado de firma SAML y los metadatos del proveedor de servicios SAML desde elservicio y editar la aserción de SAML en el proveedor de identidades externo para asignar usuarios deVMware Identity Manager.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración Aplicacionesweb > Metadatos SAML.

a Copie la información del certificado incluida en la sección Certificado de firma.

2 Haga que los metadatos del proveedor de servicios SAML estén disponibles para la instancia delproveedor de identidades externo.

a En la sección Metadatos SAML, haga clic en Metadatos del proveedor de servicios (SP).

b Copie y guarde la información mostrada con el método que mejor se adapte a su organización.

Use esta información copiada más tarde cuando configure el proveedor de identidades externo.


VMware, Inc. 127

3 Determine la asignación de usuarios desde la instancia del proveedor de identidades externo enVMware Identity Manager.

Cuando configure el proveedor de identidades externo, edite la aserción de SAML en el proveedor deidentidades externo para asignar usuarios de VMware Identity Manager.

Formato de NameID Asignación de usuarios

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

El valor de NameID de la aserción de SAML se asigna al atributo de dirección decorreo electrónico en VMware Identity Manager.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

El valor de NameID de la aserción de SAML se asigna al atributo de nombre deusuario en VMware Identity Manager.


Aplique la información copiada en esta tarea para configurar la instancia del proveedor de identidadesexterno.

Generar una solicitud de firma de certificadoPara utilizar un certificado externo para la firma de SAML, debe generar una solicitud de firma delcertificado (Certificate Signing Request, CSR) desde la consola de administración. La solicitud CSR seenvía a una entidad de certificación para generar el certificado SSL.

NOTA: No se admite un certificado generado sin la solicitud CSR desde la consola de administración.

Procedimiento

1 En la pestaña Catálogo, seleccione Aplicaciones web Configuración > Metadatos SAML.

2 Haga clic en Generar CSR

3 Introduzca la información solicitada. Las opciones con un asterisco (*) son obligatorias.


Nombre común* Introduzca el nombre de dominio completo. Por ejemplo, www.example.com

Organización* Introduzca el nombre legalmente registrado de la organización. Por ejemplo,Mycompany, Inc.

Departamento Introduzca el departamento de su empresa que se agregó al certificado. Porejemplo, IT Services.

Ciudad* Introduzca la ciudad donde se encuentra legalmente ubicada su organización.

Estado/provincia* Introduzca el estado o la región donde se encuentra ubicada su organización. Nouse abreviaturas.

País* Introduzca algunas letras del nombre de su país para seleccionar el país correctode la lista.

Algoritmo de generación de claves* Seleccione el algoritmo hash seguro utilizado para firmar la solicitud CSR.

Tamaño de clave* Seleccione el número de bits utilizados en la clave. Se recomienda usar 2048 deRSA. Un tamaño de clave de RSA menor que 2048 se considera no seguro.


VMware, Inc. 128

4 Haga clic en Generar.

Entregue la solicitud CSR a la entidad de certificación para crear el certificado.


Cuando reciba el certificado, cargue el certificado en el servicio de VMware Identity Manager. La entidadde certificación reemplazará el certificado autofirmado.

Cargar una nueva entidad de certificación para certificados de firma SAMLDespués de que se emite el certificado firmado, cargue el archivo de la página Metadatos SAML decatálogo y reinicie el servicio para actualizar los metadatos.

Prerequisitos

Genere una solicitud de firma del certificado.

Guarde el certificado firmado recibido en un archivo al que pueda acceder desde la consola deadministración.

Procedimiento

1 En la pestaña Catálogo, seleccione Aplicaciones web Configuración > Metadatos SAML.

2 Haga clic en Generar CSR.

3 Haga clic en Cargar certificado y desplácese hasta el certificado.

4 Haga clic en Abrir.

Los archivos de metadatos SAML y el certificado de firma SAML se actualizarán con el nuevocertificado.

5 Vaya a la pestaña Administración de acceso e identidad, Configuración > Conectores y haga clicen Reiniciar.

Se actualizarán los metadatos en el conector.


IMPORTANTE: Vuelva a configurar todas las opciones de proveedor de identidades y proveedor deservicios de SAML con el archivo de metadatos SAML actualizado. Esto incluye volver a configurar losconectores adicionales que se configuraron. De lo contrario, se producirá un error en las transaccionesde SAML y Single Sign-On no funcionará.

Configurar orígenes de la aplicaciónSe pueden agregar proveedores de identidades de terceros como origen de la aplicación en el catálogode Workspace ONE para simplificar la implementación de grandes cantidades de aplicaciones delproveedor de identidades de terceros en Workspace ONE.


VMware, Inc. 129

Las aplicaciones web que utilizan el perfil de autenticación SAML 2.0 pueden agregarse al catálogo. Laconfiguración de la aplicación se basa en los ajustes del origen de la aplicación. Solo el nombre de laaplicación y la URL de destino son obligatorios para la configuración.

La configuración y las políticas del origen de la aplicación de terceros pueden aplicarse a todas lasaplicaciones administradas por el origen de la aplicación.

Consulte Proporcionar acceso a aplicaciones administradas por terceros en el capítulo sobre WorkspaceONE de la guía Configurar recursos en VMware Identity Manager para obtener más información.

Edición de las propiedades de ICA en aplicaciones publicadas deCitrixPuede editar la configuración de escritorios y aplicaciones publicados de Citrix en su implementación deVMware Identity Manager desde las páginas Catálogo > Configuración > Aplicaciones publicadas deCitrix.

La página Configuración de ICA está configurada para aplicaciones individuales. Los cuadros de texto delas propiedades de ICA de aplicaciones individuales están vacíos hasta que agregue propiedadesmanualmente. Al editar la configuración de entrega de aplicaciones, las propiedades de ICA, de unrecurso publicado de Citrix individual, esta configuración tendrá prioridad sobre la configuración global.

En la página Configuración de NetScaler, puede configurar el servicio con la configuración apropiadapara que cuando los usuarios inicien aplicaciones basadas en Citrix, el tráfico se enrute a través deNetScaler al servidor de XenApp.

Al editar las propiedades de ICA en la pestaña Aplicaciones publicadas de Citrix > Configuración de ICAde Netscaler, la configuración se aplica al tráfico de inicio de aplicaciones que se enruta a través deNetScaler.

Para obtener información sobre la configuración de las propiedades de ICA, consulte en el centro dedocumentación los temas sobre la configuración de NetScaler y la edición de la configuración de entregade aplicaciones de VMware Identity Manager para un solo recurso publicado de Citrix.


VMware, Inc. 130

Trabajar en el panel deinformación de la consola deadministración 10El panel de información de interacción del usuario de la consola de administración se puede utilizar parasupervisar usuarios y uso de recursos.


n Supervisar los usuarios y el uso de recursos desde el panel de información

n Ver informes

Supervisar los usuarios y el uso de recursos desde elpanel de informaciónEl panel de información de interacción del usuario muestra información sobre usuarios y recursos.Permite ver qué usuarios han iniciado la sesión, qué aplicaciones se están utilizando y la frecuencia conque se accede a las aplicaciones. Se pueden crear informes para hacer un seguimiento de lasactividades de grupos y usuarios y el uso de recursos.

El tiempo que se muestra en el panel de información de interacción del usuario se basa en la zonahoraria establecida para el navegador. El panel de información se actualiza cada minuto.

Procedimiento

n El encabezado muestra el número de usuarios únicos que iniciaron la sesión ese día y una línea detiempo que indica el número de eventos de inicio de sesión diarios en un período de siete días. Elnúmero del campo Usuarios que han iniciado sesión hoy está rodeado por un círculo que muestra elporcentaje de usuarios que inició la sesión. El gráfico deslizante de inicios de sesión muestra loseventos de inicio de sesión durante la semana. Señale uno de los puntos del gráfico para ver elnúmero de inicios de sesión del día.

n La sección Usuarios y grupos muestra el número de cuentas de usuario y grupos establecido enVMware Identity Manager. Se muestran primero los usuarios que iniciaron la sesión másrecientemente. Puede hacer clic en Ver informe completo para crear un informe de eventos deauditoría que muestre los usuarios que iniciaron la sesión en un intervalo de días.

n La sección Popularidad de aplicaciones muestra un gráfico de barras agrupado por tipo de aplicaciónque indica el número de veces que se iniciaron las aplicaciones en un período de siete días. Alseñalar un día específico aparece una descripción emergente que muestra el tipo de aplicacionesque se utilizaron y cuántas se iniciaron ese día. La lista debajo del gráfico muestra el número de

VMware, Inc. 131

veces que se iniciaron las aplicaciones específicas. Expanda la flecha a la derecha para ver estainformación a lo largo de un día, una semana, un mes o 12 semanas. Puede hacer clic en Verinforme completo para crear un informe de Uso de recursos que muestre la actividad de losusuarios, el tipo de recurso y las aplicaciones en un intervalo de tiempo.

n La sección Adopción de aplicaciones muestra un gráfico de barras que indica el porcentaje depersonas que abrieron las aplicaciones que están autorizados a usar. Al señalar la aplicaciónaparece una descripción emergente que muestra el número de adopciones y autorizaciones.

n El gráfico circular Aplicaciones iniciadas muestra el porcentaje del total de recursos que se iniciaron.Al señalar una sección determinada del gráfico circular se muestra el número real por tipo derecursos. Expanda la flecha a la derecha para ver esta información a lo largo de un día, una semana,un mes o 12 semanas.

Ver informesSe pueden crear informes para hacer un seguimiento de las actividades de grupos y usuarios y el uso derecursos. Los informes se pueden consultar en la página Panel de información > Informes de la consolade administración.

Los informes se pueden exportar en formato de archivo de valores separados por comas (csv).

Tabla 10‑1. Tipos de informes

Informe Descripción

Actividad reciente El informe de actividad reciente incluye las acciones realizadas por los usuarios en el portalWorkspace ONE el día, la semana, el mes o las 12 semanas anteriores. La actividad puedeincluir información del usuario como el número de inicios de sesión de usuario únicos, losinicios de sesión generales y la información de recursos, como el número de recursosiniciados y las autorizaciones de recursos agregadas. Puede hacer clic en Mostrar eventospara consultar la fecha, la hora y los detalles del usuario de la actividad.

Uso de recursos El informe de uso de recursos incluye todos los recursos del catálogo con detalles de cadarecurso relativos al número de usuarios, los inicios y las licencias. Se puede elegir ver lasactividades del día, la semana, el mes o las 12 últimas semanas anteriores.

Autorizaciones de recursos El informe de autorizaciones de recursos muestra en cada recurso el número de usuariosautorizados, el número de inicios y el número de licencias utilizadas.

Actividad del recurso El informe de actividad del recurso se puede crear para todos los usuarios o para un grupoespecífico. La información de actividad del recurso indica el nombre del usuario, el recursopara el que tiene autorización, la fecha en que se accedió al recurso por última vez einformación sobre el tipo de dispositivo utilizado para acceder a él.

Pertenencia a grupos El informe de pertenencia a grupos incluye una lista de los miembros del grupo que seespecifique.

Asignación de funciones El informe de asignación de funciones incluye los usuarios que son administradores o soloadministradores de API y sus direcciones de correo electrónico.

Usuarios El informe de usuarios incluye todos los usuarios y proporciona detalles sobre cada uno deellos, como dirección de correo electrónico, función y afiliaciones a grupos.

Usuarios simultáneos El informe de usuarios simultáneos muestra el número de sesiones de usuario que seabrieron a la vez, la fecha y la hora.


VMware, Inc. 132

Tabla 10‑1. Tipos de informes (Continua)

Informe Descripción

Uso del dispositivo El informe de uso del dispositivo se puede crear para todos los usuarios o para un grupoespecífico. Se muestra la información del dispositivo por usuario individual e incluye elnombre de usuario y el del dispositivo, información del sistema operativo y fecha de últimautilización.

Eventos de auditoría El informe de eventos de auditoría muestra los eventos relacionados con el usuario que seespecifique, como los inicios de sesión del usuario en los últimos 30 días y errores de iniciode sesión. También se pueden ver los detalles del evento de auditoría. Esta función es útilpara la resolución de problemas. Consulte Generación de un informe de eventos deauditoría.

Generación de un informe de eventos de auditoríaPuede generar un informe de los eventos de auditoría que especifique.

Los informes de eventos de auditoría pueden resultar útiles como método para la resolución deproblemas.

Prerequisitos

La auditoría debe estar habilitada. Para comprobar si se encuentra habilitada, en la consola deadministración, vaya a la página Catálogo > Configuración y seleccione Auditoría.

Procedimiento

1 En la consola de administración, seleccione la opción de Informes > Auditar eventos

2 Seleccione los criterios de los eventos de auditoría.

Criterios deeventos deauditoría Descripción

Administración Este cuadro de texto le permite limitar la búsqueda de los eventos de auditoría generados por unusuario específico.

Tipo Esta lista desplegable le permite limitar la búsqueda de los eventos de auditoría a un tipo de eventode auditoría específico. La lista desplegable no muestra todos los tipos de eventos de auditoríaposibles. La lista solo muestra los que se han producido en su implementación. Los tipos de eventosde auditoría que aparecen con todas sus letras en mayúsculas son eventos de acceso, como LOGINy LAUNCH, que no generan cambios en la base de datos. Otros tipos de evento de auditoríaproducen cambios en la base de datos.

Acción Esta lista desplegable le permite limitar la búsqueda a acciones específicas. En la lista se muestranlos eventos que causan cambios específicos en la base de datos. Si selecciona un evento de accesoen la lista desplegable Tipo, que incluye eventos que no son acciones, no especifique ninguna acciónen la lista desplegable Acción.


VMware, Inc. 133

Criterios deeventos deauditoría Descripción

Objeto Este cuadro de texto le permite limitar la búsqueda a un objeto específico. Ejemplos de objetos songrupos, usuarios y dispositivos. Los objetos se identifican mediante un nombre o un número de ID.

Rango de fechas Estos cuadros de texto le permite limitar la búsqueda a un rango de fechas con el formato "desdehace ___ días hasta hace ___ días". El rango de fechas máximo es de 30 días. Por ejemplo, desdehace 90 días hasta hace 60 días es un rango válido, mientras que desde hace 90 días hasta hace45 días no es un rango válido porque supera el máximo de 30 días.

3 Haga clic en Mostrar.

Los informes de eventos de auditoría se muestran en función de los eventos especificados.

NOTA: En aquellos momentos en que se reinicie el subsistema de auditoría, puede que se muestreun error en la página Auditar eventos y que no se genere el informe. Si recibe un mensaje de errorde este tipo sobre la imposibilidad de generar el informe, espere unos minutos e inténtelo de nuevo.

4 Para obtener más información sobre un evento de auditoría, haga clic en Ver detalles junto a dichoevento de auditoría.


VMware, Inc. 134

Personalización de marca paralos servicios deVMware Identity Manager 11Puede personalizar los logotipos, las fuentes y el fondo que aparecen en la consola de administración,las pantallas de inicio de sesión del administrador y del usuario, la vista web del portal de aplicaciones deWorkspace ONE y la vista web de la aplicación Workspace ONE en dispositivos móviles.

Puede usar la herramienta de personalización para que coincidan con el estilo, el diseño, los logotipos ylos colores de su empresa.


n Personalizar marcas en el servicio de VMware Identity Manager

n Personalizar marcas para el portal de usuario

n Personalización de marca de fábrica de Workspace ONE para Windows 10

n Personalización de marca para la aplicación VMware Verify

Personalizar marcas en el servicio deVMware Identity ManagerPuede agregar el nombre de la empresa y el nombre del producto en la consola de administración y elportal del usuario, así como el icono de favoritos en la barra de direcciones para ambos elementos.También puede personalizar la página de inicio de sesión para establecer los colores de fondo que seadecuen al diseño del logotipo y los colores de su compañía.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Personalización de marca.

2 Edite la configuración siguiente de la forma que corresponda.

Campo del formulario Descripción

Pestaña Nombres y logotipos

Nombre de la empresa Nombre de la empresa se aplica tanto a los dispositivos móviles como a los escritorios. Puedeagregar el nombre de la empresa como el título que aparecerá en la pestaña del navegador.

Si desea cambiar el nombre de la empresa, introduzca otro nombre sobre el que ya aparece.

Nombre del producto Nombre del producto se aplica tanto a los dispositivos móviles como a los escritorio. El nombredel producto se muestra tras el nombre de la empresa en la pestaña del navegador.

VMware, Inc. 135

Campo del formulario Descripción

Icono de favoritos Un icono de favoritos es un icono asociado a una URL que se muestra en la barra dedirecciones del navegador.

El tamaño máximo de la imagen del icono de favoritos es 16 x 16 px. El formato puede serJPEG, PNG, GIF o ICO.

Haga clic en Cargar para cargar una nueva imagen que sustituya al icono de favoritos actual.Se le pedirá que confirme el cambio. El cambio se realiza inmediatamente.

Pestaña Pantalla de inicio de sesión

Logotipo Haga clic en Cargar para cargar un nuevo logotipo que sustituya al actual en las pantallas deinicio de sesión. Al hacer clic en Confirmar, el cambio se realiza inmediatamente.

El tamaño mínimo de imagen recomendado para cargar es 350 x 100 px. Si carga imágenes conun tamaño superior a 350 x 100 px, se ajustarán a un tamaño de 350 x 100 px. El formato puedeser JPEG, PNG o GIF.

Color de fondo Color de fondo que se muestra en la pantalla de inicio de sesión.

Para cambiar el color de fondo, introduzca el código de color hexadecimal de seis dígitos sobreel que ya aparece.

Color de fondo delcuadro

El color del cuadro de la pantalla de inicio de sesión se puede personalizar.

Introduzca el código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo delbotón de inicio desesión

El color del botón de inicio de sesión se puede personalizar.

Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color del texto delbotón de inicio desesión

El color del texto que aparece en el botón de inicio de sesión se puede personalizar.

Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Cuando personalice la pantalla de inicio de sesión, podrá ver los cambios en el panel Vista previaantes de guardarlos.


Las actualizaciones de personalización de marca realizadas en la consola de administración y laspáginas de inicio de sesión se aplican en un plazo de cinco minutos después de hacer clic en Guardar.


Compruebe el aspecto de los cambios de personalización de marca en las distintas interfaces.

Actualice el aspecto de la vista en el tablet, el móvil y el portal de Workspace ONE de usuario final.Consulte Personalizar marcas para el portal de usuario

Personalizar marcas para el portal de usuarioPuede agregar un logotipo, cambiar los colores del fondo y agregar imágenes para personalizar el portalde Workspace ONE.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración >Personalización de marca del portal de usuario.


VMware, Inc. 136

2 Edite la configuración de la forma oportuna.


Logotipo Agregue un logotipo de cabecera para que sea el banner en la parte superior de la consola deadministración y las páginas web del portal de Workspace ONE.

El tamaño máximo de la imagen es 220 x 40 px. El formato puede ser JPEG, PNG o GIF.

Portal

Color de fondo de lacabecera

Para cambiar el color de fondo de la cabecera, introduzca un código de color hexadecimal deseis dígitos sobre el que ya aparece. Al introducir el nuevo código de color, cambiará el color defondo en la pantalla de vista previa del portal de la aplicación.

Color del texto de lacabecera

Para cambiar el color del texto que aparece en la cabecera, introduzca un código de colorhexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo Color de fondo que se muestra en la pantalla del portal web.

Para cambiar el color de fondo, introduzca un nuevo código de color hexadecimal de seis dígitossobre el que ya aparece. Al introducir el nuevo código de color, cambiará el color de fondo en lapantalla de vista previa del portal de la aplicación.

Seleccione Fondo resaltado para destacar el color de fondo. Si la opción Fondo resaltado estáhabilitada, los navegadores que admiten varias imágenes de fondo muestran la superposiciónen el programa de inicio y las páginas del catálogo.

Seleccione Trama de fondo para establecer la trama prediseñada del triángulo en el color defondo.

Color de fondo de icono Introduzca un código de color hexadecimal de seis dígitos para cambiar el cuadro de color defondo que rodea los iconos de las aplicaciones.

Opacidad del fondo delicono

Para establecer una transparencia, mueva el control deslizante de la barra.

Color del nombre y delicono

Puede seleccionar el color del texto de los nombres que aparecen debajo de los iconos en laspáginas del portal de la aplicación.

Para cambiar el color de fondo, introduzca un código de color hexadecimal sobre el que yaaparece.

Efecto de las letras Seleccione el tipo de letras que utilizará para el texto en las pantallas del portal de WorkspaceONE.

Fondo resaltado Si se habilita, en los navegadores que admiten varias imágenes de fondo, la superposición defondo se muestra en las páginas de marcadores y del catálogo.

Trama de fondo Si se habilita, en los navegadores que admiten varias imágenes bg, las superposiciones defondo aparecen en las páginas de marcadores y del catálogo.

Imagen (opcional) Para agregar una imagen al fondo en la pantalla del portal de la aplicación en vez de un color,cargue una imagen.


Las actualizaciones de personalización de marca se realizan cada 24 horas para el portal del usuario.Para realizar un envío push más rápido de los cambios, abra una nueva pestaña como administrador,introduzca esta URL y sustituya su nombre de dominio por miempr.ejemplo.com.https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true


VMware, Inc. 137


Revise el aspecto de los cambios de personalización de marca en las distintas interfaces.

Personalización de marca de fábrica de Workspace ONEpara Windows 10Cuando VMware AirWatch utiliza el servicio de aprovisionamiento de Windows 10 para el nuevoaprovisionamiento de dispositivos Windows 10, pueden establecerse la personalización de marca y unmensaje de bienvenida en la aplicación Workspace ONE.

Dado que los usuarios encienden sus equipos nuevos e inician sesión con sus credenciales por primeravez, el agente de aprovisionamiento de AirWatch se asegura de que la aplicación Workspace ONE estédisponible. Workspace ONE se inicia una vez que Windows está totalmente preparado. Los usuariosverán un mensaje de bienvenida personalizado con personalización de marca de la empresa antes deque se abra el catálogo de aplicaciones de Workspace ONE. Durante este tiempo, si Mostraraplicaciones recomendadas en la pestaña Marcadores está habilitado en la página Catálogo >Configuración > Configuración del portal de usuario, Workspace ONE descarga las aplicacionesrecomendadas.

NOTA: Consulte la Guía de la plataforma de escritorios de Windows para obtener información sobre elservicio de aprovisionamiento de Windows 10 por parte de AirWatch.

Procedimiento


2 En la sección Experiencia de fábrica del escritorio, edite la configuración para personalizar laspáginas de registro de Workspace ONE.


Logotipo de la pantallade bienvenida

Agregue un logotipo que debe ir centrado en la parte superior de la pantalla de bienvenida.

El tamaño máximo de la imagen es 250 x 250 px. El formato es PNG.

Color de fondo de lapantalla de bienvenida

El color que se muestra para el fondo de las pantallas de inicio y bienvenida.

Para cambiar el color de fondo, introduzca un código de color hexadecimal de seis dígitos sobreel que ya aparece. La pantalla de vista previa se actualiza con el nuevo color.

Color del botónSiguiente de la pantallade bienvenida

Introduzca un código de color hexadecimal de seis dígitos para cambiar el color de fondo para elbotón Siguiente que se muestra en la pantalla de bienvenida.

Color de fuente de lapantalla de bienvenida

Introduzca un código de color hexadecimal de seis dígitos para cambiar el color de fuente parael botón Siguiente.

Mensaje de bienvenida Cree un mensaje de bienvenida sobre el uso de Workspace ONE que se muestre en la páginade bienvenida.



VMware, Inc. 138

Personalización de marca para la aplicación VMwareVerifySi habilita la autenticación en dos fases para VMware Verify, puede personalizar la página de inicio con ellogotipo de su empresa.

Prerequisitos

VMware Verify habilitado.

Procedimiento


2 Edite la sección VMware Verify.


Logotipo Cargue el logotipo de la empresa que se mostrará en las páginas de solicitud de aprobación.

El tamaño de la imagen es 540x170 px, el formato es PNG y debe ser de 128 kB o menor.

Icono Cargue el icono que se mostrará en el dispositivo cando VMware Verify se inicie.

El tamaño de la imagen es 81x81 px, el formato es PNG y debe ser de 128 kB o menor.



VMware, Inc. 139

Documents

Administración de VMware Identity Manager · Contenido Acerca de la sección de administración de VMware Identity Manager 5 1 Uso de la consola de administración de VMware Identity