Amministrazione di VMware Identity Manager. DIC 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

Transcript

1 Amministrazione di VMware Identity Manager DIC 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

2 È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo: Inoltrare eventuali commenti sulla documentazione al seguente indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. P.le Biancamano Milano tel: fax: Copyright 2017 VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi. VMware, Inc. 2

3 Contenuti Informazioni su 5 1 Operazioni nella VMware Identity Manager console di amministrazione 6 Navigazione nella console di amministrazione 6 Panoramica delle impostazioni di Gestione identità e accessi 8 2 Utilizzo delle directory locali 11 Creazione di una directory locale 13 Modifica delle impostazioni della directory locale 17 Eliminazione di una directory locale 19 Configurazione di un metodo di autenticazione per gli utenti amministratori di sistema 19 3 Provisioning utente Just-in-Time 21 Informazioni sul provisioning utente Just-in-Time 21 Preparazione per il provisioning Just-in-Time 22 Configurazione del provisioning utente Just-in-Time 24 Requisiti per le asserzioni SAML 25 Disattivazione del provisioning utente Just-in-Time 26 Eliminazione di una directory Just-in-Time 26 Messaggi di errore 27 4 Gestione dell'esperienza di accesso utente 29 Selezione di un dominio durante il login 29 Esperienza di accesso mediante identificatore univoco 30 Configurazione dell'accesso basato su identificatore univoco 30 Richiesta delle condizioni d'uso per accedere al catalogo di Workspace ONE 31 5 Configurazione dell'autenticazione utente in VMware Identity Manager 34 Configurazione di Kerberos per VMware Identity Manager 36 Configurazione di SecurID per VMware Identity Manager 40 Configurazione di RADIUS per VMware Identity Manager 43 Configurazione dell'autenticazione adattiva RSA in VMware Identity Manager 46 Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager 49 Configurazione di VMware Verify per l'autenticazione a due fattori 53 Utilizzo dei provider di identità integrati 55 Configurazione di provider di identità Workspace aggiuntivi 67 Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti 68 VMware, Inc. 3

4 Gestione dei metodi di autenticazione da applicare agli utenti 70 6 Gestione dei criteri di accesso 74 Configurazione delle impostazioni dei criteri di accesso 74 Gestione dei criteri specifici delle applicazioni Web e desktop 77 Aggiunta di un criterio specifico di un'applicazione desktop o Web 79 Configurazione di un messaggio di errore di accesso negato personalizzato 80 Modifica del criterio di accesso predefinito 80 Abilitazione del controllo di conformità per i dispositivi gestiti da AirWatch 81 Attivazione dei cookie permanenti sui dispositivi mobili 83 7 Gestione di gruppi e utenti 85 Gestione degli utenti 86 Gestione dei gruppi 88 Creazione di utenti locali 93 Gestione delle password 96 Sincronizzazione della directory per correggere le informazioni del dominio 97 8 Gestione del catalogo 98 Gestione delle risorse nel catalogo 98 Raggruppamento di risorse in categorie 103 Gestione delle impostazioni del catalogo Utilizzo del dashboard della console di amministrazione 117 Monitoraggio di utenti e utilizzo delle risorse dal dashboard 117 Monitoraggio delle informazioni e dell'integrità del sistema 118 Visualizzazione di report Branding personalizzato per i servizi VMware Identity Manager 122 Personalizzazione del branding nel servizio VMware Identity Manager 122 Personalizzazione del branding per il Portale utente 123 Branding guidato personalizzato di Workspace ONE per Windows Personalizzazione del branding per l'applicazione VMware Verify 125 VMware, Inc. 4

5 Informazioni su Amministrazione di VMware Identity Manager contiene informazioni e istruzioni sull'uso e la gestione dei servizi di VMware Identity Manager. VMware Identity Manager consente di configurare e gestire metodi di autenticazione e criteri di accesso, personalizzare un catalogo di risorse per le applicazioni dell'organizzazione, nonché fornire a tali risorse l'accesso utente gestito e sicuro a più dispositivi. Tali risorse includono applicazioni Web, applicazioni basate su Citrix, nonché pool di applicazioni e desktop di Horizon. Destinatari Queste informazioni sono destinate a chiunque intenda configurare e amministrare VMware Identity Manager. Le informazioni sono indirizzate ad amministratori di sistemi Windows o Linux esperti che hanno già familiarità con tecnologia delle macchine virtuali, gestione delle identità, Kerberos e servizi di directory. Se si intende implementare tali funzionalità, è utile conoscere altre tecnologie come VMware Horizon 7, Horizon Cloud e la virtualizzazione dell'applicazione Citrix, nonché i metodi di autenticazione, come RSA SecurID. VMware, Inc. 5

6 Operazioni nella VMware Identity Manager console di amministrazione 1 La VMware Identity Manager console di amministrazione è una console di gestione centralizzata da cui è possibile gestire utenti e gruppi, aggiungere risorse al catalogo, gestire permessi per le risorse nel catalogo, configurare l'integrazione AirWatch e configurare e gestire i criteri di autenticazione e di accesso. Le attività principali che è possibile eseguire dalla console di amministrazione sono la gestione dei criteri di autenticazione e accesso degli utenti e la concessione di permessi agli utenti per le risorse. Queste attività principali sono supportate da altre attività che consentono un controllo dettagliato sugli utenti o i gruppi che sono autorizzati per determinate risorse in determinate condizioni. Gli utenti finali possono accedere al portale VMware Workspace ONE dai loro desktop o dispositivi mobili per accedere alle risorse di lavoro, tra cui desktop, browser, documenti aziendali condivisi e diversi tipi di applicazioni per cui sono autorizzati. Questo capitolo include i seguenti argomenti: Navigazione nella console di amministrazione Panoramica delle impostazioni di Gestione identità e accessi Navigazione nella console di amministrazione Le attività nella console di gestione sono organizzate in schede. Scheda Dashboard Utenti e gruppi Descrizione Il dashboard di coinvolgimento dell'utente può essere utilizzato per monitorare gli utenti e le risorse utilizzate. Il dashboard visualizza informazioni su quali utenti hanno effettuato l'accesso, quali applicazioni sono in uso e con quale frequenza vengono utilizzate. Il dashboard di diagnostica del sistema visualizza una panoramica dettagliata dell'integrità del servizio nell'ambiente e altre informazioni sui servizi. È possibile creare report per tenere traccia delle attività di utenti e gruppi, dell'utilizzo di risorse e dispositivi, nonché delle verifiche degli eventi per utente. Nella scheda Utenti e gruppi è possibile gestire e monitorare utenti e gruppi importati da Active Directory o dalla directory LDAP, creare utenti e gruppi locali e fornire permessi a utenti e gruppi per relativamente alle risorse. È possibile configurare i criteri password per gli utenti locali. VMware, Inc. 6

7 Scheda Catalogo Gestione identità e accessi Impostazioni appliance Descrizione Il Catalogo è il repository per tutte le risorse per le quali è possibile fornire permessi agli utenti. Nella scheda Catalogo è possibile aggiungere applicazioni Web e gestire le risorse esistenti. Nella pagina Raccolta app virtuali è possibile gestire le integrazioni di applicazioni e desktop Horizon, Citrix, Horizon Cloud e ThinApp. È possibile creare una nuova applicazione, raggruppare le applicazioni in categorie e accedere alle informazioni su ogni risorsa. Nella pagina Impostazioni catalogo è possibile scaricare certificati SAML, gestire configurazioni delle risorse e personalizzare l'aspetto del portale utente. Nella scheda Gestione identità e accessi è possibile impostare il servizio connettore, configurare l'integrazione di AirWatch, impostare metodi di autenticazione e applicare branding personalizzato alla pagina di accesso e alla console di gestione. È possibile gestire impostazioni di directory, provider di identità e criteri di accesso. È inoltre possibile configurare provider di identità di terze parti. Nella scheda Impostazioni appliance è possibile gestire la configurazione dell'appliance, compresa la configurazione dei certificati SSL per l'appliance, modificare le password di amministratore e sistema dei servizi e gestire altre funzioni dell'infrastruttura. È anche possibile aggiornare le impostazioni della licenza e configurare le impostazioni SMTP. Browser Web supportati per l'accesso alla console di amministrazione La console di amministrazione di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere a console di amministrazione dai browser seguenti. Internet Explorer 11 per sistemi Windows Google Chrome 42.0 o versione successiva per sistemi Windows e Mac Mozilla Firefox 40 o versione successiva per sistemi Windows e Mac Safari o versione successiva per sistemi Mac Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. VMware Identity Manager Workspace ONE per gli utenti finali Gli utenti finali possono accedere alle risorse per cui sono autorizzati dal loro portale Workspace ONE. Workspace ONE è l'interfaccia predefinita utilizzata quando gli utenti accedono e alle risorse per cui sono autorizzati e le usano con un browser. Quando AirWatch è integrato con VMware Identity Manager, gli utenti finali possono visualizzare tutte le app per cui sono autorizzati. Le applicazioni native sviluppate internamente o le app disponibili pubblicamente negli App Store possono essere rese disponibili per gli utenti finali dal portale Workspace ONE. VMware, Inc. 7

8 Panoramica delle impostazioni di Gestione identità e accessi Dalla scheda Gestione identità e accessi della console di amministrazione, è possibile configurare e gestire metodi di autenticazione, criteri di accesso, servizio di directory e personalizzare il branding del portale dell'utente finale e della console di amministrazione. Segue una descrizione delle impostazioni di configurazione della scheda Gestione identità e accessi. Tavola 1 1. Impostazioni di configurazione di Gestione identità e accessi Impostazione Configura > Connettori Descrizione La pagina Connettori elenca i connettori distribuiti all'interno della rete dell'azienda. Il connettore è utilizzato per sincronizzare i dati di utenti e gruppi tra la directory aziendale e il servizio. Quando il connettore è utilizzato come provider di identità, autentica gli utenti nel servizio. Quando si associa una directory a un'istanza di connettore, il connettore crea una partizione per la directory associata, chiamata Worker. A un'istanza di connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione. Il connettore sincronizza i dati di utenti e gruppi tra la directory aziendale e il servizio attraverso uno o più worker. Nella colonna Worker, selezionare un worker per visualizzare i dettagli del connettore e accedere alla pagina Adattatori autenticazione per controllare lo stato dei metodi di autenticazione disponibili. Per informazioni sull'autenticazione, vedere Capitolo 5 Configurazione dell'autenticazione utente in VMware Identity Manager. Nella colonna Provider di identità, selezionare il provider da visualizzare, modificare o disabilitare. Vedere Aggiunta e configurazione di un'istanza del provider di identità. Nella colonna Directory associata, accedere alla directory associata a questo Worker. Prima di aggiungere un nuovo connettore, fare clic su Aggiungi connettore per generare un codice di attivazione. Incollare il codice di attivazione nella procedura guidata di impostazione per stabilire la comunicazione con il connettore. Configura > Branding personalizzato Configura > Attributi utente Configura > Intervalli di rete Nella pagina Branding personalizzato, è possibile personalizzare l'aspetto dell'intestazione della console di amministrazione e della schermata di accesso. Vedere Personalizzazione del branding nel servizio VMware Identity Manager. Per personalizzare il portale Web dell'utente finale, le viste mobile e tablet, passare a Catalogo > Impostazioni > Branding portale utente. Vedere Personalizzazione del branding per il Portale utente. La pagina Attributi utente elenca gli attributi utente predefiniti sincronizzati nella directory e permette di aggiungere altri attributi che possono essere mappati con quelli di Active Directory. Vedere la guida all'integrazione della directory con VMware Identity Manager. Questa pagina elenca gli intervalli di rete aggiunti. È possibile configurare un intervallo di rete per consentire l'accesso degli utenti tramite quegli indirizzi IP. Si possono aggiungere intervalli di rete aggiuntivi e modificare quelli esistenti. Vedere Aggiunta o modifica di un intervallo di rete. VMware, Inc. 8

9 Tavola 1 1. Impostazioni di configurazione di Gestione identità e accessi (Continua) Impostazione Configura > Auto Discovery Configura > AirWatch Configura > Preferenze Descrizione Quando VMware Identity Manager e AirWatch sono integrati, è possibile integrare il servizio Individuazione automatica di Windows distribuito nella configurazione AirWatch con il servizio di VMware Identity Manager. Per maggiori dettagli sulla configurazione dell'individuazione automatica in AirWatch in distribuzioni locali, consultare la documentazione di AirWatch e la guida all'installazione del servizio Individuazione automatica di Windows di VMware AirWatch, disponibile sul sito Web di AirWatch all'indirizzo Registrare il dominio per l'uso del servizio di individuazione automatica al fine di semplificare l'accesso degli utenti al proprio portale delle applicazioni utilizzando Workspace ONE. Gli utenti finali possono immettere i propri indirizzi invece dell'url dell'organizzazione quando accedono al proprio portale delle applicazioni tramite Workspace ONE. Per ulteriori informazioni sull'individuazione automatica, vedere la Guida alla distribuzione di VMware Workspace ONE. In questa pagina, è possibile impostare l'integrazione con AirWatch. Dopo aver configurato e salvato l'integrazione, è possibile attivare il catalogo unificato per unire le applicazioni configurate nel catalogo di AirWatch al catalogo unificato; attivare il controllo di conformità per verificare che i dispositivi gestiti rispettino i criteri di conformità di AirWatch e attivare l'autenticazione con password utente tramite AirWatch Cloud Connector (ACC). Vedere la Guida alla distribuzione di VMware Workspace ONE. La pagina Preferenze mostra le funzionalità attivabili dall'amministratore. Le preferenze sono le seguenti: Mostra il dominio di sistema nella pagina di accesso può essere abilitato. I cookie permanenti possono essere attivati da questa pagina. Vedere Attivazione dei cookie permanenti. Abilitare Nascondi Menu a discesa del dominio quando non si desidera richiedere agli utenti di selezionare il dominio prima di accedere. Abilitare l'opzione relativa all'identificatore univoco per visualizzare le pagine di accesso basate sull'identificatore. Vedere Capitolo 4 Gestione dell'esperienza di accesso utente Condizioni d'uso In questa pagina, è possibile configurare le condizioni d'uso di Workspace ONE e assicurarsi che gli utenti finali le accettino prima di utilizzare il portale Workspace ONE. Segue una descrizione delle impostazioni utilizzate per gestire i servizi nella scheda Gestione identità e accessi. VMware, Inc. 9

10 Tavola 1 2. Impostazioni di Gestione in Gestione identità e accessi Impostazione Gestione > Directory Gestione > Provider di identità Gestione > Assistenza per il recupero password Metodi di autenticazione Gestione > Criteri Descrizione La pagina Directory elenca le directory create. L'utente crea una o più directory e quindi le sincronizza con la distribuzione della directory aziendale. In questa pagina è possibile visualizzare il numero di gruppi e utenti che vengono sincronizzati nella directory, nonché la data e l'ora dell'ultima sincronizzazione. È possibile fare clic su Sincronizza per avviare manualmente la sincronizzazione della directory.. Vedere la guida all'integrazione della directory con VMware Identity Manager. Quando si fa clic sul nome di una directory, è possibile modificare le impostazioni di sincronizzazione, esplorare le pagine dei Provider di identità e visualizzare il registro di sincronizzazione. Dalla pagina delle impostazioni di sincronizzazione delle directory è possibile pianificare la frequenza di sincronizzazione, visualizzare l'elenco dei domini associati a questa directory, cambiare l'elenco degli attributi mappati, aggiornare l'elenco di utenti e gruppi che vengono sincronizzati e impostare gli obiettivi di protezione. La pagina Provider di identità elenca i provider di identità configurati. Il connettore è un provider di identità iniziale. È possibile aggiungere istanze di provider di identità di terze parti o avere una combinazione di entrambi i tipi. Per l'autenticazione è possibile configurare il provider di identità integrato di VMware Identity Manager. Vedere Aggiunta e configurazione di un'istanza del provider di identità. Nella pagina Assistenza per il recupero password, è possibile cambiare il comportamento predefinito quando l'utente finale fa clic su "Password dimenticata" nella schermata di accesso. La pagina Metodi di autenticazione consente di configurare i metodi di autenticazione che possono essere associati ai provider di identità integrati. Dopo aver configurato i metodi di autenticazione in questa pagina, associare il metodo di autenticazione nella pagina del provider di identità integrato. La pagina Criteri elenca il criterio di accesso predefinito e tutti gli altri criteri di accesso alle applicazioni Web creati. I criteri sono un insieme di regole che definiscono quali sono i criteri da soddisfare affinché gli utenti possano accedere ai rispettivi portali App personali o avviare applicazioni Web abilitate per essi. È possibile modificare il criterio predefinito e se al catalogo vengono aggiunte applicazioni Web, è possibile aggiungere nuovi criteri per gestire l'accesso a queste applicazioni Web. Vedere Capitolo 6 Gestione dei criteri di accesso. VMware, Inc. 10

11 Utilizzo delle directory locali 2 La directory locale è uno dei tipi di directory che è possibile creare nel servizio VMware Identity Manager. Una directory locale consente di eseguire il provisioning degli utenti locali nel servizio e permettere loro di accedere ad applicazioni specifiche senza doverli aggiungere alla directory aziendale. La directory locale non è connessa ad alcuna directory aziendale e gli utenti e i gruppi non vengono sincronizzati da una directory aziendale. Gli utenti locali vengono infatti creati direttamente nella directory locale. Nel servizio è disponibile una directory locale predefinita denominata directory di sistema. È inoltre possibile creare più directory locali nuove. Directory di sistema La directory di sistema è una directory locale che viene creata automaticamente nel servizio quando viene configurato per la prima volta. Il dominio di questa directory è il dominio di sistema. Non è possibile modificare il nome o il dominio della directory di sistema o aggiungervi nuovi domini. La directory di sistema e il dominio di sistema non possono essere eliminati. L'utente amministratore locale creato durante la prima configurazione dell'appliance VMware Identity Manager viene creato nel dominio di sistema della directory di sistema. È possibile aggiungere altri utenti alla directory di sistema. La directory di sistema viene in genere utilizzata per configurare alcuni utenti amministratori locali per la gestione del servizio. Per eseguire il provisioning di utenti finali e amministratori aggiuntivi, nonché concedere loro i permessi per le applicazioni, è consigliabile creare una nuova directory locale. Directory locali È possibile creare più directory locali. Ogni directory locale può avere uno o più domini. Quando si crea un utente locale, è necessario specificare la directory e il dominio per tale utente. È inoltre possibile selezionare attributi per tutti gli utenti di una directory locale. Gli attributi utente, come username, lastname e firstname vengono specificati a livello globale nel servizio VMware Identity Manager. È disponibile un elenco di attributi predefinito a cui è possibile aggiungere attributi personalizzati. Gli attributi utente globali si applicano a tutte le directory del servizio, incluse le VMware, Inc. 11

12 directory locali. Al livello della directory locale, è possibile selezionare quali attributi sono obbligatori per la directory. In questo modo è possibile definire un insieme di attributi personalizzato per ogni directory locale. Si noti che gli attributi username, lastname, firstname e sono sempre obbligatori per le directory locali. Nota: La possibilità di personalizzare gli attributi utente a livello della directory è disponibile solo per le directory locali e non per Active Directory o le directory LDAP. La creazione delle directory locali risulta utile in scenari analoghi a quelli descritti di seguito. È possibile creare una directory locale per un tipo di utente specifico che non fa parte della directory aziendale. È ad esempio possibile creare una directory locale per i partner, che in genere non fanno parte della directory aziendale, e consentire loro di accedere solo alle applicazioni di cui necessitano. È consigliabile creare più directory locali se si desidera definire attributi utente o metodi di autenticazione diversi per set di utenti diversi. È ad esempio possibile creare una directory locale per i distributori con attributi utente come area e dimensioni del mercato e un'altra directory locale per i fornitori con attributi utente come categoria prodotto e tipo di fornitore. Provider di identità per la directory di sistema e le directory locali Per impostazione predefinita, la directory di sistema viene associata a un provider di identità denominato provider di identità del sistema. Per impostazione predefinita, in questo provider di identità è abilitato il metodo Password (directory Cloud), che si applica al criterio default_access_policy_set per l'intervallo di rete TUTTI GLI INTERVALLI e il tipo di dispositivo Browser Web. È possibile configurare metodi di autenticazione aggiuntivi e impostare criteri di autenticazione. Quando viene creata, una nuova directory locale non è associata ad alcun provider di identità. Dopo aver creato la directory, creare un nuovo provider di identità di tipo Embedded e associarvi la directory. Nel provider di identità, abilitare il metodo di autenticazione Password (directory Cloud). È possibile associare più directory locali allo stesso provider di identità. Il connettore VMware Identity Manager non è necessario per la directory di sistema e le directory locali create. Per ulteriori informazioni, vedere la sezione relativa alla configurazione dell'autenticazione degli utenti in VMware Identity Manager nella Guida all'amministrazione di VMware Identity Manager. Gestione delle password per gli utenti della directory locale Per impostazione predefinita, tutti gli utenti delle directory locali possono cambiare la propria password nell'app o nel portale Workspace ONE. È possibile impostare criteri per le password degli utenti locali. È inoltre possibile reimpostare le password degli utenti locali in base alle esigenze. VMware, Inc. 12

13 Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. Per informazioni sull'impostazione di criteri per le password e la reimpostazione delle password degli utenti locali, vedere la sezione relativa alla gestione di utenti e gruppi nella guida all'amministrazione di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Creazione di una directory locale Modifica delle impostazioni della directory locale Eliminazione di una directory locale Configurazione di un metodo di autenticazione per gli utenti amministratori di sistema Creazione di una directory locale Per creare una directory locale, è sufficiente specificare gli attributi utente per la directory, creare la directory e identificarla con un provider di identità. Impostazione degli attributi utente a livello globale Prima di creare una directory locale, verificare gli attributi utente globali nella pagina Attributi utente e aggiungere attributi personalizzati, se necessario. Gli attributi utente, come firstname, lastname, e domain, fanno parte del profilo di un utente. Nel servizio VMware Identity Manager gli attributi utente vengono definiti a livello globale e si applicano a tutte le directory del servizio, incluse le directory locali. A livello della directory locale è possibile ignorare il fatto che un attributo sia obbligatorio o facoltativo per gli utenti della directory, ma non è possibile aggiungere attributi personalizzati. Se un attributo è obbligatorio, è necessario specificare un valore per tale attributo quando si crea un utente. Quando si creano attributi personalizzati, non è possibile utilizzare le parole seguenti. Tavola 2 1. Parole che non possono essere utilizzate come nomi di attributi personalizzati active addresses costcenter department displayname division s employeenumber entitlements externalid groups id ims locale manager meta name nickname organization password phonenumber photos preferredlanguage profileurl VMware, Inc. 13

14 Tavola 2 1. Parole che non possono essere utilizzate come nomi di attributi personalizzati (Continua) roles timezone title username usertype x509certificate Nota: La possibilità di ignorare gli attributi utente a livello della directory si applica solo alle directory locali e non alle directory di LDAP o Active Directory. 1 Nella console di amministrazione, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Attributi utente. 3 Esaminare l'elenco di attributi utente e aggiungere altri attributi, se necessario. Nota: Anche se in questa pagina è possibile scegliere quali attributi sono obbligatori, è consigliabile eseguire la selezione per le directory locali a livello delle directory locali stesse. Se un attributo viene contrassegnato come Obbligatorio in questa pagina, la condizione si applica a tutte le directory nel servizio, incluse le directory di Active Directory o LDAP. 4 Fare clic su Salva. Passi successivi Creare la directory locale. Creazione di una directory locale Dopo aver esaminato e impostato attributi utente globali, creare la directory locale. 1 Nella console di amministrazione, fare clic sulla scheda Gestione identità e accessi, quindi sulla scheda Directory. 2 Fare clic su Aggiungi directory e selezionare Aggiungi directory utente locale nel menu a discesa. VMware, Inc. 14

15 3 Nella pagina Aggiungi directory, immettere un nome di directory e specificare almeno un nome di dominio. Il nome del dominio deve essere univoco tra tutte le directory nel servizio. Ad esempio: 4 Fare clic su Salva. 5 Nella pagina Directory, fare clic sulla nuova directory. 6 Fare clic sulla scheda Attributi utente. Tutti gli attributi della pagina Gestione identità e accessi > Configura > Attributi utente verranno elencati per la directory locale. Gli attributi contrassegnati come obbligatori in tale pagina vengono elencati come obbligatori anche nella pagina della directory locale. 7 Personalizzare gli attributi per la directory locale. È possibile specificare gli attributi obbligatori e quelli facoltativi. È inoltre possibile modificare l'ordine di visualizzazione degli attributi. Importante: Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Per rendere obbligatorio un attributo, selezionare la casella di controllo accanto al nome dell'attributo. Per rendere facoltativo un attributo, deselezionare la casella di controllo accanto al nome dell'attributo. Per modificare l'ordine degli attributi, fare clic e trascinare gli attributi nella nuova posizione. VMware, Inc. 15

16 Se un attributo è obbligatorio, quando si crea un utente è necessario specificare un valore per tale attributo. Ad esempio: 8 Fare clic su Salva. Passi successivi Associare la directory locale al provider di identità che si desidera utilizzare per l'autenticazione degli utenti nella directory. Associazione della directory locale a un provider di identità Associare la directory locale a un provider di identità in modo che sia possibile eseguire l'autenticazione degli utenti della directory. Creare un nuovo provider di identità di tipo Embedded e abilitare il metodo di autenticazione Password (directory locale) in tale provider. Nota: Non utilizzare il provider di identità integrato. Non è infatti consigliabile abilitare il metodo di autenticazione Password (directory locale) nel provider di identità integrato. Prerequisiti Il metodo di autenticazione Password (directory locale) deve essere configurato nella pagina Gestione identità e accessi > Metodi di autenticazione. 1 Nella scheda Gestione identità e accessi fare clic sulla scheda Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea provider di identità integrato. VMware, Inc. 16

17 3 Immettere le informazioni seguenti. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Esportazione certificato KDC Descrizione Immettere un nome per il provider di identità. Selezionare la directory locale creata. Selezionare le reti da cui è possibile accedere al provider di identità. Selezionare Password (directory locale). Non è necessario scaricare il certificato a meno che non si stia configurando SSO mobile per i dispositivi ios gestiti da AirWatch. 4 Fare clic su Aggiungi. Il provider di identità viene creato e associato alla directory locale. Nel provider di identità è possibile configurare altri metodi di autenticazione in un secondo momento. Per ulteriori informazioni sull'autenticazione, vedere la sezione relativa alla configurazione dell'autenticazione utente in VMware Identity Manager di VMware Identity Manager Administration. È possibile utilizzare lo stesso provider di identità per più directory locali. Passi successivi Creare utenti e gruppi locali. È possibile creare utenti e gruppi locali nella scheda Utenti e gruppi della console di amministrazione. Per ulteriori informazioni, vedere la sezione relativa alla gestione di utenti e gruppi di VMware Identity Manager Administration. Modifica delle impostazioni della directory locale Dopo aver creato una directory locale, è possibile modificarne le impostazioni in qualsiasi momento. VMware, Inc. 17

18 È possibile modificare le impostazioni seguenti. Modificare il nome della directory. Aggiungere, eliminare o rinominare i domini. I nomi dei domini devono essere univoci in tutte le directory nel servizio. Quando si modifica il nome di un dominio, gli utenti associati al vecchio dominio vengono associati al nuovo dominio. La directory deve includere almeno un dominio. Non è possibile aggiungere un dominio alla directory di sistema o eliminare il dominio di sistema. Aggiungere nuovi attributi utente o rendere un attributo esistente obbligatorio o facoltativo. Se la directory locale non include ancora alcun utente, è possibile aggiungere nuovi attributi obbligatori o facoltativi e modificare gli attributi esistenti rendendoli obbligatori o facoltativi. Se sono già stati creati utenti nella directory locale, è possibile aggiungere solo attributi facoltativi e modificare gli attributi esistenti rendendoli da obbligatori a facoltativi. Non è possibile rendere obbligatorio un attributo facoltativo dopo aver creato gli utenti. Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Poiché gli attributi utente vengono definiti a livello globale nel servizio VMware Identity Manager, ogni nuovo attributo aggiunto verrà incluso in tutte le directory nel servizio. Modificare l'ordine di visualizzazione degli attributi. 1 Fare clic sulla scheda Gestione identità e accessi. 2 Nella pagina Directory, fare clic sulla directory che si desidera modificare. 3 Modificare le impostazioni della directory locale. Opzione Azione Modificare il nome della directory a Nella scheda Impostazioni modificare il nome della directory. Aggiungere, eliminare o rinominare un dominio Aggiungere attributi utente alla directory b a b c d a b c Fare clic su Salva. Nella scheda Impostazioni modificare l'elenco Domini. Per aggiungere un dominio, fare clic sull'icona a forma di segno più verde. Per eliminare un dominio, fare clic sull'icona di eliminazione rossa. Per rinominare un dominio, modificare il nome del dominio nella casella di testo. Fare clic sulla scheda Gestione identità e accessi, quindi fare clic su Configura. Fare clic sulla scheda Attributi utente. Aggiungere attributi nell'elenco Aggiungere altri attributi da utilizzare e fare clic su Salva. VMware, Inc. 18

19 Opzione Azione Rendere un attributo obbligatorio o facoltativo per la directory a b c d Nella scheda Gestione identità e accessi, fare clic sulla scheda Directory. Fare clic sul nome della directory locale e sulla scheda Attributi utente. Selezionare la casella di controllo accanto a un attributo per renderlo obbligatorio oppure deselezionare la casella di controllo per renderlo facoltativo. Fare clic su Salva. Modificare l'ordine degli attributi a Nella scheda Gestione identità e accessi, fare clic sulla scheda Directory. b c d Fare clic sul nome della directory locale e sulla scheda Attributi utente. Fare clic sugli attributi e trascinarli nella nuova posizione. Fare clic su Salva. Eliminazione di una directory locale È possibile eliminare una directory locale creata nel servizio VMware Identity Manager. Non è invece consentito eliminare la directory di sistema, che viene creata per impostazione predefinita alla prima configurazione del servizio. Attenzione: Quando si elimina una directory dal servizio, vengono eliminati anche tutti gli utenti inclusi nella directory. 1 Fare clic sulla scheda Gestione identità e accessi, quindi fare clic sulla scheda Directory. 2 Fare clic sulla directory che si desidera eliminare. 3 Nella pagina della directory, fare clic su Elimina directory. Configurazione di un metodo di autenticazione per gli utenti amministratori di sistema Il metodo di autenticazione predefinito per gli amministratori di sistema che accedono dalla directory di sistema è Password (directory locale). Il criterio di accesso predefinito è configurato con Password (directory locale) come metodo di fallback in modo che gli amministratori possano accedere alla console di amministrazione di VMware Identity Manager e al portale Workspace ONE. Se si creano criteri di accesso per applicazioni Web e desktop specifiche per cui gli amministratori di sistema sono autorizzati, questi criteri devono essere configurati in modo da includere Password (directory locale) come metodo di autenticazione di fallback. In caso contrario, gli amministratori non possono accedere all'applicazione. VMware, Inc. 19

20 VMware, Inc. 20

21 Provisioning utente Just-in-Time 3 Il provisioning utente Just-in-Time consente di creare dinamicamente gli utenti del servizio VMware Identity Manager in fase di accesso, utilizzando asserzioni SAML inviate da un provider di identità di terze parti. Il provisioning utente Just-in-Time è disponibile solo per provider di identità di terze parti. Non è disponibile per il connettore di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Informazioni sul provisioning utente Just-in-Time Preparazione per il provisioning Just-in-Time Configurazione del provisioning utente Just-in-Time Requisiti per le asserzioni SAML Disattivazione del provisioning utente Just-in-Time Eliminazione di una directory Just-in-Time Messaggi di errore Informazioni sul provisioning utente Just-in-Time Il provisioning Just-in-Time fornisce un altro modo di eseguire il provisioning di utenti nel servizio VMware Identity Manager. Invece di sincronizzare gli utenti da un'istanza di Active Directory, con il provisioning Just-in-Time gli utenti vengono creati e aggiornati dinamicamente al loro accesso in base alle asserzioni SAML inviate dal provider di identità. In questo scenario, VMware Identity Manager funziona da provider di servizi SAML. La configurazione Just-in-Time può essere configurata solo per provider di identità di terze parti. Non è disponibile per il connettore. Con una configurazione Just-in-Time, non è necessario installare un connettore on-premise in quanto il processo di gestione e gestione di tutti gli utenti è gestito mediante asserzioni SAML e l'autenticazione è gestita dal provider di identità di terze parti. VMware, Inc. 21

22 Creazione e gestione di utenti Se il provisioning Just-in-Time è abilitato, quando un utente passa alla pagina di accesso al servizio VMware Identity Manager e seleziona un dominio, sarà reindirizzato al provider di identità corretto. L'utente accede, viene autenticato e viene reindirizzato dal provider di identità al servizio VMware Identity Manager con una asserzione SAML. Gli attributi nell'asserzione SAML sono utilizzati per creare l'utente nel servizio. Sono utilizzati solo gli attributi che corrispondono agli attributi utente definiti nel servizio; altri attributi saranno ignorati. L'utente viene aggiunto anche ai gruppi basati sugli attributi e riceve i permessi impostati per tali gruppi. Agli accessi successivi, se sono state apportate delle modifiche nell'asserzione SAML, l'utente sarà aggiornato nel servizio. Gli utenti sottoposti a provisioning Just-in-Time non possono essere eliminati. Per eliminare gli utenti, è necessario eliminare la directory Just-in-Time. Tenere presente che la gestione di tutti gli utenti viene condotta tramite le asserzioni SAML. Non è possibile creare o aggiornare questi utenti direttamente dal servizio. Gli utenti Just-in-Time non possono essere sincronizzati da Active Directory. Per informazioni sugli attributi richiesti nell'asserzione SAML, vedere Requisiti per le asserzioni SAML. Directory Just-in-Time Il provider di identità di terze parti deve avere una directory Just-in-Time associata nel servizio. Quando si abilita il provisioning Just-in-Time per un provider di identità, viene creata una nuova directory Just-in-Time e si specifica uno o più domini per tali directory. Gli utenti appartenenti a questi domini sono sottoposti a provisioning nella directory. Se per la directory sono configurati più domini, le asserzioni SAML devono includere un attributo di dominio. Se per la directory è configurato un singolo dominio, un attributo di dominio non è richiesto nelle asserzioni SAML ma se viene specificato, il suo valore deve corrispondere al nome del dominio. È possibile associare soltanto una directory, di tipo Just-in-Time, a un provider di identità che ha il provisioning Just-in-Time abilitato. Preparazione per il provisioning Just-in-Time Prima di configurare il provisioning dell'utente Just-in-Time, rivedere gruppi, permessi dei gruppi e impostazioni degli attributi utente, quindi apportare le modifiche necessarie. Individuare inoltre i domini che si desidera utilizzare per la directory Just-in-Time. VMware, Inc. 22

23 Creazione di gruppi locali Gli utenti registrati tramite il provisioning Just-in-Time vengono aggiunti ai gruppi in base ai rispettivi attributi utente ed ereditano i permessi sulle risorse dai gruppi a cui appartengono. Prima di configurare il provisioning Just-in-Time, assicurarsi che vi siano gruppi locali nel servizio. Creare uno o più gruppi locali, in base alle esigenze. Per ogni gruppo, impostare le regole per l'appartenenza al gruppo e aggiungere i permessi. 1 Nella console di amministrazione, selezionare la scheda Utenti e gruppi. 2 Click Crea gruppo, specificare un nome e una descrizione per il gruppo e fare clic su Aggiungi. 3 Nella pagina Gruppi, fare clic sul nuovo gruppo. 4 Configurare gli utenti per il gruppo. a b Nel riquadro di sinistra, selezionare Utenti in questo gruppo. Fare clic su Modifica utenti in questo gruppo e impostare le regole di appartenenza al gruppo. 5 Aggiungere permessi al gruppo. a b c Nel riquadro di sinistra, selezionare Permessi. Fare clic su Aggiungi permessi e selezionare le applicazioni e il metodo di distribuzione per ogni applicazione. Fare clic su Salva. Revisione degli attributi dell'utente Rivedere gli attributi dell'utente impostati per tutte le directory di VMware Identity Manager nella pagina Attributi utente e modificarli, se necessario. Quando viene effettuato il provisioning di un utente tramite il provisioning Just-in-Time, l'asserzione SAML viene utilizzata per creare l'utente. Vengono utilizzati solo gli attributi nell'asserzione SAML corrispondenti a quelli elencati nella pagina Attributi utente. Importante: Se un attributo viene contrassegnato come obbligatorio nella pagina Attributi utente, l'asserzione SAML deve comprendere l'attributo, altrimenti l'accesso non viene effettuato. Quando si apportano modifiche agli attributi utente, considerare gli effetti su altre directory e configurazioni nel tenant. La pagina Attributi utente riguarda tutte le directory del tenant. Nota: Non è necessario contrassegnare come obbligatorio l'attributo domain. 1 Nella console di gestione, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Impostazione, quindi fare clic su Attributi utente. VMware, Inc. 23

24 3 Rivedere gli attributi e apportare le modifiche necessarie. Configurazione del provisioning utente Just-in-Time È possibile configurare il provisioning utente Just-in-Time per un provider di identità di terze parti mentre si crea o si aggiorna il provider di identità nel servizio VMware Identity Manager. L'attivazione del provisioning Just-in-Time comporta la creazione di una nuova directory Just-in-Time e la definizione di uno o più domini associati. Alla directory vengono aggiunti gli utenti che appartengono a questi domini. È necessario specificare almeno un dominio. Il nome del dominio deve essere univoco tra tutte le directory del servizio VMware Identity Manager. Se si specificano più domini, le dichiarazioni SAML devono includere l'attributo di dominio. Se si specifica un unico dominio, questo viene utilizzato come dominio per le dichiarazioni SAML senza un attributo di dominio. Se viene specificato un attributo di dominio, il suo valore deve corrispondere a uno dei domini, altrimenti l'accesso avrà esito negativo. 1 Accedere alla console di amministrazione del servizio VMware Identity Manager. 2 Fare clic sulla scheda Gestione identità e accessi e quindi su Provider di identità. 3 Fare clic su Aggiungi provider di identità o selezionare un provider di identità. VMware, Inc. 24

25 4 Nella sezione Provisioning utente Just-in-Time, fare clic su Attiva. 5 Immettere le informazioni seguenti. Un nome per la nuova directory Just-in-Time. Uno o più domini. Importante: I nomi dei domini devono essere univoci tra tutte le directory nel tenant. Ad esempio: 6 Completare il resto della pagina e fare clic su Aggiungi o su Salva. Per informazioni, vedere Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti. Requisiti per le asserzioni SAML Quando per un provider di identità di terze parti è abilitato il provisioning utente Just-in-Time, gli utenti vengono creati o aggiornati nel servizio VMware Identity Manager durante l'accesso basato sulle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi. L'asserzione SAML deve includere l'attributo username. L'asserzione SAML deve includere tutti gli attributi utente che sono contrassegnati come richiesti nel servizio VMware Identity Manager. Per visualizzare o modificare gli attributi utente nella console di amministrazione, dalla scheda Gestione identità e accessi fare clic su Configura quindi selezionare Attributi utente. Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo. Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo domain. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce. VMware, Inc. 25

26 Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo domain nell'asserzione SAML è facoltativa. Se si specifica l'attributo domain, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente sarà associato al dominio configurato per la directory. Se si desidera consentire gli aggiornamenti ai nomi degli utenti, includere l'attributo ExternalId nell'asserzione SAML. L'utente è identificato dal ExternalId. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente differente, l'utente sarà comunque identificato correttamente, potrà accedere e il nome utente sarà aggiornato nel servizio Identity Manager. Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito. Sono utilizzati gli attributi richiesti o facoltativi nel servizio Identity Manager (come riportato sulla pagina Attributi utente). Gli attributi che non corrispondono ad alcun attributo sulla pagina Attributi utente saranno ignorati. Gli attributi senza un valore vengono ignorati. Disattivazione del provisioning utente Just-in-Time È possibile disattivare il provisioning utente Just-in-Time. Quando l'opzione è disabilitata non vengono creati nuovi utenti e quelli esistenti non vengono aggiornati durante l'accesso. L'autenticazione degli utenti esistenti da parte del provider identità continua a essere effettuata. 1 Nella console di amministrazione, scegliere la scheda Gestione identità e accessi e fare clic su Provider di identità. 2 Fare clic sul provider di identità da modificare. 3 Nella sezione Provisioning utente Just-in-Time, deselezionare la casella di controllo Attiva. Eliminazione di una directory Just-in-Time Una directory Just-in-Time è una directory associata a un provider di identità di terze parti in cui è abilitato il provisioning utente Just-in-Time. Quando si elimina la directory, tutti gli utenti presenti nella directory vengono eliminati e la configurazione Just-in-Time viene disabilitata. Poiché un provider di identità Justin-Time può avere una sola directory, se si elimina quest'ultima non sarà più possibile utilizzare il provider di identità. VMware, Inc. 26

27 Per riattivare la configurazione Just-in-Time per il provider di identità, è necessario creare una nuova directory. 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Selezionare la directory da eliminare all'interno della pagina Directory. La colonna Tipo consente di identificare quali sono le directory Just-in-Time. 3 Fare clic sul nome della directory. 4 Fare clic su Elimina directory. Messaggi di errore Gli amministratori o gli utenti finali possono visualizzare gli errori correlati al provisioning Just-in-Time. Ad esempio, se un attributo richiesto non è presente nell'asserzione SAML, si verifica un errore e l'utente non può accedere. I seguenti errori possono essere restituiti nella console di amministrazione: Messaggio di errore Se il provisionin utente JIT è abilitato, almeno una directory deve essere associata al provider di identità. Soluzione Non esiste alcuna directory associata al provider di identità. Un provider di identità con l'opzione di provisioning Just-in-Time abilitata deve avere una directory Just-in-Time associata. 1 Nella scheda Gestione identità e accessi nella console di amministrazione, fare clic su Provider di identità e selezionare il provider. 2 Nella sezione Provisioning utente Just-in-Time specificare il nome di una directory e uno o più domini. 3 Fare clic su Salva. Verrà creata una directory Just-in-Time. I seguenti errori possono essere restituiti sulla pagina di accesso: VMware, Inc. 27

28 Messaggio di errore Attributo utente mancante: nome. Il dominio è mancante e non può essere determinato. Soluzione Un attributo utente richiesto non è presente nell'asserzione SAML inviata dal provider di identità di terze parti. Tutti gli attributi contrassegnati richiesti nella pagina Attributi utente devono essere inclusi nell'asserzione SAML. Modificare le impostazioni del provider di identità di terze parti per inviare le asserzioni SAML corrette. L'asserzione SAML non include l'attributo del dominio e il dominio non può essere determinato. Un attributo di dominio è necessario nei seguenti casi: Se più domini sono configurati per la directory Just-in-Time. Se il dominio è contrassegnato come attributo richiesto sulla pagina Attributi utente. Se viene specificato un attributo di dominio, il suo valore deve corrispondere a uno dei domini specificati per la directory. Modificare le impostazioni del provider di identità di terze parti per inviare le asserzioni SAML corrette. Nome attributo: nome, valore: valore. Impossibile creare o aggiornare un utente JIT. L'attributo nell'asserzione SAML non corrisponde ad alcuno degli attributi sulla pagina Attributi utente nel tenant e sarà ignorato. L'utente non è stato creato nel servizio. Tra le cause possibili vi sono: Un attributo richiesto non è presente nell'asserzione SAML. Rivedere gli attributi sulla pagina Attributi utente e verificare che l'asserzione SAML includa tutti gli attributi contrassegnati come obbligatori. Il dominio per l'utente non è stato determinato. Specificare l'attributo di dominio nell'asserzione SAML e assicurarsi che il suo valore corrisponda a uno dei domini configurati per la directory Just-in-Time. VMware, Inc. 28

29 Gestione dell'esperienza di 4 accesso utente Gli utenti sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. L'esperienza predefinita per gli utenti che accedono al portale Workspace ONE da VMware Identity Manager consiste nel selezionare il dominio a cui appartengono nella prima pagina di accesso che viene visualizzata. Poiché gli utenti selezionano innanzitutto il loro dominio, gli utenti che hanno lo stesso nome utente ma si trovano in domini diversi possono accedere correttamente. Ad esempio, è possibile che sia presente un nome utente jane nel dominio eng.example.com e un altro nome utente jane nel dominio sales.example.com. In VMware Identity Manager, la pagina di autenticazione viene visualizzata in base alle regole dei criteri di accesso configurate per tale dominio. Questo capitolo include i seguenti argomenti: Selezione di un dominio durante il login Esperienza di accesso mediante identificatore univoco Configurazione dell'accesso basato su identificatore univoco Richiesta delle condizioni d'uso per accedere al catalogo di Workspace ONE Selezione di un dominio durante il login L'impostazione Mostra dominio di sistema nella pagina di login è abilitato per impostazione predefinita nella pagina Gestione identità e accessi > Configurazione > Preferenze. Agli utenti viene mostrato il menu a discesa selezione del dominio in cui sono elencati tutti i domini di Active Directory integrati con il server VMware Identity Manager e il dominio di sistema locale. Se si deseleziona l'impostazione Mostra dominio di sistema nella pagina di login, la voce del dominio di sistema viene rimossa dal menu a discesa dominio. Quando il servizio VMware Identity Manager contiene un singolo dominio Active Directory, gli utenti non vedono il menu a discesa. Agli utenti vengono mostrate le loro credenziali per il login. Quando il dominio di sistema non viene visualizzato in un menu a discesa, gli amministratori di VMware Identity Manager possono immettere il seguente URL per accedere alla console amministrativa, <example.com>/saas/login/0. Viene visualizzata la schermata con il nome utente e la password. VMware, Inc. 29

30 Esperienza di accesso mediante identificatore univoco Se non si desidera richiedere agli utenti di selezionare il dominio prima dell'accesso, è sufficiente nascondere la pagina di richiesta del dominio. È quindi possibile selezionare un identificatore univoco per distinguere gli utenti nell'organizzazione. Quando un utente accede, viene visualizzata una pagina in cui viene richiesto di immettere il proprio identificatore univoco. VMware Identity Manager tenta di individuare l'utente nel database interno. Quando il servizio VMware Identity Manager cerca l'identificatore, le informazioni trovate includono il dominio a cui l'utente appartiene. La pagina di autenticazione visualizzata è basata sulle regole dei criteri di accesso per tale dominio. L'identificatore univoco può essere il nome utente, l'indirizzo , un UPN o l'id dipendente. È possibile selezionare l'identificatore da utilizzare nella pagina Gestione identità e accessi > Preferenze. L'attributo identificatore univoco deve essere mappato nella pagina Attributi utente e sincronizzato da Active Directory. Se vengono individuati più utenti che corrispondono all'identificatore e non è possibile trovare alcun utente univoco, viene visualizzato un messaggio di errore. Se non viene individuato alcun utente, viene visualizzata la pagina di accesso dell'utente locale per evitare possibili attacchi di enumerazione dei nomi utente. Configurazione dell'accesso basato su identificatore univoco Se si utilizza un metodo di autenticazione con nome utente e password, è possibile abilitare l'opzione identificatore univoco in modo da visualizzare le pagine di accesso basate sull'identificatore. Agli utenti viene richiesto di immettere il proprio identificatore univoco e quindi le credenziali di autenticazione appropriate in base alle regole dei criteri di accesso configurate. I metodi di autenticazione che supportano l'accesso basato su identificatore univoco includono i metodi di autenticazione Password, RSA SecurID e RADIUS. Prerequisiti Selezionare l'attributo utente identificatore univoco da utilizzare nella pagina Gestione identità e accessi > Attributi utente. Assicurarsi che l'attributo venga utilizzato solo per identificare oggetti univoci. Assicurarsi che gli attributi selezionati siano sincronizzati con la directory. Verificare che le regole dei criteri di accesso predefinite per i domini degli utenti riflettano il tipo di autenticazione da utilizzare quando è disponibile l'accesso basato sull'identificatore. 1 Nella scheda Gestione identità e accessi della console di amministrazione, fare clic su Preferenze. VMware, Inc. 30

31 2 Se si sta impostando l'accesso basato su identificatore univoco in un ambiente a dominio singolo, abilitare l'opzione Mostra dominio di sistema nella pagina di login. L'abilitazione di questa funzionalità è necessaria solo quando è configurato un dominio in VMware Identity Manager. 3 Per nascondere la pagina di accesso di selezione del dominio, selezionare la casella di controllo Abilita. 4 Nel menu a discesa, selezionare l'identificatore univoco da utilizzare. Le opzioni sono nome utente, e- mail, UPN e ID dipendente. 5 Fare clic su Salva. Richiesta delle condizioni d'uso per accedere al catalogo di Workspace ONE È possibile scrivere le condizioni d'uso di Workspace ONE della propria organizzazione e fare in modo che l'utente finale le accetti prima di poter utilizzare Workspace ONE. Le condizioni d'uso vengono visualizzate dopo che l'utente accede a Workspace ONE. Gli utenti devono accettare le condizioni d'uso prima di poter passare al catalogo di Workspace ONE. La funzionalità Condizioni d'uso include le opzioni di configurazione seguenti. Creare versioni delle condizioni d'uso esistenti. Modificare le condizioni d'uso. Creare più condizioni d'uso che possono essere visualizzate in base al tipo di dispositivo. Creare copie delle condizioni d'uso specifiche della lingua. I criteri configurati per le condizioni d'uso vengono elencati nella scheda Gestione identità e accessi. È possibile modificare i criteri delle condizioni d'uso per correggere i criteri esistenti o creare nuove versioni dei criteri. La nuova versione delle condizioni d'uso che viene aggiunta sostituisce quella esistente. Se si modifica un criterio, non viene creata una nuova versione delle condizioni d'uso. Nella pagina Condizioni d'uso è possibile visualizzare il numero di utenti che hanno accettato o rifiutato le condizioni d'uso. Fare clic sul numero dei consensi o su quello dei rifiuti per visualizzare un elenco degli utenti e del loro stato. Configurazione e abilitazione delle condizioni d'uso Nella pagina Condizioni d'uso, è possibile aggiungere i criteri delle condizioni d'uso e configurare i parametri di utilizzo. Dopo aver aggiunto le condizioni d'uso, abilitare l'opzione Condizioni d'uso. Quando gli utenti accedono a Workspace ONE, devono accettare le condizioni d'uso per accedere al proprio catalogo. VMware, Inc. 31

32 Prerequisiti Testo dei criteri delle condizioni d'uso formattato in HTML da copiare e incollare nella casella di testo Condizioni d'uso. È possibile aggiungere le condizioni d'uso in inglese, tedesco, spagnolo, francese, italiano e olandese. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Configura > Condizioni d'uso. 2 Fare clic su Aggiungi Condizioni d'uso. 3 Immettere un nome descrittivo per le condizioni d'uso. 4 Selezionare Qualsiasi se i criteri delle condizioni d'uso si applicano a tutti gli utenti. Per utilizzare le condizioni d'uso in base al tipo di dispositivo, selezionare Piattaforme dispositivi selezionati, quindi selezionare i tipi di dispositivi in cui visualizzare questi criteri delle condizioni d'uso. 5 Per impostazione predefinita, la lingua delle condizioni d'uso che viene visualizzata per prima dipende dall'impostazione della preferenza della lingua del browser. Nella casella di testo, immettere il contenuto delle condizioni d'uso per la lingua predefinita. 6 Fare clic su Salva. Per aggiungere criteri delle condizioni d'uso in un'altra lingua, fare clic su Aggiungi lingua e selezionare un'altra lingua. La casella di testo del contenuto delle condizioni d'uso viene aggiornata ed è possibile aggiungere testo nella casella di testo. È possibile trascinare il nome della lingua per stabilire l'ordine in cui le condizioni d'uso vengono visualizzate. 7 Per iniziare a utilizzare le condizioni d'uso, fare clic su Abilita Condizioni d'uso nella pagina visualizzata. Passi successivi Se si seleziona un tipo di dispositivo specifico per le condizioni d'uso, è possibile creare condizioni d'uso aggiuntive per gli altri tipi di dispositivi. Visualizzazione dello stato dell'accettazione delle condizioni d'uso I criteri delle condizioni d'uso elencati nella pagina Gestione identità e accessi > Condizioni d'uso indicano il numero di utenti che hanno accettato o rifiutato il criterio. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Configura > Condizioni d'uso. VMware, Inc. 32

33 2 Nella colonna Accettato/rifiutato, fare clic sul numero relativo ad Accettato a sinistra oppure sul numero relativo a Rifiutato a destra. In una pagina relativa allo stato viene visualizzata l'azione eseguita, ovvero l'accettazione o il rifiuto, insieme al nome utente, all'id dispositivo, alla versione del criterio visualizzata, alla piattaforma utilizzata e alla data. 3 Fare clic su Annulla per chiudere la visualizzazione. VMware, Inc. 33

34 Configurazione dell'autenticazione utente in VMware Identity Manager 5 VMware Identity Manager supporta più metodi di autenticazione. È possibile configurare un singolo metodo di autenticazione e impostare l'autenticazione concatenata a due fattori. È inoltre possibile utilizzare un metodo di autenticazione esterno per i protocolli RADIUS e SAML. L'istanza del provider di identità utilizzato con il servizio VMware Identity Manager crea un'autorità di federazione in rete che comunica con il servizio mediante le asserzioni SAML 2.0. Quando si distribuisce inizialmente il servizio VMware Identity Manager, il connettore sarà il provider di identità iniziale per il servizio. L'infrastruttura di Active Directory viene utilizzata per l'autenticazione e la gestione degli utenti. Sono supportati i metodi di autenticazione descritti di seguito. È possibile configurare questi metodi di autenticazione dalla console di amministrazione. Metodi di autenticazione Password (distribuzione onpremise) Kerberos per desktop Certificato (distribuzione onpremise) RSA SecurID (distribuzione onpremise) RADIUS (distribuzione on-premise) Descrizione Senza alcuna configurazione supplementare dopo la configurazione di Active Directory, VMware Identity Manager supporta l'autenticazione tramite password di Active Directory. Questo metodo autentica gli utenti direttamente con Active Directory. L'autenticazione Kerberos fornisce agli utenti del dominio un accesso Single Sign-In al loro portale di app. Una volta registrati sulla rete, gli utenti non dovranno accedere di nuovo al portale delle app. È possibile configurare due metodi di autenticazione Kerberos: l'autenticazione Kerberos per desktop con l'autenticazione integrata di Windows e l'autenticazione Kerberos integrata per dispositivi mobili ios 9 quando viene configurata una relazione sicura tra Active Directory e AirWatch. È possibile configurare l'autenticazione basata su certificato per consentire ai client di autenticarsi con i certificati sul desktop e sui dispositivi mobili o di utilizzare una scheda smart card per l'autenticazione. L'autenticazione basata su certificato si basa sui dati a disposizione dell'utente e sulle sue conoscenze. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Quando si configura l'autenticazione RSA SecurID, VMware Identity Manager viene configurato come agente di autenticazione nel server RSA SecurID. L'autenticazione RSA SecurID richiede che gli utenti utilizzino un sistema di autenticazione basato su token. RSA SecurID è un metodo di autenticazione per gli utenti che accedono a VMware Identity Manager dall'esterno della rete aziendale. L'autenticazione RADIUS offre opzioni di autenticazione a due fattori. Richiede la configurazione del server RADIUS che è accessibile per il servizio VMware Identity Manager. Quando gli utenti eseguono l'accesso con il proprio nome utente e il proprio passcode, al server RADIUS viene inviata una richiesta di accesso per l'autenticazione. VMware, Inc. 34

35 Metodi di autenticazione Autenticazione adattiva RSA (distribuzione onpremise) Mobile SSO (per ios) Mobile SSO (per Android) Password (AirWatch Connector) VMware Verify Password (directory locale) Descrizione L'autenticazione RSA offre un'autenticazione a più fattori di livello superiore rispetto all'autenticazione basata solo sul nome utente e sulla password di Active Directory. Quando è abilitata l'autenticazione RSA, gli indicatori di rischio specificati nei criteri di rischio vengono impostati nell'applicazione Gestione criteri RSA. La configurazione del servizio VMware Identity Manager dell'autenticazione adattiva è utilizzata per determinare le richieste di autenticazione necessarie. L'autenticazione Mobile SSO per ios è utilizzata per l'autenticazione SSO (Single Sign-On) per i dispositivi ios gestiti da AirWatch. L'autenticazione Mobile SSO (per ios) utilizza un Centro distribuzione chiavi che fa parte del servizio Identity Manager. È necessario iniziare il servizio Centro distribuzione chiavi nel servizio VMware Identity Manager prima di abilitare questo metodo di autenticazione. L'autenticazione Mobile SSO per Android è utilizzata per l'autenticazione SSO (Single Sign-On) per i dispositivi Android gestiti da AirWatch. Per recuperare il certificato da AirWatch per l'autenticazione, è configurato un servizio proxy tra il servizio VMware Identity Manager e AirWatch. AirWatch Cloud Connector può essere integrato con il servizio VMware Identity Manager per l'autenticazione delle password utente. Il servizio VMware Identity Manager viene configurato per sincronizzare gli utenti dalla directory AirWatch. VMware Verify può essere utilizzato come secondo metodo di autenticazione nel caso in cui sia necessaria un'autenticazione a due fattori. Il primo metodo di autenticazione è costituito da nome utente e password, mentre il secondo è una richiesta di approvazione o un codice di VMware Verify. VMware Verify utilizza un servizio cloud di terze parti per fornire questa funzionalità ai dispositivi dell'utente. A tale scopo, le informazioni relative all'utente, come nome, e numero di telefono vengono memorizzate nel servizio, ma non vengono utilizzate per alcuno scopo che non sia quello di fornire la funzionalità. Il metodo Password (directory locale) è abilitato per impostazione predefinita per il provider di identità System-IDP utilizzato con la directory di sistema. Viene applicato al criterio di accesso predefinito. Una volta configurati i metodi di autenticazione, vengono create le regole dei criteri che specificano i metodi da utilizzare in base al tipo di dispositivo. Gli utenti vengono autenticati in base ai metodi di autenticazione, alle regole dei criteri di accesso predefiniti, agli intervalli di rete e all'istanza del provider di identità configurati. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Questo capitolo include i seguenti argomenti: Configurazione di Kerberos per VMware Identity Manager Configurazione di SecurID per VMware Identity Manager Configurazione di RADIUS per VMware Identity Manager Configurazione dell'autenticazione adattiva RSA in VMware Identity Manager Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager Configurazione di VMware Verify per l'autenticazione a due fattori Utilizzo dei provider di identità integrati Configurazione di provider di identità Workspace aggiuntivi Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti VMware, Inc. 35

36 Gestione dei metodi di autenticazione da applicare agli utenti Configurazione di Kerberos per VMware Identity Manager Grazie all'autenticazione Kerberos, gli utenti che hanno effettuato l'accesso al loro dominio, possono accedere al proprio portale di app senza dover immettere altre credenziali. È possibile configurare il protocollo di autenticazione Kerberos nel servizio di Identity Manager per i desktop con autenticazione integrata di Windows per proteggere le interazioni tra i browser degli utenti e il servizio Identity Manager e per il Single Sign-In one-touch in dispositivi mobili ios 9 gestiti in AirWatch. Per informazioni sull'autenticazione Kerberos su dispositivi ios 9, vedere Utilizzo del servizio KDC ospitato nel cloud. Implementazione di Kerberos per i desktop con l'autenticazione integrata di Windows Per impostare l'autenticazione Kerberos per i desktop, abilitare l'autenticazione integrata di Windows per consentire al protocollo Kerberos di proteggere le interazioni tra i browser degli utenti e il servizio di Identity Manager. Quando l'autenticazione Kerberos è attivata per i desktop, il servizio di Identity Manager convalida le credenziali del desktop dell'utente utilizzando ticket Kerberos distribuiti dal Centro distribuzione chiavi implementato come servizio di dominio in Active Directory. Non occorre configurare direttamente Active Directory per rendere operativo Kerberos nella propria distribuzione. È necessario configurare i browser Web degli utenti finali per l'invio delle credenziali Kerberos al servizio quando gli utenti effettuano l'accesso. Vedere Configurazione del browser per Kerberos. Configurazione dell'autenticazione Kerberos per desktop con autenticazione integrata di Windows Per configurare il servizio VMware Identity Manager in modo che fornisca l'autenticazione Kerberos per i desktop, è necessario accedere al dominio e abilitare tale autenticazione nel connettore. 1 Nella scheda Gestione accesso e identità della console di amministrazione selezionare Impostazione. 2 Nella colonna Worker del connettore fare clic su Schede di autenticazione. 3 Fare clic su KerberosIdpAdapter. Si verrà reindirizzati alla pagina di accesso di Identity Manager. VMware, Inc. 36

37 4 Fare clic su Modifica nella riga KerberosldpAdapter e configurare la pagina di autenticazione di Kerberos. Opzione Nome Attributo UID di directory Abilita autenticazione di Windows Abilita NTLM Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è KerberosIdpAdapter, ma è possibile modificarlo. Immettere l'attributo dell'account contenente il nome utente. Selezionare questa opzione per estendere le interazioni di autenticazione tra i browser degli utenti e VMware Identity Manager. Selezionare questa opzione per abilitare l'autenticazione basata sul protocollo NTLM (NT LAN Manager) solo se l'infrastruttura di Active Directory utilizza l'autenticazione NTLM. Nota: Il protocollo NTLM non è configurato quando VMware Identity Manager si trova in un ambiente Windows. Abilita reindirizzament o Selezionare questa opzione se DNS round robin e i bilanciamenti del carico non dispongono del supporto Kerberos. Le richieste di autenticazione vengono reindirizzate a Reindirizza nome host. Se questa opzione è selezionata, immettere il nome host di reindirizzamento nella casella di testo Reindirizza nome host. Generalmente si tratta del nome host del servizio. 5 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione al criterio di accesso predefinito. Passare alla pagina Gestione accesso e identità > Gestione > Criteri e modificare le regole dei criteri predefinite per aggiungere il metodo di autenticazione Kerberos alla regola nell'ordine di autenticazione corretto. Configurazione del browser per Kerberos Quando si attiva Kerberos, è necessario configurare i browser Web per l'invio delle credenziali Kerberos al servizio quando gli utenti effettuano l'accesso. L'invio delle credenziali Kerberos al servizio Identity Manager può essere configurato sui seguenti browser Web in computer che eseguono Windows: Firefox, Internet Explorer e Chrome. Tutti i browser richiedono una configurazione aggiuntiva. Configurazione di Internet Explorer per l'accesso all'interfaccia Web Se Kerberos è configurato per la distribuzione e si desidera concedere agli utenti l'accesso all'interfaccia Web tramite il browser Internet Explorer, è necessario configurare tale browser. L'autenticazione Kerberos funziona in combinazione con VMware Identity Manager nei sistemi operativi Windows. Nota: Non implementare questi passaggi relativi a Kerberos in altri sistemi operativi. VMware, Inc. 37

38 Prerequisiti Configurare il browser Internet Explorer per ciascun utente o fornire agli utenti le istruzioni dopo aver configurato Kerberos. 1 Assicurarsi di aver effettuato l'accesso a Windows come utente nel dominio. 2 In Internet Explorer, abilitare l'accesso automatico. a b c d Selezionare Strumenti > Opzioni Internet > Protezione. Fare clic su Livello personalizzato. Selezionare Accesso automatico solo in area Intranet. Fare clic su OK. 3 Verificare che l'istanza dell'appliance virtuale del connettore sia parte dell'area Intranet locale. a b Utilizzare Internet Explorer per accedere all'url di registrazione di VMware Identity Manager VMware Identity Manager all'indirizzo Individuare l'area nell'angolo inferiore destro sulla barra di stato della finestra del browser. Se l'area è intranet locale, la configurazione di Internet Explorer è completa. 4 Se l'area non è Intranet locale, aggiungere l'url di registrazione di VMware Identity Manager all'area intranet. a b Scegliere Strumenti > Opzioni Internet > Protezione > Intranet locale > Siti. Selezionare Rileva automaticamente rete Intranet. Se questa opzione non è selezionata, la sua selezione potrebbe essere sufficiente per aggiungere all'area Intranet. c d (Facoltativo) Se è stata selezionata l'opzione Rileva automaticamente rete Intranet, fare clic su OK finché non vengono chiuse tutte le finestre di dialogo. Nella finestra Intranet locale, fare clic su Avanzate. Viene visualizzata una seconda finestra di dialogo chiamata Intranet locale. e Inserire l'url di VMware Identity Manager nella casella di testo Aggiungi il sito Web all'area. f Fare clic su Aggiungi > Chiudi > OK. VMware, Inc. 38

39 5 Verificare che a Internet Explorer sia consentito passare l'autenticazione di Windows al sito attendibile. a b Nella finestra di dialogo Opzioni Internet, fare clic sulla scheda Avanzate. Selezionare Abilita autenticazione di Windows integrata. Questa opzione ha effetto solo dopo aver riavviato Internet Explorer. c Fare clic su OK. 6 Accedere all'interfaccia Web per controllare l'accesso. Se l'autenticazione Kerberos ha esito positivo, l'url di test passa all'interfaccia Web. Il protocollo Kerberos assicura tutte le interazioni tra questa istanza del browser Internet Explorer e VMware Identity Manager. Gli utenti possono ora utilizzare l'accesso Single Sign-On per accedere al proprio portale Workspace ONE. Configurazione di Firefox per l'accesso all'interfaccia Web Se Kerberos è configurato per la distribuzione e si desidera concedere agli utenti l'accesso all'interfaccia Web tramite il browser Firefox, è necessario configurare tale browser. L'autenticazione Kerberos funziona in combinazione con VMware Identity Manager nei sistemi operativi Windows. Prerequisiti Configurare il browser Firefox per ogni utente oppure fornire agli utenti le istruzioni necessarie dopo aver configurato Kerberos. 1 Nella casella di testo URL del browser Firefox immettere about:config per accedere alle impostazioni avanzate. 2 Fare clic su Farò attenzione, prometto. 3 Fare doppio clic su network.negotiate-auth.trusted-uris nella colonna Nome Parametro. 4 Immettere l'url di VMware Identity Manager nella casella di testo. 5 Fare clic su OK. 6 Fare doppio clic su network.negotiate-auth.delegation-uris nella colonna Nome Parametro. 7 Immettere l'url di VMware Identity Manager nella casella di testo. 8 Fare clic su OK. VMware, Inc. 39

40 9 Verificare la funzionalità di Kerberos utilizzando il browser Firefox per accedere all'url di accesso di. Ad esempio, Se l'autenticazione Kerberos riesce, l'url di test si connette all'interfaccia Web. Il protocollo Kerberos protegge tutte le interazioni tra questa istanza del browser Firefox e VMware Identity Manager. Gli utenti possono ora utilizzare l'accesso Single Sign-On per accedere al proprio portale Workspace ONE. Configurazione del browser Chrome per l'accesso all'interfaccia Web Se Kerberos è configurato per la distribuzione e si desidera concedere agli utenti l'accesso all'interfaccia Web tramite il browser Chrome, è necessario configurare tale browser. L'autenticazione Kerberos funziona in combinazione con VMware Identity Manager nei sistemi operativi Windows. Nota: Non implementare questi passaggi relativi a Kerberos in altri sistemi operativi. Prerequisiti Configurare Kerberos. Poiché Chrome utilizza la configurazione di Internet Explorer per abilitare l'autenticazione Kerberos, è necessario configurare Internet Explorer per consentire a Chrome di utilizzare la configurazione di Internet Explorer. Per informazioni su come configurare Chrome per l'autenticazione Kerberos, vedere la documentazione di Google. 1 Verificare la funzionalità di Kerberos utilizzando il browser Chrome. 2 Accedere a VMware Identity Manager da Se l'autenticazione Kerberos riesce, l'url di test si connette all'interfaccia Web. Se tutte le configurazioni relative a Kerberos sono corrette, il relativo protocollo (Kerberos) protegge tutte le interazioni tra questa istanza del browser Chrome e VMware Identity Manager. Gli utenti possono ora accedere tramite Single Sign-On al proprio portale Workspace ONE. Configurazione di SecurID per VMware Identity Manager Quando si configura il server di RSA SecurID, è necessario aggiungere le informazioni sul servizio VMware Identity Manager come agente di autenticazione sul server di RSA SecurID e configurare le informazioni del server di RSA SecurID sul servizio VMware Identity Manager. Quando si configura SecurID per offrire sicurezza aggiuntiva, è necessario accertarsi che la rete sia correttamente configurata per la propria distribuzione di VMware Identity Manager. In modo specifico per SecurID, è necessario che sia aperta la porta giusta affinché SecurID possa autenticare gli utenti all'esterno della rete. VMware, Inc. 40

41 Dopo aver eseguito la configurazione guidata di VMware Identity Manager e configurato la connessione di Active Directory, tutte le informazioni necessarie per preparare il server di RSA SecurID sono disponibili. Dopo aver preparato il server di RSA SecurID per VMware Identity Manager, è possibile abilitare SecurID nella console di amministrazione. Preparazione del server RSA SecurID Il server RSA SecurID deve essere configurato come agente di autenticazione con informazioni sull'appliance VMware Identity Manager. Le informazioni richieste sono il nome host e gli indirizzi IP delle interfacce di rete. Configurazione dell'autenticazione RSA SecurID Dopo aver configurato l'appliance VMware Identity Manager come agente di autenticazione nel server RSA SecurID, è necessario aggiungere le informazioni di configurazione RSA SecurID al connettore. Preparazione del server RSA SecurID Il server RSA SecurID deve essere configurato come agente di autenticazione con informazioni sull'appliance VMware Identity Manager. Le informazioni richieste sono il nome host e gli indirizzi IP delle interfacce di rete. Prerequisiti Verificare che una delle versioni di RSA Authentication Manager seguenti sia installata e funzionante nella rete aziendale: RSA AM 6.1.2, 7.1 SP2 o versioni successive e 8.0 o versioni successive. Il server VMware Identity Manager utilizza AuthSDK_Java_v _03_11_03_16_51 (Agent API 8.1 SP1), che supporta solo le versioni precedenti di RSA Authentication Manager (il server RSA SecurID). Per informazioni sull'installazione e la configurazione di RSA Authentication Manager (server RSA SecurID), vedere la documentazione relativa a RSA. 1 Su una versione supportata del server RSA SecurID, aggiungere il connettore VMware Identity Manager come agente di autenticazione. Immettere le informazioni seguenti. Opzione Nome host Indirizzo IP Indirizzo IP alternativo Descrizione Il nome host di VMware Identity Manager. L'indirizzo IP di VMware Identity Manager. Se il traffico proveniente dal connettore passa attraverso un dispositivo NAT (Network Address Translation) per raggiungere il server RSA SecurID, immettere l'indirizzo IP privato dell'appliance. 2 Scaricare il file di configurazione compresso ed estrarre il file sdconf.rec. Prepararsi a caricare questo file successivamente quando si configura RSA SecurID in VMware Identity Manager. VMware, Inc. 41

42 Passi successivi Passare alla console di amministrazione e nelle pagine Impostazione della scheda Gestione accesso e identità selezionare il connettore, quindi nella pagina AuthAdapters configurare SecurID. Configurazione dell'autenticazione RSA SecurID Dopo aver configurato l'appliance VMware Identity Manager come agente di autenticazione nel server RSA SecurID, è necessario aggiungere le informazioni di configurazione RSA SecurID al connettore. Prerequisiti Verificare che RSA Authentication Manager (il server RSA SecurID) sia installato e configurato correttamente. Scaricare il file compresso dal server RSA SecurID ed estrarre il file di configurazione del server. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella pagina Connettori selezionare il collegamento Worker del connettore che si sta configurando con RSA SecurID. 3 Fare clic su Schede di autenticazione e quindi su SecurIDldpAdapter. Si verrà reindirizzati alla pagina di accesso di Identity Manager. 4 Nella riga SecurIDldpAdapter della pagina Schede di autenticazione fare clic su Modifica. 5 Configurare la pagina Scheda di autenticazione SecurID. A tale scopo, è necessario specificare le informazioni utilizzate e i file generati sul server RSA SecurID. Opzione Nome Abilita SecurID Numero di tentativi di autenticazione consentiti Indirizzo connettore Indirizzo IP agente Azione L'immissione del nome è obbligatoria. Il nome predefinito è SecurIDldpAdapter, ma è possibile modificarlo. Selezionare questa casella per abilitare l'autenticazione SecurID. Immettere il numero massimo di tentativi di accesso non riusciti consentiti quando si utilizza il token RSA SecurID. Il valore predefinito è cinque tentativi. Nota: Se sono configurate più directory e si implementa l'autenticazione RSA SecurID con directory aggiuntive, in Numero di tentativi di autenticazione consentiti specificare lo stesso valore per ogni configurazione RSA SecurID. Se il valore non è lo stesso, l'autenticazione SecurID non riesce. Immettere l'indirizzo IP dell'istanza del connettore. Il valore immesso deve corrispondere al valore utilizzato quando è stata aggiunta l'appliance del connettore come agente di autenticazione al server RSA SecurID. Se al prompt dell'indirizzo IP alternativo del server RSA SecurID è stato assegnato un valore, immettere tale valore come indirizzo IP del connettore. Se non è stato assegnato alcun indirizzo IP alternativo, immettere il valore assegnato al prompt dell'indirizzo IP. Immettere il valore assegnato al prompt dell'indirizzo IP nel server RSA SecurID. VMware, Inc. 42

43 Opzione Configurazione server Segreto nodo Azione Caricare il file di configurazione del server RSA SecurID. Scaricare innanzitutto il file compresso dal server RSA SecurID ed estrarre il file di configurazione del server, che per impostazione predefinita è denominato sdconf.rec. Se si lascia vuoto il campo del segreto del nodo si consente la generazione automatica del segreto del nodo. È consigliabile cancellare il file del segreto del nodo sul server RSA SecurID e non caricarlo intenzionalmente. Verificare che il file del segreto del nodo sul server RSA SecurID e sull'istanza del connettore server corrispondano sempre. Se si modifica il segreto del nodo in una posizione, modificarlo anche nell'altra posizione. 6 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione al criterio di accesso predefinito. Passare alla pagina Gestione identità e accessi > Gestisci > Criteri e modificare le regole del criterio predefinito per aggiungere il metodo di autenticazione SecurID alla regola. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Configurazione di RADIUS per VMware Identity Manager È possibile configurare VMware Identity Manager in modo da richiedere agli utenti l'utilizzo dell'autenticazione RADIUS (Remote Authentication Dial-In User Service). Le informazioni sul server RADIUS vengono configurate nel servizio VMware Identity Manager. Il supporto RADIUS offre un'ampia gamma di opzioni alternative di autenticazione a due fattori basate su token. Poiché le soluzioni di autenticazione a due fattori, come RADIUS, interagiscono con i manager di autenticazione installati su server separati, è necessario che il server RADIUS sia configurato e accessibile per il servizio Identity Manager. Quando gli utenti accedono al proprio portale Workspace ONE e l'autenticazione RADIUS è abilitata, nel browser viene visualizzata una finestra di dialogo di login speciale. Gli utenti immettono il nome utente e il passcode di autenticazione RADIUS nella finestra di dialogo di accesso. Se il server RADIUS genera una verifica dell'accesso, il servizio Identity Manager visualizza una finestra di dialogo in cui viene richiesto un secondo passcode. Attualmente il supporto per le verifiche RADIUS si limita alla richiesta dell'input di testo. Dopo che un utente ha immesso le credenziali nella finestra di dialogo, il server RADIUS può inviare al telefono cellulare dell'utente un SMS, un' o un testo basato su un altro meccanismo fuori banda, insieme a un codice. L'utente può immettere questo testo e il codice nella finestra di dialogo di accesso per completare l'autenticazione. Se il server RADIUS consente di importare gli utenti da Active Directory, agli utenti finali potrebbe essere innanzitutto richiesto di fornire le credenziali di Active Directory prima del nome utente e del passcode di autenticazione di RADIUS. VMware, Inc. 43

44 Preparazione del server RADIUS Impostare il server RADIUS e quindi configurarlo affinché accetti richieste RADIUS provenienti dal servizio VMware Identity Manager. Consultare la guida alla configurazione del vendor del server RADIUS utilizzato per informazioni sulla sua impostazione. Annotare le informazioni di configurazione RADIUS poiché dovranno essere utilizzate nella configurazione di RADIUS nel servizio. Per visualizzare il tipo di informazioni RADIUS necessarie per configurare VMware Identity Manager, consultare Configurazione dell'autenticazione RADIUS in VMware Identity Manager. È possibile impostare un server di autenticazione Radius secondario da utilizzare per garantire l'alta disponibilità. Se il server RADIUS primario non risponde entro un tempo di server timeout configurato per l'autenticazione RADIUS, la richiesta viene reindirizzata al server secondario. Se il server primario non risponde, il server secondario riceverà tutte le richieste di autenticazione future. Configurazione dell'autenticazione RADIUS in VMware Identity Manager È possibile abilitare l'autenticazione RADIUS e configurare le impostazioni RADIUS nella console di amministrazione di VMware Identity Manager. Prerequisiti Installare e configurare il software RADIUS in un server di gestione dell'autenticazione. Per l'autenticazione RADIUS, seguire la documentazione di configurazione del fornitore. Per configurare RADIUS nel servizio, è necessario conoscere le seguenti informazioni sul server RADIUS. Indirizzo IP o nome DNS del server RADIUS. Numeri della porta di autenticazione. La porta di autenticazione è in genere la Tipo di autenticazione. I tipi di autenticazione includono PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versioni 1 e 2). Segreto condiviso RADIUS utilizzato per la crittografia e la decrittografia nei messaggi del protocollo RADIUS. Timeout e valori retry specifici necessari per l'autenticazione RADIUS. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella pagina Connettori selezionare il collegamento Worker del connettore che si sta configurando per l'autenticazione RADIUS. VMware, Inc. 44

45 3 Fare clic su Schede di autenticazione e quindi su RadiusAuthAdapter. Si verrà reindirizzati alla pagina di accesso di Identity Manager. 4 Fare clic su Modifica per configurare questi campi nella pagina Scheda di autenticazione. Opzione Nome Abilita scheda Radius Numero di tentativi di autenticazione consentiti Numero di tentativi di accesso al server Radius Nome host/indirizzo server Radius Porta di autenticazione Porta di accounting Tipo di autenticazione Segreto condiviso Timeout server in secondi Prefisso area di autenticazione Suffisso area di autenticazione Suggerimento passphrase pagina di accesso Azione L'immissione del nome è obbligatoria. Il nome predefinito è RadiusAuthAdapter, ma è possibile modificarlo. Selezionare questa casella per abilitare l'autenticazione RADIUS. Immettere il numero massimo di tentativi di accesso non riusciti consentiti quando si utilizza RADIUS per accedere. Il valore predefinito è cinque tentativi. Specificare il numero totale di tentativi. Se il server primario non risponde, il servizio attende il tempo configurato prima di riprovare. Immettere il nome host o l'indirizzo IP del server RADIUS. Immettere il numero della porta di autenticazione Radius. In genere si tratta della porta Immettere 0 come numero di porta. La porta di accounting non viene utilizzata in questa fase. Immettere il protocollo di autenticazione supportato dal server RADIUS, scegliendo tra PAP, CHAP, MSCHAP1 o MSCHAP2. Immettere il segreto condiviso utilizzato tra il server RADIUS e il servizio VMware Identity Manager. Immettere il timeout del server RADIUS in secondi, al termine del quale viene eseguito un nuovo tentativo se il server RADIUS non risponde. (Facoltativo) La posizione dell'account utente è chiamata area di autenticazione. Se si specifica una stringa per il prefisso dell'area di autenticazione, tale stringa viene posizionata all'inizio del nome utente quando il nome viene inviato al server RADIUS. Se, ad esempio, si immette jdoe come nome utente e si specifica il prefisso dell'area di autenticazione DOMAIN-A\, al server RADIUS viene inviato il nome utente DOMAIN-A\jdoe. Se non si configurano questi campi, viene inviato solo il nome utente immesso. (Facoltativo) Se si specifica un suffisso dell'area di autenticazione, la stringa viene posizionata alla fine del nome utente. Se, ad esempio, il suffisso al server RADIUS viene inviato il nome utente jdoe@myco.com. Immettere la stringa di testo da visualizzare nel messaggio della pagina di accesso dell'utente per indicare agli utenti di immettere il passcode Radius corretto. Se, ad esempio, questo campo è configurato con Prima password AD, poi passcode SMS, il messaggio della pagina di accesso indica Immetti prima password AD, poi passcode SMS. La stringa di testo predefinita è Passcode RADIUS. 5 È possibile abilitare un server RADIUS secondario per la disponibilità elevata. Configurare il server secondario come descritto nel passaggio 4. VMware, Inc. 45

46 6 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione RADIUS al criterio di accesso predefinito. Passare alla pagina Gestione identità e accessi > Gestisci > Criteri e modificare le regole del criterio predefinito per aggiungere il metodo di autenticazione RADIUS alla regola. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Configurazione dell'autenticazione adattiva RSA in VMware Identity Manager È possibile implementare l'autenticazione adattiva RSA per offrire un'autenticazione a più fattori più solida rispetto al solo uso di nome utente e password per Active Directory. L'autenticazione adattiva monitora e autentica i tentativi di accesso degli utenti in base a livelli di rischio e criteri. Quando è attiva l'autenticazione adattiva, per determinare se un utente deve essere autenticato solo con nome utente e password o se occorrono altre informazioni, vengono utilizzati indicatori di rischio specificati nei criteri di rischio impostati nell'applicazione RSA Policy Management e nella configurazione dell'autenticazione adattiva di VMware Identity Manager. Metodi di autenticazione adattiva RSA supportati I metodi di autenticazione adattiva RSA caratterizzati da grande solidità e supportati nel servizio VMware Identity Manager sono l'autenticazione fuori banda via telefono, o SMS e tramite domande di sicurezza. Attivare il metodo di autenticazione adattiva RSA che è possibile implementare. I criteri di autenticazione adattiva RSA determinano qual è il metodo di autenticazione secondario utilizzato. L'autenticazione fuori banda è un processo che richiede l'invio di una verifica aggiuntiva oltre all'immissione di nome utente e password. Quando gli utenti si registrano nel server di autenticazione adattiva RSA, forniscono il proprio indirizzo , un numero di telefono o entrambi, in base alla configurazione del server. Quando è richiesta una verifica aggiuntiva, il server di autenticazione adattiva RSA invia un codice d'accesso monouso tramite il canale fornito. Gli utenti immettono il codice di accesso insieme al nome utente e alla password. Con le domande di sicurezza, l'utente risponde a una serie di domande in fase di registrazione nel server di autenticazione adattiva RSA. È possibile configurare quante domande di registrazione chiedere e quante di sicurezza presentare nella pagina di accesso. VMware, Inc. 46

47 Registrazione degli utenti con il server di autenticazione adattiva RSA L'utente deve essere registrato nel database di autenticazione adattiva RSA per poter utilizzare l'autenticazione adattiva. Gli utenti vengono aggiunti al database dell'autenticazione adattiva RSA quando accedono per la prima volta utilizzando il nome utente e la password. In base a come è stata configurata l'autenticazione adattiva RSA nel servizio, quando gli utenti accedono viene richiesta l'immissione di indirizzo , numero di telefono, numero di SMS o la definizione delle risposte alle domande di sicurezza. Nota: L'autenticazione adattiva RSA non consente di utilizzare caratteri internazionali nei nomi utente. Se si desidera utilizzare caratteri multibyte nei nomi utente, contattare il servizio di assistenza di RSA per sapere come configurare l'autenticazione adattiva RSA e RSA Authentication Manager. Configurazione dell'autenticazione adattiva RSA in Identity Manager Per configurare l'autenticazione adattiva RSA nel servizio, è sufficiente attivarla, selezionare i metodi di autenticazione adattiva da applicare e aggiungere il certificato e le informazioni di connessione di Active Directory. Prerequisiti Autenticazione adattiva RSA configurata correttamente con i metodi di autenticazione da utilizzare per l'autenticazione secondaria. Dettagli sull'indirizzo dell'endpoint SOAP e il nome utente SOAP. Informazioni di configurazione di Active Directory e certificato SSL di Active Directory disponibile. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella colonna Worker della pagina Connettore, selezionare il collegamento per il connettore che si sta configurando. 3 Fare clic su Adattatori autenticazione e quindi su RSAAAldpAdapter. Si verrà reindirizzati alla pagina dell'adattatore di autenticazione di Identity Manager. 4 Fare clic sul collegamento Modifica accanto a RSAAAldpAdapter. VMware, Inc. 47

48 5 Selezionare le impostazioni appropriate per il proprio ambiente. Nota: Un asterisco indica un campo obbligatorio. Gli altri campi sono facoltativi. Opzione *Nome Attiva adattatore RSA AA *Endpoint SOAP *Nome utente SOAP Dominio RSA Attiva OOB Attiva SMS OOB Attiva SecurID Attiva domanda segreta *Numero di domande di registrazione *Numero di domande da porre *Numero di tentativi di autenticazione consentiti Tipo di directory Porta server Host server Usa SSL Usa posizione servizio DNS Nome distinto di base Nome distinto di binding Password di binding Attributo di ricerca Certificato directory Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è RSAAAldpAdapter. ma è possibile modificarlo. Selezionare la casella di controllo per abilitare l'autenticazione adattiva RSA. Immettere l'indirizzo dell'endpoint SOAP per l'integrazione tra l'adattatore di autenticazione adattiva RSA e il servizio. Immettere il nome utente e la password utilizzati per firmare i messaggi SOAP. Immettere l'indirizzo del dominio del server di autenticazione adattiva. Selezionare questa casella di controllo per attivare l'autenticazione fuori banda che invia un passcode monouso all'utente finale tramite un messaggio . Selezionare questa casella di controllo per attivare l'autenticazione fuori banda che invia un passcode monouso all'utente finale tramite un SMS. Selezionare questa casella di controllo per attivare SecurID. Agli utenti viene chiesto di immettere il passcode e il token RSA. Selezionare questa casella di controllo se si intende utilizzare le domande di registrazione e verifica per l'autenticazione. Immettere il numero di domande che l'utente dovrà impostare per la registrazione nel server dell'adattatore di autenticazione. Immettere il numero di domande di verifica a cui gli utenti dovranno rispondere correttamente per eseguire il login. Immettere il numero che indica quante volte le domande di verifica verranno visualizzate per un utente che cerca di eseguire il login, prima che l'autenticazione abbia esito negativo. L'unica directory supportata è Active Directory. Immettere il numero di porta di Active Directory. Immettere il nome host di Active Directory. Selezionare questa casella di controllo se si utilizza SSL per la connessione della directory. Nel campo Certificato directory aggiungere il certificato SSL di Active Directory. Selezionare questa casella di controllo se per la connessione della directory viene utilizzata la posizione del servizio DNS. Immettere il DN da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com. Immettere l'account che può cercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com Immettere la password dell'account del nome distinto di binding. Immettere l'attributo dell'account contenente il nome utente. Per stabilire connessioni SSL sicure, aggiungere in questa casella di testo il certificato del server della directory. Nel caso siano presenti più server, aggiungere il certificato root dell'autorità di certificazione. 6 Fare clic su Salva. VMware, Inc. 48

49 Passi successivi Attivare il metodo di autenticazione adattiva RSA nel provider di identità integrato dalla scheda Gestione identità e accessi > Gestione. Vedere Utilizzo dei provider di identità integrati. Aggiungere il metodo di autenticazione adattiva RSA ai criteri di accesso predefiniti. Passare alla pagina Gestione identità e accessi > Gestione > Criteri e modificare le regole dei criteri predefiniti per aggiungere l'autenticazione adattiva. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager È possibile configurare l'autenticazione del certificato x509 per consentire ai client di autenticarsi con i certificati sul proprio desktop e sui dispositivi mobili oppure di utilizzare una scheda smart card per l'autenticazione. L'autenticazione basata sul certificato cambia a seconda che l'utente disponga di una chiave privata o di una smart card e a seconda che conosca la password per la chiave privata o il PIN della smart card. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Con l'autenticazione della smart card, gli utenti si connettono alla smart card tramite il computer e immettono un PIN. I certificati smart card vengono copiati nell'archivio dei certificati locale sul computer dell'utente. I certificati nell'archivio dei certificati locale sono disponibili per tutti i browser in esecuzione sul computer dell'utente, con alcune eccezioni, e quindi anche per un'istanza di VMware Identity Manager nel browser. Nota: Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che VMware Identity Manager Connector sia configurato non per terminare SSL, ma per effettuare un pass-through SSL a livello del bilanciamento del carico. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore. Quando il bilanciamento del carico viene configurato per terminare SSL a livello del bilanciamento del carico, è possibile distribuire un secondo connettore dietro un altro bilanciamento del carico per supportare l'autenticazione del certificato. Vedere la guida per l'installazione e la configurazione di VMware Identity Manager per ulteriori informazioni su come aggiungere un secondo connettore. Uso del nome dell'entità utente per l'autenticazione del certificato È possibile utilizzare la mappatura del certificato in Active Directory. Gli accessi tramite certificato e smart card utilizzano il nome dell'entità utente (UPN) di Active Directory per convalidare gli account utente. Gli account Active Directory degli utenti che provano ad autenticarsi nel servizio VMware Identity Manager devono disporre di un nome UPN valido corrispondente al nome UPN del certificato. È possibile configurare il VMware Identity Manager per l'uso di un indirizzo con cui convalidare l'account utente se l'upn non esiste nel certificato. È anche possibile abilitare l'uso di un tipo di UPN alternativo. VMware, Inc. 49

50 Autorità di certificazione richiesta per l'autenticazione Per abilitare l'accesso utilizzando l'autenticazione con certificato, i certificati root e i certificati intermedi devono essere caricati nel di VMware Identity Manager. I certificati vengono copiati nell'archivio certificati locale sul computer dell'utente. I certificati nell'archivio dei certificati locale sono disponibili per tutti i browser in esecuzione sul computer dell'utente, con alcune eccezioni, e quindi anche per un'istanza di VMware Identity Manager nel browser. Per l'autenticazione con smart card, quando un utente avvia una connessione all'istanza di VMware Identity Manager, il servizio VMware Identity Manager invia un elenco di autorità di certificazione (CA) attendibili al browser. Il browser analizza l'elenco di autorità di certificazione attendibili e lo confronta con i certificati utente disponibili, seleziona un certificato adatto e quindi richiede all'utente di inserire il PIN della smart card. Se sono disponibili più certificati utente validi, il browser richiede all'utente di selezionarne uno. Se un utente non è in grado di eseguire l'autenticazione, è possibile che l'autorità di certificazione root e l'autorità di certificazione intermedia non siano configurate correttamente o che il servizio non sia stato riavviato dopo che le autorità di certificazione root e intermedia sono state caricate nel server. In questi casi, il browser non può mostrare i certificati installati, l'utente non può selezionare il certificato corretto e l'autenticazione con certificato non riesce. Utilizzo del controllo della revoca del certificato È possibile configurare il controllo della revoca del certificato per impedire l'autenticazione degli utenti il cui certificato è stato revocato. Spesso i certificati vengono revocati quando un utente abbandona un'organizzazione, perde una smart card o passa da un reparto all'altro. Sono supportati due tipi di controllo della revoca del certificato, ovvero tramite gli elenchi di revoche di certificati (CRL) e tramite il Protocollo di stato del certificato online (OCSP). Un CRL è un elenco di certificati revocati pubblicato dall'autorità di certificazione che ha emesso i certificati. OCSP è un protocollo di convalida del certificato utilizzato per ottenere lo stato di revoca di un certificato. È possibile configurare sia l'elenco CRL che il protocollo OCSP nella stessa configurazione della scheda di autenticazione del certificato. Quando si configurano entrambi i tipi di controllo della revoca del certificato e la casella di controllo Usa CRL in caso di errore OCSP è selezionata, viene controllato prima il protocollo OCSP e, in caso di esito negativo, il controllo della revoca viene affidato a CRL. In caso di esito negativo di CRL, il controllo della revoca non esegue il fallback a OCSP. Accesso con il controllo CRL Quando si abilita la revoca del certificato, il server VMware Identity Manager legge un CRL per stabilire lo stato della revoca di un certificato utente. Se un certificato risulta revocato, l'autenticazione tramite il certificato non riesce. VMware, Inc. 50

51 Accesso con il controllo del certificato OCSP Quando si configura il controllo della revoca OCSP (Online Certificate Status Protocol), VMware Identity Manager invia una richiesta a un risponditore OCSP per stabilire lo stato della revoca di un certificato utente specifico. Il server VMware Identity Manager utilizza il certificato della firma OCSP per verificare che le risposte che riceve dal risponditore OCSP siano autentiche. Se il certificato risulta revocato, l'autenticazione non riesce. È possibile configurare l'autenticazione in modo che esegua il fallback al controllo CRL se non riceve alcuna risposta dal risponditore OSCP o se la risposta non è valida. Configurazione dell'autenticazione basata su certificato È possibile configurare l'autenticazione del certificato x509 per consentire ai client di eseguire l'autenticazione con certificato nel desktop e nei dispositivi mobili. Vedere Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager. Prerequisiti Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti. (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato. Per il controllo della revoca, la posizione del file del CRL e l'url del server OCSP. (Facoltativo) La posizione del file del certificato Firma risposta OCSP. Contenuto del modulo di consenso, se è visualizzato un modulo di consenso prima dell'autenticazione. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella pagina Connettori, selezionare il collegamento Worker del connettore che si sta configurando. 3 Fare clic su Schede di autenticazione e quindi su CertificateAuthAdapter. 4 Configurare la pagina Adattatore di autenticazione del servizio certificato. Nota: Un asterisco indica un campo obbligatorio. Gli altri campi sono facoltativi. Opzione *Nome Abilita adattatore certificato *Certificati radice e intermedi dell'autorità di certificazione Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è CertificateAuthAdapter, ma è possibile modificarlo. Selezionare la casella di controllo per abilitare l'autenticazione del certificato. Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione, codificati come DER o PEM. VMware, Inc. 51

52 Opzione Certificati autorità di certificazione caricati Usa se nel certificato non esiste un UPN Criteri di certificato accettati Abilita revoca certificato Usa CRL dei certificati Posizione CRL Abilita revoca OCSP Usa CRL in caso di errore OCSP Invia nonce OCSP URL OCSP Certificato della firma del risponditore OCSP Abilita modulo consenso prima dell'autenticazione Contenuto modulo consenso Descrizione I file di certificato caricati sono elencati nella sezione Certificati autorità di certificazione caricati del modulo. Se il nome dell'entità utente (UPN) non esiste nel certificato, selezionare questa casella di controllo per utilizzare l'attributo address come estensione SAN (Subject Alternative Name, nome alternativo del soggetto) per convalidare gli account utente. Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere i numeri OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID. Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. Il controllo della revoca impedirà l'autenticazione degli utenti che hanno certificati revocati. Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato. Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati. Selezionare la casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato. Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile. Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta. Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca. Immettere il percorso del certificato OCSP del risponditore, /path/to/file.cer. Selezionare questa casella di controllo per includere una pagina per il modulo di consenso, da visualizzare prima che gli utenti eseguano il login nel portale Workspace ONE utilizzando l'autenticazione del certificato. Digitare in questa casella il testo visualizzato nel modulo di consenso. 5 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione del certificato al criterio di accesso predefinito. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che il VMware Identity Manager connettore sia configurato con un pass-through SSL a livello del bilanciamento del carico e per non terminare SSL a tale livello. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore. VMware, Inc. 52

53 Configurazione di VMware Verify per l'autenticazione a due fattori Nella console di amministrazione di VMware Identity Manager è possibile abilitare il servizio VMware Verify come secondo metodo di autenticazione quando è necessaria l'autenticazione a due fattori. È possibile abilitare VMware Verify nel provider di identità integrato nella console di amministrazione e aggiungere il token di sicurezza di VMware Verify ricevuto dal supporto tecnico VMware. È possibile configurare l'autenticazione a due fattori nelle regole del criterio di accesso per richiedere agli utenti di eseguire l'autenticazione mediante due metodi di autenticazione. Gli utenti installano l'applicazione VMware Verify nei loro dispositivi e forniscono un numero di telefono per registrare i dispositivi nel servizio VMware Verify. Il dispositivo e il numero di telefono vengono registrati anche nel profilo utente di Utenti e gruppi nella console di amministrazione. Gli utenti registrano il proprio account una volta quando accedono utilizzando l'autenticazione mediante password e quindi immettono il passcode di VMware Verify che viene visualizzato sul dispositivo. Dopo l'autenticazione iniziale, gli utenti possono eseguire l'autenticazione mediante uno dei tre metodi seguenti. Approvazione push con notifica OneTouch. Gli utenti approvano o negano l'accesso da VMware Identity Manager con un solo clic. Gli utenti possono infatti fare clic su Approva o Nega nel messaggio che viene inviato. Passcode TOTP (Time-based One Time Password, password monouso a tempo) Viene generato un passcode monouso ogni 20 secondi. Gli utenti immettono questo passcode nella schermata di accesso. SMS Viene utilizzato un SMS per inviare un codice di verifica monouso al numero di telefono registrato. Gli utenti immettono questo codice di verifica nella schermata di accesso. VMware Verify utilizza un servizio cloud di terze parti per fornire questa funzionalità ai dispositivi dell'utente. A tale scopo, le informazioni relative all'utente, come nome, e numero di telefono vengono memorizzate nel servizio, ma non vengono utilizzate per alcuno scopo che non sia quello di fornire la funzionalità. Abilitazione di VMware Verify Per abilitare l'autenticazione a due fattori con il servizio VMware Verify, è necessario aggiungere un token di sicurezza alla pagina VMware Verify e abilitare VMware Verify nel provider di identità integrato. Prerequisiti Creare un ticket di supporto per VMware o AirWatch per ricevere il token di sicurezza che abilita VMware Verify. Il personale del team di supporto elabora la richiesta e aggiorna il ticket di supporto con le istruzioni e un token di sicurezza. Il token di sicurezza deve essere aggiunto alla pagina VMware Verify. (Facoltativo) Personalizzare il logo e l'icona visualizzati nell'applicazione VMware Verify sui dispositivi. Vedere Personalizzazione del branding per l'applicazione VMware Verify. VMware, Inc. 53

54 1 Nella scheda Gestione identità e accessi, passare a Gestione > Metodi di autenticazione. 2 Nella colonna Configura di VMware Verify, fare clic sull'icona. 3 Incollare il token di sicurezza ricevuto dal team di supporto di VMware o AirWatch nella casella di testo Token di sicurezza. 4 Selezionare la casella di controllo Abilita VMware Verify. 5 Fare clic su Salva. Passi successivi Abilitare VMware Verify come metodo di autenticazione in un provider di identità integrato. Configurazione di provider di identità integrati. Nel criterio di accesso predefinito creare una regola per aggiungere il metodo di autenticazione di VMware Verify come secondo metodo di autenticazione nella regola. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Applicare il branding personalizzato alla pagina di accesso di VMware Verify. Vedere Personalizzazione del branding per l'applicazione VMware Verify. Registrazione di utenti finali in VMware Verify Quando l'autenticazione di VMware Verify è necessaria per l'autenticazione a due fattori, gli utenti installano e utilizzano l'app VMware Verify per registrare il proprio dispositivo. Nota: L'applicazione VMware Verify può essere scaricata dagli app store. Quando è abilitata l'autenticazione a due fattori di VMware Verify, al primo accesso all'app Workspace ONE agli utenti viene chiesto di immettere il nome utente e la password. Dopo il completamento della verifica del nome utente e della password, agli utenti viene chiesto di immettere il numero di telefono del proprio dispositivo per la registrazione in VMware Verify. Quando fanno clic su Registrazione, il numero di telefono del dispositivi viene registrato in VMware Verify e, se non hanno scaricato l'applicazione, agli utenti viene chiesto di scaricare l'applicazione VMware Verify. Dopo l'installazione dell'applicazione, agli utenti viene chiesto di immettere lo stesso numero di telefono che hanno immesso in precedenza e di selezionare un metodo di notifica per ricevere un codice di registrazione monouso. Il codice di registrazione viene immesso nella pagina del PIN di registrazione. Dopo la registrazione del numero di telefono del dispositivo, gli utenti possono usare il passcode monouso a tempo visualizzato nell'applicazione VMware Verify per accedere a Workspace ONE. Il passcode è un numero univoco, generato nel dispositivo, che viene costantemente cambiato. Gli utenti possono registrare più dispositivi. Il passcode di VMware Verify viene automaticamente sincronizzato con ciascuno dei dispositivi registrati. VMware, Inc. 54

55 Rimozione di un numero di telefono registrato dal profilo utente Per risolvere i problemi relativi all'accesso a Workspace ONE, è possibile rimuovere il numero di telefono dell'utente dal profilo utente nella console di amministrazione di VMware Identity Manager. 1 Nella console di amministrazione, fare clic su Utenti e gruppi. 2 Nella pagina Utente, selezionare il nome utente da reimpostare. 3 Nella scheda VMware Verify, fare clic su Reimposta VMware Verify. Il numero di telefono viene rimosso dal profilo utente e nella colonna Numero di telefono VMware Verify dell'elenco Utente è presente il valore N/D. La registrazione del numero di telefono viene annullata dal servizio VMware Verify. Quando l'utente accede all'app Workspace ONE, gli viene chiesto di immettere nuovamente il numero di telefono da registrare nel servizio VMware Verify. Utilizzo dei provider di identità integrati I provider di identità integrati possono essere configurati con metodi di autenticazione che non richiedono l'utilizzo di un connettore locale. Un provider di identità integrato è disponibile nella pagina Gestione identità e accessi > Provider di identità della console di amministrazione. È possibile creare provider di identità integrati aggiuntivi. È possibile configurare i metodi di autenticazione nella pagina Gestione identità e accessi > Metodi di autenticazione. Quando si configura il provider di identità integrato, si associano i metodi di autenticazione da utilizzare nel provider di identità integrato. È inoltre possibile configurare i provider di identità integrati in modo che utilizzino i metodi di autenticazione configurati in un connettore distribuito in modalità di connessione in sola uscita. Un connettore in sola uscita non richiede che la porta 443 del firewall in entrata sia aperta. Il connettore stabilisce una connessione in sola uscita (mediante WebSocket) con il servizio cloud e riceve le richieste di autenticazione tramite questo canale. Per ulteriori informazioni sulla distribuzione di un connettore in sola uscita, vedere la sezione relativa ai modelli di distribuzione della guida Distribuzione cloud di VMware Identity Manager. Dopo aver associato i metodi di autenticazione nei provider di identità integrati, creare criteri di accesso da applicare a tali metodi di autenticazione. Configurazione dei metodi di autenticazione per i provider di identità incorporati Nel servizio è possibile configurare i metodi di autenticazione che possono essere utilizzati nei provider di identità integrati. Questi metodi di autenticazione non richiedono l'utilizzo di un connettore locale. Quando si configura il provider di identità integrato, si abilitano i metodi di autenticazione da utilizzare. VMware, Inc. 55

56 I metodi di autenticazione seguenti non richiedono un connettore. È possibile abilitare e configurare i metodi di autenticazione nella pagina Gestione identità e accessi > Metodi di autenticazione e associare il metodo di autenticazione a un provider di identità integrato. SSO mobile per ios Certificato (distribuzione cloud) Password mediante AirWatch Connector VMware Verify per l'autenticazione a due fattori SSO mobile per Android Conformità dispositivo con AirWatch Password (directory locale) Dopo aver abilitato i metodi di autenticazione, è possibile creare i criteri di accesso da applicare a tali metodi di autenticazione. Disabilitazione dei metodi di autenticazione associati ai provider di identità integrati È possibile disabilitare i metodi di autenticazione configurati nella pagina Metodi di autenticazione. Quando si disabilita un metodo di autenticazione, se il metodo di autenticazione è associato a un provider di identità, il metodo di autenticazione viene disabilitato in tale provider di identità. Il metodo di autenticazione viene inoltre rimosso come opzione in tutte le regole del criterio di accesso. Importante: Se il metodo di autenticazione disabilitato era configurato in una regola del criterio di accesso, tale regola deve essere aggiornata in modo da selezionare un altro metodo di autenticazione. Se la regola del criterio di accesso non viene aggiornata, è possibile che gli utenti non riescano ad accedere al portale delle app o alle risorse. Per disabilitare un'autenticazione per provider di identità specifici, nella pagina di configurazione del provider di identità integrato deselezionare la casella del metodo di autenticazione associato. Gestione della configurazione dell'autenticazione con password per AirWatch È possibile esaminare e gestire la configurazione Password (AirWatch Connector) che è stata impostata al momento dell'installazione di AirWatch e dell'aggiunta del servizio VMware Identity Manager. Il metodo di autenticazione Password (AirWatch Connector) viene gestito dalla pagina Gestione identità e accessi > Metodi di autenticazione e viene associato al provider di identità integrato nella pagina Provider di identità. Importante: Quando si aggiorna il software AirWatch Cloud Connector, assicurarsi di aggiornare la configurazione di AirWatch nella pagina AirWatch della console di amministrazione di VMware Identity Manager. VMware, Inc. 56

57 1 Per esaminare e gestire la configurazione, nella scheda Gestione identità e accessi, selezionare Metodi di autenticazione. 2 Nella colonna Configura di Password (AirWatch Connector), fare clic sull'icona a forma di matita. 3 Esaminare la configurazione. Opzione Abilita autenticazione con password di AirWatch URL console di gestione di AirWatch Chiave dell'api di AirWatch Certificato utilizzato per l'autenticazione Password per il certificato ID Gruppo di AirWatch Numero di tentativi di autenticazione consentiti JIT abilitato Descrizione Questa casella di controllo consente di abilitare l'autenticazione con password di AirWatch. Campo già popolato con l'url di AirWatch. Campo già popolato con la chiave API di amministrazione di AirWatch. Campo già popolato con il certificato di AirWatch Cloud Connector. Campo già popolato con la password per il certificato di AirWatch Cloud Connector. Campo già popolato con l'id del gruppo di organizzazioni. Numero massimo di tentativi di accesso non riusciti quando si utilizza l'autenticazione con password di AirWatch. Al raggiungimento di questo numero non saranno consentiti altri tentativi di accesso. Il servizio VMware Identity Manager tenta di utilizzare il metodo di autenticazione fallback se configurato. Il valore predefinito è cinque tentativi. Se JIT non è abilitato, selezionare questa casella di controllo per abilitare il provisioning JIT degli utenti nel servizio VMware Identity Manager quando accedono per la prima volta. 4 Fare clic su Salva. Abilitazione del controllo di conformità per i dispositivi gestiti da AirWatch Quando gli utenti registrano i propri dispositivi, a scadenze regolari programmate vengono inviati dati campione che vengono utilizzati per valutare conformità. La valutazione di questi dati campione consente di verificare che il dispositivo rispetti le regole di conformità stabilite dall'amministratore tramite la console di AirWatch. Se il dispositivo non rispetta la conformità vengono intraprese le azioni corrispondenti configurate nella console di AirWatch. Il servizio VMware Identity Manager include un'opzione dei criteri di accesso che può essere configurata per controllare lo stato di conformità del dispositivo nel server AirWatch quando gli utenti accedono dal dispositivo. Grazie al controllo della conformità, è possibile impedire agli utenti di accedere a un'applicazione o di utilizzare Single Sign-On nel portale Workspace ONE se il dispositivo non è conforme. La possibilità di accedere viene ripristinata quando il dispositivo rispetta nuovamente la conformità. VMware, Inc. 57

58 Se il dispositivo è compromesso, l'applicazione Workspace ONE disconnette e blocca automaticamente l'accesso alle applicazioni. Se il dispositivo è stato registrato tramite la gestione adattiva, con un comando di rimozione dei dati aziendali emesso dalla console di AirWatch è possibile annullare la registrazione del dispositivo e rimuovere le applicazioni gestite dal dispositivo. Le applicazioni non gestite non vengono rimosse. Per ulteriori informazioni sui criteri di conformità di AirWatch, vedere la guida di VMware AirWatch Mobile Device Management, disponibile sul sito Web AirWatch Resources. Attivazione del controllo della conformità In VMware Identity Manager, attivare la conformità del dispositivo nella pagina di configurazione di AirWatch e configurare l'opzione Conformità dispositivo nella pagina Gestione > Metodi di autenticazione. Se è configurata l'opzione Conformità dispositivo, è possibile configurare le regole dei criteri di accesso in modo che verifichino lo stato della conformità del dispositivo nel server AirWatch quando gli utenti accedono dai propri dispositivi. Vedere Abilitazione del controllo di conformità per i dispositivi gestiti da AirWatch. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Configurazione > AirWatch. 2 Nella sezione Conformità dispositivo, selezionare Attiva e fare clic su Salva. 3 Nella scheda Gestione identità e accessi, passare a Gestione > Metodi di autenticazione. 4 Nella colonna Configura di Conformità dispositivo (con AirWatch), fare clic sull'icona. 5 Attivare l'autenticazione di Conformità dispositivo e impostare il numero massimo consentito di tentativi di accesso non riusciti. Le altre caselle di testo vengono popolate con i valori di AirWatch configurati. Opzione Abilita adattatore di conformità dispositivi URL console di gestione di AirWatch Chiave dell'api di AirWatch Certificato utilizzato per l'autenticazione Password per il certificato Descrizione Selezionare questa casella di controllo per abilitare l'autenticazione con password di AirWatch. Campo già popolato con l'url di AirWatch impostato nella pagina di configurazione di AirWatch. Campo già popolato con la chiave API di amministrazione di AirWatch. Campo già popolato con il certificato di AirWatch Cloud Connector. Campo già popolato con la password per il certificato di AirWatch Cloud Connector. 6 Fare clic su Salva. Passi successivi Associare il metodo di autenticazione di Conformità dispositivo nel provider di identità integrato. Vedere Configurazione di provider di identità integrati. VMware, Inc. 58

59 Configurare il criterio di accesso predefinito per creare regole per l'uso della conformità del dispositivo con AirWatch. Vedere Configurazione di regole dei criteri di accesso. Configurazione del metodo di autenticazione con password per le directory locali È possibile configurare l'autenticazione con password per le directory locali nella pagina Gestione identità e accessi > Metodi di autenticazione. Dopo aver configurato il metodo di autenticazione, associare il metodo di autenticazione Password (directory locale) nel provider di identità integrato associato alla directory locale. 1 Nella scheda Gestione identità e accessi, passare a Gestione > Metodi di autenticazione. 2 Nella colonna Configura di Password (directory locale), fare clic sull'icona. 3 Selezionare la casella di controllo Abilita autenticazione con password della directory locale. 4 Nella casella di testo Numero di tentativi di immissione password immettere il numero massimo consentito di tentativi di accesso non riusciti. Al raggiungimento di questo limite non saranno consentiti altri tentativi di accesso. Il valore predefinito è cinque tentativi. 5 Fare clic su Salva. Passi successivi Associare il metodo di autenticazione Password (directory locale) nel provider di identità integrato. Configurazione dell'autenticazione basata su certificato È possibile configurare l'autenticazione del certificato x509 per consentire ai client di eseguire l'autenticazione con certificato nel desktop e nei dispositivi mobili. Vedere Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager. Prerequisiti Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti. (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato. Per il controllo della revoca, la posizione del file del CRL e l'url del server OCSP. (Facoltativo) La posizione del file del certificato Firma risposta OCSP. Contenuto del modulo di consenso, se è visualizzato un modulo di consenso prima dell'autenticazione. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. VMware, Inc. 59

60 2 Nella pagina Connettori, selezionare il collegamento Worker del connettore che si sta configurando. 3 Fare clic su Schede di autenticazione e quindi su CertificateAuthAdapter. 4 Configurare la pagina Adattatore di autenticazione del servizio certificato. Nota: Un asterisco indica un campo obbligatorio. Gli altri campi sono facoltativi. Opzione *Nome Abilita adattatore certificato *Certificati radice e intermedi dell'autorità di certificazione Certificati autorità di certificazione caricati Usa se nel certificato non esiste un UPN Criteri di certificato accettati Abilita revoca certificato Usa CRL dei certificati Posizione CRL Abilita revoca OCSP Usa CRL in caso di errore OCSP Invia nonce OCSP URL OCSP Certificato della firma del risponditore OCSP Abilita modulo consenso prima dell'autenticazione Contenuto modulo consenso Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è CertificateAuthAdapter, ma è possibile modificarlo. Selezionare la casella di controllo per abilitare l'autenticazione del certificato. Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione, codificati come DER o PEM. I file di certificato caricati sono elencati nella sezione Certificati autorità di certificazione caricati del modulo. Se il nome dell'entità utente (UPN) non esiste nel certificato, selezionare questa casella di controllo per utilizzare l'attributo address come estensione SAN (Subject Alternative Name, nome alternativo del soggetto) per convalidare gli account utente. Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere i numeri OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID. Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. Il controllo della revoca impedirà l'autenticazione degli utenti che hanno certificati revocati. Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato. Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati. Selezionare la casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato. Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile. Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta. Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca. Immettere il percorso del certificato OCSP del risponditore, /path/to/file.cer. Selezionare questa casella di controllo per includere una pagina per il modulo di consenso, da visualizzare prima che gli utenti eseguano il login nel portale Workspace ONE utilizzando l'autenticazione del certificato. Digitare in questa casella il testo visualizzato nel modulo di consenso. VMware, Inc. 60

61 5 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione del certificato al criterio di accesso predefinito. Vedere Gestione dei metodi di autenticazione da applicare agli utenti. Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che il VMware Identity Manager connettore sia configurato con un pass-through SSL a livello del bilanciamento del carico e per non terminare SSL a tale livello. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore. Configurazione di SSO mobile per l'autenticazione di ios in VMware Identity Manager È possibile configurare il metodo di autenticazione SSO mobile per ios dalla pagina Metodi di autenticazione della console di amministrazione. Associare il metodo di autenticazione SSO mobile al provider di identità integrato. Utilizzo del servizio KDC ospitato nel cloud Per supportare l'utilizzo dell'autenticazione Kerberos per SSO mobile per ios, VMware Identity Manager offre un servizio KDC ospitato nel cloud. È necessario utilizzare il servizio KDC ospitato nel cloud quando il servizio VMware Identity Manager viene distribuito con AirWatch in un ambiente Windows. Per utilizzare il servizio KDC gestito nell'appliance di VMware Identity Manager, vedere la sezione relativa alla preparazione per l'utilizzo dell'autenticazione Kerberos nei dispositivi ios della guida all'installazione e alla configurazione di VMware Identity Manager. Se si configura l'autenticazione SSO mobile per ios, è necessario configurare il nome dell'area di autenticazione per il servizio KDC ospitato nel cloud. L'area di autenticazione è il nome dell'entità amministrativa che gestisce i dati di autenticazione. Quando si fa clic su Salva, il servizio VMware Identity Manager viene registrato nel servizio KDC ospitato nel cloud. I dati archiviati nel servizio KDC si basano sulla configurazione del metodo di autenticazione SSO mobile per ios, che include il certificato CA, il certificato di firma OCSP e i dettagli di configurazione della richiesta OCSP. Nel servizio cloud non vengono archiviate altre informazioni specifiche dell'utente. I record di accesso vengono archiviati nel servizio cloud. Le informazioni personali incluse nei record di accesso includono il nome dell'entità Kerberos del profilo utente, i valori DN, UPN e SAN del soggetto, l'id dispositivo che si trova nel certificato dell'utente, nonché il nome di dominio completo del servizio IDM a cui l'utente sta accedendo. Per utilizzare il servizio KDC ospitato nel cloud, VMware Identity Manager deve essere configurato nel modo seguente. Il nome di dominio completo del servizio VMware Identity Manager deve essere raggiungibile da Internet. Il certificato SSL/TLS utilizzato da VMware Identity Manager deve essere firmato pubblicamente. VMware, Inc. 61

62 La porta 88 (UDP) di richiesta/risposta in uscita e la porta 443 (HTTPS/TCP) devono essere accessibili dal servizio VMware Identity Manager. Se si abilita OCSP, il risponditore OCSP deve essere raggiungibile da Internet. Configurazione di SSO mobile per l'autenticazione ios È possibile configurare il metodo di autenticazione SSO mobile per ios dalla pagina Metodi di autenticazione della console di amministrazione. Selezionare il metodo di autenticazione SSO mobile (per ios) da utilizzare nel provider di identità integrato. Prerequisiti File PEM o DER dell'autorità di certificazione utilizzati per emettere certificati agli utenti nel tenant di AirWatch. Per il controllo della revoca, il certificato della firma del risponditore OCSP. Per il servizio KDC selezionare il nome dell'area di autenticazione del servizio KDC. Se si utilizza il servizio KDC integrato, è necessario inizializzare KDC. Per dettagli relativi al servizio KDC integrato, vedere Installazione e configurazione di VMware Identity Manager. 1 Nella scheda Gestione identità e accessi, passare a Gestione > Metodi di autenticazione. 2 Nella colonna Configura di SSO Mobile (per ios), fare clic sull'icona. 3 Configurare il metodo di autenticazione Kerberos. Opzione Abilita autenticazione KDC Area di autenticazione Certificati CA intermedi e root DN oggetto certificato CA caricati Abilita OCSP Invia nonce OCSP Certificato di firma risponditore OCSP Descrizione Selezionare questa casella di controllo per attivare l'accesso degli utenti dotati di dispositivi ios che supportano l'autenticazione Kerberos. Se si utilizza il servizio KDC ospitato nel cloud, immettere il nome dell'area di autenticazione supportata predefinita che viene fornito. Il testo di questo parametro deve essere tutto maiuscolo. Ad esempio, OP.VMWAREIDENTITY.COM Se si utilizza il servizio KDC integrato, viene visualizzato il nome dell'area di autenticazione configurato durante l'inizializzazione di KDC. Caricare il file del certificato della CA emittente. I formati file supportati sono PEM e DER. Il contenuto del file del certificato caricato viene visualizzato qui. È possibile caricare più di un file e all'elenco vengono aggiunti tutti i certificati inclusi. Selezionare la casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato. Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta. Caricare il certificato OCSP per il risponditore. Quando si utilizza AirWatch Certificate Authority, come certificato OCSP viene utilizzato il certificato dell'emittente. Caricare in questo punto anche il certificato di AirWatch. VMware, Inc. 62

63 Opzione DN oggetto certificato di firma risponditore OCSP Messaggio di annullamento Abilita collegamento per annullamento URL server gestione dispositivi aziendali Descrizione Qui viene mostrato il file del certificato OCSP caricato. Creare un messaggio di accesso personalizzato che verrà visualizzato nel caso in cui l'autenticazione stia impiegando troppo tempo. Se non si crea un messaggio personalizzato, il messaggio predefinito è Attempting to authenticate your credentials. Quando l'autenticazione impiega troppo tempo, questa opzione offre agli utenti la possibilità di fare clic su Annulla per interrompere il tentativo di autenticazione e annullare l'accesso. Quando è abilitato il collegamento Annulla, alla fine del messaggio di errore dell'autenticazione visualizzato compare la scelta Annulla. Immettere l'url del server Mobile Device Management (MDM) per reindirizzare gli utenti quando l'accesso viene negato perché il dispositivo non è registrato in AirWatch per la gestione MDM. Questo URL viene visualizzato nel messaggio di errore di autenticazione non riuscita. Se non si immette un URL qui, viene visualizzato il messaggio di accesso negato generico. 4 Fare clic su Salva. Passi successivi Associare il metodo di autenticazione SSO mobile (per ios) nel provider di identità integrato. Configurare la regola del criterio di accesso predefinito per l'autenticazione Kerberos per i dispositivi ios. Assicurarsi che questo metodo di autenticazione sia il primo metodo impostato nella regola. Passare alla console di amministrazione di AirWatch e configurare il profilo del dispositivo ios in AirWatch e aggiungere il certificato dell'emittente di certificati del server KDC da VMware Identity Manager. Configurazione di SSO mobile per l'autenticazione di Android nel provider di identità integrato Per fornire l'autenticazione SSO (Single Sign-On) da dispositivi Android gestiti da AirWatch, è necessario configurare l'autenticazione SSO mobile per Android nel provider di identità integrato di VMware Identity Manager. Prerequisiti Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti. (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato. Per il controllo della revoca, la posizione del file del CRL e l'url del server OCSP. (Facoltativo) La posizione del file del certificato Firma risposta OCSP. VMware, Inc. 63

64 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestione > Provider di identità. 2 Fare clic sul provider di identità Integrato. 3 Verificare che la configurazione di Utenti e rete nel provider di identità integrato sia corretta. In caso contrario, modificare le sezioni Utenti e rete secondo necessità. Nota: L'intervallo di rete utilizzato nella regola del criterio per SSO mobile per Android dovrebbe essere composto solo dagli indirizzi IP utilizzati per ricevere richieste provenienti dal server proxy VMware Tunnel. 4 Nella sezione Metodi di autenticazione, fare clic sull'icona dell'ingranaggio di SSO mobile (per Android). 5 Nella pagina CertProxyAuthAdapter, configurare il metodo di autenticazione. Opzione Abilita adattatore certificato Certificati CA intermedi e root DN oggetto certificato CA caricati Usa se nel certificato non esiste un UPN Criteri di certificato accettati Abilita revoca certificato Usa CRL dei certificati Posizione CRL Abilita revoca OCSP Usa CRL in caso di errore OCSP Invia nonce OCSP Descrizione Selezionare questa casella di controllo per abilitare SSO mobile per Android. Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione codificati. I formati file supportati sono PEM e DER. Mostra il contenuto del file di certificato caricato. Se il nome dell'entità utente (UPN) non esiste nel certificato, selezionare questa casella di controllo per utilizzare l'attributo address come estensione SAN (Subject Alternative Name, nome alternativo del soggetto) per convalidare gli account utente. Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere il numero OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID. Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. In questo modo si impedirà l'autenticazione degli utenti che hanno certificati revocati. Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato. Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati. Selezionare questa casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato. Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile. Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta. VMware, Inc. 64

65 Opzione URL OCSP Certificato della firma del risponditore OCSP Abilita collegamento per annullamento Messaggio di annullamento Descrizione Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca. Immettere il percorso del certificato OCSP del risponditore. Utilizzare la forma /path/to/file.cer Quando l'autenticazione impiega troppo tempo, se questo collegamento è abilitato, gli utenti possono fare clic su Annulla per interrompere il tentativo di autenticazione e annullare l'accesso. Creare un messaggio personalizzato che verrà visualizzato nel caso in cui l'autenticazione stia impiegando troppo tempo. Se non si crea un messaggio personalizzato, il messaggio predefinito è Attempting to authenticate your credentials. 6 Fare clic su Salva. 7 Fare clic su Salva nella pagina del provider di identità integrato. Passi successivi Configurare la regola del criterio di accesso predefinito per SSO mobile per Android. Configurazione di provider di identità integrati È possibile configurare più provider di identità integrati e associare i metodi di autenticazione configurati nella pagina Gestione identità e accessi > Metodi di autenticazione. 1 Nella scheda Gestione identità e accessi, andare a Gestione > Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea provider di identità integrato. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Descrizione Immettere il nome per l'istanza di questo provider di identità integrato. Selezionare gli utenti per cui eseguire l'autenticazione. Vengono elencate le directory configurate. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare gli intervalli di rete per gli utenti in base agli indirizzi IP che si desidera indirizzare a questa istanza del provider di identità per l'autenticazione. Vengono visualizzati i metodi di autenticazione configurati nel servizio. Selezionare le caselle di controllo relative ai metodi di autenticazione da associare a questo provider di identità integrato. Per Conformità dispositivo (con AirWatch) e Password (AirWatch Connector), assicurarsi che l'opzione sia abilitata nella pagina di configurazione di AirWatch. 3 Fare clic su Aggiungi. Passi successivi Configurare la regola dei criteri di accesso predefinita per aggiungere i criteri di autenticazione alla regola. Vedere Configurazione di regole dei criteri di accesso VMware, Inc. 65

66 Utilizzo del connettore in uscita per l'autenticazione nei provider di identità integrati È possibile configurare un provider di identità integrato per i metodi di autenticazione che non richiedono un connettore protetto da un firewall. Il connettore viene installato in modalità di connessione in uscita e non richiede che la porta 443 del firewall in entrata sia aperta. Il connettore stabilisce una connessione in sola uscita (mediante WebSocket) con il servizio cloud e riceve le richieste di autenticazione tramite questo canale. Quando si configura un provider di identità integrato, i metodi di autenticazione configurati in un connettore distribuito mediante DMZ in modalità di connessione in sola uscita possono essere associati al provider di identità. È possibile configurare i metodi di autenticazione del connettore seguenti. Password (distribuzione cloud) Autenticazione adattiva RSA (distribuzione cloud) RSA SecurID (distribuzione cloud) RADIUS (distribuzione cloud) Dopo aver configurato i metodi di autenticazione, è necessario creare i criteri di accesso da applicare a tali metodi di autenticazione. Configurazione di un provider di identità integrato con i metodi di autenticazione configurati in un connettore in sola uscita I metodi di autenticazione configurati in un connettore distribuito mediante DMZ nella modalità di connessione in sola uscita possono essere associati al provider di identità integrato quando lo si configura. Prerequisiti Gli utenti e i gruppi che si trovano in una directory aziendale devono essere sincronizzati con la directory di VMware Identity Manager Elenco degli intervalli di rete che si desidera indirizzare all'istanza del provider di identità integrato per l'autenticazione. Per abilitare i metodi di autenticazione dal provider di identità integrato, assicurarsi che i metodi di autenticazione siano configurati nel connettore. 1 Nella scheda Gestione identità e accessi, andare a Gestione > Provider di identità. VMware, Inc. 66

67 2 Selezionare il provider di identità contrassegnato con Integrato e configurarne i dettagli. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Connettori Metodi di autenticazione del connettore Descrizione Immettere il nome per l'istanza di questo provider di identità integrato. Selezionare gli utenti per cui eseguire l'autenticazione. Vengono elencate le directory configurate. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare gli intervalli di rete per gli utenti in base agli indirizzi IP che si desidera indirizzare a questa istanza del provider di identità per l'autenticazione. Vengono visualizzati i metodi di autenticazione configurati nella pagina Gestione identità e accessi > Metodi di autenticazione. Selezionare le caselle di controllo relative ai metodi di autenticazione da associare al provider di identità. Per Conformità dispositivo (con AirWatch) e Password (AirWatch Connector), assicurarsi che l'opzione sia abilitata nella pagina di configurazione di AirWatch. Selezionare il connettore configurato nella modalità di connessione in sola uscita. In questa sezione sono elencati i metodi di autenticazione configurati nel connettore. Selezionare le caselle di controllo per associare i metodi di autenticazione. 3 Se si utilizza l'autenticazione Kerberos integrata, scaricare il certificato dell'emittente KDC da utilizzare nella configurazione del profilo di gestione del dispositivo ios in AirWatch. 4 Fare clic su Salva. Configurazione di provider di identità Workspace aggiuntivi Nella configurazione iniziale del connettore di VMware Identity Manager, quando si abilita il connettore ad autenticare gli utenti, viene creato un provider di identità Workspace come provider di identità e viene abilitata l'autenticazione con password. È possibile configurare connettori aggiuntivi dietro a bilanciamenti del carico differenti. Quando l'ambiente contiene più di un bilanciamento del carico, è possibile configurare un provider di identità Workspace per l'autenticazione differente in ogni configurazione con bilanciamento del carico. Consultare le sezioni relative all'installazione di appliance connettore aggiuntive nella guida all'installazione e alla configurazione di VMWare Identity Manager. I diversi provider di identità Workspace possono essere associati alla stessa directory oppure, se sono state configurate più directory, è possibile selezionare quale directory utilizzare. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestione > Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea IDP Workspace. VMware, Inc. 67

68 3 Modificare le impostazioni dell'istanza del provider di identità. Opzione Nome del provider di identità Utenti Connettori Rete Descrizione Immettere un nome per l'istanza di questo provider di identità Workspace. Selezionare la directory di VMware Identity Manager degli utenti che possono autenticarsi utilizzando questo provider di identità Workspace. Vengono elencati i connettori non associati alla directory selezionata. Selezionare il connettore da associare alla directory. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione. 4 Fare clic su Aggiungi. Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti È possibile configurare un provider di identità di terze parti utilizzato per autenticare gli utenti nel servizio VMware Identity Manager. Prima di aggiungere l'istanza del provider di identità di terze parti, eseguire le attività seguenti. Verificare che le istanze di terze parti siano conformi con SAML 2.0 e che il servizio possa raggiungere l'istanza di terze parti. Ottenere le informazioni sui metadati di terze parti appropriate da aggiungere durante la configurazione del provider di identità nella console di amministrazione. Le informazioni sui metadati ottenute dall'istanza di terze parti corrispondono all'url dei metadati o ai metadati effettivi. Aggiunta e configurazione di un'istanza del provider di identità Aggiungendo e configurando le istanze del provider di identità per la propria distribuzione di VMware Identity Manager, è possibile fornire alta disponibilità, supportare altri metodi di autenticazione utente e aggiungere flessibilità nel modo in cui viene gestito il processo di autenticazione utente basato sugli intervalli di indirizzi IP. Prerequisiti Configurare gli intervalli di rete che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione. Vedere Aggiunta o modifica di un intervallo di rete. Accedere al documento dei metadati di terze parti, che può corrispondere all'url dei metadati o ai metadati effettivi. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Provider di identità. 2 Fare clic su Aggiungi provider di identità. VMware, Inc. 68

69 3 Modificare le impostazioni dell'istanza del provider di identità. Elemento del modulo Nome del provider di identità Binding SAML Metadati SAML Provisioning Just-in-Time Utenti Rete Metodi di autenticazione Configurazione di Single Sign-Out Certificato della firma SAML Nome host provider di identità Descrizione Immettere un nome per l'istanza del provider di identità. Selezionare la modalità di invio di AuthnRequest, ovvero HTTP POST o Reindirizzamento HTTP. Reindirizzamento HTTP è il valore predefinito. Aggiungere il documento di metadati basato su XML del provider di identità di terze parti per stabilire una relazione di attendibilità con il provider di identità. 1 Immettere l'url dei metadati SAML o il contenuto XML nella casella di testo. 2 Fare clic su Elabora metadati IdP. I formati NameID supportati da IdP vengono estratti dai metadati e aggiunti alla tabella Formato ID nome. 3 Nella colonna del valore ID del nome selezionare l'attributo utente del servizio da mappare ai formati degli ID visualizzati. È possibile aggiungere formati di ID di nome di terze parti personalizzati e mapparli ai valori degli attributi utente nel servizio. 4 (Facoltativo) Selezionare il formato della stringa dell'identificatore di risposta NameIDPolicy. N/D Selezionare Altra directory che include gli utenti che possono eseguire l'autenticazione mediante questo provider di identità. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione. Aggiungere i metodi di autenticazione supportati dal provider di identità di terze parti. Selezionare la classe del contesto di autenticazione SAML che supporta il metodo di autenticazione. Abilitare il Single Sign-Out per scollegare gli utenti dalla loro sessione del provider di identità quando si scollegano dal sistema. Se il Single Sign-Out non è abilitato, quando gli utenti si scollegano dal sistema, la sessione del provider di identità rimarrà attiva. (Facoltativo) Se il provider di identità supporta il profilo di disconnessione singola SAML, abilitare il Single Sign-Out e lasciare vuota la casella di testo Reindirizza URL. Se il provider di identità non supporta il profilo di disconnessione singola SAML, abilitare il Single Sign-Out e immettere l'url di disconnessione del provider di identità a cui gli utenti vengono reindirizzati quando si disconnettono da VMware Identity Manager. Se è stato configurato l'url di reindirizzamento e si desidera che gli utenti tornino alla pagina di accesso di VMware Identity Manager dopo essere stati reindirizzati all'url di disconnessione del provider di identità, immettere il nome del parametro utilizzato dall'url di reindirizzamento del provider di identità. Fare clic su Metadati del provider di servizi (SP) per visualizzare l'url dei metadati del provider di servizi SAML VMware Identity Manager. Copiare e salvare l'url. Questo URL viene configurato quando si modifica l'asserzione SAML nel provider di identità di terze parti per mappare gli utenti di VMware Identity Manager. Se viene visualizzata la casella di testo Nome host, immettere il nome host al quale il provider di identità viene reindirizzato per l'autenticazione. Se si utilizza una porta non standard diversa dalla porta 443, è possibile impostare il nome host nel formato Nome host:porta. Ad esempio, myco.example.com: Fare clic su Aggiungi. VMware, Inc. 69

70 Passi successivi Modificare la configurazione del provider di identità di terze parti per aggiungere l'url del certificato di firma SAML salvato. Gestione dei metodi di autenticazione da applicare agli utenti Il servizio VMware Identity Manager tenta di autenticare gli utenti in base a metodi di autenticazione, criterio di accesso predefinito, intervalli di rete e istanze di provider di identità configurati. Quando gli utenti effettuano l'accesso, il servizio valuta le regole del criterio di accesso predefinito per selezionare quale regola del criterio applicare. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del provider di identità che soddisfa i requisiti del metodo di autenticazione e dell'intervallo di rete della regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione ha esito negativo viene applicato il successivo metodo di autenticazione configurato nella regola. È possibile aggiungere regole che specificano i metodi di autenticazione da utilizzare per tipo di dispositivo oppure per tipo di dispositivo e da un intervallo di rete specifico. È ad esempio possibile configurare una regola che richieda agli utenti che accedono utilizzando dispositivi ios da una rete specifica di eseguire l'autenticazione mediante RSA SecurID e quindi configurare un'altra regola che richieda agli utenti che accedono utilizzando un tipo qualsiasi di dispositivo dall'indirizzo IP della rete interna di eseguire l'autenticazione mediante la propria password. Aggiunta o modifica di un intervallo di rete Creare intervalli di rete per definire gli indirizzi IP da cui gli utenti possono effettuare accessi. Gli intervalli di rete creati vengono aggiunti a specifiche istanze di provider di identità e regole dei criteri di accesso. Come intervallo predefinito viene creato un intervallo di rete, denominato TUTTI GLI INTERVALLI. Tale intervallo di rete include tutti gli indirizzi IP disponibili in Internet, da a Se la propria distribuzione ha una singola istanza di provider di identità, è possibile modificare l'intervallo di indirizzi IP e aggiungere altri intervalli per escludere o includere indirizzi IP specifici all'intervallo di rete predefinito. È possibile creare altri intervalli di rete con indirizzi IP specifici, applicabili per uno scopo specifico. Nota: l'intervallo di rete predefinito, TUTTI GLI INTERVALLI, e la relativa descrizione, "una rete per tutti gli intervalli", sono modificabili. È possibile modificare il nome e la descrizione, nonché impostare una lingua diversa per il testo, utilizzando la funzione Modifica nella pagina Intervalli di rete. Prerequisiti Definire intervalli di rete per la distribuzione di VMware Identity Manager in base alla propria topologia di rete. 1 Nella scheda Criteri della console di amministrazione, selezionare Intervalli di rete. VMware, Inc. 70

71 2 Modificare un intervallo di rete esistente o aggiungerne uno nuovo. Opzione Modifica intervallo esistente Aggiungi intervallo Descrizione Fare clic sul nome dell'intervallo di rete da modificare. Fare clic su Aggiungi intervallo di rete per aggiungere un nuovo intervallo. 3 Applicare le modifiche nella pagina Aggiungi intervallo di rete. Elemento del modulo Nome Descrizione Intervalli IP Descrizione Immettere un nome per l'intervallo di rete. Immettere una descrizione per l'intervallo di rete. Modificare o aggiungere intervalli IP fino ad includere tutti gli indirizzi IP desiderati, escludendo quelli indesiderati. Passi successivi Associare ogni intervallo di rete a un'istanza del provider di identità. Associare gli intervalli di rete a una regola del criterio di accesso appropriata. Vedere Capitolo 6 Gestione dei criteri di accesso. Applicazione del criterio di accesso predefinito Il servizio VMware Identity Manager include un criterio di accesso predefinito che controlla l'accesso dell'utente ai suoi portali di Workspace ONE e alle applicazioni Web. È possibile modificare il criterio per cambiarne le regole secondo necessità. Quando si attivano metodi di autenticazione diversi dall'autenticazione con password, è necessario modificare il criterio predefinito per aggiungere il metodo di autenticazione attivato nelle regole del criterio. Per ogni regola del criterio di accesso predefinito è necessario che siano soddisfatti una serie di criteri affinché gli utenti possano accedere al portale delle applicazioni. È possibile applicare un intervallo di rete, selezionare quale tipo di utente può accedere al contenuto e selezionare i metodi di autenticazione da utilizzare. Vedere Capitolo 6 Gestione dei criteri di accesso. Il numero di tentativi fatti dal servizio per completare l'accesso di un utente con un dato metodo di autenticazione varia. Il servizio fa un unico tentativo nelle autenticazioni con Kerberos o con certificato. Se il tentativo di accesso di un utente non ha esito positivo, viene provato il metodo di autenticazione successivo nella regola. Per impostazione predefinita, il numero massimo di tentativi di accesso non riusciti per l'autenticazione con password di Active Directory e RSA SecurID è impostato su cinque. Quando per un utente ci sono cinque tentativi di accesso non riusciti, il servizio tenta l'accesso dell'utente con il metodo di autenticazione successivo nell'elenco. Quando vengono esauriti tutti i metodi di autenticazione, il servizio genera un messaggio di errore. VMware, Inc. 71

72 Applicazione dei metodi di autenticazione alle regole dei criteri Nelle regole dei criteri predefinite viene configurato solo il metodo di autenticazione tramite password. Per selezionare gli altri metodi di autenticazione configurati e impostare l'ordine in cui tali metodi vengono utilizzati per l'autenticazione, è necessario modificare le regole dei criteri. Per ulteriori informazioni sulla configurazione di regole dei criteri, vedere Configurazione delle impostazioni dei criteri di accesso. Prerequisiti Attivare e configurare i metodi di autenticazione supportati dalla propria organizzazione. Vedere Capitolo 5 Configurazione dell'autenticazione utente in VMware Identity Manager. 1 Nella scheda Gestione accesso e identità della console di amministrazione, selezionare Gestisci > Criteri. 2 Fare clic sul criterio di accesso predefinito da modificare. 3 Nella sezione Regole del criterio, fare clic sul metodo di autenticazione da modificare o aggiungere una nuova regola del criterio, fare clic sull'icona +. a b c Verificare che l'intervallo di rete sia corretto. Se si aggiunge una nuova regola, selezionare l'intervallo di rete per questa regola del criterio. Selezionare il dispositivo gestito da questa regola dal menu a discesa e l'utente tenta di accedere a contenuti da. Se si desidera applicare questa regola di accesso a gruppi specifici, fare clic su Modifica gruppi e selezionare i gruppi. Se non si seleziona alcun gruppo, il criterio di accesso viene applicato a tutti gli utenti. d Configurare l'ordine di autenticazione. Selezionare il metodo di autenticazione da applicare per primo dal menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente. Per richiedere agli utenti di autenticarsi attraverso due metodi di autenticazione, fare clic su + e selezionare il secondo metodo di autenticazione dal menu a discesa. e (Facoltativo) Per configurare metodi di autenticazione di fallback aggiuntivi, selezionare un altro metodo di autenticazione abilitato dal menu a discesa Se il precedente metodo di autenticazione non va a buon fine. È possibile aggiungere più metodi di autenticazione di fallback a una regola. f Dal menu a discesa Nuova autenticazione dopo, selezionare la lunghezza della sessione al termine della quale gli utenti dovranno autenticarsi di nuovo. VMware, Inc. 72

73 g h (Facoltativo) Creare un messaggio di accesso negato personalizzati da visualizzare quando l'autenticazione di un utente ha esito negativo. È possibile specificare un messaggio composto da massimo caratteri, equivalente a circa 650 parole. Se si desidera portare gli utenti su un'altra pagina, inserire l'indirizzo del collegamento URL nella casella di testo URL del collegamento. Specificare il testo da visualizzare come collegamento nella casella di testo Testo del collegamento. Se si lascia vuota questa casella di testo, viene visualizzata la parola Continua. Fare clic su Salva. 4 Fare clic su Salva. VMware, Inc. 73

74 Gestione dei criteri di accesso 6 Per fornire accesso sicuro al portale delle app degli utenti e avviare le applicazioni Web e desktop, è possibile configurare criteri di accesso. I criteri di accesso includono regole che specificano i criteri che devono essere soddisfatti per accedere al portale delle app e utilizzare le proprie risorse. Le regole dei criteri confrontano l'indirizzo IP del richiedente con gli intervalli di rete definiti e stabiliscono il tipo di dispositivi che gli utenti possono utilizzare per accedere. La regola definisce i metodi di autenticazione e il numero di ore per cui l'autenticazione è valida. È possibile selezionare uno o più gruppi da associare alla regola di accesso. Il servizio VMware Identity Manager include un criterio predefinito che controlla l'accesso al servizio in linea generale. Questo criterio è configurato per consentire l'accesso a tutti gli intervalli di rete, di tutti i tipi di dispositivi, per tutti gli utenti. Il timeout della sessione è di otto ore e il metodo di autenticazione è l'autenticazione con password. È possibile modificare il criterio predefinito. Nota: I criteri non controllano la durata di una sessione dell'applicazione. Controllano quanto tempo gli utenti hanno a disposizione per avviare un'applicazione. Questo capitolo include i seguenti argomenti: Configurazione delle impostazioni dei criteri di accesso Gestione dei criteri specifici delle applicazioni Web e desktop Aggiunta di un criterio specifico di un'applicazione desktop o Web Configurazione di un messaggio di errore di accesso negato personalizzato Modifica del criterio di accesso predefinito Abilitazione del controllo di conformità per i dispositivi gestiti da AirWatch Attivazione dei cookie permanenti sui dispositivi mobili Configurazione delle impostazioni dei criteri di accesso Un criterio contiene una o più regole di accesso. Ogni regola è costituita da impostazioni che è possibile configurare per gestire l'accesso degli utenti al loro portale Workspace ONE nel suo insieme o ad applicazioni Web e desktop specifiche. VMware, Inc. 74

75 È possibile configurare una regola dei criteri per eseguire operazioni come bloccare, consentire o applicare l'autenticazione incrementale degli utenti in base a condizioni come la rete, il tipo di dispositivo, la registrazione del dispositivo in AirWatch e lo stato di conformità o l'applicazione a cui si accede. È possibile aggiungere gruppi a un criterio per gestire l'autenticazione per gruppi specifici. Intervallo di rete Per ogni regola, si determina la base degli utenti specificando un intervallo di rete. Un intervallo di rete è costituito da uno o più intervalli IP. È possibile creare gli intervalli di rete nella scheda Gestione identità e accessi, nella pagina Configura > Intervalli di rete prima di configurare i set dei criteri di accesso. Ogni istanza del provider di identità nella distribuzione collega gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete sia coperto da un'istanza del provider di identità esistente. È possibile configurare intervalli di rete specifici per limitare da dove gli utenti possono eseguire il login e accedere alle proprie applicazioni. Tipo di dispositivo Selezionare il tipo di dispositivo gestito dalla regola. I tipi di client sono browser Web, l'app Workspace ONE, ios, Android, Windows 10, OS X e Tutti i tipi di dispositivi. È possibile configurare regole per stabilire quali tipi di dispositivi possono accedere a contenuti, in questo modo tutte le richieste di autenticazione provenienti da quel tipo di dispositivo utilizzeranno la regola del criterio. Aggiungere gruppi È possibile applicare criteri diversi per l'autenticazione in base all'appartenenza degli utenti ai gruppi. Per fare in modo che gruppi di utenti possano accedere tramite un flusso di autenticazione specifico, è possibile aggiungere gruppi alla regola dei criteri di accesso. I gruppi possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di amministrazione. I nomi dei gruppi devono essere univoci all'interno dello stesso dominio. Per utilizzare gruppi nelle regole dei criteri di accesso, selezionare un identificatore univoco nella pagina Gestione identità e accessi > Preferenze. L'attributo identificatore univoco deve essere mappato nella pagina Attributi utente e l'attributo selezionato deve essere sincronizzato nella directory. L'identificatore univoco può essere il nome utente, l'indirizzo , un UPN o l'id dipendente. Vedere Esperienza di accesso mediante identificatore univoco. Quando i gruppi vengono utilizzati in una regola dei criteri di accesso, l'esperienza di accesso dell'utente cambia. Anziché richiedere agli utenti di selezionare il proprio dominio e quindi immettere le credenziali, viene visualizzata una pagina che richiede agli utenti di immettere il proprio identificatore univoco. VMware Identity Manager individua l'utente nel database interno, in base all'identificatore univoco, e visualizza la pagina di autenticazione configurata nella regola. VMware, Inc. 75

76 Se non viene selezionato alcun gruppo, la regola dei criteri di accesso viene applicata a tutti gli utenti. Quando si configurano regole dei criteri di accesso che includono regole basate sui gruppi e una regola per tutti gli utenti, assicurarsi che la regola designata per tutti gli utenti sia l'ultima elencata nella sezione Regole del criterio nel criterio. Metodi di autenticazione Nella regola del criterio, impostare l'ordine di applicazione dei metodi di autenticazione. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati. Viene selezionata la prima istanza del provider di identità che soddisfa il metodo di autenticazione e la configurazione dell'intervallo di rete nel criterio. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco. Durata della sessione di autenticazione Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al proprio portale o avviare un'applicazione specifica. Ad esempio, il valore 4 nella regola di un'applicazione Web concede agli utenti quattro ore per avviare l'applicazione Web, a meno che non inizializzino un altro evento di autenticazione che estenda il tempo. Messaggio di errore di accesso negato personalizzato Quando gli utenti tentano di accedere con esito negativo a causa di credenziali non valide, errata configurazione o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi. È possibile creare un messaggio di errore personalizzato per ogni regola di criterio di accesso da visualizzare al posto del messaggio predefinito. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per i dispositivi mobili che si desidera gestire, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato: Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza. VMware, Inc. 76

77 Gestione dei criteri specifici delle applicazioni Web e desktop Quando si aggiungono applicazioni Web e desktop al catalogo, è possibile creare criteri di accesso specifici delle applicazioni. Per un'applicazione Web è ad esempio possibile creare un criterio con regole che specifichi gli indirizzi IP che possono accedere all'applicazione e quali metodi di autenticazione possono utilizzare, nonché quanto tempo deve trascorrere prima che venga richiesta una nuova autenticazione. Il seguente criterio specifico di applicazione Web è un esempio di criterio che si può creare per controllare gli accessi ad applicazioni Web specificate. Esempio 1: criterio specifico di applicazione Web rigido In questo esempio viene creato e applicato un nuovo criterio a un'applicazione Web sensibile. 1 Per accedere al servizio dall'esterno della rete dell'impresa, l'utente deve accedere con RSA SecurID. L'utente accede utilizzando un browser e può quindi accedere al portale delle app per una sessione di quattro ore, in base a quanto specificato nella regola di accesso predefinita. 2 Dopo quattro ore, l'utente tenta di avviare un'applicazione Web con il criterio delle applicazioni Web sensibili applicato. 3 Il servizio controlla le regole nel criterio e lo applica con l'intervallo di rete TUTTI GLI INTERVALLI, dato che la richiesta dell'utente proviene da un browser Web e dall'intervallo di rete TUTTI GLI INTERVALLI. VMware, Inc. 77

78 L'utente accede utilizzando il metodo di autenticazione RSA SecurID, ma la sessione è appena scaduta. L'utente viene reindirizzato per eseguire nuovamente l'autenticazione. La nuova autenticazione fornisce all'utente un'altra sessione di quattro ore e la possibilità di avviare l'applicazione. Per le quattro ore successive l'utente può continuare ad eseguire l'applicazione senza dover effettuare una nuova autenticazione. Esempio 2: criterio specifico di applicazione Web più rigido Per applicare una regola più rigida ad applicazioni Web ancora più sensibili, è possibile richiedere l'esecuzione di un nuova autenticazione con SecurID su qualsiasi dispositivo dopo un'ora. Il seguente esempio illustra come viene implementato questo tipo di regola del criterio di accesso. 1 L'utente accede dall'interno della rete dell'azienda utilizzando il metodo di autenticazione con Kerberos. A questo punto, l'utente può accedere al portale delle applicazioni per otto ore, come definito nell'esempio 1. 2 L'utente tenta immediatamente di avviare un'applicazione Web con la regola del criterio dell'esempio 2 applicata, la quale richiede l'autenticazione RSA SecurID. 3 L'utente viene reindirizzato alla pagina di accesso per l'autenticazione RSA SecurID. 4 Dopo il corretto accesso dell'utente, il servizio avvia l'applicazione e salva l'evento di autenticazione. L'utente può continuare ad eseguire l'applicazione per un'ora, ma trascorso questo tempo gli verrà chiesto di eseguire nuovamente l'autenticazione, come stabilito dalla regola del criterio. VMware, Inc. 78

79 Aggiunta di un criterio specifico di un'applicazione desktop o Web È possibile creare criteri specifici delle applicazioni per gestire l'accesso degli utenti a determinate applicazioni Web e desktop. Prerequisiti Configurare gli intervalli di rete appropriati per la distribuzione. Vedere Aggiunta o modifica di un intervallo di rete. Configurare i metodi di autenticazione appropriati per la distribuzione. Se si prevede di modificare il criterio predefinito (per controllare l'accesso degli utenti al servizio nel suo insieme), configurarlo prima di creare un criterio specifico dell'applicazione. Aggiungere l'applicazione Web e desktop al catalogo. Prima di poter aggiungere un criterio specifico dell'applicazione, è necessario che nella pagina Catalogo sia elencata almeno un'applicazione. Per aggiungere criteri di accesso per l'autenticazione legacy per i client Office 365, è possibile configurare criteri di accesso al client nell'applicazione Office 365 dalla pagina Catalogo. Consultare la guida all'integrazione di VMware Identity Manager con Office Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestisci > Criteri. 2 Fare clic su Aggiungi Criterio. 3 Aggiungere un nome e una descrizione per il criterio nelle rispettive caselle di testo. 4 Nella sezione Applicabile a, fare clic su Seleziona e nella pagina visualizzata selezionare le applicazioni da associare a questo criterio. 5 Nella sezione Regole criterio, fare clic su + per aggiungere una regola. Viene visualizzata la pagina Aggiungi una regola del criterio. a b c d e Selezionare l'intervallo di rete a cui applicare la regola. Selezionare il tipo di dispositivo che può accedere alle applicazioni per questa regola. Selezionare i metodi di autenticazione da utilizzare nell'ordine con cui devono essere applicati. Specificare per quante ore una sessione dell'applicazione può rimanere aperta. Fare clic su Salva. 6 Configurare le eventuali regole aggiuntive desiderate. 7 Fare clic su Salva. VMware, Inc. 79

80 Configurazione di un messaggio di errore di accesso negato personalizzato Per ogni regola del criterio, è possibile creare un messaggio di errore di accesso negato personalizzato, visualizzato quando gli utenti tentano di accedere con esito negativo a causa di credenziali non valide. Il messaggio personalizzato può includere testo e un collegamento a un altro URL per aiutare gli utenti a risolvere i problemi. È possibile specificare un messaggio composto da massimo caratteri, equivalente a circa 650 parole. 1 Nella scheda Gestione accesso e identità della console di amministrazione, selezionare Gestisci > Criteri. 2 Fare clic sul criterio di accesso da modificare. 3 Per aprire la pagina della regola del criterio, fare clic sul nome di autenticazione nella colonna Metodo di autenticazione relativa alla regola da modificare. 4 Immettere il messaggio di errore nella casella di testo Messaggio di errore personalizzato. 5 Per aggiungere un collegamento a un URL, immettere una descrizione del collegamento nella casella Testo del collegamento e inserire l'url in URL del collegamento. Il collegamento viene mostrato in coda al messaggio personalizzato. Se si aggiunge un URL senza aggiungere testo nella casella Testo del collegamento, il testo del collegamento visualizzato sarà Continua. 6 Fare clic su Salva. Passi successivi Creare messaggi di errore personalizzati per altre regole del criterio. Modifica del criterio di accesso predefinito È possibile modificare il criterio di accesso predefinito per cambiarne le regole, nonché modificare criteri specifici delle applicazioni per aggiungere o rimuovere applicazioni e cambiare le regole dei criteri. Un criterio di accesso specifico dell'applicazione può essere rimosso in qualsiasi momento. Il criterio di accesso predefinito è permanente. Non è possibile rimuovere il criterio predefinito. Prerequisiti Configurare gli intervalli di rete appropriati per la distribuzione. Vedere Aggiunta o modifica di un intervallo di rete. 1 Nella scheda Criteri della console di amministrazione, selezionare Modifica criterio predefinito. VMware, Inc. 80

81 2 Nella sezione Regole del criterio, colonna Metodo di autenticazione, selezionare la regola da modificare. Viene visualizzata la pagina Modifica regola del criterio con la configurazione corrente. 3 Per configurare l'ordine di autenticazione, nel menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente, selezionare il metodo di autenticazione da applicare per primo. 4 (Facoltativo) Per configurare un metodo di autenticazione di fallback in caso di esito negativo della prima autenticazione, selezionare un altro metodo di autenticazione abilitato dal menu a discesa successivo. È possibile aggiungere più metodi di autenticazione di fallback a una regola. 5 Fare clic su Salva e quindi di nuovo su Salva nella pagina Criterio. La regola di criterio modificata diviene immediatamente effettiva. Passi successivi Se il criterio è un criterio di accesso specifico dell'applicazione, è inoltre possibile applicare il criterio all'applicazione dalla pagina Catalogo. Vedere Aggiunta di un criterio specifico di un'applicazione desktop o Web Abilitazione del controllo di conformità per i dispositivi gestiti da AirWatch Quando gli utenti registrano i propri dispositivi, a scadenze regolari programmate vengono inviati dati campione che vengono utilizzati per valutare conformità. La valutazione di questi dati campione consente di verificare che il dispositivo rispetti le regole di conformità stabilite dall'amministratore tramite la console di AirWatch. Se il dispositivo non rispetta la conformità vengono intraprese le azioni corrispondenti configurate nella console di AirWatch. Il servizio VMware Identity Manager include un'opzione dei criteri di accesso che può essere configurata per controllare lo stato di conformità del dispositivo nel server AirWatch quando gli utenti accedono dal dispositivo. Grazie al controllo della conformità, è possibile impedire agli utenti di accedere a un'applicazione o di utilizzare Single Sign-On nel portale Workspace ONE se il dispositivo non è conforme. La possibilità di accedere viene ripristinata quando il dispositivo rispetta nuovamente la conformità. Se il dispositivo è compromesso, l'applicazione Workspace ONE disconnette e blocca automaticamente l'accesso alle applicazioni. Se il dispositivo è stato registrato tramite la gestione adattiva, con un comando di rimozione dei dati aziendali emesso dalla console di AirWatch è possibile annullare la registrazione del dispositivo e rimuovere le applicazioni gestite dal dispositivo. Le applicazioni non gestite non vengono rimosse. Per ulteriori informazioni sui criteri di conformità di AirWatch, vedere la guida di VMware AirWatch Mobile Device Management, disponibile sul sito Web AirWatch Resources. VMware, Inc. 81

82 Configurazione di regole dei criteri di accesso Per fornire accesso sicuro al portale dell'app Workspace ONE degli utenti e avviare le applicazioni Web e desktop, è possibile configurare criteri di accesso. I criteri di accesso includono regole che specificano i criteri che devono essere soddisfatti per accedere e utilizzare le proprie risorse. È necessario modificare le regole dei criteri predefinite per selezionare i metodi di autenticazione configurati. È possibile configurare la regola di un criterio in modo che vengano eseguite azioni, come il blocco, l'autorizzazione o l'autenticazione degli utenti in base a condizioni come la rete, il tipo di dispositivo, lo stato di conformità e la registrazione del dispositivo in AirWatch o l'applicazione a cui si accede. È possibile aggiungere gruppi a un criterio per gestire l'autenticazione per gruppi specifici. Quando il controllo di conformità è abilitato, creare una regola del criterio di accesso che richiede autenticazione e verifica della conformità per i dispositivi gestiti da AirWatch. La regola del criterio di controllo conformità opera in una catena di autenticazione con SSO mobile per ios, SSO mobile per Android e Certificato (distribuzione cloud). Il metodo di autenticazione da utilizzare deve precedere l'opzione di conformità dei dispositivi nella configurazione della regola del criterio. Prerequisiti Metodi di autenticazione configurati e associati a un provider di identità integrato. Controllo della conformità abilitato nella pagina AirWatch di VMware Identity Manager. 1 Nella scheda Gestione identità e accessi, andare a Gestione > Criteri. 2 Selezionare il criterio di accesso da modificare. 3 Nella sezione Regole del criterio, selezionare la regola del criterio da modificare. 4 Dal menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente, fare clic su + e selezionare il metodo di autenticazione da utilizzare. 5 Dal secondo menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente, selezionare Conformità dispositivo (con AirWatch). 6 (Facoltativo) Nella casella di testo Testo del messaggio, creare un messaggio personalizzato da visualizzare quando l'autenticazione di un utente non riesce a causa di un dispositivo non conforme. Nella casella di testo Collegamento errore personalizzato, è possibile aggiungere un collegamento nel messaggio. VMware, Inc. 82

83 7 Fare clic su Salva. Attivazione dei cookie permanenti sui dispositivi mobili Attivare il cookie permanente per offrire la funzionalità Single Sign-In tra il browser del sistema e le applicazioni native e Single Sign-In tra applicazioni native quando si utilizzano Safari View Controller su dispositivi ios e Chrome Custom Tabs su dispositivi Android. Il cookie permanente memorizza i dettagli delle sessioni di accesso degli utenti in modo che questi non debbano più reimmettere le proprie credenziali quando accedono alle loro risorse gestite tramite VMware Identity Manager. È possibile configurare il timeout del cookie nelle regole del criterio di accesso impostato per i dispositivi ios e Android. Nota: I cookie sono vulnerabili agli attacchi di furto cookie e cross-site scripting dei browser comuni. Attivazione dei cookie permanenti Il cookie permanente memorizza i dettagli delle sessioni di accesso degli utenti in modo che questi non debbano reimmettere le proprie credenziali quando accedono alle loro risorse gestite dai dispositivi mobili ios o Android. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configurazione > Preferenze. 2 Selezionare Attiva cookie permanenti. 3 Fare clic su Salva. VMware, Inc. 83

84 Passi successivi Per impostare il timeout di sessione del cookie permanente, modificare il valore di nuova autenticazione nelle regole del criterio di accesso per i tipi di dispositivi ios e Android. VMware, Inc. 84

85 Gestione di gruppi e utenti 7 Gli utenti e i gruppi del servizio VMware Identity Manager vengono importati dalla directory aziendale oppure vengono creati come utenti e gruppi locali nella console di amministrazione di VMware Identity Manager. Gli utenti nel servizio VMware Identity Manager possono essere utenti sincronizzati dalla directory aziendale, utenti locali di cui si esegue il provisioning nella console di amministrazione o utenti aggiunti con provisioning Just-in-Time. Gli utenti importati dalla directory aziendale vengono aggiornati nella directory di VMware Identity Manager in base alla pianificazione della sincronizzazione del server. Non è possibile modificare o eliminare gli utenti sincronizzati da Active Directory. È possibile creare utenti e gruppi locali. Gli utenti locali vengono aggiunti a una directory locale nel servizio. È possibile gestire i criteri delle password e la mappatura degli attributi degli utenti locali. È inoltre possibile creare gruppi locali per gestire i permessi delle risorse per gli utenti. Gli utenti aggiunti mediante il provisioning Just-in-Time vengono creati e aggiornati in modo dinamico quando eseguono il login, in base alle dichiarazioni SAML inviate dal provider di identità. Tutta la gestione degli utenti viene controllata mediante dichiarazioni SAML. Per utilizzare il provisioning Just-in-Time, vedere Capitolo 3 Provisioning utente Just-in-Time. I gruppi del servizio VMware Identity Manager possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di amministrazione. I nomi dei gruppi di Active Directory vengono sincronizzati con la directory in base alla pianificazione della sincronizzazione. Gli utenti di questi gruppi non vengono sincronizzati con la directory fino a quando un gruppo non viene autorizzato per le risorse o un gruppo viene aggiunto alle regole dei criteri di accesso. Non è possibile modificare o eliminare gruppi sincronizzati da Active Directory. Nella console di amministrazione, la pagina Utenti e gruppi offre una visualizzazione del servizio incentrata su utenti e gruppi. È possibile gestire utenti e gruppi e monitorare i permessi delle risorse, le affiliazioni dei gruppi e i numeri di telefono di VMware Verify. Per gli utenti locali, è anche possibile gestire il criterio delle password. Questo capitolo include i seguenti argomenti: Gestione degli utenti Gestione dei gruppi VMware, Inc. 85

86 Creazione di utenti locali Gestione delle password Sincronizzazione della directory per correggere le informazioni del dominio Gestione degli utenti Nel servizio VMware Identity Manager, gli utenti sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. Ciò consente di avere più utenti con lo stesso nome ma appartenenti a domini Active Directory differenti. I nomi degli utenti devono essere univoci all'interno dello stesso dominio. Prima di configurare la directory di VMware Identity Manager, specificare quali attributi utente predefiniti sono obbligatori e aggiungere ulteriori attributi da mappare agli attributi di Active Directory. Gli attributi e i filtri selezionati in Active Directory per mappare questi attributi determinano quali utenti di Active Directory si sincronizzeranno nella directory di VMware Identity Manager. Consultare la pubblicazione Integrazione della directory con VMware Identity Manager per ulteriori informazioni sull'integrazione di Active Directory con VMware Identity Manager. Il servizio VMware Identity Manager supporta la presenza di più utenti con lo stesso nome in domini di Active Directory diversi. I nomi degli utenti devono essere univoci all'interno dello stesso dominio. Ad esempio, è possibile avere un utente chiamato jane nel dominio eng.example.com e un altro utente chiamato jane nel dominio sales.example.com. Gli utenti sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. L'attributo username in VMware Identity Manager viene utilizzato per i nomi utente e viene in genere mappato all'attributo samaccountname in Active Directory. L'attributo domain è utilizzato per i domini e di solito viene mappato con l'attributo canonicalname in Active Directory. Durante la sincronizzazione della directory, gli utenti con lo stesso nome utente ma appartenenti a domini diversi vengono sincronizzati correttamente. Se esiste un conflitto di nomi utente all'interno di un dominio, il primo utente viene sincronizzato e in corrispondenza di tutti gli utenti successivi con lo stesso nome utente viene generato un errore. Tip Se è presente una directory VMware Identity Manager in cui il dominio dell'utente è errato o mancante, controllare le impostazioni del dominio e sincronizzare nuovamente la directory. Vedere Sincronizzazione della directory per correggere le informazioni del dominio. Nella console di amministrazione, è possibile identificare in modo univoco gli utenti mediante il loro nome utente e il dominio a cui appartengono. Ad esempio: Nella colonna Utenti e gruppi della scheda Dashboard, gli utenti sono elencati nella forma utente (dominio). Ad esempio, jane (sales.example.com). Nella pagina Utenti della scheda Utenti e gruppi, la colonna DOMINIO indica il dominio a cui l'utente appartiene. Nei report che includono informazioni sugli utenti, come il report Permessi risorsa, è presente una colonna DOMINIO. VMware, Inc. 86

87 Quando gli utenti finali accedono al portale utente, nella pagina di accesso selezionano il dominio a cui appartengono. Se più utenti hanno lo stesso nome utente, ognuno di essi può accedere correttamente utilizzando il dominio appropriato. Nota: Queste informazioni si applicano agli utenti sincronizzati da Active Directory. Se si utilizza un provider di identità di terze parti ed è stato configurato il provisioning utente Just-in-Time, vedere Capitolo 3 Provisioning utente Just-in-Time per informazioni. Anche il provisioning utente Just-in-Time supporta utenti multipli con lo stesso nome utente in domini differenti. Selezione degli utenti da Active Directory per aggiungerli alla directory Gli utenti di Active Directory vengono aggiunti quando i profili utente vengono sincronizzati da Active Directory alla directory di VMware Identity Manager. Poiché i membri di gruppi non vengono sincronizzati finché il gruppo non ha i permessi, aggiungere tutti gli utenti che devono accedere al servizio VMware Identity Manager quando si effettua la configurazione iniziale di VMware Identity Manager. Prerequisiti Attributi di Active Directory mappati agli attributi utente nella pagina Gestione identità e accessi > Configurazione > Attributi utente. Consultare la pubblicazione Integrazione della directory con VMware Identity Manager per ulteriori informazioni sull'integrazione di Active Directory con VMware Identity Manager. 1 Nella scheda Gestione identità e accessi della console di amministrazione, fare clic su Responsabile > Directory. 2 Selezionare la directory in cui si desidera aggiornare i filtri utente. 3 Fare clic su Impostazioni di sincronizzazione e selezionare Utenti. 4 Nella riga del Specificare i DN utente, fare clic su + e immettere i DN degli utenti. Immettere i DN degli utenti contenuti nel DN di base configurato per Active Directory. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN vengono sincronizzati ma non possono eseguire il login. 5 Fare clic su Salva. Esame delle informazioni dei profili utente Nella pagina Utenti della console di amministrazione sono elencati gli utenti che possono accedere a Workspace ONE. Selezionare un nome utente per visualizzare informazioni dettagliate sull'utente. VMware, Inc. 87

88 La pagina Profilo utente include i dati personali associati all'utente e il ruolo assegnatogli, ovvero Utente o Amministratore. Le informazioni sull'utente che vengono sincronizzate da una directory esterna possono inoltre includere dati relativi al nome dell'entità, al nome distinto e all'id esterno. Una pagina del profilo dell'utente locale include gli attributi utente disponibili per gli utenti nella directory dell'utente locale. I dati contenuti nella pagina del profilo utente per gli utenti che vengono sincronizzati da una directory esterna non possono essere modificati. È possibile modificare il ruolo dell'utente. La pagina del profilo utente include anche collegamenti a Gruppi, VMware Verify e App. La pagina Gruppi mostra i gruppi in cui l'utente è membro. VMware Verify elenca i dispositivi che sono stati configurati per l'autenticazione con VMware Verify. La pagina App elenca le applicazioni che l'utente è autorizzato a utilizzare. Gestione dei gruppi Nel servizio VMware Identity Manager, i gruppi sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. È possibile avere più gruppi con lo stesso nome appartenenti a domini Active Directory differenti. I nomi dei gruppi devono essere univoci all'interno dello stesso dominio. A partire da VMware Identity Manager 3.1, quando nuovi gruppi vengono aggiunti alla directory da Active Directory, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso. Prima della versione 3.1, i membri del gruppo venivano sincronizzati con la directory quando il gruppo veniva aggiunto. Nota: Aggiungere gli utenti che hanno bisogno dell'autenticazione prima che i permessi di gruppo vengano configurati nella pagina Impostazioni di sincronizzazione > Utenti della directory quando inizialmente si configurano gli utenti e i gruppi di VMware Identity Manager. Il servizio VMware Identity Manager supporta la presenza di più gruppi con lo stesso nome appartenenti a domini di Active Directory diversi. I nomi dei gruppi devono essere univoci all'interno dello stesso dominio. Ad esempio, è possibile che sia presente un gruppo chiamato ALL_USERS nel dominio eng.example.com e un altro gruppo chiamato ALL_USERS nel dominio sales.example.com. Durante la sincronizzazione della directory, i gruppi con lo stesso nome ma appartenenti a domini diversi vengono sincronizzati correttamente. Se esiste un conflitto di nomi di gruppi all'interno di un dominio, il primo gruppo viene sincronizzato e in corrispondenza di tutti i gruppi successivi con lo stesso nome viene generato un errore. Nella pagina Gruppi della scheda Utenti e gruppi della console di amministrazione i gruppi di Active Directory sono elencati in base al loro nome e al dominio a cui appartengono. In questo elenco è possibile distinguere gruppi con lo stesso nome. I gruppi creati in locale nel servizio VMware Identity Manager sono elencati in base al nome del gruppo. Il dominio è elencato come Utenti locali. VMware, Inc. 88

89 Sincronizzazione dei gruppi di Active Directory con la directory Quando il nome distinto di un gruppo viene mappato dalla directory aziendale alla directory di VMware Identity Manager, i nomi dei gruppi vengono aggiunti alla directory. I membri del gruppo non vengono sincronizzati con la directory. La pagina Gruppi nella console di amministrazione mostra i nomi dei gruppi che vengono sincronizzati. La colonna Utenti nel gruppo mostra il numero di membri che sono stati sincronizzati. Se i membri non vengono sincronizzati ancora, la colonna Utenti nel gruppo visualizza Non sincronizzato. I membri dei gruppi vengono sincronizzati con la directory quando il gruppo vien autorizzato per un'applicazione nel Catalogo o quando il gruppo viene aggiunto a una regola in un criterio di accesso in VMware Identity Manager. Funzionamento della sincronizzazione dei gruppi dopo l'aggiornamento a VMware Identity Manager 3.1 Quando VMware Identity Manager viene aggiornato alla versione 3.1, il comportamento della sincronizzazione dell'appartenenza ai gruppi dipende da quando il DN del gruppo è stato configurato nel servizio. Quando si aggiorna a VMware Identity Manager 3.1, i nuovi gruppi che vengono aggiunti al servizio dopo l'aggiornamento sincronizzano i membri quando il gruppo corrispondente viene autorizzato per una risorsa o quando il gruppo viene aggiunto a una regola dei criteri di accesso. Le successive sincronizzazioni di questo gruppo avvengono nel modo precedente. I gruppi che sono stati aggiunti prima di eseguire l'aggiornamento a 3.1 continuano a sincronizzare i membri dei gruppi quando questi vengono aggiunti al gruppo, anche se il gruppo non è autorizzato alle risorse o è utilizzato in una regola dei criteri di accesso. Ciò significa che viene mantenuto il comportamento precedente alla versione 3.1 per gli utenti e i gruppi esistenti. Se un gruppo esiste prima dell'aggiornamento e la configurazione DN viene modificata, il profilo di sincronizzazione del gruppo viene modificato nel nuovo comportamento. I nomi dei gruppi vengono sincronizzati con la directory. I membri dei gruppi vengono sincronizzati quando il gruppo viene autorizzato a una risorsa o quando viene aggiunto a una regola dei criteri di accesso. Anche quando da un gruppo vengono rimossi permessi, la sincronizzazione degli utenti nel gruppo continua nelle sincronizzazioni successive. Se viene creato un gruppo locale nel servizio VMware Identity Manager che include gruppi di Active Directory e il gruppo locale è autorizzato a risorse, gli utenti che appartengono ai gruppi di Active Directory nel gruppo locale non vengono sincronizzati con la directory come parte del permesso. Per sincronizzare utenti che appartengono a gruppi di Active Directory, autorizzare il gruppo di Active Directory direttamente alle risorse. VMware, Inc. 89

90 Creazione di gruppi locali e configurazione delle regole dei gruppi È possibile creare gruppi, aggiungere membri ai gruppi e creare regole del gruppo. È quindi possibile popolare i gruppi in base alle regole definite. È possibile utilizzare i gruppi per concedere a più utenti contemporaneamente l'autorizzazione per le stesse risorse, anziché autorizzarli individualmente. Un utente può appartenere a più gruppi. Se ad esempio si crea un gruppo Vendite e un gruppo Gestione, un responsabile delle vendite può appartenere a entrambi i gruppi. È possibile specificare le impostazioni del criterio da applicare ai membri di un gruppo. Gli utenti dei gruppi vengono definiti dalle regole impostate per l'attributo di un utente. Se il valore dell'attributo di un utente cambia rispetto al valore della regola definita per il gruppo, l'utente viene rimosso dal gruppo. 1 Nella scheda Utenti e gruppi della console di amministrazione, fare clic su Gruppi. 2 Fare clic su Aggiungi gruppo. 3 Immettere un nome e una descrizione del gruppo. Fare clic su Avanti. 4 Aggiunta di utenti al gruppo. Per aggiungere utenti al gruppo, immettere poche lettere del nome utente. Mentre si immette il testo, vengono visualizzate le corrispondenze. 5 Selezionare il nome utente e fare clic su +Aggiungi utente. Continuare per aggiungere membri al gruppo. 6 Dopo aver aggiunto gli utenti al gruppo, fare clic su Avanti. 7 Nella pagina Regole del gruppo selezionare la modalità di assegnazione dell'appartenenza al gruppo. Nel menu a discesa selezionare qualsiasi o tutto. Opzione Qualsiasi Tutto Azione Assegna l'appartenenza al gruppo quando viene soddisfatta una qualsiasi delle condizioni per l'appartenenza al gruppo. Questa azione funziona come una condizione OR. Se ad esempio si seleziona Qualsiasi per le regole Il gruppo è Vendite e Il gruppo è Marketing, l'appartenenza al gruppo viene assegnata al personale delle vendite e del marketing. Assegna l'appartenenza al gruppo quando vengono soddisfatte tutte le condizioni per l'appartenenza al gruppo. Tutto funziona come una condizione AND. Se ad esempio si seleziona Tutti i seguenti per le regole Il gruppo è Vendite e L'indirizzo inizia con "area_occidentale", l'appartenenza al gruppo viene assegnata solo al personale delle vendite dell'area occidentale. Al personale delle vendite che si trova in altre aree non viene assegnata l'appartenenza al gruppo. VMware, Inc. 90

91 8 Configurare una o più regole per il gruppo. Le regole possono essere nidificate. Opzione Attributo Regole dell'attributo Utilizzo dell'attributo Qualsiasi o Tutto Descrizione Selezionare uno degli attributi dal menu a discesa della prima colonna. Selezionare Gruppo per aggiungere un gruppo esistente al gruppo che si sta creando. È possibile aggiungere altri tipi di attributo per determinare quali utenti dei gruppi sono membri del gruppo che si sta creando. In base all'attributo selezionato, sono disponibili le regole seguenti. Scegliere è per selezionare un gruppo o una directory da associare al gruppo. Immettere un nome nella casella di testo. Mentre si digita, viene visualizzato un elenco dei gruppi o delle directory disponibili. Scegliere non è per selezionare un gruppo o una directory da escludere. Immettere un nome nella casella di testo. Mentre si digita, viene visualizzato un elenco dei gruppi o delle directory disponibili. Selezionare corrisponde a per assegnare l'appartenenza al gruppo alle voci che corrispondono esattamente ai criteri immessi. È ad esempio possibile che in un'organizzazione sia presente un reparto per i viaggi d'affari che condivide un numero di telefono centrale. Se si desidera concedere l'accesso a un'applicazione per la prenotazione di viaggi a tutti i dipendenti che condividono tale numero, è possibile creare la regola Telefono corrisponde a (555) Selezionare non corrisponde a per assegnare l'appartenenza al gruppo a tutte le voci del server della directory ad eccezione di quelle che soddisfano i criteri immessi. Se ad esempio uno dei reparti condivide un numero di telefono centrale, è possibile escludere tale reparto dall'accesso a un'applicazione di social networking creando la regola Telefono non corrisponde a (555) Le voci del server della directory con numeri di telefono diversi possono accedere all'applicazione. Selezionare inizia con per assegnare l'appartenenza al gruppo alle voci del server della directory che iniziano con i criteri immessi. Gli indirizzi di un'organizzazione possono ad esempio iniziare con il nome del reparto, ovvero vendite_nomeutente@esempio.com. Se si desidera concedere a tutto il personale del reparto vendite l'accesso a un'applicazione, è possibile creare la regola inizia con vendite_. Selezionare non inizia con per assegnare l'appartenenza al gruppo a tutte le voci del server della directory ad eccezione di quelle che iniziano con i criteri immessi. Se ad esempio il formato degli indirizzi del reparto risorse umane è ru_nomeutente@esempio.com, è possibile negare l'accesso a un'applicazione impostando la regola non inizia con ru_. Le voci del server della directory con indirizzi diversi possono accedere all'applicazione. (Facoltativo) Per includere l'attributo Qualsiasi o Tutto come parte della regola del gruppo, aggiungere questa come ultima regola. Selezionare Qualsiasi per fare in modo che l'appartenenza al gruppo venga assegnata quando viene soddisfatta una qualsiasi delle condizioni della regola per l'appartenenza al gruppo. L'utilizzo di Qualsiasi è un modo per nidificare le regole. È ad esempio possibile creare una regola Tutti i seguenti: VMware, Inc. 91

92 Opzione Descrizione Il gruppo è vendite; Il gruppo è California. Per Il gruppo è California, Tutti i seguenti: Il numero di telefono inizia con 415; Il numero di telefono inizia con 510. I membri del gruppo devono appartenere al personale delle vendite California e avere un numero di telefono che inizia con 415 o 510. Selezionare Tutto per fare in modo che vengano soddisfatte tutte le condizioni per questa regola. Si tratta di un modo per nidificare le regole. È ad esempio possibile creare una regola Tutti i seguenti: Il gruppo è Responsabili; Il gruppo è Servizio clienti. Per Il gruppo è Servizio clienti, Tutti i seguenti: l'indirizzo inizia con sc_; Il numero di telefono inizia con 555. I membri del gruppo possono essere responsabili o rappresentanti del servizio clienti, ma questi ultimi devono avere l'indirizzo che inizia con sc e un numero di telefono che inizia con (Facoltativo) Per escludere utenti specifici, immettere un nome utente nella casella di testo e fare clic su Escludi utente. 10 Fare clic su Avanti e verificare le informazioni del gruppo. Fare clic su Crea gruppo. Passi successivi Aggiungere le risorse che il gruppo è autorizzato a utilizzare. Modifica delle regole del gruppo È possibile modificare le regole del gruppo per cambiare il nome del gruppo, aggiungere e rimuovere utenti e cambiare le regole. 1 Nella console di amministrazione, fare clic su Utenti e gruppi > Gruppi. 2 Fare clic sul nome del gruppo da modificare. 3 Fare clic su Modifica gli utenti nel gruppo. 4 Fare clic sulle diverse pagine per apportare modifiche al nome, agli utenti del gruppo e alle regole. 5 Fare clic su Salva. Aggiunta di risorse ai gruppi Il modo più efficace per autorizzare gli utenti a utilizzare le risorse è quello di aggiungere i permessi a un gruppo. Tutti i membri del gruppo possono accedere alle applicazioni autorizzate per il gruppo. Prerequisiti Le applicazioni vengono aggiunte alla pagina Catalogo. 1 Nella console di amministrazione, fare clic su Utenti e gruppi > Gruppi. Nella pagina viene visualizzato l'elenco dei gruppi. VMware, Inc. 92

93 2 Per aggiungere risorse a un gruppo, fare clic sul nome del gruppo. 3 Fare clic sulla scheda App, quindi su Aggiungi permesso. 4 Nel menu a discesa selezionare il tipo di applicazione da autorizzare. I tipi di applicazione presenti nel menu a discesa dipendono dai tipi di applicazione aggiunti al catalogo. 5 Selezionare le applicazioni da autorizzare per il gruppo. È possibile cercare un'applicazione specifica oppure selezionare la casella accanto a Applicazioni per selezionare tutte le applicazioni visualizzate. Se un'applicazione è già autorizzata per il gruppo, non è presente nell'elenco. 6 Fare clic su Salva. La sincronizzazione viene eseguita in background. Al termine della sincronizzazione, gli utenti del gruppo vengono sincronizzati con la directory e vengono autorizzati per le applicazioni. Creazione di utenti locali È possibile creare utenti locali nel servizio VMware Identity Manager per aggiungere e gestire utenti di cui non è stato eseguito il provisioning nella propria directory aziendale. È possibile creare directory locali diverse e personalizzare la mappatura degli attributi per ogni directory. È possibile creare una directory, selezionare gli attributi e creare attributi personalizzati per tale directory locale. Gli attributi utente obbligatori, ovvero username, lastname, firstname ed , vengono specificati a livello globale nella pagina Gestione identità e accessi > Attributi utente. Nell'elenco degli attributi utente della directory locale è possibile selezionare altri attributi obbligatori e creare attributi personalizzati per poter avere set di attributi personalizzati per directory locali diverse. Vedere l'argomento relativo all'utilizzo delle directory locali nella guida all'installazione e alla configurazione di VMware Identity Manager. È consigliabile creare utenti locali se si desidera consentire agli utenti di accedere alle applicazioni dell'azienda senza aggiungerli alla directory aziendale. È possibile creare una directory locale per un tipo di utente specifico che non fa parte della directory aziendale. È ad esempio possibile creare una directory locale per i partner, che in genere non fanno parte della directory aziendale, e consentire loro di accedere solo alle applicazioni di cui necessitano. È consigliabile creare più directory locali se si desidera definire attributi utente o metodi di autenticazione diversi per set di utenti diversi. È, ad esempio, possibile creare una directory locale per i distributori che dispongono di una regione con etichetta di attributi utente e dimensioni di mercato. È possibile creare un'altra directory locale per i fornitori che dispongono di una categoria di prodotto con etichetta di attributo utente. Si configura quindi il metodo di autenticazione che gli utenti locali utilizzano per accedere al sito Web aziendale. Per la password dell'utente locale viene applicato un criterio della password. È possibile definire le limitazioni e le regole di gestione della password. VMware, Inc. 93

94 Dopo che ne è stato eseguito il provisioning, l'utente riceve un messaggio con informazioni su come accedere per abilitare l'account. Al momento dell'accesso, creerà una password e il suo account verrà abilitato. Aggiunta di utenti locali È possibile creare un utente alla volta. Quando si aggiunge l'utente, si seleziona la directory locale configurata con gli attributi utente locali da utilizzare e il dominio a cui l'utente accede. Oltre ad aggiungere le informazioni relative all'utente, è necessario selezionare il ruolo, ovvero utente o amministratore. Il ruolo amministratore consente all'utente di accedere alla console di amministrazione per gestire i servizi di VMware Identity Manager. Prerequisiti Directory locale creata Dominio identificato per gli utenti locali Attributi utente necessari selezionati nella pagina Attributi utente della directory locale Criteri della password configurati Server SMTP configurato nella scheda Impostazioni appliance in modo da inviare una notifica agli utenti locali appena creati 1 Nella scheda Utenti e gruppi della console di amministrazione, fare clic su Aggiungi utente. 2 Nella pagina Aggiungere un utente, selezionare la directory locale per l'utente. La pagina si espande per visualizzare gli attributi utente da configurare. 3 Selezionare il dominio a cui l'utente è assegnato e inserire le informazioni necessarie sull'utente. 4 Se il ruolo utente è amministratore, nella casella di testo Utente, selezionare Amministratore. 5 Fare clic su Aggiungi. L'utente locale viene creato. All'utente viene inviata un' in cui gli si chiede di accedere per abilitare il proprio account e creare una password. Il collegamento presente nell' scade in base al valore impostato nella pagina Criterio password. Il valore predefinito è 7 giorni. Se il collegamento scade, è possibile fare clic su Reimposta password per inviare di nuovo la notifica . Ai gruppi esistenti viene aggiunto un utente in base alle regole dell'attributo del gruppo configurate. Passi successivi Passare all'account dell'utente locale per controllare il profilo, aggiungere l'utente ai gruppi e concedere all'utente i permessi per le risorse da utilizzare. VMware, Inc. 94

95 Se si crea un utente amministratore nella directory di sistema autorizzata per le risorse gestite da un criterio di accesso specifico, assicurarsi che le regole del criterio dell'applicazione includano Password (directory locale) come metodo di autenticazione di fallback. Se l'opzione Password (directory locale) non è configurata, l'amministratore non può accedere all'app. Disattivazione o attivazione di utenti locali Per impedire agli utenti locali di accedere al portale e alle risorse per cui dispongono dell'autorizzazione, è possibile disattivarli anziché eliminarli. 1 Nella console di amministrazione, fare clic su Utenti e gruppi. 2 Nella pagina Utenti, selezionare l'utente. Verrà visualizzata la pagina Profilo utente. 3 In base allo stato dell'utente locale, eseguire una delle operazioni seguenti. a b Per disattivare l'account, deselezionare la casella di controllo Attiva. Per attivare l'account, selezionare Attiva. Gli utenti disattivati non possono accedere al portale o alle risorse per cui disponevano delle autorizzazioni. Se al momento della disattivazione, l'utente locale sta utilizzando una risorsa per cui dispone dell'autorizzazione, può accedere alla risorsa finché non si verifica il timeout della sessione. Eliminazione di utenti locali È possibile eliminare utenti locali. 1 Nella console di amministrazione, fare clic su Utenti e gruppi. 2 Selezionare l'utente da eliminare. Verrà visualizzata la pagina Profilo utente. 3 Fare clic su Elimina utente. 4 Nella casella di conferma, fare clic su OK. L'utente viene rimosso dall'elenco Utenti. Gli utenti eliminati non possono accedere al portale o alle risorse per cui disponevano delle autorizzazioni. VMware, Inc. 95

96 Gestione delle password È possibile creare un criterio della password per gestire le password degli utenti locali, che possono modificare la propria password in base alle regole di tale criterio. Gli utenti locali possono modificare la propria password dal portale Workspace ONE sezionando il proprio nome dal menu a discesa Account. Configurazione del criterio della password per gli utenti locali Il criterio della password dell'utente locale è un insieme di regole e limitazioni relative al formato e alla scadenza della password dell'utente locale. Il criterio della password si applica solo agli utenti locali creati dalla console di amministrazione di VMware Identity Manager. Il criterio della password può includere limitazioni della password, una durata massima della password e, per la reimpostazione della password, la durata massima della password temporanea. Il criterio della password predefinito richiede sei caratteri. Le limitazioni della password possono includere una combinazione di maiuscole, minuscole, numeri e caratteri speciali per fare in modo che vengano impostate password complesse. 1 Nella console di amministrazione, selezionare Utenti e gruppi > Impostazioni. 2 Fare clic su Criterio password per modificare i parametri di limitazione della password. Opzione Lunghezza minima password Caratteri minuscoli Caratteri maiuscoli Descrizione La lunghezza minima è pari a sei caratteri, ma è possibile richiedere l'immissione di più di sei caratteri. La lunghezza minima non può essere inferiore al numero minimo richiesto di caratteri alfabetici, numerici e speciali combinati. Numero minimo di caratteri minuscoli. Caratteri minuscoli a-z. Numero minimo di caratteri maiuscoli. Caratteri maiuscoli A-Z. Caratteri numerici (0-9) Numero minimo di caratteri numerici. Dieci cifre di base (0-9). Caratteri speciali Numero minimo di caratteri non alfanumerici, ad esempio & # % $! Caratteri identici consecutivi Cronologia password Numero massimo di caratteri identici adiacenti. Se ad esempio si immette 1, è consentita la password p@s$word, ma non la password p@$$word. Numero delle password precedenti che non possono essere selezionate. Se ad esempio si desidera fare in modo che l'utente non possa riutilizzare le ultime sei password, digitare 6. Per disattivare questa funzionalità, impostare il valore su 0. 3 Nella sezione Gestione password modificare i parametri della durata della password. Opzione Durata password temporanea Durata password Descrizione Numero di ore di validità del collegamento fornito per la reimpostazione della password o perché la password è stata dimenticata. Il valore predefinito è 168 ore. Numero massimo di giorni in cui la password può essere utilizzata prima che l'utente la debba cambiare. VMware, Inc. 96

97 Opzione Promemoria password Frequenza notifica promemoria password Descrizione Numero di giorni prima della scadenza della password in cui viene inviato l'avviso di scadenza. Frequenza di invio dei promemoria dopo l'invio del primo avviso di scadenza della password. Per impostare il criterio di durata della password, in ogni casella deve essere presente un valore. Per non impostare alcuna opzione del criterio, immettere 0. 4 Fare clic su Salva. Sincronizzazione della directory per correggere le informazioni del dominio Se esiste una directory di VMware Identity Manager in cui il dominio utente è errato o mancante, è necessario controllare le impostazioni del dominio e sincronizzare nuovamente la directory. Il controllo delle impostazioni del dominio è necessario per fare in modo che gli utenti o i gruppi che hanno lo stesso nome in domini di Active Directory diversi vengano sincronizzati correttamente nella directory di VMware Identity Manager e possano effettuare il login. 1 Nella console di amministrazione, passare alla pagina Gestione identità e accessi > Directory. 2 Selezionare la directory da sincronizzare, quindi fare clic su Impostazioni di sincronizzazione e sulla scheda Attributi mappati. 3 Nella pagina Attributi mappati verificare che l'attributo domain di VMware Identity Manager sia mappato al nome di attributo corretto in Active Directory. L'attributo domain è in genere mappato all'attributo canonicalname in Active Directory. L'attributo domain non è contrassegnato come Obbligatorio. 4 Fare clic su Salva e sincronizza per sincronizzare la directory. VMware, Inc. 97

98 Gestione del catalogo 8 Il Catalogo è il repository di tutte le risorse che è possibile autorizzare per gli utenti. È possibile aggiungere applicazioni direttamente dalla scheda Catalogo. Per visualizzare le applicazioni aggiunte al catalogo, fare clic sulla scheda Catalogo nella console di amministrazione. Nella pagina Catalogo è possibile eseguire le seguenti attività: Aggiungere nuove risorse al catalogo. Visualizzare le risorse per le quali correntemente è possibile autorizzare gli utenti. Accedere a informazioni su ogni risorsa presente nel catalogo. In questo modello di distribuzione, è possibile integrare i tipi di risorse seguenti con VMware Identity Manager. applicazioni Web Applicazioni e desktop di VMware Horizon Cloud Service Pool di desktop e applicazioni di VMware Horizon 7, Horizon 6 e View risorse pubblicate da Citrix Applicazioni compresse VMware ThinApp Integrare queste tali risorse dalla pagina Catalogo. Vedere Configurazione delle risorse in VMware Identity Manager per informazioni sull'impostazione delle risorse. Questo capitolo include i seguenti argomenti: Gestione delle risorse nel catalogo Raggruppamento di risorse in categorie Gestione delle impostazioni del catalogo Gestione delle risorse nel catalogo Prima di poter concedere agli utenti il permesso relativo a una determinata risorsa, è necessario inserire tale risorsa nel catalogo. Il metodo utilizzato per inserire una risorsa nel catalogo dipende dal tipo di risorsa in questione. VMware, Inc. 98

99 I tipi di risorse definibili nel catalogo per il permesso e la distribuzione agli utenti sono applicazioni Web, applicazioni Windows acquisite come pacchetti VMware ThinApp, pool di desktop Horizon Client e applicazioni virtuali Horizon, oppure applicazioni basate su Citrix. Per integrare e abilitare pool di desktop e applicazioni Horizon Client, risorse pubblicate Citrix o applicazioni in pacchetto ThinApp, utilizzare la funzione di raccolta app disponibile nel menu a discesa della scheda Catalogo. Per informazioni, requisiti, installazione e configurazione di tali risorse, consultare Configurazione delle risorse in VMware Identity Manager. Aggiunta di applicazioni Web al catalogo È possibile aggiungere direttamente applicazioni Web al proprio catalogo utilizzando la pagina Catalogo nella console di amministrazione. Fare riferimento al capitolo Impostazione delle risorse in VMware Identity Manager, Accesso alle applicazioni Web per le istruzioni dettagliate di come aggiungere un'applicazione Web al catalogo. Le istruzioni riportate di seguito forniscono una panoramica sulle operazioni relative all'aggiunta di questi tipi di risorse al catalogo. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Fare clic su + Aggiungi applicazione. 3 Selezionare un'opzione in base al tipo di risorsa, quindi scegliere il percorso dell'applicazione. Nome collegamento Tipo di risorsa Descrizione Applicazione Web... dal catalogo di applicazioni cloud Applicazione Web... crea nuova Applicazione Web... importa un file ZIP o JAR Applicazione Web Applicazione Web Applicazione Web VMware Identity Manager consente l'accesso alle applicazioni Web predefinite nel catalogo di applicazioni cloud che è possibile aggiungere al catalogo come risorse. Completando il modulo appropriato, sarà possibile creare un record per le applicazioni Web che si desidera aggiungere al catalogo come risorse. È possibile importare un'applicazione Web che è stata configurata in precedenza. Questo metodo può essere utilizzato per portare una distribuzione dalla fase di staging alla produzione. In una situazione del genere, l'applicazione Web viene esportata dalla fase di staging come file ZIP. Quindi il file viene importato nella distribuzione di produzione. 4 Seguire i prompt per completare il processo di aggiunta delle risorse al catalogo. VMware, Inc. 99

100 Aggiunta di applicazioni Web al catalogo Quando si aggiunge un'applicazione Web al catalogo, si sta di fatto creando una voce che punta indirettamente all'applicazione Web. La voce è definita dal record di applicazione, che è un modulo contenente un URL che punta all'applicazione Web. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Fare clic su Aggiungi applicazione > Applicazione Web dal catalogo applicazioni cloud. 3 Fare clic sull'icona dell'applicazione Web da aggiungere. Il record di applicazione viene aggiunto al catalogo e viene visualizzata la pagina Dettagli con il nome e il profilo di autenticazione già specificati. 4 (Facoltativo) Personalizzare le informazioni nella pagina Dettagli in base alle esigenze della propria organizzazione. Le voci nella pagina vengono popolate con le informazioni specifiche dell'applicazione Web. È possibile modificare alcune delle voci, in base all'applicazione. Elemento del modulo Nome Descrizione Icona Categorie Descrizione Nome dell'applicazione. Descrizione dell'applicazione visibile agli utenti. Fare clic su Sfoglia per caricare un'icona per l'applicazione. Sono supportate le icone in formato PNG, JPG e ICON con dimensioni massime di 1024 x 1024 pixel e fino a 4MB. Le icone di app che vengono caricate devono essere almeno 180 x 180 pixel. Se l'icona è troppo piccola, non viene visualizzata. Viene invece visualizzata l'icona di Workspace ONE. Selezionare una categoria dal menu a discesa per consentire all'applicazione di comparire nelle ricerche per categoria tra le risorse del catalogo. La categoria deve essere stata creata precedentemente. 5 Fare clic su Salva. 6 Fare clic su Configurazione, modificare i dettagli di configurazione del record di applicazione e fare clic su Salva. Alcuni degli elementi del modulo vengono popolati con informazioni specifiche dell'applicazione Web. Alcuni degli elementi popolati sono modificabili, altri non lo sono. Le informazioni richieste variano da applicazione ad applicazione. Per alcune applicazioni, il modulo ha una sezione Parametri dell'applicazione. Se per un'applicazione esiste questa sezione e un parametro nella sezione non ha un valore predefinito, specificare un valore per consentire l'avvio dell'applicazione. Se è fornito un valore predefinito questo può essere modificato. VMware, Inc. 100

101 7 Selezionare le schede Permessi, Gestione licenze e Provisioning e personalizzare le informazioni come necessario. Scheda Permessi Criteri di accesso Gestione licenze Provisioning Descrizione Assegnare permessi per l'applicazione a utenti e gruppi. È possibile configurare i permessi quando si configura inizialmente l'applicazione o in un secondo momento. Applicare un criterio di accesso per controllare l'accesso degli utenti all'applicazione. Quando si aggiunge l'applicazione Office 365 con provisioning al catalogo, è possibile configurare criteri di accesso al client che controllano l'accesso ai servizi di Office 365 che utilizzano il flusso di autenticazione legacy. Consultare la guida all'integrazione di VMware Identity Manager con Office 365. Configurare il monitoraggio delle approvazioni. Aggiungere informazioni di licenza per consentire all'applicazione di tenere traccia dell'uso delle licenze nei report. Le approvazioni devono essere abilitate e configurate nella pagina Catalogo > Impostazioni. È inoltre necessario registrare l'uri callback del gestore delle richieste di approvazione. Eseguire il provisioning di un'applicazione Web per recuperare informazioni specifiche dal servizio VMware Identity Manager. Se il provisioning è configurato per un'applicazione Web, quando si concede a un utente l'accesso all'applicazione, viene eseguito il provisioning dell'utente nell'applicazione Web. Al momento, è disponibile un adattatore di provisioning per Google Apps e Office 365. Per istruzioni sulla configurazione di queste applicazioni, consultare la pagina relativa alle integrazioni di VMware Identity Manager all'indirizzo Creazione di raccolte di app virtuali È possibile integrare desktop e applicazioni di Horizon, applicazioni e desktop di Horizon Cloud, risorse pubblicata da Citrix e applicazioni ThinApp con VMware Identity Manager dalla pagina Raccolta app virtuali. Prerequisiti Prima della versione 3.1, questi desktop e applicazioni sono stati gestiti dal menu Catalogo > Gestisci applicazioni desktop. Vedere la guida Configurazione delle risorse in VMware Identity Manager 3.0. Tutte le istanze del servizio VMware Identity Manager devono essere versione 3.1 o successiva. Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione o successiva. 1 Nella console di amministrazione, selezionare la scheda Catalogo > Raccolta app virtuali. 2 Fare clic su Aggiungi App virtuali in alto a destra della pagina e selezionare il tipo di integrazione, ad esempio Applicazione pubblicata Citrix. VMware, Inc. 101

102 3 Immettere le informazioni di configurazione. I campi seguenti sono comuni a tutti i tipi di integrazioni. Opzione Nome Sincronizza connettori Frequenza di sincronizzazione Criterio di attivazione Descrizione Immettere un nome univoco per la raccolta. Selezionare il connettore per sincronizzare le risorse nella raccolta. Se è configurato un cluster di connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare gli altri connettori nel cluster nell'ordine di failover. Selezionare la frequenza con cui si desidera sincronizzare le risorse nella raccolta. Se non si desidera configurare una pianificazione di sincronizzazione automatica, selezionare Manualmente. Selezionare come le risorse vengono rese disponibili agli utenti in Workspace ONE. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Il criterio di attivazione qui selezionato si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop. Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente. 4 Nei campi rimanenti, immettere le informazioni di configurazione per l'integrazione, che è diversa per ogni tipo di integrazione. Vedere la guida Configurazione delle risorse in VMware Identity Manager 3.1 per informazioni su come integrare un tipo specifico di risorse. 5 Fare clic su Salva. Viene creata la raccolta. È possibile visualizzare e modificare la raccolta dalla pagina Raccolta app virtuali. Passi successivi Le risorse nella nuova raccolta non vengono ancora sincronizzate. Se si impostata una pianificazione di sincronizzazione per la raccolta, le risorse vengono sincronizzate al momento programmato successivo. Per sincronizzare manualmente le risorse, fare clic su Sincronizza accanto alla raccolta nella pagina Raccolta app virtuali. VMware, Inc. 102