Amministrazione di VMware Identity Manager. VMware Identity Manager 2.8

Transcript

1 Amministrazione di VMware Identity Manager VMware Identity Manager 2.8

2 Amministrazione di VMware Identity Manager È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo: Sul sito Web di VMware sono inoltre disponibili gli aggiornamenti più recenti del prodotto. Inoltrare eventuali commenti sulla documentazione al seguente indirizzo: Copyright VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi. VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. P.le Biancamano Milano tel: fax: VMware, Inc.

3 Contenuti Informazioni su Amministrazione di VMware Identity Manager 7 1 Operazioni nella VMware Identity Manager console di amministrazione 9 Navigazione nella console di amministrazione 9 Panoramica delle impostazioni di Gestione identità e accessi 10 2 Integrazione con la directory aziendale 15 Concetti importanti relativi all'integrazione della directory 15 3 Integrazione con Active Directory 17 Ambienti Active Directory 17 Informazioni sulla selezione dei controller di dominio (file domain_krb.properties) 19 Gestione degli attributi utente sincronizzati da Active Directory 23 Permessi richiesti per l'unione a un dominio 25 Configurazione della connessione di Active Directory al servizio 25 Abilitazione degli utenti alla modifica delle password di Active Directory 30 Configurazione delle protezioni della sincronizzazione della directory 31 4 Integrazione con le directory LDAP 35 Limitazioni dell'integrazione della directory LDAP 35 Integrazione di una directory LDAP con il servizio 36 5 Utilizzo delle directory locali 41 Creazione di una directory locale 42 Modifica delle impostazioni della directory locale 47 Eliminazione di una directory locale 48 Configurazione di un metodo di autenticazione per gli utenti amministratori di sistema 49 6 Provisioning utente Just-in-Time 51 Informazioni sul provisioning utente Just-in-Time 51 Preparazione per il provisioning Just-in-Time 52 Configurazione del provisioning utente Just-in-Time 54 Requisiti per le asserzioni SAML 55 Disattivazione del provisioning utente Just-in-Time 55 Eliminazione di una directory Just-in-Time 56 Messaggi di errore 56 7 Configurazione dell'autenticazione utente in VMware Identity Manager 59 Configurazione di Kerberos per VMware Identity Manager 61 Configurazione di SecurID per VMware Identity Manager 65 Configurazione di RADIUS per VMware Identity Manager 67 VMware, Inc. 3

4 Amministrazione di VMware Identity Manager Configurazione dell'autenticazione adattiva RSA in VMware Identity Manager 69 Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager 72 Configurazione di VMware Verify per l'autenticazione a due fattori 75 Configurazione di un provider di identità integrato 77 Configurazione di provider di identità Workspace aggiuntivi 79 Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti 80 Gestione dei metodi di autenticazione da applicare agli utenti 81 8 Gestione dei criteri di accesso 85 Configurazione delle impostazioni dei criteri di accesso 85 Gestione dei criteri specifici delle applicazioni Web e desktop 88 Aggiunta di un criterio specifico di un'applicazione desktop o Web 90 Configurazione di un messaggio di errore di accesso negato personalizzato 90 Modifica di un criterio di accesso 91 Attivazione dei cookie permanenti sui dispositivi mobili 92 9 Gestione di gruppi e utenti 93 Tipi di gruppi e utenti 93 Informazioni sui nomi degli utenti e dei gruppi 94 Gestione degli utenti 95 Creazione di gruppi e configurazione delle regole dei gruppi 96 Modifica delle regole del gruppo 99 Aggiunta di risorse ai gruppi 99 Creazione di utenti locali 100 Gestione delle password Gestione del catalogo 105 Gestione delle risorse nel catalogo 106 Raggruppamento di risorse in categorie 109 Gestione delle impostazioni del catalogo Utilizzo del dashboard della console di amministrazione 117 Monitoraggio di utenti e utilizzo delle risorse dal dashboard 117 Monitoraggio delle informazioni e dell'integrità del sistema 118 Visualizzazione di report Personalizzazione del branding dei servizi VMware Identity Manager 121 Personalizzazione del branding in VMware Identity Manager 121 Personalizzazione del branding per il Portale utente 122 Personalizzazione del branding per l'applicazione VMware Verify Integrazione di AirWatch con VMware Identity Manager 125 Configurazione di AirWatch per l'integrazione con VMware Identity Manager 126 Configurazione di un'istanza di AirWatch in VMware Identity Manager 129 Abilitazione del catalogo unificato per AirWatch 130 Implementazione dell'autenticazione con AirWatch Cloud Connector 131 Implementazione dell'autenticazione SSO mobile per dispositivi ios gestiti da AirWatch VMware, Inc.

5 Contenuti Implementazione dell'autenticazione Single Sign-On mobile per dispositivi Android 141 Attivazione del controllo di conformità per i dispositivi gestiti da AirWatch 147 Indice 149 VMware, Inc. 5

6 Amministrazione di VMware Identity Manager 6 VMware, Inc.

7 Informazioni su Amministrazione di VMware Identity Manager Amministrazione di VMware Identity Manager contiene informazioni e istruzioni sull'uso e la gestione dei servizi di VMware Identity Manager. Con VMware Identity Manager è possibile configurare e gestire metodi di autenticazione e criteri di accesso, personalizzare un catalogo di risorse per le applicazioni della propria organizzazione e fornire un accesso utente gestito, sicuro e multi-dispositivo per queste risorse. Le risorse possono essere applicazioni Web, applicazioni Windows catturate come pacchetti ThinApp, applicazioni basate su Citrix e pool di desktop e applicazioni di View. Destinatari Queste informazioni sono destinate a chiunque intenda configurare e amministrare VMware Identity Manager. Le informazioni sono indirizzate ad amministratori di sistemi Windows o Linux esperti che hanno già familiarità con tecnologia delle macchine virtuali, gestione delle identità, Kerberos e servizi di directory. La conoscenza di altre tecnologie quali VMware ThinApp, View, virtualizzazione di applicazioni Citrix e metodi di autenticazione, come RSA SecurID, è utile se si pianifica di implementare queste funzionalità. VMware, Inc. 7

8 Amministrazione di VMware Identity Manager 8 VMware, Inc.

9 Operazioni nella VMware Identity Manager console di amministrazione 1 La VMware Identity Manager console di amministrazione è una console di gestione centralizzata da cui è possibile gestire utenti e gruppi, aggiungere risorse al catalogo, gestire permessi per le risorse nel catalogo, configurare l'integrazione AirWatch e configurare e gestire i criteri di autenticazione e di accesso. Le attività principali che è possibile eseguire dalla console di amministrazione sono la gestione dei criteri di autenticazione e accesso degli utenti e la concessione di permessi agli utenti per le risorse. Queste attività principali sono supportate da altre attività che consentono un controllo dettagliato sugli utenti o i gruppi che sono autorizzati per determinate risorse in determinate condizioni. Gli utenti finali possono accedere al portale VMware Workspace ONE dai loro desktop o dispositivi mobili per accedere alle risorse di lavoro, tra cui desktop, browser, documenti aziendali condivisi e diversi tipi di applicazioni per cui sono autorizzati. Questo capitolo include i seguenti argomenti: Navigazione nella console di amministrazione, pag. 9 Panoramica delle impostazioni di Gestione identità e accessi, pag. 10 Navigazione nella console di amministrazione Le attività nella console di gestione sono organizzate in schede. Scheda Dashboard Utenti e gruppi Catalogo Descrizione Il dashboard di coinvolgimento dell'utente può essere utilizzato per monitorare gli utenti e l'uso delle risorse. Il dashboard visualizza informazioni su quali utenti hanno effettuato l'accesso, quali applicazioni sono in uso e con quale frequenza vengono utilizzate. Il dashboard di diagnostica del sistema visualizza una panoramica dettagliata dell'integrità del servizio nell'ambiente e altre informazioni sui servizi. È possibile creare report per tenere traccia delle attività di utenti e gruppi, dell'utilizzo di risorse e dispositivi, nonché delle verifiche degli eventi per utente. Nella scheda Utenti e gruppi è possibile gestire e monitorare utenti e gruppi importati da Active Directory o dalla directory LDAP, creare utenti e gruppi locali e fornire permessi a utenti e gruppi per relativamente alle risorse. È possibile configurare i criteri password per gli utenti locali. Il Catalogo è il repository per tutte le risorse per le quali è possibile fornire permessi agli utenti. Nella scheda Catalogo è possibile aggiungere applicazioni Web, pacchetti ThinApp, applicazioni e pool di View, desktop di Horizon Air e applicazioni basate su Citrix. È possibile creare una nuova applicazione, raggruppare le applicazioni in categorie e accedere alle informazioni su ogni risorsa. Nella pagina Impostazioni catalogo è possibile scaricare certificati SAML, gestire configurazioni delle risorse e personalizzare l'aspetto del portale utente. VMware, Inc. 9

10 Amministrazione di VMware Identity Manager Scheda Gestione identità e accessi Impostazioni appliance Descrizione Nella scheda Gestione identità e accessi è possibile impostare il servizio connettore, configurare l'integrazione di AirWatch, impostare metodi di autenticazione e applicare branding personalizzato alla pagina di accesso e alla console di gestione. È possibile gestire impostazioni di directory, provider di identità e criteri di accesso. È inoltre possibile configurare provider di identità di terze parti. Nella scheda Impostazioni appliance è possibile gestire la configurazione dell'appliance, compresa la configurazione dei certificati SSL per l'appliance, modificare le password di amministratore e sistema dei servizi e gestire altre funzioni dell'infrastruttura. È anche possibile aggiornare le impostazioni della licenza e configurare le impostazioni SMTP. Browser Web supportati per l'accesso alla console di amministrazione La console di amministrazione di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere a console di amministrazione dai browser seguenti. Internet Explorer 11 per sistemi Windows Google Chrome 42.0 o versione successiva per sistemi Windows e Mac Mozilla Firefox 40 o versione successiva per sistemi Windows e Mac Safari o versione successiva per sistemi Mac Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Componenti dell'utente finale di VMware Identity Manager Gli utenti possono accedere alle risorse per le quali hanno i permessi dal loro portale Workspace ONE. Possono accedere ad applicazioni Windows virtualizzate acquisite come pacchetti ThinApp da Identity Manager Desktop. Tavola 1 1. Componenti del client degli utenti Componente utente Descrizione Endpoint disponibili Portale app degli utenti di Workspace ONE Identity Manager Desktop Il portale delle app è un'applicazione Web senza agente. È l'interfaccia predefinita quando gli utenti accedono e utilizzano le proprie risorse autorizzate con un browser. Se un utente finale ha autorizzato applicazioni di ThinApp e si trova su un computer Windows dove è installata e attiva l'applicazione Identity Manager Desktop, può visualizzare e avviare i propri pacchetti ThinApp autorizzati da questo portale di app. Quando il programma è installato sui computer Windows degli utenti, questi possono lavorare con applicazioni Windows virtualizzate catturate come pacchetti ThinApp. Il portale delle app basate su Web è disponibile su tutti gli endpoint dei sistemi supportati, quali computer Windows, computer Mac, dispositivi ios, dispositivi Android. Computer Windows Panoramica delle impostazioni di Gestione identità e accessi Dalla scheda Gestione identità e accessi della console di amministrazione, è possibile configurare e gestire metodi di autenticazione, criteri di accesso, servizio di directory e personalizzare l'aspetto del portale dell'utente finale e della console di amministrazione. Segue una descrizione delle impostazioni di configurazione della scheda Gestione identità e accessi. 10 VMware, Inc.

11 Capitolo 1 Operazioni nella VMware Identity Manager console di amministrazione Figura 1 1. Pagine di configurazione di Gestione identità e accessi Tavola 1 2. Impostazioni di configurazione di Gestione identità e accessi Impostazione Configura > Connettori Configura > Branding personalizzato Configura > Attributi utente Configura > Intervalli di rete Descrizione La pagina Connettori elenca i connettori distribuiti all'interno della rete dell'azienda. Il connettore è utilizzato per sincronizzare i dati di utenti e gruppi tra la directory aziendale e il servizio e quando è utilizzato come provider di identità, autentica gli utenti nel servizio. Quando si associa una directory a un'istanza di connettore, il connettore crea una partizione per la directory associata, chiamata Worker. A un'istanza di connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione. Il connettore sincronizza i dati di utenti e gruppi tra la directory aziendale e il servizio attraverso uno o più worker. Nella colonna Worker, selezionare un worker per visualizzare i dettagli del connettore e accedere alla pagina Adattatori autenticazione per controllare lo stato dei metodi di autenticazione disponibili. Per informazioni sull'autenticazione, vedere Capitolo 7, Configurazione dell'autenticazione utente in VMware Identity Manager, pag. 59. Nella colonna Provider di identità, selezionare il provider da visualizzare, modificare o disabilitare. Vedere Aggiunta e configurazione di un'istanza del provider di identità, pag. 80. Nella colonna Directory associata, accedere alla directory associata a questo Worker. Prima di poter aggiungere un nuovo connettore, è necessario scegliere Aggiungi connettore per generare un codice di attivazione da incollare nella configurazione guidata e stabilire la comunicazione con il connettore. Collegamento Entra in dominio Fare clic su Entra in dominio per unire il connettore a un dominio Active Directory specifico. Ad esempio, quando si configura l'autenticazione Kerberos, è necessario unirsi a un dominio Active Directory che contiene utenti o che ha una relazione basata sulla fiducia con domini contenenti utenti. Quando si configura una directory con una Active Directory con autenticazione integrata di Windows, il connettore si unisce al dominio in base ai dettagli di configurazione. Nella pagina Branding personalizzato, è possibile personalizzare l'aspetto dell'intestazione della console di amministrazione e della schermata di accesso. Vedere Personalizzazione del branding in VMware Identity Manager, pag Per personalizzare il portale Web dell'utente finale, le viste mobile e tablet, passare a Catalogo > Impostazioni > Branding portale utente. Vedere Personalizzazione del branding per il Portale utente, pag La pagina Attributi utente elenca gli attributi utente predefiniti sincronizzati nella directory e permette di aggiungere altri attributi che possono essere mappati con quelli di Active Directory. Vedere Selezione degli attributi per la sincronizzazione con la directory, pag. 24. Questa pagina elenca gli intervalli di rete aggiunti. È possibile configurare un intervallo di rete per consentire l'accesso degli utenti tramite quegli indirizzi IP. Si possono aggiungere intervalli di rete aggiuntivi e modificare quelli esistenti. Vedere Aggiunta o modifica di un intervallo di rete, pag. 82. VMware, Inc. 11

12 Amministrazione di VMware Identity Manager Tavola 1 2. Impostazioni di configurazione di Gestione identità e accessi (Continua) Impostazione Configura > Auto Discovery Configura > AirWatch Configura > Preferenze Descrizione Quando VMware Identity Manager e AirWatch sono integrati, è possibile integrare il servizio Individuazione automatica di Windows distribuito nella configurazione AirWatch con il servizio di VMware Identity Manager. Per maggiori dettagli sulla configurazione dell'individuazione automatica in AirWatch, consultare la documentazione di AirWatch e la guida all'installazione del servizio Individuazione automatica di Windows di VMware AirWatch, disponibile sul sito Web di AirWatch all'indirizzo Registrare il dominio per l'uso del servizio di individuazione automatica al fine di semplificare l'accesso degli utenti al proprio portale delle applicazioni utilizzando Workspace ONE. Gli utenti finali possono immettere i propri indirizzi invece dell'url dell'organizzazione quando accedono al proprio portale delle applicazioni tramite Workspace ONE. Vedere la guida alla configurazione dell'app VMware Workspace ONE sui dispositivi per ulteriori informazioni sull'individuazione automatica. In questa pagina, è possibile impostare l'integrazione con AirWatch. Dopo aver configurato e salvato l'integrazione, è possibile attivare il catalogo unificato per unire le applicazioni configurate nel catalogo di AirWatch al catalogo unificato; attivare il controllo di conformità per verificare che i dispositivi gestiti rispettino i criteri di conformità di AirWatch e attivare l'autenticazione con password utente tramite AirWatch Cloud Connector (ACC). Vedere Capitolo 13, Integrazione di AirWatch con VMware Identity Manager, pag La pagina Preferenze mostra le funzionalità attivabili dall'amministratore. Essa include: I cookie permanenti possono essere attivati da questa pagina. Vedere Attivazione dei cookie permanenti, pag. 92. Quando nel servizio sono configurati utenti locali, per mostrare Utenti locali come opzione di dominio nella pagine di accesso, attivare Mostra gli utenti locali sulla pagina di accesso. Segue una descrizione delle impostazioni utilizzate per gestire i servizi nella scheda Gestione identità e accessi. Figura 1 2. Pagine di Gestione in Gestione identità e accessi 12 VMware, Inc.

13 Capitolo 1 Operazioni nella VMware Identity Manager console di amministrazione Tavola 1 3. Impostazioni di Gestione in Gestione identità e accessi Impostazione Gestione > Directory Gestione > Provider di identità Gestione > Assistenza per il recupero password Gestione > Criteri Descrizione La pagina Directory elenca le directory create. L'utente crea una o più directory e quindi le sincronizza con la distribuzione della directory aziendale. In questa pagina è possibile visualizzare il numero di gruppi e utenti che vengono sincronizzati nella directory, nonché la data e l'ora dell'ultima sincronizzazione. È possibile fare clic su Sincronizza per avviare manualmente la sincronizzazione della directory.. Vedere Capitolo 2, Integrazione con la directory aziendale, pag. 15. Quando si fa clic sul nome di una directory, è possibile modificare le impostazioni di sincronizzazione, esplorare le pagine dei Provider di identità e visualizzare il registro di sincronizzazione. Dalla pagina delle impostazioni di sincronizzazione delle directory è possibile pianificare la frequenza di sincronizzazione, visualizzare l'elenco dei domini associati a questa directory, cambiare l'elenco degli attributi mappati, aggiornare l'elenco di utenti e gruppi che vengono sincronizzati e impostare gli obiettivi di protezione. La pagina Provider di identità elenca i provider di identità configurati. Il connettore è un provider di identità iniziale. È possibile aggiungere istanze di provider di identità di terze parti o avere una combinazione di entrambi i tipi. Per l'autenticazione è possibile configurare il provider di identità integrato di VMware Identity Manager. Vedere Aggiunta e configurazione di un'istanza del provider di identità, pag. 80. Nella pagina Assistenza per il recupero password, è possibile cambiare il comportamento predefinito quando l'utente finale fa clic su "Password dimenticata" nella schermata di accesso. La pagina Criteri elenca il criterio di accesso predefinito e tutti gli altri criteri di accesso alle applicazioni Web creati. I criteri sono un insieme di regole che definiscono quali sono i criteri da soddisfare affinché gli utenti possano accedere ai rispettivi portali App personali o avviare applicazioni Web abilitate per essi. È possibile modificare il criterio predefinito e se al catalogo vengono aggiunte applicazioni Web, è possibile aggiungere nuovi criteri per gestire l'accesso a queste applicazioni Web. Vedere Capitolo 8, Gestione dei criteri di accesso, pag. 85. VMware, Inc. 13

14 Amministrazione di VMware Identity Manager 14 VMware, Inc.

15 Integrazione con la directory 2 aziendale L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio di VMware Identity Manager. Sono supportati i seguenti tipi di directory. Active Directory su LDAP Active Directory, Autenticazione integrata di Windows directory LDAP Attenersi alla procedura seguente per integrare con la directory aziendale. Specificare gli attributi che si desidera assegnare agli utenti nel servizio di VMware Identity Manager. Creare una directory nel servizio VMware Identity Manager dello stesso tipo della directory aziendale e specificare i dettagli della connessione. Associare gli attributi di VMware Identity Manager con gli attributi utilizzati in Active Directory o nella directory LDAP. Specificare gli utenti e i gruppi da sincronizzare. Sincronizzare utenti e gruppi. Dopo aver integrato la directory aziendale ed eseguito la sincronizzazione iniziale, è possibile aggiornare la configurazione, definire la pianificazione delle sincronizzazioni regolari e avviare manualmente una sincronizzazione. Concetti importanti relativi all'integrazione della directory Diversi concetti sono di fondamentale importanza per comprendere il modo in cui il servizio VMware Identity Manager si integra con il proprio ambiente di directory Active Directory o LDAP. Connettore Il connettore, un componente del servizio, esegue le funzioni indicate di seguito. Esso sincronizza i dati di utenti e gruppi dalla directory Active Directory o LDAP al servizio. Quando viene utilizzato come provider di identità, autentica gli utenti nel servizio. VMware, Inc. 15

16 Amministrazione di VMware Identity Manager Il connettore è il provider di identità predefinito. È anche possibile utilizzare provider di identità di terze parti che supportano il protocollo SAML 2.0. Utilizzare un provider di identità di terze parti per un tipo di autenticazione non supportato dal connettore o se il provider di identità di terze parti è preferibile in base ai propri criteri di sicurezza aziendale. Nota: Se si utilizzano provider di identità di terze parti, è possibile configurare il connettore per la sincronizzazione dei dati di utenti e gruppi o per configurare il provisioning Just-in-Time degli utenti. Fare riferimento alla sezione Provisioning utente Just-in-Time in Amministrazione di VMware Identity Manager per maggiori informazioni. Directory Worker Il servizio VMware Identity Manager ha il proprio concetto di directory, corrispondente alla directory di Active Directory o LDAP nel proprio ambiente. Questa directory utilizza gli attributi per definire utenti e gruppi. Creare una o più directory nel servizio, quindi sincronizzarle con la propria directory di Active Directory o LDAP. È possibile creare nel servizio i tipi di directory indicati di seguito. Active Directory Active Directory su LDAP. Creare questo tipo di directory se si desidera connettersi a un singolo ambiente di dominio Active Directory. Per il tipo di directory Active Directory su LDAP, il connettore esegue il binding ad Active Directory utilizzando l'autenticazione di binding semplice. Active Directory, Autenticazione integrata di Windows. Creare questo tipo di directory se si desidera connettersi a un ambiente Active Directory con più domini o foreste. Il connettore esegue il binding ad Active Directory utilizzando Autenticazione integrata di Windows. Il tipo e il numero di directory create variano in base all'ambiente Active Directory, ad esempio dominio singolo o più domini, e al tipo di attendibilità utilizzata tra i domini. Nella maggior parte degli ambienti viene creata una directory. Directory LDAP Il servizio non ha accesso diretto alla propria directory di Active Directory o LDAP. Soltanto connettore ha accesso diretto. Pertanto, ogni directory creata nel servizio viene associata ad un'istanza del connettore. Quando si associa una directory ad un'istanza del connettore, il connettore crea una partizione per la directory associata denominata Worker. A un'istanza del connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione. Il connettore sincronizza i dati di utenti e gruppi tra la directory di Active Directory o LDAP e il servizio tramite uno o più Worker. Importante: In un'istanza del connettore non possono essere presenti due Worker del tipo Autenticazione integrata di Windows di Active Directory. Considerazioni relative alla sicurezza Per le directory aziendali integrate con il servizio VMware Identity Manager, le impostazioni di sicurezza, come le regole di complessità della password dell'utente e i criteri di blocco dell'account, devono essere specificate direttamente nella directory aziendale. VMware Identity Manager non ignora queste impostazioni. 16 VMware, Inc.

17 Integrazione con Active Directory 3 L'integrazione di VMware Identity Manager con la distribuzione di Active Directory consente di sincronizzare utenti e gruppi da Active Directory a VMware Identity Manager. Vedere anche Concetti importanti relativi all'integrazione della directory, pag. 15. Questo capitolo include i seguenti argomenti: Ambienti Active Directory, pag. 17 Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19 Gestione degli attributi utente sincronizzati da Active Directory, pag. 23 Permessi richiesti per l'unione a un dominio, pag. 25 Configurazione della connessione di Active Directory al servizio, pag. 25 Abilitazione degli utenti alla modifica delle password di Active Directory, pag. 30 Configurazione delle protezioni della sincronizzazione della directory, pag. 31 Ambienti Active Directory È possibile integrare il servizio in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory. Ambiente con singolo dominio Active Directory Una distribuzione di Active Directory singola consente di sincronizzare gli utenti e i gruppi di un singolo dominio Active Directory. Per questo ambiente, quando si aggiunge una directory al servizio, selezionare l'opzione Active Directory su LDAP. Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19 Gestione degli attributi utente sincronizzati da Active Directory, pag. 23 Permessi richiesti per l'unione a un dominio, pag. 25 Configurazione della connessione di Active Directory al servizio, pag. 25 Ambiente con foresta Active Directory singola e multidominio Una distribuzione con una singola foresta Active Directory e multidominio consente di sincronizzare gli utenti e i gruppi da più domini Active Directory appartenenti a un'unica foresta. VMware, Inc. 17

18 Amministrazione di VMware Identity Manager È possibile configurare il servizio per questo ambiente Active Directory come tipo di directory con autenticazione integrata di Windows e singola Active Directory oppure, in alternativa, come tipo di directory Active Directory su LDAP configurata con l'opzione di catalogo globale. L'opzione consigliata è creare il tipo di directory con autenticazione integrata di Windows e singola Active Directory. Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19 Gestione degli attributi utente sincronizzati da Active Directory, pag. 23 Permessi richiesti per l'unione a un dominio, pag. 25 Configurazione della connessione di Active Directory al servizio, pag. 25 Se l'autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare un tipo di directory Active Directory su LDAP e selezionare l'opzione del catalogo globale. Tra le limitazioni della selezione dell'opzione del catalogo globale vi sono: Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale. Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale. L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And- Universal (TGGAU). Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e Se si aggiunge una directory per l'ambiente del catalogo globale, durante la configurazione specificare quanto riportato di seguito. Selezionare l'opzione Active Directory su LDAP. Deselezionare la casella di controllo per l'opzione Questa directory supporta la posizione servizio DNS. Selezionare l'opzione Questa directory dispone di un catalogo globale. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in Inoltre, poiché il Nome distinto di base non è necessario durante la configurazione dell'opzione del catalogo globale, la casella di testo Nome distinto di base non viene visualizzata. Aggiungere il nome host del server Active Directory. Se Active Directory richiede un accesso s SSL, selezionare l'opzione Questa directory richiede che tutte le connessioni utilizzino SSL e incollare il certificato nella casella di testo fornita. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in Ambiente Active Directory multiforesta con relazioni di trust Una distribuzione Active Directory multiforesta con relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste in cui esistono relazioni di trust bidirezionale tra domini. 18 VMware, Inc.

19 Capitolo 3 Integrazione con Active Directory Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19 Gestione degli attributi utente sincronizzati da Active Directory, pag. 23 Permessi richiesti per l'unione a un dominio, pag. 25 Configurazione della connessione di Active Directory al servizio, pag. 25 Ambiente Active Directory multiforesta senza relazioni di trust Una distribuzione Active Directory multiforesta senza relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste senza una relazione di trust tra domini. Per questo ambiente occorre creare più directory nel servizio, una per ogni foresta. Il tipo di directory create nel servizio dipende dalla foresta. Per foreste con domini multipli, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per una foresta con dominio singolo, selezionare l'opzione Active Directory su LDAP. Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19 Gestione degli attributi utente sincronizzati da Active Directory, pag. 23 Permessi richiesti per l'unione a un dominio, pag. 25 Configurazione della connessione di Active Directory al servizio, pag. 25 Informazioni sulla selezione dei controller di dominio (file domain_krb.properties) Il file domain_krb.properties determina i controller di dominio che vengono utilizzati per le directory in cui è abilitata la ricerca della Posizione servizio DNS (record SRV). Contiene un elenco dei controller di dominio relativi a ciascun dominio. Il connettore crea inizialmente il file e l'utente deve successivamente mantenerlo. Il file sovrascrive la ricerca della posizione del servizio DNS (SRV). La ricerca della Posizione servizio DNS è abilitata nei seguenti tipi di directory: Active Directory su LDAP con l'opzione relativa al supporto della posizione del servizio DNS da parte della directory selezionata Active Directory (autenticazione integrata di Windows), dove la ricerca della posizione del servizio DNS è sempre abilitata La prima volta che si crea una directory con la ricerca della posizione del servizio DNS abilitata, viene automaticamente creato un file domain_krb.properties nella directory /usr/local/horizon/conf della macchina virtuale e viene popolato in automatico con i controller di dominio relativi a ciascun dominio. Per popolare il file, il connettore tenta di trovare i controller di dominio che si trovano sullo stesso sito del connettore e ne seleziona due tra quelli raggiungibili e con la risposta più rapida. Quando si creano ulteriori directory con la posizione del servizio DNS abilitata o si aggiungono nuovi domini a una directory Autenticazione integrata di Windows, i nuovi domini vengono aggiunti al file insieme a un elenco dei relativi controller di dominio. VMware, Inc. 19

20 Amministrazione di VMware Identity Manager È possibile sovrascrivere la selezione predefinita in qualsiasi momento modificando il file domain_krb.properties. Come procedura consigliata, visualizzare il file domain_krb.properties dopo aver creato una directory e verificare che i controller di dominio elencati siano ottimali per la configurazione. Per una distribuzione globale di Active Directory con più controller di dominio in diverse posizioni geografiche, l'utilizzo di un controller di dominio in prossimità del connettore garantisce una comunicazione più veloce con Active Directory. In caso di altre modifiche, è necessario inoltre aggiornare manualmente il file. Sono valide le seguenti regole. Il file domain_krb.properties viene creato nella macchina virtuale che contiene il connettore. In una distribuzione tipica, senza altri connettori distribuiti, il file viene creato nella macchina virtuale del servizio di VMware Identity Manager. Se si sta utilizzando un connettore aggiuntivo per la directory, il file viene creato nella macchina virtuale del connettore. Una macchina virtuale può avere solo un file domain_krb.properties. La prima volta che viene creata una directory con la ricerca della posizione del servizio DNS abilitata, il file viene creato e popolato automaticamente con i controller di dominio relativi a ciascun dominio. I controller di dominio relativi a ciascun dominio sono elencati in ordine di priorità. Per collegarsi ad Active Directory, il connettore prova a utilizzare il primo controller di dominio dell'elenco. Se non è raggiungibile, prova con il secondo e così via. Il file viene aggiornato solo quando si crea una nuova directory con la ricerca della Posizione servizio DNS abilitata o quando si aggiunge un dominio a una directory Autenticazione integrata di Windows. Il nuovo dominio viene aggiunto al file insieme a un elenco dei relativi controller di dominio. La voce corrispondente a un dominio, se esiste già nel file, non viene aggiornata. Ad esempio, se si crea una directory e poi la si elimina, la voce del dominio originale resta nel file e non viene aggiornata. In qualsiasi altro scenario, il file non viene aggiornato automaticamente. Ad esempio, eliminando una directory, la voce del dominio non viene eliminata dal file. Se il controller di un dominio elencato nel file non è raggiungibile, modificare il file e rimuoverlo. Se la voce di un dominio viene aggiunta o modificata manualmente, le modifiche non saranno sovrascritte. Per informazioni sulla modifica del file domain_krb.properties, vedere Modifica del file domain_krb.properties, pag. 21. Importante: Il file /etc/krb5.conf deve essere coerente con il file domain_krb.properties. Ogni volta che si aggiorna il file domain_krb.properties, è necessario aggiornare anche il file krb5.conf. Per ulteriori informazioni, vedere Modifica del file domain_krb.properties, pag. 21 e l'articolo della Knowledge Base. Selezione dei controller di dominio per popolare automaticamente il file domain_krb.properties Per popolare automaticamente il file domain_krb.properties, i controller di dominio vengono innanzitutto selezionati determinando la subnet in cui risiede il connettore (sulla base dell'indirizzo IP e della netmask); poi si utilizza la configurazione di Active Directory per identificare il sito della subnet, ottenendo l'elenco dei controller di dominio relativi al sito in questione; è necessario infine filtrare l'elenco a seconda del dominio adeguato e scegliere i due controller di dominio con la risposta più rapida. I requisiti di VMware Identity Manager per rilevare i controller di dominio più vicini sono i seguenti: La subnet del connettore deve essere presente nella configurazione di Active Directory oppure è necessario specificare una subnet nel file runtime-config.properties. Vedere Sovrascrittura della selezione predefinita della subnet, pag. 21. La subnet viene utilizzata per determinare il sito. 20 VMware, Inc.

21 Capitolo 3 Integrazione con Active Directory La configurazione di Active Directory deve disporre di informazioni sulla presenza del sito. Se non è possibile determinare la subnet o se la configurazione di Active Directory non dispone di informazioni sulla presenza del sito, la ricerca della posizione del servizio DNS viene utilizzata per trovare i controller di dominio e il file viene popolate con alcuni controller di dominio raggiungibili. Questi controller di dominio potrebbero non trovarsi nella stessa posizione geografica del connettore e potrebbero di conseguenza verificarsi ritardi o timeout durante la comunicazione con Active Directory. In questo caso, modificare manualmente il file domain_krb.properties e specificare i controller di dominio corretti da utilizzare per ciascun dominio. Vedere Modifica del file domain_krb.properties, pag. 21. File domain_krb.properties di esempio example.com=host1.example.com:389,host2.example.com:389 Sovrascrittura della selezione predefinita della subnet Per popolare automaticamente il file domain_krb.properties, il connettore tenta di trovare i controller di dominio che si trovano nello stesso sito, in modo che la latenza tra il connettore e Active Directory sia minima. Per individuare il sito, il connettore determina la subnet in cui risiede sulla base del suo indirizzo IP e della netmask, quindi utilizza la configurazione di Active Directory per identificare il sito della subnet. Se la subnet della macchina virtuale non si trova in Active Directory oppure se si desidera sovrascrivere la selezione automatica della subnet, è possibile specificare una subnet nel file runtime-config.properties. 1 Accedere alla macchina virtuale del di VMware Identity Manager come utente radice. Nota: Se si sta utilizzando un connettore aggiuntivo per la directory, accedere alla macchina virtuale del connettore. 2 Modificare il file /usr/local/horizon/conf/runtime-config.properties per aggiungere il seguente attributo. siteaware.subnet.override=subnet dove subnet è una subnet del sito di cui l'utente desidera utilizzare i controller di dominio. Ad esempio: siteaware.subnet.override= /20 3 Salvare e chiudere il file. 4 Riavviare il servizio. service horizon-workspace restart Modifica del file domain_krb.properties Il file /usr/local/horizon/conf/domain_krb.properties determina quali controller di dominio utilizzare per le directory che dispongono della ricerca della posizione del servizio DNS abilitata. È possibile modificare il file in qualsiasi momento per aggiornare l'elenco dei controller relativi a un dominio oppure per aggiungere o eliminare le voci di dominio. Le modifiche non saranno sovrascritte. Il connettore crea inizialmente il file e lo popola automaticamente. È necessario aggiornarlo manualmente negli scenari simili ai seguenti: Se i controller di dominio selezionati per impostazione predefinita non sono ottimali per la configurazione dell'utente, modificare il file e specificare i controller di dominio da utilizzare. Se una directory viene eliminata, eliminare dal file la voce di dominio corrispondente. Se alcuni controller di dominio presenti nel file non sono raggiungibili, rimuoverli dal file. VMware, Inc. 21

22 Amministrazione di VMware Identity Manager Vedere anche Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag Accedere alla macchina virtuale del di VMware Identity Manager come utente radice. Nota: Se si sta utilizzando un connettore aggiuntivo per la directory, accedere alla macchina virtuale del connettore. 2 Modificare le directory in /usr/local/horizon/conf. 3 Modificare il file domain_krb.properties per aggiungere o aggiornare l'elenco dei valori da dominio a host. Utilizzare il seguente formato: dominio=host:porta,host2:porta,host3:porta Ad esempio: example.com=examplehost1.example.com:389,examplehost2.example.com:389 Elencare i controller di dominio in ordine di priorità. Per collegarsi ad Active Directory, il connettore prova a utilizzare il primo controller di dominio dell'elenco. Se non è raggiungibile, prova con il secondo e così via. Importante: I nomi dei domini devono essere in minuscolo. 4 Modificare il proprietario del file domain_krb.properties in horizon e il gruppo in www attraverso il seguente comando. chown horizon:www /usr/local/horizon/conf/domain_krb.properties 5 Riavviare il servizio. service horizon-workspace restart Passi successivi Dopo aver modificato il file domain_krb.properties, modificare il file /etc/krb5.conf. Il file krb5.conf deve essere coerente con il file domain_krb.properties. 1 Modificare il file /etc/krb5.conf e aggiornare la sezione realms specificando gli stessi valori da dominio a host utilizzati nel file /usr/local/horizon/conf/domain_krb.properties. Non è necessario specificare il numero della porta. Ad esempio, se nel file domain_krb.properties è presente la voce di dominio example.com=examplehost.example.com:389, sarà necessario aggiornare il file krb5.conf nel modo seguente. [realms] GAUTO-QA.COM = { auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO- QA\.COM/GAUTO2QA/ auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/ auth_to_local = DEFAULT kdc = examplehost.example.com } Nota: È possibile che siano presenti più voci kdc, ma non è un requisito necessario. Nella maggior parte dei casi è infatti presente un singolo valore kdc. Se si sceglie di definire valori kdc aggiuntivi, in ogni riga sarà presente una voce kdc che definisce un controller di dominio. 22 VMware, Inc.

23 Capitolo 3 Integrazione con Active Directory 2 Riavviare il servizio workspace. service horizon-workspace restart Vedere anche l'articolo della Knowledge Base. Risoluzione dei problemi relativi a domain_krb.properties Utilizzare le informazioni seguenti per risolvere i problemi relativi al file domain_krb.properties. Errore di risoluzione del dominio Se il file domain_krb.properties include già una voce di dominio e si cerca di creare una nuova directory di un tipo diverso per lo stesso dominio, viene visualizzato un messaggio che indica che si è verificato un errore durante la risoluzione del dominio. È necessario modificare il file domain_krb.properties e rimuovere manualmente la voce di dominio prima di creare la nuova directory. I controller di dominio non sono raggiungibili Una volta aggiunta la voce di dominio al file domain_krb.properties, questo non viene aggiornato automaticamente. Se uno dei controller di dominio elencati nel file non è raggiungibile, modificare il file manualmente e rimuoverlo. Gestione degli attributi utente sincronizzati da Active Directory Durante la configurazione della directory del servizio VMware Identity Manager, è possibile selezionare filtri e attributi utente di Active Directory per specificare quali utenti sincronizzare nella directory di VMware Identity Manager. È possibile cambiare gli attributi degli utenti sincronizzati dalla console di gestione, scheda Gestione identità e accessi, Impostazione > Attributi utente. Le modifiche apportate e salvate nella pagina Attributi utente vengono aggiunte alla pagina Attributi mappati nella directory di VMware Identity Manager. Le modifiche agli attributi vengono aggiornate nella directory alla successiva sincronizzazione con Active Directory. La pagina Attributi utente elenca gli attributi di directory predefiniti che possono essere mappati con gli attributi di Active Directory. È possibile selezionare gli attributi obbligatori e aggiungere altri attributi che si desidera sincronizzare con la directory. Quando si aggiungono attributi, al nome degli attributi che si immette viene applicata la distinzione tra maiuscole e minuscole. pertanto, ad esempio, indirizzo, Indirizzo e INDIRIZZO sono attributi diversi. Tavola 3 1. Attributi di Active Directory predefiniti da sincronizzazione nella directory Nome attributo directory VMware Identity Manager userprincipalname distinguishedname employeeid domain disabled (utente esterno disabilitato) phone lastname Mappatura predefinita nell'attributo di Active Directory userprincipalname distinguishedname employeeid canonicalname. Aggiunge il nome di dominio completo dell'oggetto. useraccountcontrol. Con flag UF_Account_Disable Quando un account è disabilitato, gli utenti non possono accedere alle rispettive applicazioni e risorse. Le risorse per cui erano autorizzati gli utenti non vengono rimosse dall'account, così che una volta rimosso il flag dall'account, gli utenti potranno nuovamente effettuare l'accesso e accedere alle risorse autorizzate. telephonenumber sn VMware, Inc. 23

24 Amministrazione di VMware Identity Manager Tavola 3 1. Attributi di Active Directory predefiniti da sincronizzazione nella directory (Continua) Nome attributo directory VMware Identity Manager firstname username Mappatura predefinita nell'attributo di Active Directory givenname mail samaccountname. Selezione degli attributi per la sincronizzazione con la directory Quando si imposta la directory di VMware Identity Manager per la sincronizzazione con Active Directory, vengono definiti gli attributi degli utenti sincronizzati con la directory. Prima di configurare la directory, è possibile specificare nella pagina Attributi utente quali attributi predefiniti sono obbligatori e aggiungere ulteriori attributi da mappare agli attributi di Active Directory. Quando si configura la pagina Attributi utente prima che venga creata la directory, è possibile modificare gli attributi predefiniti obbligatori rendendoli non obbligatori, contrassegnare gli attributi come obbligatori e aggiungere attributi personalizzati. Dopo aver creato la directory, è possibile modificare un attributo obbligatorio rendendolo non obbligatorio ed eliminare attributi personalizzati. Non è possibile modificare un attributo per renderlo obbligatorio. Quando si aggiungono altri attributi per la sincronizzazione con la directory, dopo aver creato la directory, passare alla pagina Attributi mappati della directory per mappare questi attributi agli attributi di Active Directory. Importante: Se si prevede di sincronizzare le risorse di XenApp con VMware Identity Manager, è necessario impostare distinguishedname come attributo obbligatorio. In questo caso, specificarlo prima di creare la directory VMware Identity Manager. 1 Nella scheda Gestione accesso e identità della console di amministrazione fare clic su Impostazione > Attributi utente. 2 Nella sezione Attributi predefiniti esaminare l'elenco di attributi obbligatori e apportare le modifiche appropriate in modo da riflettere gli attributi obbligatori. 3 Nella sezione Attributi aggiungere il nome dell'attributo della directory di VMware Identity Manager all'elenco. 4 Fare clic su Salva. Lo stato dell'attributo predefinito viene aggiornato e gli attributi aggiunti vengono aggiunti nell'elenco Attributi mappati della directory. 5 Dopo aver creato la directory, passare alla pagina Gestione > Directory e selezionare la directory. 6 Fare clic su Impostazioni di sincronizzazione > Attributi mappati. 7 Nel menu a discesa relativo agli attributi aggiunti, selezionare l'attributo di Active Directory con cui mappare. 8 Fare clic su Salva. La directory viene aggiornata alla successiva sincronizzazione con Active Directory. 24 VMware, Inc.

25 Capitolo 3 Integrazione con Active Directory Permessi richiesti per l'unione a un dominio In alcuni casi è necessario unire il connettore di VMware Identity Manager a un dominio. Per Active Directory su directory LDAP, è possibile unire un dominio dopo aver creato la directory. Per directory di tipo Active Directory (autenticazione integrata di Windows), il connettore viene automaticamente unito al dominio quando viene creata la directory. In entrambi gli scenari, vengono chiese all'utente delle credenziali. Per effettuare l'unione a un dominio, sono necessarie le credenziali di Active Directory, che hanno il privilegio di unire il computer a un dominio AD. In Active Directory questo è configurato con i seguenti diritti: Creare oggetti computer Eliminare oggetti computer Quando ci si aggiunge a un dominio, nella posizione predefinita di Active Directory viene creato un oggetto computer, a meno che non si specifichi un'unità organizzativa personalizzata. Se non si dispone di autorizzazioni sufficienti per aggiungersi a un dominio, eseguire i passaggi seguenti per aggiungersi al dominio. 1 Chiedere all'amministratore di Active Directory di creare l'oggetto del computer in Active Directory, in una posizione determinata dai criteri dell'azienda. Fornire il nome dell'host del connettore. Assicurarsi di fornire il nome di dominio completo, ad esempio server.example.com. Tip È possibile visualizzare il nome dell'host nella colonna Nome host della pagina Connettori, all'interno della console di amministrazione. Per visualizzare la pagina Connettori, fare clic sul pulsante relativo alla gestione delle identità e degli accessi > Impostazione > Connettori. 2 Una volta creato l'oggetto del computer, unire il dominio utilizzando uno degli account dell'utente di dominio nella console di amministrazione VMware Identity Manager. Il comando di unione del dominio è disponibile nella pagina Connettori, alla quale si può accedere facendo clic sul pulsante relativo alla gestione delle identità e degli accessi > Impostazione > Connettori. Opzione Dominio Utente del dominio Password del dominio Unità organizzativa (UO) Descrizione Selezionare o immettere il dominio di Active Directory a cui aggiungersi. Assicurarsi di immettere il nome di dominio completo. Ad esempio, server.example.com. Nome utente di un utente di Active Directory che dispone delle autorizzazione necessarie per aggiungere sistemi al dominio di Active Directory. Password dell'utente. (Facoltativa) Unità organizzativa (UO) dell'oggetto computer. Questa opzione consente di creare un oggetto computer nell'unità organizzativa specificata anziché nell'unità organizzativa dei computer predefinita. Ad esempio, ou=testou,dc=test,dc=example,dc=com. Configurazione della connessione di Active Directory al servizio Nella console di amministrazione, specificare le informazioni richieste per collegarsi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di VMware Identity Manager. Le opzioni di connessione di Active Directory sono Active Directory su LDAP o l'autenticazione integrata di Windows per Active Directory. Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS. Con l'autenticazione integrata di Windows per Active Directory viene configurato il dominio da aggiungere. VMware, Inc. 25

26 Amministrazione di VMware Identity Manager Prerequisiti Nella pagina Attributi utente, selezionare quali attributi sono obbligatori e aggiungere altri attributi, se necessario. Vedere Selezione degli attributi per la sincronizzazione con la directory, pag. 24. Importante: Se si pianifica la sincronizzazione delle risorse XenApp con VMware Identity Manager, è necessario rendere distinguishedname un attributo obbligatorio. Questa selezione deve essere effettuata prima di creare una directory in quanto gli attributi non possono essere modificati in obbligatori una volta creata la directory. Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory. Per Active Directory su LDAP, le informazioni obbligatorie includono Nome distinto di base, Nome distinto di binding e Password nome distinto di binding. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Per l'autenticazione integrata di Windows in Active Directory, le informazioni obbligatorie sono l'indirizzo UPN utente di binding del dominio e la relativa password. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Se Active Directory richiede l'accesso su SSL o STARTTLS, il certificato CA root del controller del dominio di Active Directory è obbligatorio. Per l'autenticazione integrata di Windows in Active Directory, se sono configurate più foreste Active Directory e il gruppo Dominio locale contiene membri di domini di foreste diverse, verificare che l'utente di binding sia aggiunto al gruppo Administrators del dominio in cui risiede il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale. 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Sulla pagina Directory, fare clic su Aggiungi directory. 3 Immettere un nome per questa directory di VMware Identity Manager. 26 VMware, Inc.

27 Capitolo 3 Integrazione con Active Directory 4 Selezionare il tipo di Active Directory nel proprio ambiente e configurare le informazioni sulla connessione. Opzione Descrizione Active Directory su LDAP a Nel campo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory. b Nel campo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su Sì. c d Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. Se Active Directory utilizza la ricerca DNS posizione servizio, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, selezionare la casella di spunta Questa directory supporta la posizione servizio DNS. Quando viene creata la directory, sarà creato un file domain_krb.properties, completato automaticamente con un elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. e Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. Se Active Directory non utilizza la ricerca posizione servizio DNS, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, verificare che la casella di spunta Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory. Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory, pag. 17. Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. VMware, Inc. 27

28 Amministrazione di VMware Identity Manager Opzione Active Directory (autenticazione integrata di Windows) Descrizione f g h a b Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nota: Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory. Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com. Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory. Nel campo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory. Nel campo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su Sì. c d Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". e f g Se la directory ha più domini, aggiungere i certificati CA root per tutti i domini, uno alla volta. Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. Immettere il nome del dominio di Active Directory da aggiungere. Immettere un nome utente e una password con i diritti per aggiungere il dominio. Vedere Permessi richiesti per l'unione a un dominio, pag. 25 per ulteriori informazioni. Nella casella di testo UPN utente di binding, immettere il nome dell'entità utente che si autenticherà nel dominio. Ad esempio username@esempio.com. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Specificare la password dell'utente Binding. 5 Fare clic su Salva e avanti. Verrà visualizzata la pagina con l'elenco di domini. 28 VMware, Inc.

29 Capitolo 3 Integrazione con Active Directory 6 Per Active Directory su LDAP, i domini sono elencati con un segno di spunta. Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory. Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco. Fare clic su Avanti. 7 Verificare che i nomi degli attributi della directory di VMware Identity Manager siano mappati agli attributi di Active Directory corretti, apportare le modifiche eventualmente necessarie, quindi fare clic su Avanti. 8 Selezionare i gruppi che si desidera sincronizzare da Active Directory alla directory di VMware Identity Manager. Opzione Specificare i DN gruppo Sincronizza membri del gruppo nidificati Descrizione Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti. a b c Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com. Importante: Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. Fare clic su Trova gruppi. Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare. Nota: Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati. Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione. Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 9 Fare clic su Avanti. VMware, Inc. 29

30 Amministrazione di VMware Identity Manager 10 Specificare altri utenti da sincronizzare, se necessario. a Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Importante: Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. b (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore. 11 Fare clic su Avanti. 12 Rivedere la pagina per verificare quanti utenti e gruppi vengono sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. 13 Fare clic su Sincronizza directory per avviare la sincronizzazione con la directory. La connessione a Active Directory viene stabilita e gli utenti e i gruppi vengono sincronizzati da Active Directory alla directory VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager. Passi successivi Se è stata creata una directory che supporta la posizione servizio DNS, viene creato un file domain_krb.properties completato automaticamente con un elenco di controller del dominio. Visualizzare il file per verificare o modificare l'elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 19. Impostare i metodi di autenticazione. Dopo la sincronizzazione di utenti e gruppi con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore. Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire l'accesso al browser Web da parte di tutte le appliance in tutti gli intervalli di rete, con un timeout di sessione impostato a otto ore, oppure l'accesso a un'app client con un timeout di sessione di ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo. Applicare un branding personalizzato alla console di amministrazione, alle pagine del portale degli utenti e alla schermata di accesso. Abilitazione degli utenti alla modifica delle password di Active Directory È possibile consentire agli utenti di modificare la propria password di Active Directory dall'app o dal portale Workspace ONE quando lo desiderano. Gli utenti possono inoltre modificare la propria password di Active Directory dalla pagina di accesso di VMware Identity Manager se la password è scaduta o se l'amministratore di Active Directory l'ha reimpostata, forzando gli utenti a cambiarla all'accesso successivo. È possibile abilitare questa opzione per directory, selezionando l'opzione Consenti modifica password nella pagina Impostazioni directory. 30 VMware, Inc.

31 Capitolo 3 Integrazione con Active Directory Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. Le password scadute o reimpostate dall'amministratore in Active Directory possono essere cambiate dalla pagina di accesso. Quando un utente prova ad accedere con una password scaduta, gli viene richiesto di reimpostarla. L'utente dovrà quindi specificare la vecchia password così come la nuova password. I requisiti per la nuova password sono determinati dai criteri delle password di Active Directory. Dagli stessi criteri dipende anche il numero di tentativi consentiti. Si applicano le limitazioni riportate di seguito. Se si utilizzano ulteriori appliance virtuali di un connettore esterno, si noti che l'opzione Consenti modifica password è disponibile solo con il connettore versione e successive. Quando una directory viene aggiunta a VMware Identity Manager come catalogo globale, l'opzione Consenti modifica password non è disponibile. Le directory possono essere aggiunte come Active Directory su LDAP o autenticazione integrata di Windows utilizzando le porte 389 o 636. La password di un utente Nome distinto di binding non può essere reimpostata da VMware Identity Manager, anche se è scaduta o se l'amministratore di Active Directory l'ha reimpostata. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Le password degli utenti i cui nomi di accesso sono costituiti da caratteri multibyte (caratteri non ASCII) non possono essere reimpostate da VMware Identity Manager. Prerequisiti Per abilitare l'opzione Consenti modifica password, è necessario utilizzare un account utente Nome distinto di binding e disporre delle autorizzazioni di scrittura per Active Directory. La porta 464 deve essere aperta sul controller del dominio. 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Nella scheda Directory, fare clic sulla directory. 3 Nella sezione Consenti modifica password, selezionare la casella di controllo Attiva modifica password. 4 Immettere la password nome distinto di binding nella sezione Dettagli utente di binding, quindi fare clic su Salva. Configurazione delle protezioni della sincronizzazione della directory I limiti della soglia di protezione della sincronizzazione possono essere configurati nella directory per impedire modifiche involontarie della configurazione di utenti e gruppi durante la sincronizzazione della directory da Active Directory. Le soglie della protezione della sincronizzazione che vengono impostate limitano il numero delle modifiche che possono essere apportate agli utenti e ai gruppi durante la sincronizzazione della directory. Se viene raggiunta la soglia della protezione della directory, la sincronizzazione della directory viene interrotta e viene visualizzato un messaggio nella pagina Registro di sincronizzazione della directory. Se nella console di amministrazione di VMware Identity Manager è configurato SMTP, quando la sincronizzazione non viene eseguita correttamente a causa della violazione della protezione, si riceve un messaggio . VMware, Inc. 31

32 Amministrazione di VMware Identity Manager Quando la sincronizzazione non viene eseguita correttamente, è possibile passare alla pagina Impostazioni di sincronizzazione > Registro di sincronizzazione in cui è disponibile una descrizione del tipo di violazione della protezione. Per completare correttamente la sincronizzazione, è possibile aumentare la soglia percentuale della protezione nella pagina Protezioni di sincronizzazione oppure pianificare un'esecuzione di prova della sincronizzazione e selezionare Ignora Safeguards. Quando si sceglie di ignorare il valore di soglia della protezione, i valori di protezione non vengono applicati solo per la sessione di sincronizzazione corrente. Quando la sincronizzazione della directory viene eseguita per la prima volta, i valori di protezione della sincronizzazione non vengono applicati. Nota: Se non si desidera utilizzare la funzionalità di protezione della sincronizzazione, eliminare i valori dal menu a discesa. Se le caselle di testo dei valori di soglia della protezione sono vuote, significa che la protezione della sincronizzazione non è abilitata. Configura protezioni di sincronizzazione directory Configurare le impostazioni soglia di protezione sincronizzazione per limitare il numero di modifiche che possono essere apportate a utenti e gruppi durante le sincronizzazioni delle directory. Nota: Se non si desidera utilizzare la funzionalità di protezione della sincronizzazione, eliminare i valori dal menu a discesa. Se le caselle di testo dei valori di soglia della protezione sono vuote, significa che la protezione della sincronizzazione non è abilitata. 1 Per modificare le impostazioni delle protezioni, nella scheda Gestione identità e accessi selezionare Gestisci > directory. 2 Selezionare la directory per configurare le protezioni e fare clic su Impostazioni sincronizzazione 3 Fare clic su Protezioni. 4 Impostare la percentuale di modifiche consentite oltre la quale sia emesso un errore di sincronizzazione. 5 Fare clic su Salva. Ignorare le impostazioni di protezione per completare la sincronizzazione con la directory Quando si riceve la notifica che la sincronizzazione non è stata completata per una violazione di protezione, per bypassare l'impostazione di protezione e completare la sincronizzazione è possibile pianificare un'esecuzione di prova della sincronizzazione e selezionare Ignora Safeguards. 1 Nella scheda Gestione identità e accessi, selezionare Gestisci > Directory. 2 Selezionare la directory che non ha completato la sincronizzazione e passare alla pagina Registro di sincronizzazione. 3 Per conoscere il tipo di violazione di protezione, nella colonna Dettagli della sincronizzazione, fare clic su Impossibile completare la sincronizzazione. Verificare le protezioni. 4 Fare clic su OK. 5 Per continuare la sincronizzazione senza cambiare le impostazioni di protezione, fare clic su Sincronizza ora. 6 Nella pagina Revisione, selezionare la casella di controllo Ignora Safeguards. 32 VMware, Inc.

33 Capitolo 3 Integrazione con Active Directory 7 Fare clic su Sincronizza directory. Viene eseguita la sincronizzazione della directory e le impostazioni di soglia della protezione vengono ignorate solo per questa sessione di sincronizzazione. VMware, Inc. 33

34 Amministrazione di VMware Identity Manager 34 VMware, Inc.

35 Integrazione con le directory LDAP 4 È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager. Vedere anche Concetti importanti relativi all'integrazione della directory, pag. 15. Questo capitolo include i seguenti argomenti: Limitazioni dell'integrazione della directory LDAP, pag. 35 Integrazione di una directory LDAP con il servizio, pag. 36 Limitazioni dell'integrazione della directory LDAP Correntemente, la funzionalità di integrazione della directory LDAP ha le seguenti limitazioni. È possibile integrare solo un ambiente con directory LDAP a dominio singolo. Per integrare domini multipli da una directory LDAP è necessario creare directory VMware Identity Manager aggiuntive, una per ogni dominio. I seguenti metodi di autenticazione non sono supportati per le directory VMware Identity Manager di tipo directory LDAP. autenticazione Kerberos Autenticazione adattiva RSA ADFS come provider di identità di terze parti SecurID Autenticazione Radius con server SMS Passcode e Vasco Non è possibile unire un dominio LDAP. Non è supportata l'integrazione con risorse View o pubblicate da Citrix per le directory VMware Identity Manager di tipo directory LDAP. I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente. Se si pianifica l'aggiunta di directory sia Active Directory che LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio nella pagina Attributi utente, eccetto username, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager. VMware, Inc. 35

36 Amministrazione di VMware Identity Manager Se nella directory LDAP sono presenti più gruppi con lo stesso nome, è necessario specificare nomi univoci per essi nel servizio VMware Identity Manager. È possibile specificare i nomi quando si selezionano i gruppi da sincronizzare. Non è disponibile l'opzione per consentire agli utenti di reimpostare le password scadute. Il file domain_krb.properties non è supportato. Integrazione di una directory LDAP con il servizio È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager. Per l'integrazione con la directory LDAP, è necessario creare una directory di VMware Identity Manager corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di VMware Identity Manager. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi. Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di VMware Identity Manager. La configurazione della directory LDAP può essere basata su schemi predefiniti, ma si possono creare anche schermi personalizzati. Inoltre si possono definire attributi personalizzati. Affinché VMware Identity Manager possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP. Nello specifico, è necessario fornire la seguenti informazioni. Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding Nomi degli attributi LDAP per l'appartenenza ai gruppi, UUID e nome distinto La funzionalità di integrazione della directory LDAP è soggetta a specifiche limitazioni. Vedere Limitazioni dell'integrazione della directory LDAP, pag. 35. Prerequisiti Se si utilizzano ulteriori appliance virtuali di un connettore esterno, si noti che è possibile integrare le directory LDAP solo con il connettore versione e successive. Riesaminare gli attributi nella pagina Gestione identità e accessi > Configura > Attributi utente e aggiungere gli altri attributi che si desidera sincronizzare. La mappatura di questi attributi di VMware Identity Manager a quelli della directory LDAP viene eseguita in un secondo momento in fase di creazione della directory. Gli attributi vengono sincronizzati per gli utenti nella directory. Nota: Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio. Se si pianifica di aggiungere sia Active Directory che directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, eccetto username, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager. Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale. Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio. Questo attributo viene associato all'attributo dominio di VMware Identity Manager quando si crea la directory di VMware Identity Manager. 36 VMware, Inc.

37 Capitolo 4 Integrazione con le directory LDAP I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente. Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userprincipalname e indirizzo . 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Nella pagina Directory, fare clic su Aggiungi directory e scegliere Aggiungi directory LDAP. 3 Immettere le informazioni richieste nella pagina Aggiungi directory LDAP. Opzione Nome directory Sincronizzazione e autenticazione directory Descrizione Nome della directory di VMware Identity Manager. a Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager. Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance. Non è necessario un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP. b Per gli scenari in cui sono necessari connettori aggiuntivi, vedere "Installazione delle appliance di connettori aggiuntivi" nella guida all'installazione di VMware Identity Manager. Nel campo Autenticazione, scegliere Sì se si desidera utilizzare questa directory LDAP per autenticare gli utenti. Posizione server c Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. Nel campo Attributo di ricerca directory specificare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è presente, selezionare Personalizzato e immettere il nome dell'attributo. Ad esempio, cn. Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverldap.esempio.com o Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento. VMware, Inc. 37

38 Amministrazione di VMware Identity Manager Opzione Configurazione LDAP Descrizione Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale. Query LDAP Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo. Ad esempio: (objectclass=group) Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può collegarsi alla directory. Ad esempio: (objectclass=person) Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare. Ad esempio: (&(objectclass=user)(objectcategory=person)) Attributi Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo. Ad esempio: member UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'uuid di un utente o di un gruppo. Ad esempio: entryuuid DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo. Ad esempio: entrydn Certificati Dettagli utente bind Se la directory LDAP richiede l'accesso su SSL, selezionare Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding 4 Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione. Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie. 5 Fare clic su Salva e avanti. 6 Verificare che il dominio corretto sia elencato nella pagina Domini e fare clic su Avanti. 7 Nella pagina di associazione degli attributi, verificare che gli attributi di VMware Identity Manager siano associati agli attributi di LDAP corretti. Importante: È necessario specificare un'associazione per l'attributo dominio. È possibile aggiungere attributi all'elenco dalla pagina Attributi utente. 8 Fare clic su Avanti. 38 VMware, Inc.

39 Capitolo 4 Integrazione con le directory LDAP 9 Nella pagina dei gruppi, fare clic su + per selezionare i gruppi che si desidera sincronizzare dalla directory LDAP alla directory di VMware Identity Manager. Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina. L'opzione Sincronizza membri del gruppo nidificati è attivata per impostazione predefinita. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo di livello superiore selezionato per la sincronizzazione. La gerarchia inferiore al gruppo selezionato viene di fatto appiattita e in VMware Identity Manager compaiono utenti provenienti da tutti i livelli come membri del gruppo selezionato. Se l'opzione è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo saranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 10 Fare clic su Avanti. 11 Fare clic su + per aggiungere altri utenti. Ad esempio, immettere CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Per escludere alcuni utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore. Fare clic su Avanti. 12 Esaminare la pagina per sapere quanti utenti e gruppi verranno sincronizzati nella directory e per conoscere la pianificazione delle sincronizzazioni predefinita. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. 13 Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory. La connessione alla directory LDAP viene stabilita ed utenti e gruppi vengono sincronizzati dalla directory LDAP alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager. VMware, Inc. 39

40 Amministrazione di VMware Identity Manager 40 VMware, Inc.

41 Utilizzo delle directory locali 5 La directory locale è uno dei tipi di directory che è possibile creare nel servizio VMware Identity Manager. Una directory locale consente di eseguire il provisioning degli utenti locali nel servizio e permettere loro di accedere ad applicazioni specifiche senza doverli aggiungere alla directory aziendale. La directory locale non è connessa ad alcuna directory aziendale e gli utenti e i gruppi non vengono sincronizzati da una directory aziendale. Gli utenti locali vengono infatti creati direttamente nella directory locale. Nel servizio è disponibile una directory locale predefinita denominata directory di sistema. È inoltre possibile creare più directory locali nuove. Directory di sistema La directory di sistema è una directory locale che viene creata automaticamente nel servizio quando viene configurato per la prima volta. Il dominio di questa directory è il dominio di sistema. Non è possibile modificare il nome o il dominio della directory di sistema o aggiungervi nuovi domini. La directory di sistema e il dominio di sistema non possono essere eliminati. L'utente amministratore locale creato durante la prima configurazione dell'appliance VMware Identity Manager viene creato nel dominio di sistema della directory di sistema. È possibile aggiungere altri utenti alla directory di sistema. La directory di sistema viene in genere utilizzata per configurare alcuni utenti amministratori locali per la gestione del servizio. Per eseguire il provisioning di utenti finali e amministratori aggiuntivi, nonché concedere loro i permessi per le applicazioni, è consigliabile creare una nuova directory locale. Directory locali È possibile creare più directory locali. Ogni directory locale può avere uno o più domini. Quando si crea un utente locale, è necessario specificare la directory e il dominio per tale utente. È inoltre possibile selezionare attributi per tutti gli utenti di una directory locale. Gli attributi utente, come username, lastname e firstname vengono specificati a livello globale nel servizio VMware Identity Manager. È disponibile un elenco di attributi predefinito a cui è possibile aggiungere attributi personalizzati. Gli attributi utente globali si applicano a tutte le directory del servizio, incluse le directory locali. Al livello della directory locale, è possibile selezionare quali attributi sono obbligatori per la directory. In questo modo è possibile definire un insieme di attributi personalizzato per ogni directory locale. Si noti che gli attributi username, lastname, firstname e sono sempre obbligatori per le directory locali. Nota: La possibilità di personalizzare gli attributi utente a livello della directory è disponibile solo per le directory locali e non per Active Directory o le directory LDAP. VMware, Inc. 41

42 Amministrazione di VMware Identity Manager La creazione delle directory locali risulta utile in scenari analoghi a quelli descritti di seguito. È possibile creare una directory locale per un tipo di utente specifico che non fa parte della directory aziendale. È ad esempio possibile creare una directory locale per i partner, che in genere non fanno parte della directory aziendale, e consentire loro di accedere solo alle applicazioni di cui necessitano. È consigliabile creare più directory locali se si desidera definire attributi utente o metodi di autenticazione diversi per set di utenti diversi. È ad esempio possibile creare una directory locale per i distributori con attributi utente come area e dimensioni del mercato e un'altra directory locale per i fornitori con attributi utente come categoria prodotto e tipo di fornitore. Provider di identità per la directory di sistema e le directory locali Per impostazione predefinita, la directory di sistema viene associata a un provider di identità denominato provider di identità del sistema. Per impostazione predefinita, in questo provider di identità è abilitato il metodo Password (directory Cloud), che si applica al criterio default_access_policy_set per l'intervallo di rete TUTTI GLI INTERVALLI e il tipo di dispositivo Browser Web. È possibile configurare metodi di autenticazione aggiuntivi e impostare criteri di autenticazione. Quando viene creata, una nuova directory locale non è associata ad alcun provider di identità. Dopo aver creato la directory, creare un nuovo provider di identità di tipo Embedded e associarvi la directory. Nel provider di identità, abilitare il metodo di autenticazione Password (directory Cloud). È possibile associare più directory locali allo stesso provider di identità. Il connettore VMware Identity Manager non è necessario per la directory di sistema e le directory locali create. Per ulteriori informazioni, vedere la sezione relativa alla configurazione dell'autenticazione degli utenti in VMware Identity Manager nella Guida all'amministrazione di VMware Identity Manager. Gestione delle password per gli utenti della directory locale Per impostazione predefinita, tutti gli utenti delle directory locali possono cambiare la propria password nell'app o nel portale Workspace ONE. È possibile impostare criteri per le password degli utenti locali. È inoltre possibile reimpostare le password degli utenti locali in base alle esigenze. Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. Per informazioni sull'impostazione di criteri per le password e la reimpostazione delle password degli utenti locali, vedere la sezione relativa alla gestione di utenti e gruppi nella guida all'amministrazione di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Creazione di una directory locale, pag. 42 Modifica delle impostazioni della directory locale, pag. 47 Eliminazione di una directory locale, pag. 48 Configurazione di un metodo di autenticazione per gli utenti amministratori di sistema, pag. 49 Creazione di una directory locale Per creare una directory locale, è sufficiente specificare gli attributi utente per la directory, creare la directory e identificarla con un provider di identità. 42 VMware, Inc.

43 Capitolo 5 Utilizzo delle directory locali Impostazione degli attributi utente a livello globale Prima di creare una directory locale, verificare gli attributi utente globali nella pagina Attributi utente e aggiungere attributi personalizzati, se necessario. Gli attributi utente, come firstname, lastname, e domain, fanno parte del profilo di un utente. Nel servizio VMware Identity Manager gli attributi utente vengono definiti a livello globale e si applicano a tutte le directory del servizio, incluse le directory locali. A livello della directory locale è possibile ignorare il fatto che un attributo sia obbligatorio o facoltativo per gli utenti della directory, ma non è possibile aggiungere attributi personalizzati. Se un attributo è obbligatorio, è necessario specificare un valore per tale attributo quando si crea un utente. Quando si creano attributi personalizzati, non è possibile utilizzare le parole seguenti. Tavola 5 1. Parole che non possono essere utilizzate come nomi di attributi personalizzati active addresses costcenter department displayname division s employeenumber entitlements externalid groups id ims locale manager meta name nickname organization password phonenumber photos preferredlanguage profileurl roles timezone title username usertype x509certificate Nota: La possibilità di ignorare gli attributi utente a livello della directory si applica solo alle directory locali e non alle directory di LDAP o Active Directory. 1 Nella console di amministrazione, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Attributi utente. 3 Esaminare l'elenco di attributi utente e aggiungere altri attributi, se necessario. Nota: Anche se in questa pagina è possibile scegliere quali attributi sono obbligatori, è consigliabile eseguire la selezione per le directory locali a livello delle directory locali stesse. Se un attributo viene contrassegnato come Obbligatorio in questa pagina, la condizione si applica a tutte le directory nel servizio, incluse le directory di Active Directory o LDAP. 4 Fare clic su Salva. Passi successivi Creare la directory locale. VMware, Inc. 43

44 Amministrazione di VMware Identity Manager Creazione di una directory locale Dopo aver esaminato e impostato attributi utente globali, creare la directory locale. 1 Nella console di amministrazione, fare clic sulla scheda Gestione identità e accessi, quindi sulla scheda Directory. 2 Fare clic su Aggiungi directory e selezionare Aggiungi directory utente locale nel menu a discesa. 3 Nella pagina Aggiungi directory, immettere un nome di directory e specificare almeno un nome di dominio. Il nome del dominio deve essere univoco tra tutte le directory nel servizio. Ad esempio: 44 VMware, Inc.

45 Capitolo 5 Utilizzo delle directory locali 4 Fare clic su Salva. 5 Nella pagina Directory, fare clic sulla nuova directory. 6 Fare clic sulla scheda Attributi utente. Tutti gli attributi della pagina Gestione identità e accessi > Configura > Attributi utente verranno elencati per la directory locale. Gli attributi contrassegnati come obbligatori in tale pagina vengono elencati come obbligatori anche nella pagina della directory locale. 7 Personalizzare gli attributi per la directory locale. È possibile specificare gli attributi obbligatori e quelli facoltativi. È inoltre possibile modificare l'ordine di visualizzazione degli attributi. Importante: Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Per rendere obbligatorio un attributo, selezionare la casella di controllo accanto al nome dell'attributo. Per rendere facoltativo un attributo, deselezionare la casella di controllo accanto al nome dell'attributo. Per modificare l'ordine degli attributi, fare clic e trascinare gli attributi nella nuova posizione. VMware, Inc. 45

46 Amministrazione di VMware Identity Manager Se un attributo è obbligatorio, quando si crea un utente è necessario specificare un valore per tale attributo. Ad esempio: 8 Fare clic su Salva. Passi successivi Associare la directory locale al provider di identità che si desidera utilizzare per l'autenticazione degli utenti nella directory. Associazione della directory locale a un provider di identità Associare la directory locale a un provider di identità in modo che sia possibile eseguire l'autenticazione degli utenti della directory. Creare un nuovo provider di identità di tipo Embedded e abilitare il metodo di autenticazione Password (directory locale) in tale provider. Nota: Non utilizzare il provider di identità integrato. Non è infatti consigliabile abilitare il metodo di autenticazione Password (directory locale) nel provider di identità integrato. 1 Nella scheda Gestione identità e accessi fare clic sulla scheda Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea provider di identità integrato. 3 Immettere le informazioni seguenti. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Esportazione certificato KDC Descrizione Immettere un nome per il provider di identità. Selezionare la directory locale creata. Selezionare le reti da cui è possibile accedere al provider di identità. Selezionare Password (directory locale). Non è necessario scaricare il certificato a meno che non si stia configurando SSO mobile per i dispositivi ios gestiti da AirWatch. 46 VMware, Inc.

47 Capitolo 5 Utilizzo delle directory locali 4 Fare clic su Aggiungi. Il provider di identità viene creato e associato alla directory locale. Nel provider di identità è possibile configurare altri metodi di autenticazione in un secondo momento. Per ulteriori informazioni sull'autenticazione, vedere la sezione relativa alla configurazione dell'autenticazione utente in VMware Identity Manager di VMware Identity Manager Administration. È possibile utilizzare lo stesso provider di identità per più directory locali. Passi successivi Creare utenti e gruppi locali. È possibile creare utenti e gruppi locali nella scheda Utenti e gruppi della console di amministrazione. Per ulteriori informazioni, vedere la sezione relativa alla gestione di utenti e gruppi di VMware Identity Manager Administration. Modifica delle impostazioni della directory locale Dopo aver creato una directory locale, è possibile modificarne le impostazioni in qualsiasi momento. È possibile modificare le impostazioni seguenti. Modificare il nome della directory. Aggiungere, eliminare o rinominare i domini. I nomi dei domini devono essere univoci in tutte le directory nel servizio. Quando si modifica il nome di un dominio, gli utenti associati al vecchio dominio vengono associati al nuovo dominio. La directory deve includere almeno un dominio. Non è possibile aggiungere un dominio alla directory di sistema o eliminare il dominio di sistema. Aggiungere nuovi attributi utente o rendere un attributo esistente obbligatorio o facoltativo. Se la directory locale non include ancora alcun utente, è possibile aggiungere nuovi attributi obbligatori o facoltativi e modificare gli attributi esistenti rendendoli obbligatori o facoltativi. Se sono già stati creati utenti nella directory locale, è possibile aggiungere solo attributi facoltativi e modificare gli attributi esistenti rendendoli da obbligatori a facoltativi. Non è possibile rendere obbligatorio un attributo facoltativo dopo aver creato gli utenti. VMware, Inc. 47

48 Amministrazione di VMware Identity Manager Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Poiché gli attributi utente vengono definiti a livello globale nel servizio VMware Identity Manager, ogni nuovo attributo aggiunto verrà incluso in tutte le directory nel servizio. Modificare l'ordine di visualizzazione degli attributi. 1 Fare clic sulla scheda Gestione identità e accessi. 2 Nella pagina Directory, fare clic sulla directory che si desidera modificare. 3 Modificare le impostazioni della directory locale. Opzione Azione Modificare il nome della directory a Nella scheda Impostazioni modificare il nome della directory. b Fare clic su Salva. Aggiungere, eliminare o rinominare un dominio Aggiungere attributi utente alla directory Rendere un attributo obbligatorio o facoltativo per la directory a b c d a b c a b c d Nella scheda Impostazioni modificare l'elenco Domini. Per aggiungere un dominio, fare clic sull'icona a forma di segno più verde. Per eliminare un dominio, fare clic sull'icona di eliminazione rossa. Per rinominare un dominio, modificare il nome del dominio nella casella di testo. Fare clic sulla scheda Gestione identità e accessi, quindi fare clic su Configura. Fare clic sulla scheda Attributi utente. Aggiungere attributi nell'elenco Aggiungere altri attributi da utilizzare e fare clic su Salva. Nella scheda Gestione identità e accessi, fare clic sulla scheda Directory. Fare clic sul nome della directory locale e sulla scheda Attributi utente. Selezionare la casella di controllo accanto a un attributo per renderlo obbligatorio oppure deselezionare la casella di controllo per renderlo facoltativo. Fare clic su Salva. Modificare l'ordine degli attributi a Nella scheda Gestione identità e accessi, fare clic sulla scheda Directory. b c d Fare clic sul nome della directory locale e sulla scheda Attributi utente. Fare clic sugli attributi e trascinarli nella nuova posizione. Fare clic su Salva. Eliminazione di una directory locale È possibile eliminare una directory locale creata nel servizio VMware Identity Manager. Non è invece consentito eliminare la directory di sistema, che viene creata per impostazione predefinita alla prima configurazione del servizio. Attenzione: Quando si elimina una directory dal servizio, vengono eliminati anche tutti gli utenti inclusi nella directory. 1 Fare clic sulla scheda Gestione identità e accessi, quindi fare clic sulla scheda Directory. 2 Fare clic sulla directory che si desidera eliminare. 48 VMware, Inc.

49 Capitolo 5 Utilizzo delle directory locali 3 Nella pagina della directory, fare clic su Elimina directory. Configurazione di un metodo di autenticazione per gli utenti amministratori di sistema Il metodo di autenticazione predefinito per gli amministratori di sistema che accedono dalla directory di sistema è Password (directory locale). Il criterio di accesso predefinito è configurato con Password (directory locale) come metodo di fallback in modo che gli amministratori possano accedere alla console di amministrazione di VMware Identity Manager e al portale Workspace ONE. Se si creano criteri di accesso per applicazioni Web e desktop specifiche per cui gli amministratori di sistema sono autorizzati, questi criteri devono essere configurati in modo da includere Password (directory locale) come metodo di autenticazione di fallback. In caso contrario, gli amministratori non possono accedere all'applicazione. VMware, Inc. 49

50 Amministrazione di VMware Identity Manager 50 VMware, Inc.

51 Provisioning utente Just-in-Time 6 Il provisioning utente Just-in-Time consente di creare dinamicamente gli utenti del servizio VMware Identity Manager in fase di accesso, utilizzando asserzioni SAML inviate da un provider di identità di terze parti. Il provisioning utente Just-in-Time è disponibile solo per provider di identità di terze parti. Non è disponibile per il connettore di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Informazioni sul provisioning utente Just-in-Time, pag. 51 Preparazione per il provisioning Just-in-Time, pag. 52 Configurazione del provisioning utente Just-in-Time, pag. 54 Requisiti per le asserzioni SAML, pag. 55 Disattivazione del provisioning utente Just-in-Time, pag. 55 Eliminazione di una directory Just-in-Time, pag. 56 Messaggi di errore, pag. 56 Informazioni sul provisioning utente Just-in-Time Il provisioning Just-in-Time fornisce un altro modo di eseguire il provisioning di utenti nel servizio VMware Identity Manager. Invece di sincronizzare gli utenti da un'istanza di Active Directory, con il provisioning Just-in-Time gli utenti vengono creati e aggiornati dinamicamente al loro accesso in base alle asserzioni SAML inviate dal provider di identità. In questo scenario, VMware Identity Manager funziona da provider di servizi SAML. La configurazione Just-in-Time può essere configurata solo per provider di identità di terze parti. Non è disponibile per il connettore. Con una configurazione Just-in-Time, non è necessario installare un connettore on-premise in quanto il processo di gestione e gestione di tutti gli utenti è gestito mediante asserzioni SAML e l'autenticazione è gestita dal provider di identità di terze parti. Creazione e gestione di utenti Se il provisioning Just-in-Time è abilitato, quando un utente passa alla pagina di accesso al servizio VMware Identity Manager e seleziona un dominio, sarà reindirizzato al provider di identità corretto. L'utente accede, viene autenticato e viene reindirizzato dal provider di identità al servizio VMware Identity Manager con una asserzione SAML. Gli attributi nell'asserzione SAML sono utilizzati per creare l'utente nel servizio. Sono utilizzati solo gli attributi che corrispondono agli attributi utente definiti nel servizio; altri attributi saranno ignorati. L'utente viene aggiunto anche ai gruppi basati sugli attributi e riceve i permessi impostati per tali gruppi. VMware, Inc. 51

52 Amministrazione di VMware Identity Manager Agli accessi successivi, se sono state apportate delle modifiche nell'asserzione SAML, l'utente sarà aggiornato nel servizio. Gli utenti sottoposti a provisioning Just-in-Time non possono essere eliminati. Per eliminare gli utenti, è necessario eliminare la directory Just-in-Time. Tenere presente che la gestione di tutti gli utenti viene condotta tramite le asserzioni SAML. Non è possibile creare o aggiornare questi utenti direttamente dal servizio. Gli utenti Just-in-Time non possono essere sincronizzati da Active Directory. Per informazioni sugli attributi richiesti nell'asserzione SAML, vedere Requisiti per le asserzioni SAML, pag. 55. Directory Just-in-Time Il provider di identità di terze parti deve avere una directory Just-in-Time associata nel servizio. Quando si abilita il provisioning Just-in-Time per un provider di identità, viene creata una nuova directory Just-in-Time e si specifica uno o più domini per tali directory. Gli utenti appartenenti a questi domini sono sottoposti a provisioning nella directory. Se per la directory sono configurati più domini, le asserzioni SAML devono includere un attributo di dominio. Se per la directory è configurato un singolo dominio, un attributo di dominio non è richiesto nelle asserzioni SAML ma se viene specificato, il suo valore deve corrispondere al nome del dominio. È possibile associare soltanto una directory, di tipo Just-in-Time, a un provider di identità che ha il provisioning Just-in-Time abilitato. Preparazione per il provisioning Just-in-Time Prima di configurare il provisioning dell'utente Just-in-Time, rivedere gruppi, permessi dei gruppi e impostazioni degli attributi utente, quindi apportare le modifiche necessarie. Individuare inoltre i domini che si desidera utilizzare per la directory Just-in-Time. Creazione di gruppi locali Gli utenti registrati tramite il provisioning Just-in-Time vengono aggiunti ai gruppi in base ai rispettivi attributi utente ed ereditano i permessi sulle risorse dai gruppi a cui appartengono. Prima di configurare il provisioning Just-in-Time, assicurarsi che vi siano gruppi locali nel servizio. Creare uno o più gruppi locali, in base alle esigenze. Per ogni gruppo, impostare le regole per l'appartenenza al gruppo e aggiungere i permessi. 1 Nella console di amministrazione, selezionare la scheda Utenti e gruppi. 2 Click Crea gruppo, specificare un nome e una descrizione per il gruppo e fare clic su Aggiungi. 3 Nella pagina Gruppi, fare clic sul nuovo gruppo. 4 Configurare gli utenti per il gruppo. a b Nel riquadro di sinistra, selezionare Utenti in questo gruppo. Fare clic su Modifica utenti in questo gruppo e impostare le regole di appartenenza al gruppo. 5 Aggiungere permessi al gruppo. a b c Nel riquadro di sinistra, selezionare Permessi. Fare clic su Aggiungi permessi e selezionare le applicazioni e il metodo di distribuzione per ogni applicazione. Fare clic su Salva. 52 VMware, Inc.

53 Capitolo 6 Provisioning utente Just-in-Time Revisione degli attributi dell'utente Rivedere gli attributi dell'utente impostati per tutte le directory di VMware Identity Manager nella pagina Attributi utente e modificarli, se necessario. Quando viene effettuato il provisioning di un utente tramite il provisioning Just-in-Time, l'asserzione SAML viene utilizzata per creare l'utente. Vengono utilizzati solo gli attributi nell'asserzione SAML corrispondenti a quelli elencati nella pagina Attributi utente. Importante: Se un attributo viene contrassegnato come obbligatorio nella pagina Attributi utente, l'asserzione SAML deve comprendere l'attributo, altrimenti l'accesso non viene effettuato. Quando si apportano modifiche agli attributi utente, considerare gli effetti su altre directory e configurazioni nel tenant. La pagina Attributi utente riguarda tutte le directory del tenant. Nota: Non è necessario contrassegnare come obbligatorio l'attributo domain. 1 Nella console di gestione, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Impostazione, quindi fare clic su Attributi utente. 3 Rivedere gli attributi e apportare le modifiche necessarie. VMware, Inc. 53

54 Amministrazione di VMware Identity Manager Configurazione del provisioning utente Just-in-Time È possibile configurare il provisioning utente Just-in-Time per un provider di identità di terze parti mentre si crea o si aggiorna il provider di identità nel servizio VMware Identity Manager. L'attivazione del provisioning Just-in-Time comporta la creazione di una nuova directory Just-in-Time e la definizione di uno o più domini associati. Alla directory vengono aggiunti gli utenti che appartengono a questi domini. È necessario specificare almeno un dominio. Il nome del dominio deve essere univoco tra tutte le directory del servizio VMware Identity Manager. Se si specificano più domini, le dichiarazioni SAML devono includere l'attributo di dominio. Se si specifica un unico dominio, questo viene utilizzato come dominio per le dichiarazioni SAML senza un attributo di dominio. Se viene specificato un attributo di dominio, il suo valore deve corrispondere a uno dei domini, altrimenti l'accesso avrà esito negativo. 1 Accedere alla console di amministrazione del servizio VMware Identity Manager. 2 Fare clic sulla scheda Gestione identità e accessi e quindi su Provider di identità. 3 Fare clic su Aggiungi provider di identità o selezionare un provider di identità. 4 Nella sezione Provisioning utente Just-in-Time, fare clic su Attiva. 5 Immettere le informazioni seguenti. Un nome per la nuova directory Just-in-Time. Uno o più domini. Importante: I nomi dei domini devono essere univoci tra tutte le directory nel tenant. Ad esempio: 6 Completare il resto della pagina e fare clic su Aggiungi o su Salva. Per informazioni, vedere Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti, pag VMware, Inc.

55 Capitolo 6 Provisioning utente Just-in-Time Requisiti per le asserzioni SAML Quando per un provider di identità di terze parti è abilitato il provisioning utente Just-in-Time, gli utenti vengono creati o aggiornati nel servizio VMware Identity Manager durante l'accesso basato sulle asserzioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi. L'asserzione SAML deve includere l'attributo username. L'asserzione SAML deve includere tutti gli attributi utente che sono contrassegnati come richiesti nel servizio VMware Identity Manager. Per visualizzare o modificare gli attributi utente nella console di amministrazione, dalla scheda Gestione identità e accessi fare clic su Configura quindi selezionare Attributi utente. Importante: Assicurarsi che le chiavi nell'asserzione SAML corrispondano esattamente ai nomi degli attributi, compreso il formato maiuscolo/minuscolo. Se si stanno configurando più domini per la directory Just-in-Time, l'asserzione SAML deve includere l'attributo domain. Il valore dell'attributo deve corrispondere a uno dei domini configurati per la directory. Se il valore non corrisponde o se non viene specificato alcun dominio, l'accesso non riesce. Se si sta configurando un singolo dominio per la directory Just-in-Time, la specifica dell'attributo domain nell'asserzione SAML è facoltativa. Se si specifica l'attributo domain, assicurarsi che il suo valore corrisponda al dominio configurato per la directory. Se l'asserzione SAML non contiene un attributo del dominio, l'utente sarà associato al dominio configurato per la directory. Se si desidera consentire gli aggiornamenti ai nomi degli utenti, includere l'attributo ExternalId nell'asserzione SAML. L'utente è identificato dal ExternalId. Se, a un accesso successivo, l'asserzione SAML contiene un nome utente differente, l'utente sarà comunque identificato correttamente, potrà accedere e il nome utente sarà aggiornato nel servizio Identity Manager. Gli attributi dall'asserzione SAML sono utilizzati per creare o aggiornare gli utenti come riportato di seguito. Sono utilizzati gli attributi richiesti o facoltativi nel servizio Identity Manager (come riportato sulla pagina Attributi utente). Gli attributi che non corrispondono ad alcun attributo sulla pagina Attributi utente saranno ignorati. Gli attributi senza un valore vengono ignorati. Disattivazione del provisioning utente Just-in-Time È possibile disattivare il provisioning utente Just-in-Time. Quando l'opzione è disabilitata non vengono creati nuovi utenti e quelli esistenti non vengono aggiornati durante l'accesso. L'autenticazione degli utenti esistenti da parte del provider identità continua a essere effettuata. 1 Nella console di amministrazione, scegliere la scheda Gestione identità e accessi e fare clic su Provider di identità. 2 Fare clic sul provider di identità da modificare. 3 Nella sezione Provisioning utente Just-in-Time, deselezionare la casella di controllo Attiva. VMware, Inc. 55

56 Amministrazione di VMware Identity Manager Eliminazione di una directory Just-in-Time Una directory Just-in-Time è una directory associata a un provider di identità di terze parti in cui è abilitato il provisioning utente Just-in-Time. Quando si elimina la directory, tutti gli utenti presenti nella directory vengono eliminati e la configurazione Just-in-Time viene disabilitata. Poiché un provider di identità Just-in- Time può avere una sola directory, se si elimina quest'ultima non sarà più possibile utilizzare il provider di identità. Per riattivare la configurazione Just-in-Time per il provider di identità, è necessario creare una nuova directory. 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Selezionare la directory da eliminare all'interno della pagina Directory. La colonna Tipo consente di identificare quali sono le directory Just-in-Time. 3 Fare clic sul nome della directory. 4 Fare clic su Elimina directory. Messaggi di errore Gli amministratori o gli utenti finali possono visualizzare gli errori correlati al provisioning Just-in-Time. Ad esempio, se un attributo richiesto non è presente nell'asserzione SAML, si verifica un errore e l'utente non può accedere. I seguenti errori possono essere restituiti nella console di amministrazione: 56 VMware, Inc.

57 Capitolo 6 Provisioning utente Just-in-Time Messaggio di errore Se il provisionin utente JIT è abilitato, almeno una directory deve essere associata al provider di identità. Soluzione Non esiste alcuna directory associata al provider di identità. Un provider di identità con l'opzione di provisioning Just-in-Time abilitata deve avere una directory Just-in-Time associata. 1 Nella scheda Gestione identità e accessi nella console di amministrazione, fare clic su Provider di identità e selezionare il provider. 2 Nella sezione Provisioning utente Just-in-Time specificare il nome di una directory e uno o più domini. 3 Fare clic su Salva. Verrà creata una directory Just-in-Time. I seguenti errori possono essere restituiti sulla pagina di accesso: Messaggio di errore Attributo utente mancante: nome. Il dominio è mancante e non può essere determinato. Nome attributo: nome, valore: valore. Impossibile creare o aggiornare un utente JIT. Soluzione Un attributo utente richiesto non è presente nell'asserzione SAML inviata dal provider di identità di terze parti. Tutti gli attributi contrassegnati richiesti nella pagina Attributi utente devono essere inclusi nell'asserzione SAML. Modificare le impostazioni del provider di identità di terze parti per inviare le asserzioni SAML corrette. L'asserzione SAML non include l'attributo del dominio e il dominio non può essere determinato. Un attributo di dominio è necessario nei seguenti casi: Se più domini sono configurati per la directory Just-in- Time. Se il dominio è contrassegnato come attributo richiesto sulla pagina Attributi utente. Se viene specificato un attributo di dominio, il suo valore deve corrispondere a uno dei domini specificati per la directory. Modificare le impostazioni del provider di identità di terze parti per inviare le asserzioni SAML corrette. L'attributo nell'asserzione SAML non corrisponde ad alcuno degli attributi sulla pagina Attributi utente nel tenant e sarà ignorato. L'utente non è stato creato nel servizio. Tra le cause possibili vi sono: Un attributo richiesto non è presente nell'asserzione SAML. Rivedere gli attributi sulla pagina Attributi utente e verificare che l'asserzione SAML includa tutti gli attributi contrassegnati come obbligatori. Il dominio per l'utente non è stato determinato. Specificare l'attributo di dominio nell'asserzione SAML e assicurarsi che il suo valore corrisponda a uno dei domini configurati per la directory Just-in-Time. VMware, Inc. 57

58 Amministrazione di VMware Identity Manager 58 VMware, Inc.

59 Configurazione dell'autenticazione 7 utente in VMware Identity Manager VMware Identity Manager supporta più metodi di autenticazione. È possibile configurare un singolo metodo di autenticazione e impostare l'autenticazione concatenata a due fattori. È inoltre possibile utilizzare un metodo di autenticazione esterno per i protocolli RADIUS e SAML. L'istanza del provider di identità utilizzato con il servizio VMware Identity Manager crea un'autorità di federazione in rete che comunica con il servizio mediante le asserzioni SAML 2.0. Quando si distribuisce inizialmente il servizio VMware Identity Manager, il connettore sarà il provider di identità iniziale per il servizio. L'infrastruttura di Active Directory viene utilizzata per l'autenticazione e la gestione degli utenti. Sono supportati i metodi di autenticazione descritti di seguito. È possibile configurare questi metodi di autenticazione dalla console di amministrazione. Metodi di autenticazione Password (distribuzione onpremise) Kerberos per desktop Certificato (distribuzione onpremise) RSA SecurID (distribuzione onpremise) RADIUS (distribuzione onpremise) Descrizione Senza alcuna configurazione supplementare dopo la configurazione di Active Directory, VMware Identity Manager supporta l'autenticazione tramite password di Active Directory. Questo metodo autentica gli utenti direttamente con Active Directory. L'autenticazione Kerberos fornisce agli utenti del dominio un accesso Single Sign-In al loro portale di app. Una volta registrati sulla rete, gli utenti non dovranno accedere di nuovo al portale delle app. È possibile configurare due metodi di autenticazione Kerberos: l'autenticazione Kerberos per desktop con l'autenticazione integrata di Windows e l'autenticazione Kerberos integrata per dispositivi mobili ios 9 quando viene configurata una relazione sicura tra Active Directory e AirWatch. È possibile configurare l'autenticazione basata su certificato per consentire ai client di autenticarsi con i certificati sul desktop e sui dispositivi mobili o di utilizzare una scheda smart card per l'autenticazione. L'autenticazione basata su certificato si basa sui dati a disposizione dell'utente e sulle sue conoscenze. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Quando si configura l'autenticazione RSA SecurID, VMware Identity Manager viene configurato come agente di autenticazione nel server RSA SecurID. L'autenticazione RSA SecurID richiede che gli utenti utilizzino un sistema di autenticazione basato su token. RSA SecurID è un metodo di autenticazione per gli utenti che accedono a VMware Identity Manager dall'esterno della rete aziendale. L'autenticazione RADIUS offre opzioni di autenticazione a due fattori. Richiede la configurazione del server RADIUS che è accessibile per il servizio VMware Identity Manager. Quando gli utenti eseguono l'accesso con il proprio nome utente e il proprio passcode, al server RADIUS viene inviata una richiesta di accesso per l'autenticazione. VMware, Inc. 59

60 Amministrazione di VMware Identity Manager Metodi di autenticazione Autenticazione adattiva RSA (distribuzione onpremise) Mobile SSO (per ios) Mobile SSO (per Android) Password (AirWatch Connector) VMware Verify Password (directory locale) Descrizione L'autenticazione RSA offre un'autenticazione a più fattori di livello superiore rispetto all'autenticazione basata solo sul nome utente e sulla password di Active Directory. Quando è abilitata l'autenticazione RSA, gli indicatori di rischio specificati nei criteri di rischio vengono impostati nell'applicazione Gestione criteri RSA. La configurazione del servizio VMware Identity Manager dell'autenticazione adattiva è utilizzata per determinare le richieste di autenticazione necessarie. L'autenticazione Mobile SSO per ios è utilizzata per l'autenticazione SSO (Single Sign-On) per i dispositivi ios gestiti da AirWatch. L'autenticazione Mobile SSO (per ios) utilizza un Centro distribuzione chiavi che fa parte del servizio Identity Manager. È necessario iniziare il servizio Centro distribuzione chiavi nel servizio VMware Identity Manager prima di abilitare questo metodo di autenticazione. L'autenticazione Mobile SSO per Android è utilizzata per l'autenticazione SSO (Single Sign-On) per i dispositivi Android gestiti da AirWatch. Per recuperare il certificato da AirWatch per l'autenticazione, è configurato un servizio proxy tra il servizio VMware Identity Manager e AirWatch. AirWatch Cloud Connector può essere integrato con il servizio VMware Identity Manager per l'autenticazione delle password utente. Il servizio VMware Identity Manager viene configurato per sincronizzare gli utenti dalla directory AirWatch. VMware Verify può essere utilizzato come secondo metodo di autenticazione nel caso in cui sia necessaria un'autenticazione a due fattori. Il primo metodo di autenticazione è costituito da nome utente e password, mentre il secondo è una richiesta di approvazione o un codice di VMware Verify. VMware Verify utilizza un servizio cloud di terze parti per fornire questa funzionalità ai dispositivi dell'utente. A tale scopo, le informazioni relative all'utente, come nome, e numero di telefono vengono memorizzate nel servizio, ma non vengono utilizzate per alcuno scopo che non sia quello di fornire la funzionalità. Il metodo Password (directory locale) è abilitato per impostazione predefinita per il provider di identità System-IDP utilizzato con la directory di sistema. Viene applicato al criterio di accesso predefinito. Una volta configurati i metodi di autenticazione, vengono create le regole dei criteri che specificano i metodi da utilizzare in base al tipo di dispositivo. Gli utenti vengono autenticati in base ai metodi di autenticazione, alle regole dei criteri di accesso predefiniti, agli intervalli di rete e all'istanza del provider di identità configurati. Vedere Gestione dei metodi di autenticazione da applicare agli utenti, pag. 81. Questo capitolo include i seguenti argomenti: Configurazione di Kerberos per VMware Identity Manager, pag. 61 Configurazione di SecurID per VMware Identity Manager, pag. 65 Configurazione di RADIUS per VMware Identity Manager, pag. 67 Configurazione dell'autenticazione adattiva RSA in VMware Identity Manager, pag. 69 Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager, pag. 72 Configurazione di VMware Verify per l'autenticazione a due fattori, pag. 75 Configurazione di un provider di identità integrato, pag. 77 Configurazione di provider di identità Workspace aggiuntivi, pag. 79 Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti, pag. 80 Gestione dei metodi di autenticazione da applicare agli utenti, pag VMware, Inc.

61 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Configurazione di Kerberos per VMware Identity Manager Grazie all'autenticazione Kerberos, gli utenti che hanno effettuato l'accesso al loro dominio, possono accedere al proprio portale di app senza dover immettere altre credenziali. È possibile configurare il protocollo di autenticazione Kerberos nel servizio di Identity Manager per i desktop con autenticazione integrata di Windows per proteggere le interazioni tra i browser degli utenti e il servizio Identity Manager e per il Single Sign-In one-touch in dispositivi mobili ios 9 gestiti in AirWatch. Per informazioni sull'autenticazione Kerberos su dispositivi ios 9, vedere Implementazione dell'autenticazione SSO mobile per dispositivi ios gestiti da AirWatch, pag Implementazione di Kerberos per i desktop con l'autenticazione integrata di Windows Per impostare l'autenticazione Kerberos per i desktop, abilitare l'autenticazione integrata di Windows per consentire al protocollo Kerberos di proteggere le interazioni tra i browser degli utenti e il servizio di Identity Manager. Quando l'autenticazione Kerberos è attivata per i desktop, il servizio di Identity Manager convalida le credenziali del desktop dell'utente utilizzando ticket Kerberos distribuiti dal Centro distribuzione chiavi implementato come servizio di dominio in Active Directory. Non occorre configurare direttamente Active Directory per rendere operativo Kerberos nella propria distribuzione. È necessario configurare i browser Web degli utenti finali per l'invio delle credenziali Kerberos al servizio quando gli utenti effettuano l'accesso. Vedere Configurazione del browser per Kerberos, pag. 62. Configurazione dell'autenticazione Kerberos per desktop con autenticazione integrata di Windows Per configurare il servizio VMware Identity Manager in modo che fornisca l'autenticazione Kerberos per i desktop, è necessario accedere al dominio e abilitare tale autenticazione nel connettore VMware Identity Manager. 1 Nella scheda Gestione accesso e identità della console di amministrazione selezionare Impostazione. 2 Nella pagina Connettori, per il connettore che si sta configurando per l'autenticazione Kerberos, fare clic su Aggiungi a dominio. 3 Nella pagina Aggiungi a dominio immettere le informazioni del dominio Active Directory. Opzione Dominio Utente di dominio Password di dominio Descrizione Specificare il nome di dominio completo di Active Directory. Il nome di dominio immesso deve essere lo stesso nome di dominio Windows del server del connettore. Immettere il nome utente di un account dell'istanza di Active Directory che dispone delle autorizzazioni necessarie per aggiungere sistemi a tale dominio Active Directory. Immettere la password associata al nome utente AD. Tale password non viene archiviata da VMware Identity Manager. Fare clic su Salva. La pagina Aggiungi a dominio viene aggiornata e visualizza un messaggio per comunicare l'aggiunta dell'utente al dominio. 4 Nella colonna Worker del connettore fare clic su Schede di autenticazione. VMware, Inc. 61

62 Amministrazione di VMware Identity Manager 5 Fare clic su KerberosIdpAdapter. Si verrà reindirizzati alla pagina di accesso di Identity Manager. 6 Fare clic su Modifica nella riga KerberosldpAdapter e configurare la pagina di autenticazione di Kerberos. Opzione Nome Attributo UID di directory Abilita autenticazion e di Windows Abilita NTLM Abilita reindirizzame nto Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è KerberosIdpAdapter, ma è possibile modificarlo. Immettere l'attributo dell'account contenente il nome utente. Selezionare questa opzione per estendere le interazioni di autenticazione tra i browser degli utenti e VMware Identity Manager. Selezionare questa opzione per abilitare l'autenticazione basata sul protocollo NTLM (NT LAN Manager) solo se l'infrastruttura di Active Directory utilizza l'autenticazione NTLM. Selezionare questa opzione se DNS round robin e i bilanciamenti del carico non dispongono del supporto Kerberos. Le richieste di autenticazione vengono reindirizzate a Reindirizza nome host. Se questa opzione è selezionata, immettere il nome host di reindirizzamento nella casella di testo Reindirizza nome host. Generalmente si tratta del nome host del servizio. 7 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione al criterio di accesso predefinito. Passare alla pagina Gestione accesso e identità > Gestione > Criteri e modificare le regole dei criteri predefinite per aggiungere il metodo di autenticazione Kerberos alla regola nell'ordine di autenticazione corretto. Configurazione del browser per Kerberos Quando si attiva Kerberos, è necessario configurare i browser Web per l'invio delle credenziali Kerberos al servizio quando gli utenti effettuano l'accesso. L'invio delle credenziali Kerberos al servizio Identity Manager può essere configurato sui seguenti browser Web in computer che eseguono Windows: Firefox, Internet Explorer e Chrome. Tutti i browser richiedono una configurazione aggiuntiva. Configurazione di Internet Explorer per l'accesso all'interfaccia Web Se Kerberos è configurato per la distribuzione e si desidera concedere agli utenti l'accesso all'interfaccia Web tramite il browser Internet Explorer, è necessario configurare tale browser. L'autenticazione Kerberos funziona in combinazione con VMware Identity Manager nei sistemi operativi Windows. Nota: non implementare questi passaggi relativi a Kerberos su altri sistemi operativi. Prerequisiti Configurare il browser Internet Explorer per ogni utente oppure fornire agli utenti le istruzioni necessarie dopo aver configurato Kerberos. 1 Verificare di aver eseguito l'accesso a Windows come utente del dominio. 62 VMware, Inc.

63 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager 2 In Internet Explorer abilitare l'accesso automatico. a b c d Selezionare Strumenti > Opzioni Internet > Sicurezza. Fare clic su Livello personalizzato. Selezionare Accesso automatico solo nell'area Intranet. Fare clic su OK. 3 Verificare che questa istanza dell'appliance virtuale del connettore faccia parte dell'area Intranet locale. a b Utilizzare Internet Explorer per accedere all'url di accesso di VMware Identity Manager all'indirizzo Individuare l'area nell'angolo in basso a destra della barra di stato della finestra del browser. Se l'area è Intranet locale, la configurazione di Internet Explorer è stata completata. 4 Se l'area non è Intranet locale, aggiungere l'url di accesso di VMware Identity Manager all'area Intranet. a b Selezionare Strumenti > Opzioni Internet > Sicurezza > Intranet locale > Siti. Selezionare Rileva automaticamente rete Intranet. Se questa opzione non è selezionata, potrebbe essere sufficiente selezionarla per aggiungere all'area Intranet. c d (Facoltativo) Se è stata selezionata l'opzione Rileva automaticamente rete Intranet, fare clic su OK finché tutte le finestre di dialogo non verranno chiuse. Nella finestra di dialogo Intranet locale, fare clic su Avanzate. Verrà visualizzata una seconda finestra di dialogo Intranet locale. e Immettere l'url di VMware Identity Manager nella casella di testo Aggiungi il sito Web all'area. f Fare clic su Aggiungi > Chiudi > OK. 5 Verificare che Internet Explorer sia in grado di passare l'autenticazione Windows al sito attendibile. a b Nella finestra di dialogo Opzioni Internet fare clic sulla scheda Avanzate. Selezionare Abilita autenticazione di Windows integrata. Questa opzione diventerà effettiva solo dopo il riavvio di Internet Explorer. c Fare clic su OK. 6 Accedere all'interfaccia Web per verificare l'accesso. Se l'autenticazione Kerberos riesce, l'url di test si connette all'interfaccia Web. Il protocollo Kerberos protegge tutte le interazioni tra questa istanza del browser Internet Explorer e VMware Identity Manager. Gli utenti possono ora utilizzare l'accesso Single Sign-On per accedere al proprio portale Workspace ONE. Configurazione di Firefox per l'accesso all'interfaccia Web Se Kerberos è configurato per la distribuzione e si desidera concedere agli utenti l'accesso all'interfaccia Web tramite il browser Firefox, è necessario configurare tale browser. L'autenticazione Kerberos funziona in combinazione con VMware Identity Manager nei sistemi operativi Windows. VMware, Inc. 63

64 Amministrazione di VMware Identity Manager Prerequisiti Configurare il browser Firefox per ogni utente oppure fornire agli utenti le istruzioni necessarie dopo aver configurato Kerberos. 1 Nella casella di testo URL del browser Firefox immettere about:config per accedere alle impostazioni avanzate. 2 Fare clic su Farò attenzione, prometto. 3 Fare doppio clic su network.negotiate-auth.trusted-uris nella colonna Nome Parametro. 4 Immettere l'url di VMware Identity Manager nella casella di testo. 5 Fare clic su OK. 6 Fare doppio clic su network.negotiate-auth.delegation-uris nella colonna Nome Parametro. 7 Immettere l'url di VMware Identity Manager nella casella di testo. 8 Fare clic su OK. 9 Verificare la funzionalità di Kerberos utilizzando il browser Firefox per accedere all'url di accesso di. Ad esempio, Se l'autenticazione Kerberos riesce, l'url di test si connette all'interfaccia Web. Il protocollo Kerberos protegge tutte le interazioni tra questa istanza del browser Firefox e VMware Identity Manager. Gli utenti possono ora utilizzare l'accesso Single Sign-On per accedere al proprio portale Workspace ONE. Configurazione del browser Chrome per l'accesso all'interfaccia Web Se Kerberos è configurato per la distribuzione e si desidera concedere agli utenti l'accesso all'interfaccia Web tramite il browser Chrome, è necessario configurare tale browser. L'autenticazione Kerberos funziona in combinazione con VMware Identity Manager nei sistemi operativi Windows. Nota: Non implementare questi passaggi relativi a Kerberos in altri sistemi operativi. Prerequisiti Configurare Kerberos. Poiché Chrome utilizza la configurazione di Internet Explorer per abilitare l'autenticazione Kerberos, è necessario configurare Internet Explorer per consentire a Chrome di utilizzare la configurazione di Internet Explorer. Per informazioni su come configurare Chrome per l'autenticazione Kerberos, vedere la documentazione di Google. 1 Verificare la funzionalità di Kerberos utilizzando il browser Chrome. 2 Accedere a VMware Identity Manager da Se l'autenticazione Kerberos riesce, l'url di test si connette all'interfaccia Web. 64 VMware, Inc.

65 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Se tutte le configurazioni relative a Kerberos sono corrette, il relativo protocollo (Kerberos) protegge tutte le interazioni tra questa istanza del browser Chrome e VMware Identity Manager. Gli utenti possono ora accedere tramite Single Sign-On al proprio portale Workspace ONE. Configurazione di SecurID per VMware Identity Manager Quando si configura il server di RSA SecurID, è necessario aggiungere le informazioni sul servizio VMware Identity Manager come agente di autenticazione sul server di RSA SecurID e configurare le informazioni del server di RSA SecurID sul servizio VMware Identity Manager. Quando si configura SecurID per offrire sicurezza aggiuntiva, è necessario accertarsi che la rete sia correttamente configurata per la propria distribuzione di VMware Identity Manager. In modo specifico per SecurID, è necessario che sia aperta la porta giusta affinché SecurID possa autenticare gli utenti all'esterno della rete. Dopo aver eseguito la configurazione guidata di VMware Identity Manager e configurato la connessione di Active Directory, tutte le informazioni necessarie per preparare il server di RSA SecurID sono disponibili. Dopo aver preparato il server di RSA SecurID per VMware Identity Manager, è possibile abilitare SecurID nella console di amministrazione. Preparazione del server RSA SecurID pag. 65 Il server RSA SecurID deve essere configurato come agente di autenticazione con informazioni sull'appliance VMware Identity Manager. Le informazioni richieste sono il nome host e gli indirizzi IP delle interfacce di rete. Configurazione dell'autenticazione RSA SecurID pag. 66 Dopo aver configurato l'appliance VMware Identity Manager come agente di autenticazione nel server RSA SecurID, è necessario aggiungere le informazioni di configurazione RSA SecurID al connettore. Preparazione del server RSA SecurID Il server RSA SecurID deve essere configurato come agente di autenticazione con informazioni sull'appliance VMware Identity Manager. Le informazioni richieste sono il nome host e gli indirizzi IP delle interfacce di rete. Prerequisiti Verificare che una delle versioni di RSA Authentication Manager seguenti sia installata e funzionante nella rete aziendale: RSA AM 6.1.2, 7.1 SP2 o versioni successive e 8.0 o versioni successive. Il server VMware Identity Manager utilizza AuthSDK_Java_v _03_11_03_16_51 (Agent API 8.1 SP1), che supporta solo le versioni precedenti di RSA Authentication Manager (il server RSA SecurID). Per informazioni sull'installazione e la configurazione di RSA Authentication Manager (server RSA SecurID), vedere la documentazione relativa a RSA. 1 Su una versione supportata del server RSA SecurID, aggiungere il connettore VMware Identity Manager come agente di autenticazione. Immettere le informazioni seguenti. Opzione Nome host Indirizzo IP Indirizzo IP alternativo Descrizione Il nome host di VMware Identity Manager. L'indirizzo IP di VMware Identity Manager. Se il traffico proveniente dal connettore passa attraverso un dispositivo NAT (Network Address Translation) per raggiungere il server RSA SecurID, immettere l'indirizzo IP privato dell'appliance. VMware, Inc. 65

66 Amministrazione di VMware Identity Manager 2 Scaricare il file di configurazione compresso ed estrarre il file sdconf.rec. Prepararsi a caricare questo file successivamente quando si configura RSA SecurID in VMware Identity Manager. Passi successivi Passare alla console di amministrazione e nelle pagine Impostazione della scheda Gestione accesso e identità selezionare il connettore, quindi nella pagina AuthAdapters configurare SecurID. Configurazione dell'autenticazione RSA SecurID Dopo aver configurato l'appliance VMware Identity Manager come agente di autenticazione nel server RSA SecurID, è necessario aggiungere le informazioni di configurazione RSA SecurID al connettore. Prerequisiti Verificare che RSA Authentication Manager (il server RSA SecurID) sia installato e configurato correttamente. Scaricare il file compresso dal server RSA SecurID ed estrarre il file di configurazione del server. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella pagina Connettori selezionare il collegamento Worker del connettore che si sta configurando con RSA SecurID. 3 Fare clic su Schede di autenticazione e quindi su SecurIDldpAdapter. Si verrà reindirizzati alla pagina di accesso di Identity Manager. 4 Nella riga SecurIDldpAdapter della pagina Schede di autenticazione fare clic su Modifica. 5 Configurare la pagina Scheda di autenticazione SecurID. A tale scopo, è necessario specificare le informazioni utilizzate e i file generati sul server RSA SecurID. Opzione Nome Abilita SecurID Numero di tentativi di autenticazion e consentiti Indirizzo connettore Indirizzo IP agente Azione L'immissione del nome è obbligatoria. Il nome predefinito è SecurIDldpAdapter, ma è possibile modificarlo. Selezionare questa casella per abilitare l'autenticazione SecurID. Immettere il numero massimo di tentativi di accesso non riusciti consentiti quando si utilizza il token RSA SecurID. Il valore predefinito è cinque tentativi. Nota: Se sono configurate più directory e si implementa l'autenticazione RSA SecurID con directory aggiuntive, in Numero di tentativi di autenticazione consentiti specificare lo stesso valore per ogni configurazione RSA SecurID. Se il valore non è lo stesso, l'autenticazione SecurID non riesce. Immettere l'indirizzo IP dell'istanza del connettore. Il valore immesso deve corrispondere al valore utilizzato quando è stata aggiunta l'appliance del connettore come agente di autenticazione al server RSA SecurID. Se al prompt dell'indirizzo IP alternativo del server RSA SecurID è stato assegnato un valore, immettere tale valore come indirizzo IP del connettore. Se non è stato assegnato alcun indirizzo IP alternativo, immettere il valore assegnato al prompt dell'indirizzo IP. Immettere il valore assegnato al prompt dell'indirizzo IP nel server RSA SecurID. 66 VMware, Inc.

67 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Opzione Configurazio ne server Segreto nodo Azione Caricare il file di configurazione del server RSA SecurID. Scaricare innanzitutto il file compresso dal server RSA SecurID ed estrarre il file di configurazione del server, che per impostazione predefinita è denominato sdconf.rec. Se si lascia vuoto il campo del segreto del nodo si consente la generazione automatica del segreto del nodo. È consigliabile cancellare il file del segreto del nodo sul server RSA SecurID e non caricarlo intenzionalmente. Verificare che il file del segreto del nodo sul server RSA SecurID e sull'istanza del connettore server corrispondano sempre. Se si modifica il segreto del nodo in una posizione, modificarlo anche nell'altra posizione. 6 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione al criterio di accesso predefinito. Passare alla pagina Gestione identità e accessi > Gestisci > Criteri e modificare le regole del criterio predefinito per aggiungere il metodo di autenticazione SecurID alla regola. Vedere Gestione dei metodi di autenticazione da applicare agli utenti, pag. 81. Configurazione di RADIUS per VMware Identity Manager È possibile configurare VMware Identity Manager in modo da richiedere agli utenti l'utilizzo dell'autenticazione RADIUS (Remote Authentication Dial-In User Service). Le informazioni sul server RADIUS vengono configurate nel servizio VMware Identity Manager. Il supporto RADIUS offre un'ampia gamma di opzioni alternative di autenticazione a due fattori basate su token. Poiché le soluzioni di autenticazione a due fattori, come RADIUS, interagiscono con i manager di autenticazione installati su server separati, è necessario che il server RADIUS sia configurato e accessibile per il servizio Identity Manager. Quando gli utenti accedono al proprio portale Workspace ONE e l'autenticazione RADIUS è abilitata, nel browser viene visualizzata una finestra di dialogo di login speciale. Gli utenti immettono il nome utente e il passcode di autenticazione RADIUS nella finestra di dialogo di accesso. Se il server RADIUS genera una verifica dell'accesso, il servizio Identity Manager visualizza una finestra di dialogo in cui viene richiesto un secondo passcode. Attualmente il supporto per le verifiche RADIUS si limita alla richiesta dell'input di testo. Dopo che un utente ha immesso le credenziali nella finestra di dialogo, il server RADIUS può inviare al telefono cellulare dell'utente un SMS, un' o un testo basato su un altro meccanismo fuori banda, insieme a un codice. L'utente può immettere questo testo e il codice nella finestra di dialogo di accesso per completare l'autenticazione. Se il server RADIUS consente di importare gli utenti da Active Directory, agli utenti finali potrebbe essere innanzitutto richiesto di fornire le credenziali di Active Directory prima del nome utente e del passcode di autenticazione di RADIUS. Preparazione del server RADIUS Impostare il server RADIUS e quindi configurarlo affinché accetti richieste RADIUS provenienti dal servizio VMware Identity Manager. Consultare la guida alla configurazione del vendor del server RADIUS utilizzato per informazioni sulla sua impostazione. Annotare le informazioni di configurazione RADIUS poiché dovranno essere utilizzate nella configurazione di RADIUS nel servizio. Per visualizzare il tipo di informazioni RADIUS necessarie per configurare VMware Identity Manager, consultare Configurazione dell'autenticazione RADIUS in VMware Identity Manager, pag. 68. VMware, Inc. 67

68 Amministrazione di VMware Identity Manager È possibile impostare un server di autenticazione Radius secondario da utilizzare per garantire l'alta disponibilità. Se il server RADIUS primario non risponde entro un tempo di server timeout configurato per l'autenticazione RADIUS, la richiesta viene reindirizzata al server secondario. Se il server primario non risponde, il server secondario riceverà tutte le richieste di autenticazione future. Configurazione dell'autenticazione RADIUS in VMware Identity Manager È possibile abilitare l'autenticazione RADIUS e configurare le impostazioni RADIUS nella console di amministrazione di VMware Identity Manager. Prerequisiti Installare e configurare il software RADIUS in un server di gestione dell'autenticazione. Per l'autenticazione RADIUS, seguire la documentazione di configurazione del fornitore. Per configurare RADIUS nel servizio, è necessario conoscere le seguenti informazioni sul server RADIUS. Indirizzo IP o nome DNS del server RADIUS. Numeri della porta di autenticazione. La porta di autenticazione è in genere la Tipo di autenticazione. I tipi di autenticazione includono PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versioni 1 e 2). Segreto condiviso RADIUS utilizzato per la crittografia e la decrittografia nei messaggi del protocollo RADIUS. Timeout e valori retry specifici necessari per l'autenticazione RADIUS. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella pagina Connettori selezionare il collegamento Worker del connettore che si sta configurando per l'autenticazione RADIUS. 3 Fare clic su Schede di autenticazione e quindi su RadiusAuthAdapter. Si verrà reindirizzati alla pagina di accesso di Identity Manager. 4 Fare clic su Modifica per configurare questi campi nella pagina Scheda di autenticazione. Opzione Nome Abilita scheda Radius Numero di tentativi di autenticazion e consentiti Numero di tentativi di accesso al server Radius Nome host/indirizzo server Radius Azione L'immissione del nome è obbligatoria. Il nome predefinito è RadiusAuthAdapter, ma è possibile modificarlo. Selezionare questa casella per abilitare l'autenticazione RADIUS. Immettere il numero massimo di tentativi di accesso non riusciti consentiti quando si utilizza RADIUS per accedere. Il valore predefinito è cinque tentativi. Specificare il numero totale di tentativi. Se il server primario non risponde, il servizio attende il tempo configurato prima di riprovare. Immettere il nome host o l'indirizzo IP del server RADIUS. 68 VMware, Inc.

69 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Opzione Porta di autenticazion e Porta di accounting Tipo di autenticazion e Segreto condiviso Timeout server in secondi Prefisso area di autenticazion e Suffisso area di autenticazion e Suggerimento passphrase pagina di accesso Azione Immettere il numero della porta di autenticazione Radius. In genere si tratta della porta Immettere 0 come numero di porta. La porta di accounting non viene utilizzata in questa fase. Immettere il protocollo di autenticazione supportato dal server RADIUS, scegliendo tra PAP, CHAP, MSCHAP1 o MSCHAP2. Immettere il segreto condiviso utilizzato tra il server RADIUS e il servizio VMware Identity Manager. Immettere il timeout del server RADIUS in secondi, al termine del quale viene eseguito un nuovo tentativo se il server RADIUS non risponde. (Facoltativo) La posizione dell'account utente è chiamata area di autenticazione. Se si specifica una stringa per il prefisso dell'area di autenticazione, tale stringa viene posizionata all'inizio del nome utente quando il nome viene inviato al server RADIUS. Se, ad esempio, si immette jdoe come nome utente e si specifica il prefisso dell'area di autenticazione DOMAIN-A\, al server RADIUS viene inviato il nome utente DOMAIN-A\jdoe. Se non si configurano questi campi, viene inviato solo il nome utente immesso. (Facoltativo) Se si specifica un suffisso dell'area di autenticazione, la stringa viene posizionata alla fine del nome utente. Se, ad esempio, il suffisso al server RADIUS viene inviato il nome utente jdoe@myco.com. Immettere la stringa di testo da visualizzare nel messaggio della pagina di accesso dell'utente per indicare agli utenti di immettere il passcode Radius corretto. Se, ad esempio, questo campo è configurato con Prima password AD, poi passcode SMS, il messaggio della pagina di accesso indica Immetti prima password AD, poi passcode SMS. La stringa di testo predefinita è Passcode RADIUS. 5 È possibile abilitare un server RADIUS secondario per la disponibilità elevata. Configurare il server secondario come descritto nel passaggio 4. 6 Fare clic su Salva. Passi successivi Aggiungere il metodo di autenticazione RADIUS al criterio di accesso predefinito. Passare alla pagina Gestione identità e accessi > Gestisci > Criteri e modificare le regole del criterio predefinito per aggiungere il metodo di autenticazione RADIUS alla regola. Vedere Gestione dei metodi di autenticazione da applicare agli utenti, pag. 81. Configurazione dell'autenticazione adattiva RSA in VMware Identity Manager È possibile implementare l'autenticazione adattiva RSA per offrire un'autenticazione a più fattori più solida rispetto al solo uso di nome utente e password per Active Directory. L'autenticazione adattiva monitora e autentica i tentativi di accesso degli utenti in base a livelli di rischio e criteri. Quando è attiva l'autenticazione adattiva, per determinare se un utente deve essere autenticato solo con nome utente e password o se occorrono altre informazioni, vengono utilizzati indicatori di rischio specificati nei criteri di rischio impostati nell'applicazione RSA Policy Management e nella configurazione dell'autenticazione adattiva di VMware Identity Manager. VMware, Inc. 69

70 Amministrazione di VMware Identity Manager Metodi di autenticazione adattiva RSA supportati I metodi di autenticazione adattiva RSA caratterizzati da grande solidità e supportati nel servizio VMware Identity Manager sono l'autenticazione fuori banda via telefono, o SMS e tramite domande di sicurezza. Attivare il metodo di autenticazione adattiva RSA che è possibile implementare. I criteri di autenticazione adattiva RSA determinano qual è il metodo di autenticazione secondario utilizzato. L'autenticazione fuori banda è un processo che richiede l'invio di una verifica aggiuntiva oltre all'immissione di nome utente e password. Quando gli utenti si registrano nel server di autenticazione adattiva RSA, forniscono il proprio indirizzo , un numero di telefono o entrambi, in base alla configurazione del server. Quando è richiesta una verifica aggiuntiva, il server di autenticazione adattiva RSA invia un codice d'accesso monouso tramite il canale fornito. Gli utenti immettono il codice di accesso insieme al nome utente e alla password. Con le domande di sicurezza, l'utente risponde a una serie di domande in fase di registrazione nel server di autenticazione adattiva RSA. È possibile configurare quante domande di registrazione chiedere e quante di sicurezza presentare nella pagina di accesso. Registrazione degli utenti con il server di autenticazione adattiva RSA L'utente deve essere registrato nel database di autenticazione adattiva RSA per poter utilizzare l'autenticazione adattiva. Gli utenti vengono aggiunti al database dell'autenticazione adattiva RSA quando accedono per la prima volta utilizzando il nome utente e la password. In base a come è stata configurata l'autenticazione adattiva RSA nel servizio, quando gli utenti accedono viene richiesta l'immissione di indirizzo , numero di telefono, numero di SMS o la definizione delle risposte alle domande di sicurezza. Nota: L'autenticazione adattiva RSA non consente di utilizzare caratteri internazionali nei nomi utente. Se si desidera utilizzare caratteri multibyte nei nomi utente, contattare il servizio di assistenza di RSA per sapere come configurare l'autenticazione adattiva RSA e RSA Authentication Manager. Configurazione dell'autenticazione adattiva RSA in Identity Manager Per configurare l'autenticazione adattiva RSA nel servizio, è sufficiente attivarla, selezionare i metodi di autenticazione adattiva da applicare e aggiungere il certificato e le informazioni di connessione di Active Directory. Prerequisiti Autenticazione adattiva RSA configurata correttamente con i metodi di autenticazione da utilizzare per l'autenticazione secondaria. Dettagli sull'indirizzo dell'endpoint SOAP e il nome utente SOAP. Informazioni di configurazione di Active Directory e certificato SSL di Active Directory disponibile. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella colonna Worker della pagina Connettore, selezionare il collegamento per il connettore che si sta configurando. 3 Fare clic su Adattatori autenticazione e quindi su RSAAAldpAdapter. Si verrà reindirizzati alla pagina dell'adattatore di autenticazione di Identity Manager. 4 Fare clic sul collegamento Modifica accanto a RSAAAldpAdapter. 70 VMware, Inc.

71 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager 5 Selezionare le impostazioni appropriate per il proprio ambiente. Nota: Un asterisco indica un campo obbligatorio. Gli altri campi sono facoltativi. Opzione *Nome Attiva adattatore RSA AA *Endpoint SOAP *Nome utente SOAP Dominio RSA Attiva OOB Attiva SMS OOB Attiva SecurID Attiva domanda segreta *Numero di domande di registrazione *Numero di domande da porre *Numero di tentativi di autenticazione consentiti Tipo di directory Porta server Host server Usa SSL Usa posizione servizio DNS Nome distinto di base Nome distinto di binding Password di binding Attributo di ricerca Certificato directory Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è RSAAAldpAdapter. ma è possibile modificarlo. Selezionare la casella di controllo per abilitare l'autenticazione adattiva RSA. Immettere l'indirizzo dell'endpoint SOAP per l'integrazione tra l'adattatore di autenticazione adattiva RSA e il servizio. Immettere il nome utente e la password utilizzati per firmare i messaggi SOAP. Immettere l'indirizzo del dominio del server di autenticazione adattiva. Selezionare questa casella di controllo per attivare l'autenticazione fuori banda che invia un passcode monouso all'utente finale tramite un messaggio . Selezionare questa casella di controllo per attivare l'autenticazione fuori banda che invia un passcode monouso all'utente finale tramite un SMS. Selezionare questa casella di controllo per attivare SecurID. Agli utenti viene chiesto di immettere il passcode e il token RSA. Selezionare questa casella di controllo se si intende utilizzare le domande di registrazione e verifica per l'autenticazione. Immettere il numero di domande che l'utente dovrà impostare per la registrazione nel server dell'adattatore di autenticazione. Immettere il numero di domande di verifica a cui gli utenti dovranno rispondere correttamente per eseguire il login. Immettere il numero che indica quante volte le domande di verifica verranno visualizzate per un utente che cerca di eseguire il login, prima che l'autenticazione abbia esito negativo. L'unica directory supportata è Active Directory. Immettere il numero di porta di Active Directory. Immettere il nome host di Active Directory. Selezionare questa casella di controllo se si utilizza SSL per la connessione della directory. Nel campo Certificato directory aggiungere il certificato SSL di Active Directory. Selezionare questa casella di controllo se per la connessione della directory viene utilizzata la posizione del servizio DNS. Immettere il DN da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com. Immettere l'account che può cercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com Immettere la password dell'account del nome distinto di binding. Immettere l'attributo dell'account contenente il nome utente. Per stabilire connessioni SSL sicure, aggiungere in questa casella di testo il certificato del server della directory. Nel caso siano presenti più server, aggiungere il certificato root dell'autorità di certificazione. 6 Fare clic su Salva. Passi successivi Attivare il metodo di autenticazione adattiva RSA nel provider di identità integrato dalla scheda Gestione identità e accessi > Gestione. Vedere Configurazione di un provider di identità integrato, pag. 77. VMware, Inc. 71

72 Amministrazione di VMware Identity Manager Aggiungere il metodo di autenticazione adattiva RSA ai criteri di accesso predefiniti. Passare alla pagina Gestione identità e accessi > Gestione > Criteri e modificare le regole dei criteri predefiniti per aggiungere l'autenticazione adattiva. Vedere Gestione dei metodi di autenticazione da applicare agli utenti, pag. 81. Configurazione di un certificato o di una scheda smart card da utilizzare con VMware Identity Manager È possibile configurare l'autenticazione del certificato x509 per consentire ai client di autenticarsi con i certificati sul proprio desktop e sui dispositivi mobili oppure di utilizzare una scheda smart card per l'autenticazione. L'autenticazione basata sul certificato cambia a seconda che l'utente disponga di una chiave privata o di una smart card e a seconda che conosca la password per la chiave privata o il PIN della smart card. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Con l'autenticazione della smart card, gli utenti si connettono alla smart card tramite il computer e immettono un PIN. I certificati smart card vengono copiati nell'archivio dei certificati locale sul computer dell'utente. I certificati nell'archivio dei certificati locale sono disponibili per tutti i browser in esecuzione sul computer dell'utente, con alcune eccezioni, e quindi anche per un'istanza di VMware Identity Manager nel browser. Nota: Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che VMware Identity Manager Connector sia configurato non per terminare SSL, ma per effettuare un pass-through SSL a livello del bilanciamento del carico. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore. Quando il bilanciamento del carico viene configurato per terminare SSL a livello del bilanciamento del carico, è possibile distribuire un secondo connettore dietro un altro bilanciamento del carico per supportare l'autenticazione del certificato. Vedere la guida per l'installazione e la configurazione di VMware Identity Manager per ulteriori informazioni su come aggiungere un secondo connettore. Uso del nome dell'entità utente per l'autenticazione del certificato È possibile utilizzare la mappatura del certificato in Active Directory. Gli accessi tramite certificato e smart card utilizzano il nome dell'entità utente (UPN) di Active Directory per convalidare gli account utente. Gli account Active Directory degli utenti che provano ad autenticarsi nel servizio VMware Identity Manager devono disporre di un nome UPN valido corrispondente al nome UPN del certificato. È possibile configurare il VMware Identity Manager per l'uso di un indirizzo con cui convalidare l'account utente se l'upn non esiste nel certificato. È anche possibile abilitare l'uso di un tipo di UPN alternativo. Autorità di certificazione richiesta per l'autenticazione Per abilitare l'accesso utilizzando l'autenticazione con certificato, i certificati root e i certificati intermedi devono essere caricati nel di VMware Identity Manager. I certificati vengono copiati nell'archivio certificati locale sul computer dell'utente. I certificati nell'archivio dei certificati locale sono disponibili per tutti i browser in esecuzione sul computer dell'utente, con alcune eccezioni, e quindi anche per un'istanza di VMware Identity Manager nel browser. Per l'autenticazione con smart card, quando un utente avvia una connessione all'istanza di VMware Identity Manager, il servizio VMware Identity Manager invia un elenco di autorità di certificazione (CA) attendibili al browser. Il browser analizza l'elenco di autorità di certificazione attendibili e lo confronta con i certificati utente disponibili, seleziona un certificato adatto e quindi richiede all'utente di inserire il PIN della smart card. Se sono disponibili più certificati utente validi, il browser richiede all'utente di selezionarne uno. 72 VMware, Inc.

73 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Se un utente non è in grado di eseguire l'autenticazione, è possibile che l'autorità di certificazione root e l'autorità di certificazione intermedia non siano configurate correttamente o che il servizio non sia stato riavviato dopo che le autorità di certificazione root e intermedia sono state caricate nel server. In questi casi, il browser non può mostrare i certificati installati, l'utente non può selezionare il certificato corretto e l'autenticazione con certificato non riesce. Utilizzo del controllo della revoca del certificato È possibile configurare il controllo della revoca del certificato per impedire l'autenticazione degli utenti il cui certificato è stato revocato. Spesso i certificati vengono revocati quando un utente abbandona un'organizzazione, perde una smart card o passa da un reparto all'altro. Sono supportati due tipi di controllo della revoca del certificato, ovvero tramite gli elenchi di revoche di certificati (CRL) e tramite il Protocollo di stato del certificato online (OCSP). Un CRL è un elenco di certificati revocati pubblicato dall'autorità di certificazione che ha emesso i certificati. OCSP è un protocollo di convalida del certificato utilizzato per ottenere lo stato di revoca di un certificato. È possibile configurare sia l'elenco CRL che il protocollo OCSP nella stessa configurazione della scheda di autenticazione del certificato. Quando si configurano entrambi i tipi di controllo della revoca del certificato e la casella di controllo Usa CRL in caso di errore OCSP è selezionata, viene controllato prima il protocollo OCSP e, in caso di esito negativo, il controllo della revoca viene affidato a CRL. In caso di esito negativo di CRL, il controllo della revoca non esegue il fallback a OCSP. Accesso con il controllo CRL Quando si abilita la revoca del certificato, il server VMware Identity Manager legge un CRL per stabilire lo stato della revoca di un certificato utente. Se un certificato risulta revocato, l'autenticazione tramite il certificato non riesce. Accesso con il controllo del certificato OCSP Quando si configura il controllo della revoca OCSP (Online Certificate Status Protocol), VMware Identity Manager invia una richiesta a un risponditore OCSP per stabilire lo stato della revoca di un certificato utente specifico. Il server VMware Identity Manager utilizza il certificato della firma OCSP per verificare che le risposte che riceve dal risponditore OCSP siano autentiche. Se il certificato risulta revocato, l'autenticazione non riesce. È possibile configurare l'autenticazione in modo che esegua il fallback al controllo CRL se non riceve alcuna risposta dal risponditore OSCP o se la risposta non è valida. Configurazione dell'autenticazione con certificato per VMware Identity Manager È possibile abilitare e configurare l'autenticazione dei certificati dalla console di amministrazione di VMware Identity Manager. Prerequisiti Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti. (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato. Per il controllo della revoca, la posizione del file del CRL e l'url del server OCSP. (Facoltativo) La posizione del file del certificato Firma risposta OCSP. Contenuto del modulo di consenso, se è visualizzato un modulo di consenso prima dell'autenticazione. VMware, Inc. 73

74 Amministrazione di VMware Identity Manager 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura. 2 Nella pagina Connettori, selezionare il collegamento Worker del connettore che si sta configurando. 3 Fare clic su Schede di autenticazione e quindi su CertificateAuthAdapter. 4 Configurare la pagina Scheda di autenticazione certificato. Nota: Un asterisco indica un campo obbligatorio. Gli altri campi sono facoltativi. Opzione *Nome Abilita adattatore certificato *Certificati radice e intermedi dell'autorità di certificazione Certificati autorità di certificazione caricati Usa se nel certificato non esiste un UPN Criteri di certificato accettati Abilita revoca certificato Usa CRL dei certificati Posizione CRL Abilita revoca OCSP Usa CRL in caso di errore OCSP Invia nonce OCSP URL OCSP Certificato della firma del risponditore OCSP Abilita modulo consenso prima dell'autenticazione Contenuto modulo consenso Descrizione L'immissione del nome è obbligatoria. Il nome predefinito è CertificateAuthAdapter, ma è possibile modificarlo. Selezionare la casella di controllo per abilitare l'autenticazione del certificato. Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione, codificati come DER o PEM. I file di certificato caricati sono elencati nella sezione Certificati autorità di certificazione caricati del modulo. Se il nome dell'entità utente (UPN) non esiste nel certificato, selezionare questa casella di controllo per utilizzare l'attributo address come estensione SAN (Subject Alternative Name, nome alternativo del soggetto) per convalidare gli account utente. Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere i numeri OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID. Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. Il controllo della revoca impedirà l'autenticazione degli utenti che hanno certificati revocati. Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato. Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati. Selezionare la casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato. Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile. Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta. Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca. Immettere il percorso del certificato OCSP del risponditore, /path/to/file.cer. Selezionare questa casella di controllo per includere una pagina per il modulo di consenso, da visualizzare prima che gli utenti eseguano il login nel portale Workspace ONE utilizzando l'autenticazione del certificato. Digitare in questa casella il testo visualizzato nel modulo di consenso. 5 Fare clic su Salva. 74 VMware, Inc.

75 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Passi successivi Aggiungere il metodo di autenticazione del certificato al criterio di accesso predefinito. Passare alla pagina Gestione identità e accessi > Gestione > Criteri e modificare le regole dei criteri predefinite per aggiungere il certificato. Vedere Gestione dei metodi di autenticazione da applicare agli utenti, pag. 81. Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che il VMware Identity Manager connettore sia configurato con un pass-through SSL a livello del bilanciamento del carico e per non terminare SSL a tale livello. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore. Configurazione di VMware Verify per l'autenticazione a due fattori Nella console di amministrazione di VMware Identity Manager è possibile abilitare il servizio VMware Verify come secondo metodo di autenticazione quando è necessaria l'autenticazione a due fattori. È possibile abilitare VMware Verify nel provider di identità integrato nella console di amministrazione e aggiungere il token di sicurezza di VMware Verify ricevuto dal supporto tecnico VMware. È possibile configurare l'autenticazione a due fattori nelle regole del criterio di accesso per richiedere agli utenti di eseguire l'autenticazione mediante due metodi di autenticazione. Gli utenti installano l'applicazione VMware Verify nei loro dispositivi e forniscono un numero di telefono per registrare i dispositivi nel servizio VMware Verify. Il dispositivo e il numero di telefono vengono registrati anche nel profilo utente di Utenti e gruppi nella console di amministrazione. Gli utenti registrano il proprio account una volta quando accedono utilizzando l'autenticazione mediante password e quindi immettono il passcode di VMware Verify che viene visualizzato sul dispositivo. Dopo l'autenticazione iniziale, gli utenti possono eseguire l'autenticazione mediante uno dei tre metodi seguenti. Approvazione push con notifica OneTouch. Gli utenti approvano o negano l'accesso da VMware Identity Manager con un solo clic. Gli utenti possono infatti fare clic su Approva o Nega nel messaggio che viene inviato. Passcode TOTP (Time-based One Time Password, password monouso a tempo) Viene generato un passcode monouso ogni 20 secondi. Gli utenti immettono questo passcode nella schermata di accesso. SMS Viene utilizzato un SMS per inviare un codice di verifica monouso al numero di telefono registrato. Gli utenti immettono questo codice di verifica nella schermata di accesso. VMware Verify utilizza un servizio cloud di terze parti per fornire questa funzionalità ai dispositivi dell'utente. A tale scopo, le informazioni relative all'utente, come nome, e numero di telefono vengono memorizzate nel servizio, ma non vengono utilizzate per alcuno scopo che non sia quello di fornire la funzionalità. Abilitazione di VMware Verify Per abilitare l'autenticazione a due fattori con il servizio VMware Verify, è necessario aggiungere un token di sicurezza alla pagina VMware Verify e abilitare VMware Verify nel provider di identità integrato. Prerequisiti Creare un ticket di supporto per VMware o AirWatch per ricevere il token di sicurezza che abilita VMware Verify. Il personale del team di supporto elabora la richiesta e aggiorna il ticket di supporto con le istruzioni e un token di sicurezza. Il token di sicurezza deve essere aggiunto alla pagina VMware Verify. (Facoltativo) Personalizzare il logo e l'icona visualizzati nell'applicazione VMware Verify sui dispositivi. Vedere Personalizzazione del branding per l'applicazione VMware Verify, pag VMware, Inc. 75

76 Amministrazione di VMware Identity Manager 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestione > Provider di identità. 2 Selezionare il provider di identità Integrato. 3 Fare clic sull'icona a forma di cambio di VMware Verify. 4 Selezionare la casella di controllo Abilita autenticazione a più fattori. 5 Incollare il token di sicurezza ricevuto dal team di supporto di VMware o AirWatch nella casella di testo Token di sicurezza. 6 Fare clic su Salva. Passi successivi Nel criterio di accesso predefinito creare una regola per aggiungere il metodo di autenticazione di VMware Verify come secondo metodo di autenticazione nella regola. Vedere Gestione dei metodi di autenticazione da applicare agli utenti, pag. 81. Applicare il branding personalizzato alla pagina di accesso di VMware Verify. Vedere Personalizzazione del branding per l'applicazione VMware Verify, pag Registrazione di utenti finali in VMware Verify Quando l'autenticazione di VMware Verify è necessaria per l'autenticazione a due fattori, gli utenti installano e utilizzano l'app VMware Verify per registrare il proprio dispositivo. Nota: L'applicazione VMware Verify può essere scaricata dagli app store. Quando è abilitata l'autenticazione a due fattori di VMware Verify, al primo accesso all'app Workspace ONE agli utenti viene chiesto di immettere il nome utente e la password. Dopo il completamento della verifica del nome utente e della password, agli utenti viene chiesto di immettere il numero di telefono del proprio dispositivo per la registrazione in VMware Verify. Quando fanno clic su Registrazione, il numero di telefono del dispositivi viene registrato in VMware Verify e, se non hanno scaricato l'applicazione, agli utenti viene chiesto di scaricare l'applicazione VMware Verify. Dopo l'installazione dell'applicazione, agli utenti viene chiesto di immettere lo stesso numero di telefono che hanno immesso in precedenza e di selezionare un metodo di notifica per ricevere un codice di registrazione monouso. Il codice di registrazione viene immesso nella pagina del PIN di registrazione. Dopo la registrazione del numero di telefono del dispositivo, gli utenti possono usare il passcode monouso a tempo visualizzato nell'applicazione VMware Verify per accedere a Workspace ONE. Il passcode è un numero univoco, generato nel dispositivo, che viene costantemente cambiato. Gli utenti possono registrare più dispositivi. Il passcode di VMware Verify viene automaticamente sincronizzato con ciascuno dei dispositivi registrati. Rimozione di un numero di telefono registrato dal profilo utente Per risolvere i problemi relativi all'accesso a Workspace ONE, è possibile rimuovere il numero di telefono dell'utente dal profilo utente nella console di amministrazione di VMware Identity Manager. 1 Nella console di amministrazione, fare clic su Utenti e gruppi. 2 Nella pagina Utente, selezionare il nome utente da reimpostare. 3 Nella scheda VMware Verify, fare clic su Reimposta VMware Verify. 76 VMware, Inc.

77 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Il numero di telefono viene rimosso dal profilo utente e nella colonna Numero di telefono VMware Verify dell'elenco Utente è presente il valore N/D. La registrazione del numero di telefono viene annullata dal servizio VMware Verify. Quando l'utente accede all'app Workspace ONE, gli viene chiesto di immettere nuovamente il numero di telefono da registrare nel servizio VMware Verify. Configurazione di un provider di identità integrato Un provider di identità integrato è disponibile nella console di amministrazione nella pagina Gestione identità e accessi > Provider di identità. È possibile creare provider di identità integrati aggiuntivi. Il provider di identità integrato disponibile può essere configurato per fornire i metodi di autenticazione che non richiedono un connettore. I metodi di autenticazione configurati in un connettore vengono distribuiti tramite la rete perimetrale in modalità di connessione in sola uscita verso il servizio VMware Identity Manager. I metodi di autenticazione configurati in questo provider di identità integrato possono essere abilitati negli altri provider di identità integrati che vengono aggiunti. Non è quindi necessario configurare metodi di autenticazione nei provider di identità integrati aggiunti. I metodi di autenticazione seguenti non richiedono un connettore e vengono configurati dal provider di identità integrato predefinito. SSO mobile per ios Certificato (distribuzione cloud) Password mediante AirWatch Connector VMware Verify per l'autenticazione a due fattori SSO mobile per Android Conformità dispositivo con AirWatch Password (directory locale) Nota: La modalità di connessione solo in uscita non richiede l'apertura di alcuna porta di firewall. Quando questi metodi di autenticazione sono configurati nel provider di identità integrato, se gli utenti e i gruppi si trovano in una directory aziendale, prima di utilizzare questi metodi di autenticazione, è necessario sincronizzare gli utenti e i gruppi nel servizio VMware Identity Manager. Dopo aver abilitato i metodi di autenticazione, è possibile creare i criteri di accesso da applicare a tali metodi di autenticazione. Configurazione di provider di identità integrati È possibile configurare il provider di identità integrato predefinito con metodi di autenticazione che non richiedano un connettore. I metodi di autenticazione configurati in tale provider possono essere abilitati negli altri provider di identità integrati che vengono aggiunti all'ambiente. 1 Nella scheda Gestione identità e accessi, andare a Gestione > Provider di identità. 2 Selezionare il provider di identità contrassegnato con Integrato e configurarne i dettagli. Opzione Nome del provider di identità Utenti Descrizione Immettere il nome per l'istanza di questo provider di identità integrato. Selezionare gli utenti per cui eseguire l'autenticazione. Vengono elencate le directory configurate. VMware, Inc. 77

78 Amministrazione di VMware Identity Manager Opzione Rete Metodi di autenticazione Descrizione Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare gli intervalli di rete per gli utenti in base agli indirizzi IP che si desidera indirizzare a questa istanza del provider di identità per l'autenticazione. Per configurare un metodo di autenticazione, è sufficiente fare clic sull'icona a forma di cambio corrispondente. Quando si integra AirWatch con VMware Identity Manager, è possibile selezionare i metodi di autenticazione da utilizzare. Per Conformità dispositivo (con AirWatch) e Password (AirWatch Connector), assicurarsi che l'opzione sia abilitata nella pagina di configurazione di AirWatch. 3 Dopo aver creato i metodi di autenticazione, selezionare le caselle di controllo per i metodi di autenticazione che si desidera utilizzare con il provider di identità integrato. 4 Se si utilizza l'autenticazione Kerberos integrata, scaricare il certificato dell'emittente KDC da utilizzare nella configurazione del profilo di gestione del dispositivo ios in AirWatch. 5 Fare clic su Aggiungi. I metodi di autenticazione configurati possono essere abilitati negli altri provider di identità integrati che vengono aggiunti senza che sia necessaria alcuna configurazione aggiuntiva. Configurazione di un provider di identità integrato con un connettore in sola uscita Per la connessione in sola uscita verso il servizio cloud VMware Identity Manger, nel provider di identità integrato abilitare i metodi di autenticazione configurati nel connettore. Prerequisiti Gli utenti e i gruppi che si trovano in una directory aziendale devono essere sincronizzati con la directory di VMware Identity Manager Elenco degli intervalli di rete che si desidera indirizzare all'istanza del provider di identità integrato per l'autenticazione. Per abilitare i metodi di autenticazione dal provider di identità integrato, assicurarsi che i metodi di autenticazione siano configurati nel connettore. 1 Nella scheda Gestione identità e accessi, andare a Gestione > Provider di identità. 2 Selezionare il provider di identità contrassegnato con Integrato e configurarne i dettagli. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Descrizione Immettere il nome per l'istanza di questo provider di identità integrato. Selezionare gli utenti per cui eseguire l'autenticazione. Vengono elencate le directory configurate. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare gli intervalli di rete per gli utenti in base agli indirizzi IP che si desidera indirizzare a questa istanza del provider di identità per l'autenticazione. Quando si integra AirWatch con VMware Identity Manager, è possibile selezionare i metodi di autenticazione da utilizzare. Fare clic sull'icona a forma di cambio relativa ai metodi di autenticazione da configurare. Per Conformità dispositivo (con AirWatch) e Password (AirWatch Connector), assicurarsi che l'opzione sia abilitata nella pagina di configurazione di AirWatch. 78 VMware, Inc.

79 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Opzione Connettori Metodi di autenticazione del connettore Descrizione (Facoltativo) Selezionare il connettore configurato nella modalità di connessione solo in uscita. In questa sezione sono elencati i metodi di autenticazione configurati nel connettore. Selezionare la casella di controllo per abilitare i metodi di autenticazione. 3 Se si utilizza l'autenticazione Kerberos integrata, scaricare il certificato dell'emittente KDC da utilizzare nella configurazione del profilo di gestione del dispositivo ios in AirWatch. 4 Fare clic su Salva. Configurazione di provider di identità Workspace aggiuntivi Nella configurazione iniziale del connettore di VMware Identity Manager, quando si abilita il connettore ad autenticare gli utenti, viene creato un provider di identità Workspace come provider di identità e viene abilitata l'autenticazione con password. È possibile configurare connettori aggiuntivi dietro a bilanciamenti del carico differenti. Quando l'ambiente contiene più di un bilanciamento del carico, è possibile configurare un provider di identità Workspace per l'autenticazione differente in ogni configurazione con bilanciamento del carico. Consultare le sezioni relative all'installazione di appliance connettore aggiuntive nella guida all'installazione e alla configurazione di VMWare Identity Manager. I diversi provider di identità Workspace possono essere associati alla stessa directory oppure, se sono state configurate più directory, è possibile selezionare quale directory utilizzare. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestione > Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea IDP Workspace. 3 Modificare le impostazioni dell'istanza del provider di identità. Opzione Nome del provider di identità Utenti Connettori Rete Descrizione Immettere un nome per l'istanza di questo provider di identità Workspace. Selezionare la directory di VMware Identity Manager degli utenti che possono autenticarsi utilizzando questo provider di identità Workspace. Vengono elencati i connettori non associati alla directory selezionata. Selezionare il connettore da associare alla directory. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione. 4 Fare clic su Aggiungi. VMware, Inc. 79

80 Amministrazione di VMware Identity Manager Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti È possibile configurare un provider di identità di terze parti utilizzato per autenticare gli utenti nel servizio VMware Identity Manager. Prima di utilizzare la console di amministrazione per aggiungere l'istanza del provider di identità di terze parti, completare le attività seguenti. Verificare che le istanze di terze parti siano conformi con SAML 2.0 e che il servizio possa raggiungere l'istanza di terze parti. Ottenere le informazioni sui metadati di terze parti appropriate da aggiungere durante la configurazione del provider di identità nella console di amministrazione. Le informazioni sui metadati ottenute dall'istanza di terze parti corrispondono all'url dei metadati o ai metadati effettivi. Se per questo provider di identità è configurato il provisioning just-in-time, tenere in considerazione i requisiti per le dichiarazioni SAML. Le asserzioni SAML inviate dal provider di identità devono contenere determinati attributi. Vedere Requisiti per le asserzioni SAML, pag. 55. Aggiunta e configurazione di un'istanza del provider di identità Aggiungendo e configurando le istanze del provider di identità per la propria distribuzione di VMware Identity Manager, è possibile fornire alta disponibilità, supportare altri metodi di autenticazione utente e aggiungere flessibilità nel modo in cui viene gestito il processo di autenticazione utente basato sugli intervalli di indirizzi IP. Prerequisiti Configurare gli intervalli di rete che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione. Vedere Aggiunta o modifica di un intervallo di rete, pag. 82. Accedere al documento dei metadati di terze parti, che può corrispondere all'url dei metadati o ai metadati effettivi. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestisci > Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea provider di identità di terze parti. modificare le impostazioni dell'istanza del provider di identità. 3 Modificare le impostazioni dell'istanza del provider di identità. Elemento del modulo Nome del provider di identità Metadati SAML Descrizione Immettere un nome per l'istanza del provider di identità. Aggiungere il documento dei metadati basati su XML dei provider di identità di terze parti per stabilire una relazione sicura con il provider di identità. 1 Immettere l'url dei metadati SAML o il contenuto XML nella casella di testo. 2 Fare clic su Elabora metadati IdP. I formati NameID supportati da IdP vengono estratti dai metadati e aggiunti alla tabella Formato ID nome. 3 Nella colonna del valore ID del nome selezionare l'attributo utente del servizio da mappare ai formati degli ID visualizzati. È possibile aggiungere formati di ID di nome di terze parti personalizzati e mapparli ai valori degli attributi utente nel servizio. 4 (Facoltativo) Selezionare il formato della stringa dell'identificatore di risposta NameIDPolicy. 80 VMware, Inc.

81 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Elemento del modulo Provisioning Just-in- Time Utenti Rete Metodi di autenticazione Configurazione di Single Sign-Out Certificato della firma SAML Nome host provider di identità Descrizione Configurare il provisioning just-in-time per creare dinamicamente gli utenti nel servizio Identity Manager al loro primo accesso. Sarà creata una directory JIT e gli attributi nell'asserzione SAML saranno utilizzati per creare l'utente nel servizio. Vedere Capitolo 6, Provisioning utente Just-in-Time, pag. 51. Selezionare le directory degli utenti che possono autenticarsi utilizzando questo provider di identità. Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione. Aggiungere i metodi di autenticazione supportati dal provider di identità di terze parti. Selezionare la classe del contesto di autenticazione SAML che supporta il metodo di autenticazione. Abilitare il Single Sign-Out per scollegare gli utenti dalla loro sessione del provider di identità quando si scollegano dal sistema. Se il Single Sign-Out non è abilitato, quando gli utenti si scollegano dal sistema, la sessione del provider di identità rimarrà attiva. (Facoltativo) Se il provider di identità supporta il profilo di disconnessione singola SAML, abilitare il Single Sign-Out e lasciare vuota la casella di testo Reindirizza URL. Se il provider di identità non supporta il profilo di disconnessione singola SAML, abilitare il Single Sign-Out e immettere l'url di disconnessione del provider di identità a cui gli utenti vengono reindirizzati quando si disconnettono da VMware Identity Manager. Se è stato configurato l'url di reindirizzamento e si desidera che gli utenti tornino alla pagina di accesso di VMware Identity Manager dopo essere stati reindirizzati all'url di disconnessione del provider di identità, immettere il nome del parametro utilizzato dall'url di reindirizzamento del provider di identità. Fare clic su Metadati del provider di servizi (SP) per visualizzare l'url dei metadati del provider di servizi SAML VMware Identity Manager. Copiare e salvare l'url. Questo URL viene configurato quando si modifica l'asserzione SAML nel provider di identità di terze parti per mappare gli utenti di VMware Identity Manager. Se viene visualizzata la casella di testo Nome host, immettere il nome host al quale il provider di identità viene reindirizzato per l'autenticazione. Se si utilizza una porta non standard diversa dalla porta 443, è possibile impostare il nome host nel formato Nome host:porta. Ad esempio, myco.example.com: Fare clic su Aggiungi. Passi successivi Aggiungere il metodo di autenticazione del provider di identità al criterio predefinito dei servizi. Vedere Applicazione dei metodi di autenticazione alle regole dei criteri, pag. 83. Modificare la configurazione del provider di identità di terze parti per aggiungere l'url del certificato di firma SAML salvato. Gestione dei metodi di autenticazione da applicare agli utenti Il servizio VMware Identity Manager tenta di autenticare gli utenti in base a metodi di autenticazione, criterio di accesso predefinito, intervalli di rete e istanze di provider di identità configurati. Quando gli utenti effettuano l'accesso, il servizio valuta le regole del criterio di accesso predefinito per selezionare quale regola del criterio applicare. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del provider di identità che soddisfa i requisiti del metodo di autenticazione e dell'intervallo di rete della regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione ha esito negativo viene applicato il successivo metodo di autenticazione configurato nella regola. VMware, Inc. 81

82 Amministrazione di VMware Identity Manager È possibile aggiungere regole che specificano i metodi di autenticazione da utilizzare per tipo di dispositivo oppure per tipo di dispositivo e da un intervallo di rete specifico. È ad esempio possibile configurare una regola che richieda agli utenti che accedono utilizzando dispositivi ios da una rete specifica di eseguire l'autenticazione mediante RSA SecurID e quindi configurare un'altra regola che richieda agli utenti che accedono utilizzando un tipo qualsiasi di dispositivo dall'indirizzo IP della rete interna di eseguire l'autenticazione mediante la propria password. Aggiunta o modifica di un intervallo di rete Creare intervalli di rete per definire gli indirizzi IP da cui gli utenti possono effettuare accessi. Gli intervalli di rete creati vengono aggiunti a specifiche istanze di provider di identità e regole dei criteri di accesso. Come intervallo predefinito viene creato un intervallo di rete, denominato TUTTI GLI INTERVALLI. Tale intervallo di rete include tutti gli indirizzi IP disponibili in Internet, da a Se la propria distribuzione ha una singola istanza di provider di identità, è possibile modificare l'intervallo di indirizzi IP e aggiungere altri intervalli per escludere o includere indirizzi IP specifici all'intervallo di rete predefinito. È possibile creare altri intervalli di rete con indirizzi IP specifici, applicabili per uno scopo specifico. Nota: l'intervallo di rete predefinito, TUTTI GLI INTERVALLI, e la relativa descrizione, "una rete per tutti gli intervalli", sono modificabili. È possibile modificare il nome e la descrizione, nonché impostare una lingua diversa per il testo, utilizzando la funzione Modifica nella pagina Intervalli di rete. Prerequisiti Definire intervalli di rete per la distribuzione di VMware Identity Manager in base alla propria topologia di rete. Quando è abilitato View nel servizio, è possibile specificare l'url di View in base a un Intervallo di rete. Per aggiungere un intervallo di rete quando è abilitato il modulo View, prendere nota dell'url e del numero di porta per l'accesso a Horizon Client per l'intervallo di rete. Per ulteriori informazioni consultare la documentazione di View. Vedere Setting Up Resources in VMware Identity Manager, capitolo Fornire accesso ad applicazioni e pool di desktop di View. 1 Nella scheda Gestione identità e accessi console di amministrazione selezionare Configura > Intervalli di rete. 2 Modificare un intervallo di rete esistente o aggiungerne uno nuovo. Opzione Modifica intervallo esistente Aggiungi intervallo Descrizione Fare clic sul nome dell'intervallo di rete da modificare. Fare clic su Aggiungi intervallo di rete per aggiungere un nuovo intervallo. 3 Applicare le modifiche nella pagina Aggiungi intervallo di rete. Elemento del modulo Nome Descrizione Pod di View Descrizione Immettere un nome per l'intervallo di rete. Immettere una descrizione per l'intervallo di rete. L'opzione Pod di View viene visualizzata solo quando il modulo Visualizza è abilitato. Host URL accesso client. Immettere l'url di accesso a Horizon Client corretto per l'intervallo di rete. Porta di accesso client. Immettere il numero della porta di accesso a Horizon Client corretto per l'intervallo di rete. 82 VMware, Inc.

83 Capitolo 7 Configurazione dell'autenticazione utente in VMware Identity Manager Elemento del modulo Intervalli IP Descrizione Modificare o aggiungere intervalli IP fino ad includere tutti gli indirizzi IP desiderati, escludendo quelli indesiderati. Passi successivi Associare ogni intervallo di rete a un'istanza del provider di identità. Associare gli intervalli di rete a una regola dei criteri di accesso appropriata. Vedere Capitolo 8, Gestione dei criteri di accesso, pag. 85. Applicazione del criterio di accesso predefinito Il servizio VMware Identity Manager include un criterio di accesso predefinito che controlla l'accesso dell'utente ai suoi portali di Workspace ONE e alle applicazioni Web. È possibile modificare il criterio per cambiarne le regole secondo necessità. Quando si attivano metodi di autenticazione diversi dall'autenticazione con password, è necessario modificare il criterio predefinito per aggiungere il metodo di autenticazione attivato nelle regole del criterio. Per ogni regola del criterio di accesso predefinito è necessario che siano soddisfatti una serie di criteri affinché gli utenti possano accedere al portale delle applicazioni. È possibile applicare un intervallo di rete, selezionare quale tipo di utente può accedere al contenuto e selezionare i metodi di autenticazione da utilizzare. Vedere Capitolo 8, Gestione dei criteri di accesso, pag. 85. Il numero di tentativi fatti dal servizio per completare l'accesso di un utente con un dato metodo di autenticazione varia. Il servizio fa un unico tentativo nelle autenticazioni con Kerberos o con certificato. Se il tentativo di accesso di un utente non ha esito positivo, viene provato il metodo di autenticazione successivo nella regola. Per impostazione predefinita, il numero massimo di tentativi di accesso non riusciti per l'autenticazione con password di Active Directory e RSA SecurID è impostato su cinque. Quando per un utente ci sono cinque tentativi di accesso non riusciti, il servizio tenta l'accesso dell'utente con il metodo di autenticazione successivo nell'elenco. Quando vengono esauriti tutti i metodi di autenticazione, il servizio genera un messaggio di errore. Applicazione dei metodi di autenticazione alle regole dei criteri Nelle regole dei criteri predefinite viene configurato solo il metodo di autenticazione tramite password. Per selezionare gli altri metodi di autenticazione configurati e impostare l'ordine in cui tali metodi vengono utilizzati per l'autenticazione, è necessario modificare le regole dei criteri. È possibile impostare regole dei criteri di accesso che richiedono che gli utenti passino le credenziali tramite due metodi di autenticazione per poter eseguire l'accesso. Vedere Configurazione delle impostazioni dei criteri di accesso, pag. 85. Prerequisiti Attivare e configurare i metodi di autenticazione supportati dalla propria organizzazione. Vedere Capitolo 7, Configurazione dell'autenticazione utente in VMware Identity Manager, pag Nella scheda Gestione accesso e identità della console di amministrazione, selezionare Gestisci > Criteri. 2 Fare clic sul criterio di accesso predefinito da modificare. VMware, Inc. 83

84 Amministrazione di VMware Identity Manager 3 Nella sezione Regole del criterio, fare clic sul metodo di autenticazione da modificare o aggiungere una nuova regola del criterio, fare clic sull'icona +. a b c Verificare che l'intervallo di rete sia corretto. Se si aggiunge una nuova regola, selezionare l'intervallo di rete per questa regola del criterio. Selezionare il dispositivo gestito da questa regola dal menu a discesa e l'utente tenta di accedere a contenuti da. Configurare l'ordine di autenticazione. Selezionare il metodo di autenticazione da applicare per primo dal menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente. Per richiedere agli utenti di autenticarsi attraverso due metodi di autenticazione, fare clic su + e selezionare il secondo metodo di autenticazione dal menu a discesa. d (Facoltativo) Per configurare metodi di autenticazione di fallback aggiuntivi, selezionare un altro metodo di autenticazione abilitato dal menu a discesa Se il precedente metodo di autenticazione non va a buon fine. È possibile aggiungere più metodi di autenticazione di fallback a una regola. e f g Dal menu a discesa Nuova autenticazione dopo, selezionare la lunghezza della sessione al termine della quale gli utenti dovranno autenticarsi di nuovo. (Facoltativo) Creare un messaggio di accesso negato personalizzati da visualizzare quando l'autenticazione di un utente ha esito negativo. È possibile specificare un messaggio composto da massimo caratteri, equivalente a circa 650 parole. Se si desidera portare gli utenti su un'altra pagina, inserire l'indirizzo del collegamento URL nella casella di testo URL del collegamento. Specificare il testo da visualizzare come collegamento nella casella di testo Testo del collegamento. Se si lascia vuota questa casella di testo, viene visualizzata la parola Continua. Fare clic su Salva. 4 Fare clic su Salva. 84 VMware, Inc.

85 Gestione dei criteri di accesso 8 Per offrire accesso sicuro al portale delle app degli utenti e per avviare applicazioni Web e desktop, configurare i criteri di accesso con regole che specifichino i criteri che devono essere soddisfatti per poter accedere al portale delle app e utilizzare le proprie risorse. Le regole dei criteri confrontano l'indirizzo IP del richiedente con gli intervalli di rete definiti e stabiliscono il tipo di dispositivi che gli utenti possono utilizzare per accedere. La regola definisce i metodi di autenticazione e il numero di ore per cui l'autenticazione è valida. Il servizio VMware Identity Manager include un criterio predefinito che controlla l'accesso al servizio in linea generale. Questo criterio è configurato per consentire l'accesso da tutti gli intervalli di rete, da tutti i tipi di dispositivi, con un timeout di sessione a otto ore e metodo di autenticazione con password. È possibile modificare il criterio predefinito. Nota: I criteri non controllano la durata di una sessione dell'applicazione. Controllano quanto tempo gli utenti hanno a disposizione per avviare un'applicazione. Questo capitolo include i seguenti argomenti: Configurazione delle impostazioni dei criteri di accesso, pag. 85 Gestione dei criteri specifici delle applicazioni Web e desktop, pag. 88 Aggiunta di un criterio specifico di un'applicazione desktop o Web, pag. 90 Configurazione di un messaggio di errore di accesso negato personalizzato, pag. 90 Modifica di un criterio di accesso, pag. 91 Attivazione dei cookie permanenti sui dispositivi mobili, pag. 92 Configurazione delle impostazioni dei criteri di accesso Un criterio contiene una o più regole di accesso. Ogni regola è costituita da impostazioni che è possibile configurare per gestire l'accesso degli utenti al loro portale Workspace ONE nel suo insieme o ad applicazioni Web e desktop specifiche. È possibile configurare la regola di un criterio in modo che vengano eseguite azioni, come il blocco, l'autorizzazione o lo step-up dell'autenticazione degli utenti in base a condizioni come la rete, il tipo di dispositivo, lo stato di conformità e la registrazione del dispositivo in AirWatch o l'applicazione a cui si accede. VMware, Inc. 85

86 Amministrazione di VMware Identity Manager Intervallo di rete Per ogni regola, si determina la base degli utenti specificando un intervallo di rete. Un intervallo di rete è costituito da uno o più intervalli IP. È possibile creare gli intervalli di rete nella scheda Gestione identità e accessi, nella pagina Configura > Intervalli di rete prima di configurare i set dei criteri di accesso. Ogni istanza del provider di identità nella distribuzione collega gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete sia coperto da un'istanza del provider di identità esistente. È possibile configurare intervalli di rete specifici per limitare da dove gli utenti possono eseguire il login e accedere alle proprie applicazioni. Tipo di dispositivo Selezionare il tipo di dispositivo gestito dalla regola. I tipi di client sono browser Web, l'app Workspace ONE, ios, Android, Windows 10, OS X e Tutti i tipi di dispositivi. È possibile configurare regole per stabilire quali tipi di dispositivi possono accedere a contenuti, in questo modo tutte le richieste di autenticazione provenienti da quel tipo di dispositivo utilizzeranno la regola del criterio. Metodi di autenticazione Nella regola del criterio, impostare l'ordine di applicazione dei metodi di autenticazione. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati. Viene selezionata la prima istanza del provider di identità che soddisfa il metodo di autenticazione e la configurazione dell'intervallo di rete nel criterio. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco. È possibile configurare le regole dei criteri di accesso in modo che gli utenti debbano passare le credenziali tramite due metodi di autenticazione per poter eseguire l'accesso. Se uno o entrambi i metodi di autenticazione restituiscono un errore e sono configurati anche i metodi di fallback, agli utenti viene richiesto di immettere le proprie credenziali per i successivi metodi di autenticazione configurati. I due scenari seguenti descrivono come funziona il concatenamento delle autenticazioni. Nel primo scenario la regola dei criteri di accesso viene configurata in modo da richiedere agli utenti di autenticarsi con la propria password e con le credenziali Kerberos. L'autenticazione di fallback viene impostata per richiedere la password e le credenziali RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere le credenziali di autenticazione Kerberos corrette. Poiché l'utente ha immesso la password corretta, la richiesta di autenticazione di fallback si riferisce solo alle credenziali RADIUS. L'utente non deve immettere di nuovo la password. Nel secondo scenario la regola dei criteri di accesso viene configurata in modo da richiedere agli utenti di autenticarsi con la propria password e con le credenziali Kerberos. L'autenticazione di fallback è impostata per richiedere le credenziali RSA SecurID e RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere le credenziali di autenticazione Kerberos corrette. La richiesta di autenticazione di fallback si riferisce sia alle credenziali RSA SecurID sia alle credenziali RADIUS per l'autenticazione. Per configurare la regola di un criterio di accesso, è necessaria la verifica dell'autenticazione e della conformità del dispositivo. È necessario abilitare Conformità dispositivo (con AirWatch) nella pagina del provider di identità integrato. Vedere Configurazione della regola del criterio di accesso per il controllo di conformità, pag VMware, Inc.

87 Capitolo 8 Gestione dei criteri di accesso Durata della sessione di autenticazione Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al proprio portale o avviare un'applicazione specifica. Ad esempio, il valore 4 nella regola di un'applicazione Web concede agli utenti quattro ore per avviare l'applicazione Web, a meno che non inizializzino un altro evento di autenticazione che estenda il tempo. Messaggio di errore di accesso negato personalizzato Quando gli utenti tentano di accedere con esito negativo a causa di credenziali non valide, errata configurazione o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi. È possibile creare un messaggio di errore personalizzato per ogni regola di criterio di accesso da visualizzare al posto del messaggio predefinito. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per i dispositivi mobili che si desidera gestire, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato: Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza. Esempio di criterio predefinito Il criterio seguente rappresenta un esempio di come sia possibile configurare il criterio predefinito per controllare l'accesso al portale delle app e alle applicazioni Web a cui non è assegnato alcun criterio specifico. VMware, Inc. 87

88 Amministrazione di VMware Identity Manager Le regole di criterio vengono valutate nell'ordine assegnato nel criterio. È possibile modificare l'ordine delle regole trascinando e rilasciando la regola nella sezione Regole dei criteri. 1 Per la rete interna vengono configurati due metodi di autenticazione per la regola, Kerberos e autenticazione tramite password come metodo di fallback. Per accedere al portale delle app da una rete interna, il servizio prova innanzitutto ad autenticare gli utenti con l'autenticazione Kerberos, poiché si tratta del primo metodo di autenticazione elencato nella regola. Se l'operazione non riesce, agli utenti viene chiesto di immettere la propria password di Active Directory. Gli utenti accedono utilizzando un browser e possono accedere ai propri portali utente per una sessione di otto ore. Per l'accesso dalla rete esterna (Tutti gli intervalli), è configurato un solo metodo di autenticazione, ovvero RSA SecurID. Per accedere al portale delle app da una rete esterna, gli utenti devono accedere con SecurID. Gli utenti accedono utilizzando un browser e possono accedere ai propri portali delle app per una sessione di quattro ore. 2 Questo criterio predefinito si applica a tutte le applicazioni Web e desktop a cui non è assegnato alcun criterio specifico dell'applicazione. Gestione dei criteri specifici delle applicazioni Web e desktop Quando si aggiungono applicazioni Web e desktop al catalogo, è possibile creare criteri di accesso specifici delle applicazioni. Per un'applicazione Web è ad esempio possibile creare un criterio con regole che specifichi gli indirizzi IP che possono accedere all'applicazione e quali metodi di autenticazione possono utilizzare, nonché quanto tempo deve trascorrere prima che venga richiesta una nuova autenticazione. Il seguente criterio specifico di applicazione Web è un esempio di criterio che si può creare per controllare gli accessi ad applicazioni Web specificate. Esempio 1: criterio specifico di applicazione Web rigido In questo esempio viene creato e applicato un nuovo criterio a un'applicazione Web sensibile. 1 Per accedere al servizio dall'esterno della rete dell'impresa, l'utente deve accedere con RSA SecurID. L'utente accede utilizzando un browser e può quindi accedere al portale delle app per una sessione di quattro ore, in base a quanto specificato nella regola di accesso predefinita. 88 VMware, Inc.

89 Capitolo 8 Gestione dei criteri di accesso 2 Dopo quattro ore, l'utente tenta di avviare un'applicazione Web con il criterio delle applicazioni Web sensibili applicato. 3 Il servizio controlla le regole nel criterio e lo applica con l'intervallo di rete TUTTI GLI INTERVALLI, dato che la richiesta dell'utente proviene da un browser Web e dall'intervallo di rete TUTTI GLI INTERVALLI. L'utente accede utilizzando il metodo di autenticazione RSA SecurID, ma la sessione è appena scaduta. L'utente viene reindirizzato per eseguire nuovamente l'autenticazione. La nuova autenticazione fornisce all'utente un'altra sessione di quattro ore e la possibilità di avviare l'applicazione. Per le quattro ore successive l'utente può continuare ad eseguire l'applicazione senza dover effettuare una nuova autenticazione. Esempio 2: criterio specifico di applicazione Web più rigido Per applicare una regola più rigida ad applicazioni Web ancora più sensibili, è possibile richiedere l'esecuzione di un nuova autenticazione con SecurID su qualsiasi dispositivo dopo un'ora. Il seguente esempio illustra come viene implementato questo tipo di regola del criterio di accesso. 1 L'utente accede dall'interno della rete dell'azienda utilizzando il metodo di autenticazione con Kerberos. A questo punto, l'utente può accedere al portale delle applicazioni per otto ore, come definito nell'esempio 1. 2 L'utente tenta immediatamente di avviare un'applicazione Web con la regola del criterio dell'esempio 2 applicata, la quale richiede l'autenticazione RSA SecurID. 3 L'utente viene reindirizzato alla pagina di accesso per l'autenticazione RSA SecurID. 4 Dopo il corretto accesso dell'utente, il servizio avvia l'applicazione e salva l'evento di autenticazione. L'utente può continuare ad eseguire l'applicazione per un'ora, ma trascorso questo tempo gli verrà chiesto di eseguire nuovamente l'autenticazione, come stabilito dalla regola del criterio. VMware, Inc. 89

90 Amministrazione di VMware Identity Manager Aggiunta di un criterio specifico di un'applicazione desktop o Web È possibile creare criteri specifici delle applicazioni per gestire l'accesso degli utenti a determinate applicazioni Web e desktop. Prerequisiti Configurare gli intervalli di rete appropriati per la distribuzione. Vedere Aggiunta o modifica di un intervallo di rete, pag. 82. Configurare i metodi di autenticazione appropriati per la distribuzione. Vedere Capitolo 7, Configurazione dell'autenticazione utente in VMware Identity Manager, pag. 59. Se si prevede di modificare il criterio predefinito (per controllare l'accesso degli utenti al servizio nel suo insieme), configurarlo prima di creare un criterio specifico dell'applicazione. Aggiungere le applicazioni Web e desktop al catalogo. Prima di poter aggiungere un criterio specifico dell'applicazione, è necessario che nella pagina Catalogo sia elencata almeno un'applicazione. 1 Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestione > Criteri. 2 Fare clic su Aggiungi criterio per aggiungere un nuovo criterio. 3 Aggiungere un nome e una descrizione per il criterio nelle rispettive caselle di testo. 4 Nella sezione Si applica a, fare clic su Seleziona e, nella pagina visualizzata, selezionare le applicazioni associate a questo criterio. 5 Nella sezione Regole criterio, fare clic su + per aggiungere una regola. Viene visualizzata la pagina Aggiungi una regola del criterio. a b c d e Selezionare l'intervallo di rete a cui applicare la regola. Selezionare il tipo di dispositivo che può accedere alle applicazioni per questa regola. Selezionare i metodi di autenticazione da utilizzare nell'ordine con cui devono essere applicati. Specificare per quante ore una sessione dell'applicazione può rimanere aperta. Fare clic su Salva. 6 Configurare le eventuali regole aggiuntive desiderate. 7 Fare clic su Salva. Configurazione di un messaggio di errore di accesso negato personalizzato Per ogni regola del criterio, è possibile creare un messaggio di errore di accesso negato personalizzato, visualizzato quando gli utenti tentano di accedere con esito negativo a causa di credenziali non valide. Il messaggio personalizzato può includere testo e un collegamento a un altro URL per aiutare gli utenti a risolvere i problemi. È possibile specificare un messaggio composto da massimo caratteri, equivalente a circa 650 parole. 1 Nella scheda Gestione accesso e identità della console di amministrazione, selezionare Gestisci > Criteri. 90 VMware, Inc.

91 Capitolo 8 Gestione dei criteri di accesso 2 Fare clic sul criterio di accesso da modificare. 3 Per aprire la pagina della regola del criterio, fare clic sul nome di autenticazione nella colonna Metodo di autenticazione relativa alla regola da modificare. 4 Immettere il messaggio di errore nella casella di testo Messaggio di errore personalizzato. 5 Per aggiungere un collegamento a un URL, immettere una descrizione del collegamento nella casella Testo del collegamento e inserire l'url in URL del collegamento. Il collegamento viene mostrato in coda al messaggio personalizzato. Se si aggiunge un URL senza aggiungere testo nella casella Testo del collegamento, il testo del collegamento visualizzato sarà Continua. 6 Fare clic su Salva. Passi successivi Creare messaggi di errore personalizzati per altre regole del criterio. Modifica di un criterio di accesso È possibile modificare il criterio di accesso predefinito per cambiarne le regole, nonché modificare criteri specifici delle applicazioni per aggiungere o rimuovere applicazioni e cambiare le regole dei criteri. Un criterio di accesso specifico dell'applicazione può essere rimosso in qualsiasi momento. Il criterio di accesso predefinito è permanente. Non è possibile rimuovere il criterio predefinito. Prerequisiti Configurare gli intervalli di rete appropriati per la distribuzione. Vedere Aggiunta o modifica di un intervallo di rete, pag. 82. Configurare i metodi di autenticazione appropriati per la distribuzione. Capitolo 7, Configurazione dell'autenticazione utente in VMware Identity Manager, pag Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestisci > Criteri. 2 Fare clic sul criterio da modificare. 3 Se questo criterio si applica alle applicazioni Web o desktop, fare clic su Modifica applicazioni per aggiungere o eliminare applicazioni nel criterio. 4 Nella sezione Regole del criterio, colonna Metodo di autenticazione, selezionare la regola da modificare. Viene visualizzata la pagina Modifica regola del criterio con la configurazione corrente. 5 Per configurare l'ordine di autenticazione, nel menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente, selezionare il metodo di autenticazione da applicare per primo. 6 (Facoltativo) Per configurare un metodo di autenticazione di fallback in caso di esito negativo della prima autenticazione, selezionare un altro metodo di autenticazione abilitato dal menu a discesa successivo. È possibile aggiungere più metodi di autenticazione di fallback a una regola. 7 Fare clic su Salva e quindi di nuovo su Salva nella pagina Criterio. La regola di criterio modificata diviene immediatamente effettiva. VMware, Inc. 91

92 Amministrazione di VMware Identity Manager Passi successivi Se il criterio è un criterio di accesso specifico dell'applicazione, è inoltre possibile applicare il criterio all'applicazione dalla pagina Catalogo. Vedere Aggiunta di un criterio specifico di un'applicazione desktop o Web, pag. 90 Attivazione dei cookie permanenti sui dispositivi mobili Attivare il cookie permanente per offrire la funzionalità Single Sign-In tra il browser del sistema e le applicazioni native e Single Sign-In tra applicazioni native quando si utilizzano Safari View Controller su dispositivi ios e Chrome Custom Tabs su dispositivi Android. Il cookie permanente memorizza i dettagli delle sessioni di accesso degli utenti in modo che questi non debbano più reimmettere le proprie credenziali quando accedono alle loro risorse gestite tramite VMware Identity Manager. È possibile configurare il timeout del cookie nelle regole del criterio di accesso impostato per i dispositivi ios e Android. Nota: I cookie sono vulnerabili agli attacchi di furto cookie e cross-site scripting dei browser comuni. Attivazione dei cookie permanenti Il cookie permanente memorizza i dettagli delle sessioni di accesso degli utenti in modo che questi non debbano reimmettere le proprie credenziali quando accedono alle loro risorse gestite dai dispositivi mobili ios o Android. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configurazione > Preferenze. 2 Selezionare Attiva cookie permanenti. 3 Fare clic su Salva. Passi successivi Per impostare il timeout di sessione del cookie permanente, modificare il valore di nuova autenticazione nelle regole del criterio di accesso per i tipi di dispositivi ios e Android. 92 VMware, Inc.

93 Gestione di gruppi e utenti 9 Gli utenti e i gruppi del servizio VMware Identity Manager vengono importati dalla directory aziendale oppure vengono creati come utenti e gruppi locali nella console di amministrazione di VMware Identity Manager. Nella console di amministrazione, la pagina Utenti e gruppi offre una visualizzazione del servizio incentrata su utenti e gruppi. È possibile gestire i permessi di utenti e gruppi, le affiliazioni dei gruppi e i numeri di telefono di VMware Verify. Per gli utenti locali è inoltre possibile gestire i criteri della password. Questo capitolo include i seguenti argomenti: Tipi di gruppi e utenti, pag. 93 Informazioni sui nomi degli utenti e dei gruppi, pag. 94 Gestione degli utenti, pag. 95 Creazione di gruppi e configurazione delle regole dei gruppi, pag. 96 Modifica delle regole del gruppo, pag. 99 Aggiunta di risorse ai gruppi, pag. 99 Creazione di utenti locali, pag. 100 Gestione delle password, pag. 102 Tipi di gruppi e utenti Gli utenti del servizio VMware Identity Manager possono essere utenti sincronizzati dalla directory aziendale, utenti locali di cui viene eseguito il provisioning nella console di amministrazione o utenti creati mediante il provisioning Just-in-Time. I gruppi del servizio VMware Identity Manager possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di amministrazione. Gli utenti e i gruppi importati dalla directory aziendale vengono aggiornati nella directory di VMware Identity Manager in base alla pianificazione della sincronizzazione del server. È possibile visualizzare gli account di utenti e gruppi dalle pagine Utenti e gruppi. Questi utenti e gruppi non possono essere modificati o eliminati. È possibile creare utenti e gruppi locali. Gli utenti locali vengono aggiunti a una directory locale. È possibile gestire i criteri delle password e la mappatura degli attributi degli utenti locali. È inoltre possibile creare gruppi locali per gestire i permessi delle risorse per gli utenti. VMware, Inc. 93

94 Amministrazione di VMware Identity Manager Gli utenti creati mediante il provisioning Just-in-Time vengono creati e aggiornati in modo dinamico quando eseguono il login, in base alle dichiarazioni SAML inviate dal provider di identità. Tutta la gestione degli utenti viene controllata mediante dichiarazioni SAML. Per utilizzare il provisioning Just-in-Time, vedere Capitolo 6, Provisioning utente Just-in-Time, pag. 51. Informazioni sui nomi degli utenti e dei gruppi Nel servizio VMware Identity Manager, gli utenti e i gruppi sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. Ciò consente di avere più utenti e gruppi con lo stesso nome ma appartenenti a domini Active Directory differenti. I nomi degli utenti e i nomi dei gruppi devono essere univoci all'interno dello stesso dominio. Nomi degli utenti Il servizio VMware Identity Manager supporta la presenza di più utenti con lo stesso nome in domini di Active Directory diversi. I nomi degli utenti devono essere univoci all'interno dello stesso dominio. Ad esempio, è possibile avere un utente chiamato jane nel dominio eng.example.com e un altro utente chiamato jane nel dominio sales.example.com. Gli utenti sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. L'attributo username in VMware Identity Manager viene utilizzato per i nomi utente e viene in genere mappato all'attributo samaccountname in Active Directory. L'attributo domain è utilizzato per i domini e di solito viene mappato con l'attributo canonicalname in Active Directory. Durante la sincronizzazione della directory, gli utenti con lo stesso nome utente ma appartenenti a domini diversi vengono sincronizzati correttamente. Se esiste un conflitto di nomi utente all'interno di un dominio, il primo utente viene sincronizzato e in corrispondenza di tutti gli utenti successivi con lo stesso nome utente viene generato un errore. Nota: Se è presente una directory VMware Identity Manager in cui il dominio dell'utente è errato o mancante, controllare le impostazioni del dominio e sincronizzare nuovamente la directory. Vedere Sincronizzazione della directory per correggere le informazioni del dominio, pag. 95. Nella console di amministrazione, è possibile identificare in modo univoco gli utenti mediante il loro nome utente e il dominio a cui appartengono. Ad esempio: Nella colonna Utenti e gruppi della scheda Dashboard, gli utenti sono elencati nella forma utente (dominio). Ad esempio, jane (sales.example.com). Nella pagina Utenti della scheda Utenti e gruppi, la colonna DOMINIO indica il dominio a cui l'utente appartiene. Nei report che includono informazioni sugli utenti, come il report Permessi risorsa, è presente una colonna DOMINIO. Quando gli utenti finali accedono al portale utente, nella pagina di accesso selezionano il dominio a cui appartengono. Se più utenti hanno lo stesso nome utente, ognuno di essi può accedere correttamente utilizzando il dominio appropriato. Nota: Queste informazioni si applicano agli utenti sincronizzati da Active Directory. Se si utilizza un provider di identità di terze parti ed è stato configurato il provisioning utente Just-in-Time, vedere Capitolo 6, Provisioning utente Just-in-Time, pag. 51 per informazioni. Anche il provisioning utente Justin-Time supporta utenti multipli con lo stesso nome utente in domini differenti. 94 VMware, Inc.

95 Capitolo 9 Gestione di gruppi e utenti Nomi dei gruppi Il servizio VMware Identity Manager supporta la presenza di più gruppi con lo stesso nome appartenenti a domini di Active Directory diversi. I nomi dei gruppi devono essere univoci all'interno dello stesso dominio. Ad esempio, è possibile che sia presente un gruppo chiamato allusers nel dominio eng.example.com e un altro gruppo chiamato allusers nel dominio sales.example.com. I gruppi sono identificati in modo univoco dal loro nome e dal dominio a cui appartengono. Durante la sincronizzazione della directory, i gruppi con lo stesso nome ma appartenenti a domini diversi vengono sincronizzati correttamente. Se esiste un conflitto di nomi di gruppi all'interno di un dominio, il primo gruppo viene sincronizzato e in corrispondenza di tutti i gruppi successivi con lo stesso nome viene generato un errore. Nella pagina Gruppi della scheda Utenti e gruppi della console di amministrazione i gruppi di Active Directory sono elencati in base al loro nome e al dominio a cui appartengono. Ciò consente di distinguere gruppi con lo stesso nome. I gruppi creati in locale nel servizio VMware Identity Manager sono elencati in base al nome del gruppo. Il dominio è elencato come Utenti locali. Sincronizzazione della directory per correggere le informazioni del dominio Se esiste una directory di VMware Identity Manager in cui il dominio utente è errato o mancante, è necessario controllare le impostazioni del dominio e sincronizzare nuovamente la directory. Il controllo delle impostazioni del dominio è necessario per fare in modo che gli utenti o i gruppi che hanno lo stesso nome in domini di Active Directory diversi vengano sincronizzati correttamente nella directory di VMware Identity Manager e possano effettuare il login. 1 Nella console di amministrazione, passare alla pagina Gestione identità e accessi > Directory. 2 Selezionare la directory da sincronizzare, quindi fare clic su Impostazioni di sincronizzazione e sulla scheda Attributi mappati. 3 Nella pagina Attributi mappati verificare che l'attributo domain di VMware Identity Manager sia mappato al nome di attributo corretto in Active Directory. L'attributo domain è in genere mappato all'attributo canonicalname in Active Directory. L'attributo domain non è contrassegnato come Obbligatorio. 4 Fare clic su Salva e sincronizza per sincronizzare la directory. Gestione degli utenti La pagina Utenti della console di amministrazione include informazioni su ogni utente, inclusi l'id utente, il dominio, i gruppi di cui l'utente è membro e il numero di telefono di VMware Verify, oltre a specificare se l'utente è abilitato in VMware Identity Manager. Selezionare un nome utente per visualizzare informazioni dettagliate sull'utente. I dettagli disponibili includono il profilo utente, le affiliazioni dei gruppi, i dispositivi abilitati mediante VMware Verify e i permessi dell'utente. Profilo utente La pagina Profilo utente include i dati personali associati all'utente e il ruolo assegnatogli, ovvero Utente o Amministratore. Le informazioni sull'utente che vengono sincronizzate da una directory esterna possono inoltre includere dati relativi al nome dell'entità, al nome distinto e all'id esterno. Una pagina del profilo dell'utente locale include gli attributi utente disponibili per gli utenti nella directory dell'utente locale. VMware, Inc. 95

96 Amministrazione di VMware Identity Manager I dati contenuti nella pagina del profilo utente per gli utenti che vengono sincronizzati da una directory esterna non possono essere modificati. È possibile modificare il ruolo dell'utente. Nelle pagine dei profili degli utenti locali è possibile modificare le informazioni sugli attributi, disabilitare gli utenti in modo che non possano accedere, nonché eliminare gli utenti. Affiliazioni dei gruppi Nella pagina Gruppi è disponibile un elenco dei gruppi a cui l'utente appartiene. È possibile fare clic sul nome di un gruppo per visualizzare la pagina dei dettagli del gruppo. Numero di telefono registrato in VMware Verify La pagina VMware Verify include il numero di telefono registrato dall'utente in VMware Verify, nonché i dispositivi registrati. È inoltre possibile verificare la data dell'ultimo utilizzo dell'account. Il numero di telefono dell'utente può essere rimosso. Quando si reimposta VMware Verify, gli utenti devono reimmettere il proprio numero di telefono per registrarsi nuovamente in Verify. Vedere Rimozione di un numero di telefono registrato dal profilo utente, pag. 76. Permessi delle app Fare clic su Aggiungi permesso per consentire all'utente di utilizzare le risorse disponibili nel catalogo. È quindi possibile impostare la modalità di aggiunta dell'applicazione al portale Workspace ONE. Selezionare la distribuzione automatica per fare in modo che l'applicazione venga visualizzata automaticamente nel portale Workspace ONE. Selezionare la distribuzione attivata dall'utente per fare in modo che l'utente attivi l'app prima che venga aggiunta al portale Workspace ONE dalla raccolta del catalogo. Per i tipi di risorsa con un pulsante X, è possibile fare clic su tale pulsante per impedire all'utente l'accesso alla risorsa. Creazione di gruppi e configurazione delle regole dei gruppi È possibile creare gruppi, aggiungervi membri, nonché creare regole dei gruppi che consentano di popolarli in base alle regole definite. È possibile utilizzare i gruppi per concedere a più utenti contemporaneamente l'autorizzazione per le stesse risorse, anziché autorizzarli individualmente. Un utente può appartenere a più gruppi. Se ad esempio si crea un gruppo Vendite e un gruppo Gestione, un responsabile delle vendite può appartenere a entrambi i gruppi. È possibile specificare le impostazioni del criterio da applicare ai membri di un gruppo. Gli utenti dei gruppi vengono definiti dalle regole impostate per l'attributo di un utente. Se il valore dell'attributo di un utente cambia rispetto al valore della regola definita per il gruppo, l'utente viene rimosso dal gruppo. 1 Nella scheda Utenti e gruppi della console di amministrazione, fare clic su Gruppi. 2 Fare clic su Aggiungi gruppo. 3 Immettere un nome e una descrizione del gruppo. Fare clic su Avanti. 4 Per aggiungere utenti al gruppo, immettere le lettere del nome utente. Mentre si immette il testo, viene visualizzato un elenco di nomi che corrispondono. 5 Selezionare il nome utente e fare clic su +Aggiungi utente. Continuare per aggiungere membri al gruppo. 6 Dopo aver aggiunto gli utenti al gruppo, fare clic su Avanti. 96 VMware, Inc.

97 Capitolo 9 Gestione di gruppi e utenti 7 Nella pagina Regole del gruppo selezionare la modalità di assegnazione dell'appartenenza al gruppo. Nel menu a discesa selezionare qualsiasi o tutto. Opzione Qualsiasi Tutto Azione Assegna l'appartenenza al gruppo quando viene soddisfatta una qualsiasi delle condizioni per l'appartenenza al gruppo. Questa azione funziona come una condizione OR. Se ad esempio si seleziona Qualsiasi per le regole Il gruppo è Vendite e Il gruppo è Marketing, l'appartenenza al gruppo viene assegnata al personale delle vendite e del marketing. Assegna l'appartenenza al gruppo quando vengono soddisfatte tutte le condizioni per l'appartenenza al gruppo. Tutto funziona come una condizione AND. Se ad esempio si seleziona Tutti i seguenti per le regole Il gruppo è Vendite e L'indirizzo inizia con "area_occidentale", l'appartenenza al gruppo viene assegnata solo al personale delle vendite dell'area occidentale. Al personale delle vendite che si trova in altre aree non viene assegnata l'appartenenza al gruppo. VMware, Inc. 97

98 Amministrazione di VMware Identity Manager 8 Configurare una o più regole per il gruppo. Le regole possono essere nidificate. Opzione Attributo Regole dell'attributo Utilizzo dell'attributo Qualsiasi o Tutto Descrizione Selezionare uno degli attributi dal menu a discesa della prima colonna. Selezionare Gruppo per aggiungere un gruppo esistente al gruppo che si sta creando. È possibile aggiungere altri tipi di attributo per determinare quali utenti dei gruppi sono membri del gruppo che si sta creando. In base all'attributo selezionato, sono disponibili le regole seguenti. Scegliere è per selezionare un gruppo o una directory da associare al gruppo. Immettere un nome nella casella di testo. Mentre si digita, viene visualizzato un elenco dei gruppi o delle directory disponibili. Scegliere non è per selezionare un gruppo o una directory da escludere. Immettere un nome nella casella di testo. Mentre si digita, viene visualizzato un elenco dei gruppi o delle directory disponibili. Selezionare corrisponde a per assegnare l'appartenenza al gruppo alle voci che corrispondono esattamente ai criteri immessi. È ad esempio possibile che in un'organizzazione sia presente un reparto per i viaggi d'affari che condivide un numero di telefono centrale. Se si desidera concedere l'accesso a un'applicazione per la prenotazione di viaggi a tutti i dipendenti che condividono tale numero, è possibile creare la regola Telefono corrisponde a (555) Selezionare non corrisponde a per assegnare l'appartenenza al gruppo a tutte le voci del server della directory ad eccezione di quelle che soddisfano i criteri immessi. Se ad esempio uno dei reparti condivide un numero di telefono centrale, è possibile escludere tale reparto dall'accesso a un'applicazione di social networking creando la regola Telefono non corrisponde a (555) Le voci del server della directory con numeri di telefono diversi possono accedere all'applicazione. Selezionare inizia con per assegnare l'appartenenza al gruppo alle voci del server della directory che iniziano con i criteri immessi. Gli indirizzi di un'organizzazione possono ad esempio iniziare con il nome del reparto, ovvero vendite_nomeutente@esempio.com. Se si desidera concedere a tutto il personale del reparto vendite l'accesso a un'applicazione, è possibile creare la regola inizia con vendite_. Selezionare non inizia con per assegnare l'appartenenza al gruppo a tutte le voci del server della directory ad eccezione di quelle che iniziano con i criteri immessi. Se ad esempio il formato degli indirizzi del reparto risorse umane è ru_nomeutente@esempio.com, è possibile negare l'accesso a un'applicazione impostando la regola E- mail non inizia con ru_. Le voci del server della directory con indirizzi diversi possono accedere all'applicazione. (Facoltativo) Per includere l'attributo Qualsiasi o Tutto come parte della regola del gruppo, aggiungere questa come ultima regola. Selezionare Qualsiasi per fare in modo che l'appartenenza al gruppo venga assegnata quando viene soddisfatta una qualsiasi delle condizioni della regola per l'appartenenza al gruppo. L'utilizzo di Qualsiasi è un modo per nidificare le regole. È ad esempio possibile creare una regola Tutti i seguenti: Il gruppo è vendite; Il gruppo è California. Per Il gruppo è California, Tutti i seguenti: Il numero di telefono inizia con 415; Il numero di telefono inizia con 510. I membri del gruppo devono appartenere al personale delle vendite California e avere un numero di telefono che inizia con 415 o 510. Selezionare Tutto per fare in modo che vengano soddisfatte tutte le condizioni per questa regola. Si tratta di un modo per nidificare le regole. È ad esempio possibile creare una regola Tutti i seguenti: Il gruppo è Responsabili; Il gruppo è Servizio clienti. Per Il gruppo è Servizio clienti, Tutti i seguenti: l'indirizzo inizia con sc_; Il numero di telefono inizia con 555. I membri del gruppo possono essere responsabili o rappresentanti del servizio clienti, ma questi ultimi devono avere l'indirizzo che inizia con sc e un numero di telefono che inizia con VMware, Inc.

99 Capitolo 9 Gestione di gruppi e utenti 9 (Facoltativo) Per escludere utenti specifici, immettere un nome utente nella casella di testo e fare clic su Escludi utente. 10 Fare clic su Avanti e verificare le informazioni del gruppo. Fare clic su Crea gruppo. Passi successivi Aggiungere le risorse che il gruppo è autorizzato a utilizzare. Modifica delle regole del gruppo È possibile modificare le regole del gruppo per cambiare il nome del gruppo, aggiungere e rimuovere utenti e cambiare le regole. 1 Nella console di amministrazione, fare clic su Utenti e gruppi > Gruppi. 2 Fare clic sul nome del gruppo da modificare. 3 Fare clic su Modifica gli utenti nel gruppo. 4 Fare clic sulle diverse pagine per apportare modifiche al nome, agli utenti del gruppo e alle regole. 5 Fare clic su Salva. Aggiunta di risorse ai gruppi Il modo più efficace per autorizzare gli utenti a utilizzare le risorse è quello di aggiungere i permessi a un gruppo. Tutti i membri del gruppo possono accedere alle applicazioni autorizzate per il gruppo. Prerequisiti Le applicazioni vengono aggiunte alla pagina Catalogo. 1 Nella console di amministrazione, fare clic su Utenti e gruppi > Gruppi. Nella pagina viene visualizzato un elenco dei gruppi. 2 Per aggiungere risorse a un gruppo, fare clic sul nome del gruppo. 3 Fare clic sulla scheda App, quindi su Aggiungi permesso. 4 Nel menu a discesa selezionare il tipo di applicazione da autorizzare. I tipi di applicazione presenti nel menu a discesa dipendono dai tipi di applicazione aggiunti al catalogo. 5 Selezionare le applicazioni da autorizzare per il gruppo. È possibile cercare un'applicazione specifica oppure selezionare la casella accanto a Applicazioni per selezionare tutte le applicazioni visualizzate. Se un'applicazione è già autorizzata per il gruppo, non è presente nell'elenco. 6 Fare clic su Salva. Le applicazioni vengono elencate nella pagina App e gli utenti del gruppo vengono immediatamente autorizzati per le risorse. VMware, Inc. 99

100 Amministrazione di VMware Identity Manager Creazione di utenti locali È possibile creare utenti locali nel servizio VMware Identity Manager per aggiungere e gestire utenti di cui non è stato eseguito il provisioning nella propria directory aziendale. È possibile creare directory locali diverse e personalizzare la mappatura degli attributi per ogni directory. È possibile creare una directory, selezionare gli attributi e creare attributi personalizzati per tale directory locale. Gli attributi utente obbligatori, ovvero username, lastname, firstname ed , vengono specificati a livello globale nella pagina Gestione identità e accessi > Attributi utente. Nell'elenco degli attributi utente della directory locale è possibile selezionare altri attributi obbligatori e creare attributi personalizzati per poter avere set di attributi personalizzati per directory locali diverse. Vedere l'argomento relativo all'utilizzo delle directory locali nella guida all'installazione e alla configurazione di VMware Identity Manager. È consigliabile creare utenti locali se si desidera consentire agli utenti di accedere alle applicazioni dell'azienda senza aggiungerli alla directory aziendale. È possibile creare una directory locale per un tipo di utente specifico che non fa parte della directory aziendale. È ad esempio possibile creare una directory locale per i partner, che in genere non fanno parte della directory aziendale, e consentire loro di accedere solo alle applicazioni di cui necessitano. È consigliabile creare più directory locali se si desidera definire attributi utente o metodi di autenticazione diversi per set di utenti diversi. È, ad esempio, possibile creare una directory locale per i distributori che dispongono di una regione con etichetta di attributi utente e dimensioni di mercato. È possibile creare un'altra directory locale per i fornitori che dispongono di una categoria di prodotto con etichetta di attributo utente. Si configura quindi il metodo di autenticazione che gli utenti locali utilizzano per accedere al sito Web aziendale. Per la password dell'utente locale viene applicato un criterio della password. È possibile definire le limitazioni e le regole di gestione della password. Dopo che ne è stato eseguito il provisioning, l'utente riceve un messaggio con informazioni su come accedere per abilitare l'account. Al momento dell'accesso, creerà una password e il suo account verrà abilitato. Aggiunta di utenti locali È possibile creare un utente alla volta. Quando si aggiunge l'utente, si seleziona la directory locale configurata con gli attributi utente locali da utilizzare e il dominio a cui l'utente accede. Oltre ad aggiungere le informazioni relative all'utente, è necessario selezionare il ruolo, ovvero utente o amministratore. Il ruolo amministratore consente all'utente di accedere alla console di amministrazione per gestire i servizi di VMware Identity Manager. Prerequisiti Directory locale creata Dominio identificato per gli utenti locali Attributi utente necessari selezionati nella pagina Attributi utente della directory locale Criteri della password configurati Server SMTP configurato nella scheda Impostazioni appliance in modo da inviare una notifica agli utenti locali appena creati 1 Nella scheda Utenti e gruppi della console di amministrazione, fare clic su Aggiungi utente. 100 VMware, Inc.

101 Capitolo 9 Gestione di gruppi e utenti 2 Nella pagina Aggiungere un utente, selezionare la directory locale per l'utente. La pagina si espande per visualizzare gli attributi utente da configurare. 3 Selezionare il dominio a cui l'utente è assegnato e inserire le informazioni necessarie sull'utente. 4 Se il ruolo utente è amministratore, nella casella di testo Utente, selezionare Amministratore. 5 Fare clic su Aggiungi. L'utente locale viene creato. All'utente viene inviata un' in cui gli si chiede di accedere per abilitare il proprio account e creare una password. Il collegamento presente nell' scade in base al valore impostato nella pagina Criterio password. Il valore predefinito è 7 giorni. Se il collegamento scade, è possibile fare clic su Reimposta password per inviare di nuovo la notifica . Ai gruppi esistenti viene aggiunto un utente in base alle regole dell'attributo del gruppo configurate. Passi successivi Passare all'account dell'utente locale per controllare il profilo, aggiungere l'utente ai gruppi e concedere all'utente i permessi per le risorse da utilizzare. Se si crea un utente amministratore nella directory di sistema autorizzata per le risorse gestite da un criterio di accesso specifico, assicurarsi che le regole del criterio dell'applicazione includano Password (directory locale) come metodo di autenticazione di fallback. Se l'opzione Password (directory locale) non è configurata, l'amministratore non può accedere all'app. Disattivazione o attivazione di utenti locali Per impedire agli utenti locali di accedere al portale e alle risorse per cui dispongono dell'autorizzazione, è possibile disattivarli anziché eliminarli. 1 Nella console di amministrazione, fare clic su Utenti e gruppi. 2 Nella pagina Utenti, selezionare l'utente. Verrà visualizzata la pagina Profilo utente. 3 In base allo stato dell'utente locale, eseguire una delle operazioni seguenti. a b Per disattivare l'account, deselezionare la casella di controllo Attiva. Per attivare l'account, selezionare Attiva. Gli utenti disattivati non possono accedere al portale o alle risorse per cui disponevano delle autorizzazioni. Se al momento della disattivazione, l'utente locale sta utilizzando una risorsa per cui dispone dell'autorizzazione, può accedere alla risorsa finché non si verifica il timeout della sessione. Eliminazione di utenti locali È possibile eliminare utenti locali. 1 Nella console di amministrazione, fare clic su Utenti e gruppi. 2 Selezionare l'utente da eliminare. Verrà visualizzata la pagina Profilo utente. 3 Fare clic su Elimina utente. VMware, Inc. 101

102 Amministrazione di VMware Identity Manager 4 Nella casella di conferma, fare clic su OK. L'utente viene rimosso dall'elenco Utenti. Gli utenti eliminati non possono accedere al portale o alle risorse per cui disponevano delle autorizzazioni. Gestione delle password È possibile creare un criterio della password per gestire le password degli utenti locali, che possono modificare la propria password in base alle regole di tale criterio. Gli utenti locali possono modificare la propria password dal portale Workspace ONE sezionando il proprio nome dal menu a discesa Account. Configurazione del criterio della password per gli utenti locali Il criterio della password dell'utente locale è un insieme di regole e limitazioni relative al formato e alla scadenza della password dell'utente locale. Il criterio della password si applica solo agli utenti locali creati dalla console di amministrazione di VMware Identity Manager. Il criterio della password può includere limitazioni della password, una durata massima della password e, per la reimpostazione della password, la durata massima della password temporanea. Il criterio della password predefinito richiede sei caratteri. Le limitazioni della password possono includere una combinazione di maiuscole, minuscole, numeri e caratteri speciali per fare in modo che vengano impostate password complesse. 1 Nella console di amministrazione, selezionare Utenti e gruppi > Impostazioni. 2 Fare clic su Criterio password per modificare i parametri di limitazione della password. Opzione Lunghezza minima password Caratteri minuscoli Caratteri maiuscoli Descrizione La lunghezza minima è pari a sei caratteri, ma è possibile richiedere l'immissione di più di sei caratteri. La lunghezza minima non può essere inferiore al numero minimo richiesto di caratteri alfabetici, numerici e speciali combinati. Numero minimo di caratteri minuscoli. Caratteri minuscoli a-z. Numero minimo di caratteri maiuscoli. Caratteri maiuscoli A-Z. Caratteri numerici (0-9) Numero minimo di caratteri numerici. Dieci cifre di base (0-9). Caratteri speciali Numero minimo di caratteri non alfanumerici, ad esempio & # % $! Caratteri identici consecutivi Cronologia password Numero massimo di caratteri identici adiacenti. Se ad esempio si immette 1, è consentita la password p@s$word, ma non la password p@$$word. Numero delle password precedenti che non possono essere selezionate. Se ad esempio si desidera fare in modo che l'utente non possa riutilizzare le ultime sei password, digitare 6. Per disattivare questa funzionalità, impostare il valore su 0. 3 Nella sezione Gestione password modificare i parametri della durata della password. Opzione Durata password temporanea Durata password Descrizione Numero di ore di validità del collegamento fornito per la reimpostazione della password o perché la password è stata dimenticata. Il valore predefinito è 168 ore. Numero massimo di giorni in cui la password può essere utilizzata prima che l'utente la debba cambiare. 102 VMware, Inc.

103 Capitolo 9 Gestione di gruppi e utenti Opzione Promemoria password Frequenza notifica promemoria password Descrizione Numero di giorni prima della scadenza della password in cui viene inviato l'avviso di scadenza. Frequenza di invio dei promemoria dopo l'invio del primo avviso di scadenza della password. Per impostare il criterio di durata della password, in ogni casella deve essere presente un valore. Per non impostare alcuna opzione del criterio, immettere 0. 4 Fare clic su Salva. VMware, Inc. 103

104 Amministrazione di VMware Identity Manager 104 VMware, Inc.

105 Gestione del catalogo 10 Il Catalogo è il repository di tutte le risorse che è possibile autorizzare per gli utenti. È possibile aggiungere applicazioni direttamente dalla scheda Catalogo. Per visualizzare le applicazioni aggiunte al catalogo, fare clic sulla scheda Catalogo nella console di amministrazione. Nella pagina Catalogo è possibile eseguire le seguenti attività: Aggiungere nuove risorse al catalogo. Visualizzare le risorse per le quali correntemente è possibile autorizzare gli utenti. Accedere a informazioni su ogni risorsa presente nel catalogo. Le applicazioni Web possono essere aggiunte al catalogo direttamente dalla pagina Catalogo. Altri tipi di risorse richiedono l'esecuzione di azioni all'esterno di console di amministrazione. Vedere Setting Up Resources in VMware Identity Manager per informazioni sull'impostazione delle risorse. Risorsa Applicazione Web Applicazione Windows virtualizzata acquisita come pacchetto ThinApp Pool di desktop di View Applicazioni di hosting di View Applicazione basata su Citrix Come visualizzare la risorsa nel Catalogo Nella pagina Catalogo della console di amministrazione, selezionare il tipo Applicazioni Web. Sincronizzare i pacchetti ThinApp con il catalogo dalla pagina console di amministrazione, App in pacchetto - ThinApp. Nella pagina Catalogo della console di amministrazione, selezionare il tipo di applicazione Pacchetti ThinApp. Sincronizzare i pool di View con il catalogo dalla pagina console di amministrazione, Pool di View. Nella pagina Catalogo della console di amministrazione, selezionare il tipo di applicazione Pool di desktop di View. Sincronizzare le Applicazioni di hosting di View con il catalogo dalla pagina console di amministrazione, Pool di View. Nella pagina Catalogo della console di amministrazione, selezionare il tipo di applicazione Applicazioni di hosting di View. Sincronizzare le applicazioni basate su Citrix nel catalogo dalla pagina console di amministrazione, App pubblicate - Citrix. Nella pagina Catalogo della console di amministrazione, selezionare il tipo Applicazioni pubblicate Citrix. Questo capitolo include i seguenti argomenti: Gestione delle risorse nel catalogo, pag. 106 Raggruppamento di risorse in categorie, pag. 109 Gestione delle impostazioni del catalogo, pag. 111 VMware, Inc. 105

106 Amministrazione di VMware Identity Manager Gestione delle risorse nel catalogo Prima di poter concedere agli utenti il permesso relativo a una determinata risorsa, è necessario inserire tale risorsa nel catalogo. Il metodo utilizzato per inserire una risorsa nel catalogo dipende dal tipo di risorsa in questione. I tipi di risorse definibili nel catalogo per il permesso e la distribuzione agli utenti sono applicazioni Web, applicazioni Windows acquisite come pacchetti VMware ThinApp, pool di desktop Horizon View e applicazioni View con hosting, oppure applicazioni basate su Citrix. Per integrare e abilitare pool di desktop e applicazioni View, risorse pubblicate Citrix o applicazioni in pacchetto ThinApp, è necessario utilizzare il menu Gestisci applicazioni desktop nella scheda Catalogo. Per informazioni, requisiti, installazione e configurazione di tali risorse, consultare Setting Up Resources in VMware Identity Manager. Applicazioni Web Le applicazioni Web vanno inserite nel catalogo direttamente nella pagina Catalogo della console di gestione. Quando si fa clic su un'applicazione Web visualizzata nella pagina Catalogo, vengono visualizzate le informazioni su tale applicazione. Nella pagina visualizzata, è possibile configurare l'applicazione Web, ad esempio fornendo gli attributi SAML appropriati per configurare il SSO tra VMware Identity Manager e l'applicazione Web di destinazione. Quando l'applicazione Web è configurata, è possibile attribuire i permessi agli utenti e ai gruppi di utenti. Vedere Aggiunta di applicazioni Web al catalogo, pag Aggiunta di applicazioni Web al catalogo È possibile aggiungere direttamente applicazioni Web al proprio catalogo utilizzando la pagina Catalogo nella console di amministrazione. Fare riferimento al capitolo Impostazione delle risorse in VMware Identity Manager, Accesso alle applicazioni Web per le istruzioni dettagliate di come aggiungere un'applicazione Web al catalogo. Le istruzioni riportate di seguito forniscono una panoramica sulle operazioni relative all'aggiunta di questi tipi di risorse al catalogo. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Fare clic su + Aggiungi applicazione. 106 VMware, Inc.

107 Capitolo 10 Gestione del catalogo 3 Selezionare un'opzione in base al tipo di risorsa, quindi scegliere il percorso dell'applicazione. Nome collegamento Tipo di risorsa Descrizione Applicazione Web... dal catalogo di applicazioni cloud Applicazione Web... crea nuova Applicazione Web... importa un file ZIP o JAR Applicazione Web Applicazione Web Applicazione Web VMware Identity Manager consente l'accesso alle applicazioni Web predefinite nel catalogo di applicazioni cloud che è possibile aggiungere al catalogo come risorse. Completando il modulo appropriato, sarà possibile creare un record per le applicazioni Web che si desidera aggiungere al catalogo come risorse. È possibile importare un'applicazione Web che è stata configurata in precedenza. Questo metodo può essere utilizzato per portare una distribuzione dalla fase di staging alla produzione. In una situazione del genere, l'applicazione Web viene esportata dalla fase di staging come file ZIP. Quindi il file viene importato nella distribuzione di produzione. 4 Seguire i prompt per completare il processo di aggiunta delle risorse al catalogo. Aggiunta di applicazioni Web al catalogo Quando si aggiunge un'applicazione Web al catalogo, si sta di fatto creando una voce che punta indirettamente all'applicazione Web. La voce è definita dal record di applicazione, che è un modulo contenente un URL che punta all'applicazione Web. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Fare clic su Aggiungi applicazione > Applicazione Web dal catalogo applicazioni cloud. 3 Fare clic sull'icona dell'applicazione Web da aggiungere. Il record di applicazione viene aggiunto al catalogo e viene visualizzata la pagina Dettagli con il nome e il profilo di autenticazione già specificati. 4 (Facoltativo) Personalizzare le informazioni nella pagina Dettagli in base alle esigenze della propria organizzazione. Le voci nella pagina vengono popolate con le informazioni specifiche dell'applicazione Web. È possibile modificare alcune delle voci, in base all'applicazione. Elemento del modulo Nome Descrizione Icona Categorie Descrizione Nome dell'applicazione. Descrizione dell'applicazione visibile agli utenti. Fare clic su Sfoglia per caricare un'icona per l'applicazione. Sono supportate icone nei formati di file PNG, JPG e ICON, con dimensione massima di 4MB. Le icone caricate saranno ridimensionate a 80X80 px. Per evitare distorsioni, caricare icone con altezza e larghezza uguali e il più possibile vicino alle dimensioni 80X80 px. Selezionare una categoria dal menu a discesa per consentire all'applicazione di comparire nelle ricerche per categoria tra le risorse del catalogo. La categoria deve essere stata creata precedentemente. 5 Fare clic su Salva. VMware, Inc. 107

108 Amministrazione di VMware Identity Manager 6 Fare clic su Configurazione, modificare i dettagli di configurazione del record di applicazione e fare clic su Salva. Alcuni degli elementi del modulo vengono popolati con informazioni specifiche dell'applicazione Web. Alcuni degli elementi popolati sono modificabili, altri non lo sono. Le informazioni richieste variano da applicazione ad applicazione. Per alcune applicazioni, il modulo ha una sezione Parametri dell'applicazione. Se per un'applicazione esiste questa sezione e un parametro nella sezione non ha un valore predefinito, specificare un valore per consentire l'avvio dell'applicazione. Se è fornito un valore predefinito questo può essere modificato. 7 Selezionare le schede Permessi, Gestione licenze e Provisioning e personalizzare le informazioni come necessario. Scheda Permessi Criteri di accesso Gestione licenze Provisioning Descrizione Assegnare permessi per l'applicazione a utenti e gruppi. È possibile configurare i permessi quando si configura inizialmente l'applicazione o in un secondo momento. Applicare un criterio di accesso per controllare l'accesso degli utenti all'applicazione. Configurare il monitoraggio delle approvazioni. Aggiungere informazioni di licenza per consentire all'applicazione di tenere traccia dell'uso delle licenze nei report. Le approvazioni devono essere abilitate e configurate nella pagina Catalogo > Impostazioni. È inoltre necessario registrare l'uri callback del gestore delle richieste di approvazione. Eseguire il provisioning di un'applicazione Web per recuperare informazioni specifiche dal servizio VMware Identity Manager. Se il provisioning è configurato per un'applicazione Web, quando si concede a un utente l'accesso all'applicazione, viene eseguito il provisioning dell'utente nell'applicazione Web. Al momento, è disponibile un adattatore di provisioning per Google Apps e Office 365. Per istruzioni sulla configurazione di queste applicazioni, consultare la pagina relativa alle integrazioni di VMware Identity Manager all'indirizzo Aggiunta di desktop e applicazioni con hosting View È possibile popolare il catalogo con pool di desktop View e applicazioni con hosting View, nonché integrare la distribuzione VMware Identity Manager con Horizon View. Quando si fa clic sull'applicazione View nel menu Catalogo > Gestisci applicazioni desktop, viene visualizzata la pagina Pool di View. Selezionare Abilita pool di View per aggiungere pod di View, sincronizzare directory per View e configurare il tipo di distribuzione utilizzata dal servizio per estendere i permessi relativi alle risorse View agli utenti. Una volta eseguite queste attività, i desktop e le applicazioni con hosting View per i quali sono stati concessi permessi agli utenti con Horizon View sono disponibili nelle risorse del catalogo. È possibile tornare alla pagina in qualsiasi momento per modificare la configurazione di View o aggiungere o rimuovere pod di View. Per informazioni dettagliate su come integrare View con VMware Identity Manager, consultare Consentire l'accesso per desktop View nella guida all'impostazione delle risorse. Aggiunta di applicazioni pubblicate Citrix È possibile utilizzare VMware Identity Manager per integrarlo con le distribuzioni di Citrix esistenti e popolare in tal modo il catalogo con le applicazioni basate su Citrix. Quando si fa clic su Applicazione pubblicata Citrix dal menu Catalogo > Gestisci applicazioni desktop, si viene reindirizzati alla pagina App pubblicate - Citrix. Selezionare Abilita applicazioni basate su Citrix per stabilire la comunicazione e pianificare la frequenza di sincronizzazione tra VMware Identity Manager e la server farm Citrix. 108 VMware, Inc.

109 Capitolo 10 Gestione del catalogo Per informazioni dettagliate sull'integrazione delle applicazioni pubblicate da Citrix con VMware Identity Manager, vedere Fornire accesso alle risorse pubblicate da Citrix nella guida di configurazione delle risorse. Aggiunta di applicazioni ThinApp Con VMware Identity Manager, è possibile distribuire e gestire i pacchetti ThinApp da una posizione centralizzata. È necessario abilitare VMware Identity Manager per poter individuare il repository che contiene i pacchetti ThinApp e sincronizzare i pacchetti con VMware Identity Manager. Popolare il catalogo con applicazioni Windows catturate come pacchetti ThinApp eseguendo le attività seguenti. 1 Se i pacchetti ThinApp che si desidera fornire agli utenti non esistono già, creare pacchetti ThinApp compatibili con VMware Identity Manager. Vedere la documentazione di VMware ThinApp. 2 Creare una condivisione di rete e inserire al suo interno i pacchetti ThinApp compatibili. 3 Configurare VMware Identity Manager per impostare l'integrazione con i pacchetti presenti nella condivisione di rete. Quando si fa clic su Applicazione ThinApp dal menu Catalogo > Gestisci applicazioni desktop, si viene reindirizzati alla pagina App in pacchetto - ThinApp. Selezionare Abilita applicazioni in pacchetto. Specificare la posizione del repository ThinApp e configurare la frequenza di sincronizzazione. Dopo aver eseguito queste attività, i pacchetti ThinApp aggiunti alla condivisione di rete sono disponibili come risorse nel catalogo. Per informazioni dettagliate sulla configurazione di VMware Identity Manager per distribuire e gestire pacchetti ThinApp, vedere Fornire accesso ai pacchetti VMware ThinApp nella guida di configurazione delle risorse. Raggruppamento di risorse in categorie È possibile organizzare le risorse in categorie logiche per consentire agli utenti di individuare facilmente la risorsa di cui necessitano nel loro workspace del portale Workspace ONE. Quando si creano categorie, tenere presente la struttura della propria organizzazione, la funzione lavorativa delle risorse e il tipo di risorse. È possibile assegnare più di una categoria a una risorsa. È ad esempio possibile creare una categoria Editor di testo e un'altra categoria denominata Risorse consigliate. La categoria Editor di testo può essere assegnata a tutte le risorse editor di testo nel catalogo mentre Risorse consigliate può essere assegnata a una risorsa editor di testo specifica che si vorrebbe venisse usata dagli utenti. Creazione di una categoria di risorse È possibile creare una categoria di risorse senza applicarla immediatamente o contemporaneamente creare e applicare una categoria alla risorsa. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Per creare e applicare categorie nello stesso momento, selezionare le caselle di controllo di tutte le applicazioni a cui applicare la categoria. 3 Fare clic su Categorie. 4 Immettere il nome della nuova categoria nella casella di testo. 5 Fare clic su Aggiungi categoria. La nuova categoria viene creata ma non applicata a tutte le risorse. VMware, Inc. 109

110 Amministrazione di VMware Identity Manager 6 Per applicare la categoria alle risorse scelte, selezionare la casella di controllo relativa al nome della nuova categoria. La categoria viene aggiunta all'applicazione ed elencata nella colonna Categorie. Passi successivi Applicare la categoria ad altre applicazioni. Vedere Applicazione di una categoria alle risorse, pag Applicazione di una categoria alle risorse Dopo aver creato una categoria, è possibile applicarla a qualsiasi risorsa presente nel catalogo. È possibile applicare categorie multiple alla stessa risorsa. Prerequisiti Creare una categoria. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Selezionare le caselle di controllo di tutte le applicazioni a cui applicare la categoria. 3 Fare clic su Categorie e selezionare il nome della categoria da applicare. La categoria viene applicata alle applicazioni selezionate. Rimozione di una categoria da un'applicazione È possibile rimuovere l'associazione di una categoria da un'applicazione. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Selezionare le caselle di controllo delle applicazioni per rimuovere una categoria. 3 Fare clic su Categorie. Le categorie applicate alle applicazioni risultano contrassegnate. 4 Deselezionare la categoria da rimuovere dall'applicazione e chiudere la casella del menu. La categoria viene rimossa dall'elenco Categorie dell'applicazione. Eliminare una categoria È possibile rimuovere una categoria dal catalogo in modo permanente. 1 Nella console di amministrazione, selezionare la scheda Catalogo. 2 Fare clic su Categorie. 3 Passare il puntatore sulla categoria da eliminare. Compare una "X". Fare clic sulla X. 4 Scegliere OK per rimuovere la categoria. La categoria non compare più nel menu a discesa Categorie né come etichetta in tutte le applicazioni in cui è stata precedentemente applicata. 110 VMware, Inc.

111 Capitolo 10 Gestione del catalogo Gestione delle impostazioni del catalogo La pagina Impostazioni catalogo può essere utilizzata per gestire le risorse del catalogo, scaricare un certificato SAML, personalizzare il portale utente e selezionare le impostazioni globali. Download dei certificati SAML da configurare con applicazioni sicure Quando si configurano applicazioni Web, è necessario copiare il certificato di firma SAML dell'organizzazione e inviarlo alle applicazioni sicure affinché possano accettare gli accessi degli utenti dal servizio. Il certificato SAML è utilizzato per autenticare gli accessi degli utenti dal servizio alle applicazioni sicure, quali ad esempio WebEx o Google Apps. È possibile copiare il certificato di firma SAML e i metadati del provider di servizi SAML dal servizio e modificare la dichiarazione SAML nel provider di identità di terze parti affinché corrisponda agli utenti di VMware Identity Manager. 1 Accedere alla console di amministrazione. 2 Nella scheda Catalogo, selezionare Impostazioni > Metadati SAML. 3 Copiare e salvare il certificato di firma SAML visualizzato. a b Copiare le informazioni sul certificato, mostrate nella sezione Certificato di firma. Salvare le informazioni del certificato in un file di testo per poterle utilizzare successivamente quando si configurerà l'istanza del provider di identità di terze parti. 4 Rendere disponibili i metadati del provider di servizi SAML all'istanza del provider di identità di terze parti. a b Nella pagina Scarica certificato SAML, fare clic su Metadati del fornitore di servizi (SP). Copiare e salvare le informazioni visualizzate utilizzando il metodo più adatto alla propria organizzazione. Utilizzare queste informazioni in seguito, quando si configurerà il provider di identità di terze parti. 5 Stabilire la corrispondenza utenti dal provider di identità di terze parti a VMware Identity Manager. Quando si configura il provider di identità di terze parti, modificare la dichiarazione SAML nel provider di identità di terze parti affinché corrisponda agli utenti di VMware Identity Manager. Formato NameID urn:oasis:names:tc:saml: 1.1:nameid-format: Address urn:oasis:names:tc:saml: 1.1:nameid-format:unspecified Corrispondenza utenti Il valore NameID nella dichiarazione SAML viene mappato all'attributo dell'indirizzo in VMware Identity Manager. Il valore NameID nella dichiarazione SAML viene mappato all'attributo del nome utente in VMware Identity Manager. Passi successivi Applicare le informazioni copiate per questa attività alla configurazione dell'istanza del provider di identità di terze parti. VMware, Inc. 111

112 Amministrazione di VMware Identity Manager Disattivazione della richiesta di download di applicazioni helper I desktop View, le app pubblicate di Citrix e le risorse di ThinApp richiedono l'installazione delle seguenti applicazioni helper sui computer o dispositivi degli utenti. I destkop View utilizzano Horizon Client. Le app pubblicate da Citrix richiedono Citrix Receiver. Le risorse di ThinApp richiedono VMware Identity Manager per desktop. Al primo avvio di applicazioni da questi tipi di risorse, agli utenti viene richiesto di scaricare le applicazioni helper sul proprio desktop o dispositivo. Dalla pagina Catalogo > Impostazioni > Impostazioni globali, è possibile disattivare la visualizzazione di questa richiesta ogni volta che viene avviata la risorsa. La disattivazione della visualizzazione della richiesta è consigliabile quando i computer o i dispositivi sono gestiti e si sa che le applicazioni helper sono presenti nell'immagine locale dell'utente. 1 Nella console di amministrazione, scegliere Catalogo > Impostazioni. 2 Selezionare Impostazioni globali. 3 Selezionare i sistemi operativi nei quali non deve essere visualizzata la richiesta di avviare le applicazioni helper. 4 Fare clic su Salva. Creazione di client per abilitare l'accesso ad applicazioni remote È possibile creare un singolo client per consentire a una singola applicazione di registrarsi con VMware Identity Manager e permettere l'accesso dell'utente a un'applicazione specifica nella pagina Catalogo > Impostazioni della console di amministrazione. SDK utilizza l'autenticazione basata su OAuth per connettersi a VMware Identity Manager. È necessario creare un valore ID client e un valore clientsecret nella console di amministrazione. Creazione dell'accesso remoto a una singola risorsa del catalogo È possibile creare un client per abilitare una singola applicazione a registrarsi con i servizi VMware Identity Manager e consentire all'utente di accedere a una specifica applicazione. 1 Nella scheda Catalogo della console di amministrazione, selezionare Impostazioni > Accesso remoto app. 2 Nella pagina Client, fare clic su Crea client. 3 Nella pagina Crea client, immettere le seguenti informazioni sull'applicazione. Etichetta Tipo di accesso ID client Applicazione ambito URI di reindirizzamento Descrizione Le opzioni sono Token di accesso utente e Token client del servizio. Immettere un ID client univoco per la risorsa da registrare in VMware Identity Manager. Selezionare Identity Manager. Selezionare l'ambito appropriato. Se si seleziona NAAPS, viene selezionato anche OpenID. Immettere l'uri di reindirizzamento registrato. 112 VMware, Inc.

113 Capitolo 10 Gestione del catalogo Etichetta Descrizione Sezione Avanzate Segreto condiviso Genera token di aggiornamento Tipo di token Lunghezza token Genera token di aggiornamento TTL token di accesso TTL token di aggiornamento Concessione utente Fare clic su Genera segreto condiviso per generare un segreto condiviso tra questo servizio e il servizio della risorsa applicazione. Copiare e salvare il segreto del client da impostare nella configurazione dell'applicazione. Il segreto del client non dev'essere rivelato e deve restare riservato. Se un'app distribuita non può mantenere riservato il segreto, questo non sarà utilizzato. Il segreto non viene utilizzato con le app basate su browser Web. Deselezionare la casella di controllo. Seleziona bearer Lasciare l'impostazione predefinita, 32 byte. Controllare il token di aggiornamento. (Facoltativo) Cambiare le impostazioni TTL (Time-To-Live) token di accesso. (Facoltativo) Non selezionare Visualizza richiesta di accesso agli utenti. 4 Fare clic su Aggiungi. Nella pagina del client OAuth2 viene visualizzata la configurazione del client, insieme al segreto condiviso generato. Passi successivi Immettere l'id del client e il segreto condiviso nelle pagine di configurazione delle risorse. Consultare la documentazione dell'applicazione. Creazione di un modello di accesso remoto È possibile creare un modello per consentire a un gruppo di client di registrarsi dinamicamente con il servizio VMware Identity Manager per consentire agli utenti di accedere a un'applicazione specifica. 1 Nella scheda Catalogo della console di amministrazione, selezionare Impostazioni > Accesso remoto app. 2 Fare clic su Modelli. 3 Fare clic su Crea modello. 4 Sulla pagina Crea modello, immettere le seguenti informazioni sull'applicazione. Etichetta ID modello Applicazione ambito URI di reindirizzamento Descrizione Immettere un identificativo univoco per questa risorsa. Seleziona Identity Manager Selezionare l'ambito appropriato. Se si seleziona NAAPS, viene selezionato anche OpenID. Immettere l'uri di reindirizzamento registrato. Sezione Avanzate Tipo di token Lunghezza token Genera token di aggiornamento Seleziona bearer Lasciare l'impostazione predefinita, 32 byte. Controllare il token di aggiornamento. VMware, Inc. 113

114 Amministrazione di VMware Identity Manager Etichetta TTL token di accesso TTL token di aggiornamento Concessione utente Descrizione (Facoltativo) (Facoltativo) Non selezionare Visualizza richiesta di accesso agli utenti. 5 Fare clic su Aggiungi. Passi successivi Nell'applicazione della risorsa impostare l'url del servizio VMware Identity Manager come sito che supporta l'autenticazione integrata. Modifica delle proprietà ICA nelle applicazioni pubblicate da Citrix Dalle pagine di Catalogo > Impostazioni > Applicazione pubblicata Citrix, è possibile modificare le impostazioni di singole risorse applicazioni e desktop pubblicate da Citrix nella distribuzione VMware Identity Manager. La pagina Configurazione ICA è configurata per singole applicazioni. Le caselle di testo delle proprietà ICA per le singole applicazioni sono vuote finché non si aggiungono proprietà manualmente. Quando si modificano le impostazioni di consegna delle applicazioni (proprietà ICA) di una singola risorsa pubblicata da Citrix, queste hanno la priorità rispetto alle impostazioni globali. Nella pagina Configurazione NetScaler, è possibile configurare il servizio con le impostazioni desiderate per far sì che il traffico venga instradato al server XenApp attraverso NetScaler quando gli utenti avviano applicazioni basate su Citrix. Quando si modificano le proprietà ICA nella scheda Applicazioni pubblicate Citrix > Configurazione ICA NetScaler, le impostazioni si applicano al traffico di avvio dell'applicazione instradato attraverso NetScaler. Per informazioni sulla configurazione delle proprietà ICA, visitare il centro documenti e consultare gli argomenti relativi alla configurazione di NetScaler e alla modifica delle impostazioni di consegna delle applicazioni di VMware Identity Manager per una singola risorsa pubblicata da Citrix. Revisione degli avvisi di ThinApp Gli avvisi dell'applicazione ThinApp nei Cataloghi, menu Impostazioni, reindirizza alla pagina degli avvisi delle applicazioni in pacchetto. In questa pagina sono elencati tutti gli errori individuati al momento della sincronizzazione dei pacchetti ThinApp con VMware Identity Manager. Abilitazione dell'approvazione delle applicazioni per l'uso delle risorse È possibile gestire l'accesso alle applicazioni che richiedono l'approvazione dell'organizzazione prima di poter essere utilizzate. È sufficiente abilitare le approvazioni dalla pagina delle impostazioni del catalogo e configurare l'url per ricevere la richiesta di approvazione. Quando si aggiungono applicazioni che richiedono l'approvazione per il catalogo, si abilita l'opzione Licenze. Se l'opzione Licenze è configurata, gli utenti visualizzano l'applicazione nel catalogo di Workspace ONE e ne richiedono l'utilizzo. VMware Identity Manager invia il messaggio di richiesta dell'approvazione all'url di approvazione configurato dell'organizzazione. Il processo del workflow del server esamina la richiesta e restituisce un messaggio di approvazione o rifiuto. Per informazioni sui passaggi di configurazione, vedere la sezione relativa alla gestione delle approvazioni dell'applicazione nella guida di VMware Identity Manager. È possibile visualizzare l'utilizzo delle risorse di VMware Identity Manager e report sui permessi per le risorse per conoscere il numero di applicazioni approvate in uso. 114 VMware, Inc.

115 Capitolo 10 Gestione del catalogo Configurazione del workflow di approvazione e del motore di approvazione Sono disponibili due tipi di opzioni per il workflow di approvazione. È possibile registrare l'uri REST del callout per integrare il sistema di gestione dell'applicazione con VMware Identity Manager oppure eseguire l'integrazione tramite il connettore di VMware Identity Manager. Prerequisiti Quando si configura l'api REST, è necessario configurare il sistema di gestione dell'applicazione e l'uri disponibile tramite l'api REST del callout che riceve le richieste da VMware Identity Manager. Se i sistemi del workflow di approvazione si trovano in data center locali, configurare l'api REST tramite il connettore. Il connettore può instradare i messaggi di richiesta di approvazione dal servizio cloud VMware Identity Manager a un'applicazione di approvazione locale e comunicare il messaggio di risposta al mittente. 1 Nella scheda Catalogo della console di amministrazione, selezionare Impostazioni > Approvazioni. 2 Selezionare Abilita approvazioni. 3 Nel menu a discesa Motore di approvazione, selezionare il motore di approvazione dell'api REST che si desidera utilizzare, ovvero l'api REST tramite il server Web o l'api REST tramite il connettore. 4 Configurare le seguenti caselle di testo. Opzione URI Nome utente Password Certificato SSL formato PEM Descrizione Immettere l'uri del gestore delle richieste di approvazione dell'api REST che resta in ascolto delle richieste di callout. (Facoltativo) Se l'api REST richiede nome utente e password per l'accesso, immettere il nome qui. Se non è richiesta alcuna autenticazione, è possibile lasciare vuoti i campi nome utente e password. (Facoltativo) Immettere la password dell'utente. (Facoltativo) Se si è scelto di utilizzare l'api REST e l'api REST utilizza SSL e si trova in un server che non dispone di un certificato SSL pubblico, incollare in questo campo il certificato SSL dell'api REST in formato PEM. Passi successivi Passare alla pagina Catalogo e configurare la funzionalità Licenze per le applicazioni che richiedono approvazione prima che gli utenti possano utilizzarle. VMware, Inc. 115

116 Amministrazione di VMware Identity Manager 116 VMware, Inc.

117 Utilizzo del dashboard della console 11 di amministrazione Nella console di amministrazione sono disponibili due dashboard. Il Dashboard di coinvolgimento dell'utente può essere utilizzato per monitorare gli utenti e l'uso delle risorse. Il Dashboard di diagnostica del sistema può essere utilizzato per monitorare lo stato di integrità del servizio di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Monitoraggio di utenti e utilizzo delle risorse dal dashboard, pag. 117 Monitoraggio delle informazioni e dell'integrità del sistema, pag. 118 Visualizzazione di report, pag. 119 Monitoraggio di utenti e utilizzo delle risorse dal dashboard Il Dashboard di coinvolgimento dell'utente visualizza informazioni su utenti e risorse. È possibile visualizzare chi ha effettuato l'accesso, quali applicazioni sono in uso e quanto spesso viene effettuato un accesso a queste ultime. È possibile creare report per tenere traccia delle attività di utenti e gruppi nonché dell'utilizzo delle risorse. L'ora visualizzata nel Dashboard di coinvolgimento dell'utente si basa sul fuso orario impostato per il browser. Il dashboard viene aggiornato ogni minuto. L'intestazione riporta il numero di utenti univoci che hanno effettuato l'accesso nel giorno in questione e riporta una sequenza temporale che mostra il numero di eventi di accesso giornalieri su un periodo di sette giorni. Il numero Accessi utente di oggi è contornato da un cerchio che mostra la percentuale di utenti che hanno effettuato l'accesso. Il grafico a scorrimento Accessi visualizza gli eventi di accesso della settimana. Puntare a uno dei punti del grafico per visualizzare il numero di accessi del giorno in questione. La sezione Utenti e gruppi mostra il numero di account utente e gruppi impostati in VMware Identity Manager. Gli utenti che hanno effettuato l'accesso più recentemente sono visualizzati per primi. È possibile fare clic su Vedi report completo per creare un report Auditing eventi che mostra gli utenti che hanno effettuato l'accesso in un determinato intervallo di giorni. La sezione Popolarità dell'applicazione visualizza un grafico a barre raggruppato per tipo di app del numero di volte per il quale le app sono state avviate in un periodo di sette giorni. Puntare a un giorno specifico per visualizzare una descrizione comando che indica quale tipo di app è stato utilizzato e quante app sono state avviate nel giorno in questione. L'elenco sotto al grafico mostra il numero di volte per il quale le app specifiche sono state avviate. Espandere la freccia a destra per selezionare se visualizzare le informazioni per giorno, settimana, mese o dodici settimane. È possibile fare clic su Vedi report completo per creare un report Uso delle risorse che mostra applicazione, tipo di risorsa e numero di attività degli utenti in un dato intervallo di tempo. VMware, Inc. 117

118 Amministrazione di VMware Identity Manager La sezione Adozione di applicazioni visualizza un grafico a barre che mostra la percentuale di persone che ha aperto le applicazioni per le quali dispongono di permessi. Puntare all'applicazione per visualizzare la descrizione comando che indica il numero effettivo di adozioni e permessi. Il grafico a torta Applicazioni avviate visualizza le risorse avviate come percentuale del totale. Puntare a una specifica sezione del grafico a torta per visualizzare il numero effettivo per tipo di risorse. Espandere la freccia a destra per selezionare se visualizzare le informazioni per giorno, settimana, mese o dodici settimane. La sezione Client indica il numero di Identity Manager Desktop in uso. Monitoraggio delle informazioni e dell'integrità del sistema Il dashboard di diagnostica del sistema di VMware Identity Manager visualizza una panoramica dettagliata dell'integrità delle appliance di VMware Identity Manager nell'ambiente, nonché informazioni sui servizi. È possibile osservare lo stato generale dell'integrità di server di database, macchine virtuali e servizi disponibili su ogni macchina virtuale di VMware Identity Manager. Dal dashboard di diagnostica di sistema, è possibile selezionare la macchina virtuale che si desidera monitorare e osservare lo stato dei servizi su tale macchina virtuale, compresa la versione di VMware Identity Manager installata. Se un database o una macchina virtuale presentano problemi, la barra dell'intestazione riporta lo stato della macchina in rosso. Per visualizzare i problemi, è possibile selezionare la macchina virtuale visualizzata in rosso. Scadenza password utente. Vengono visualizzate le date di scadenza delle password radice dell'appliance VMware Identity Manager e di accesso remoto. Se una password scade, passare alla pagina Impostazioni e selezionare Configurazione VA. Aprire la pagina Sicurezza del sistema per cambiare la password. Certificati. Vengono visualizzate autorità di certificazione, data di inizio e data di fine. Per gestire il certificato, passare alla pagina Impostazioni e selezionare Configurazione VA. Aprire la pagina Installa certificato. Configurazione - Stato di distribuzione dell'applicazione. Vengono visualizzate le informazioni sui servizi di configurazione dell'appliance. Stato server Web indica se il server Tomcat è in esecuzione. Stato applicazione Web indica se sia possibile accedere alla pagina della configurazione dell'appliance. La versione dell'appliance mostra la versione dell'appliance VMware Identity Manager installata. Application Manager - Stato di distribuzione dell'applicazione. Viene visualizzato lo stato della connessione dell'appliance VMware Identity Manager. Connector - Stato di distribuzione dell'applicazione. Viene visualizzato lo stato della connessione console di amministrazione. Quando viene visualizzato il messaggio che segnala la corretta connessione, è possibile accedere alle pagine di console di amministrazione. Nome di dominio completo VMware Identity Manager. Mostra il nome di dominio completo che gli utenti immettono per accedere al loro portale app VMware Identity Manager. Il nome di dominio completo VMware Identity Manager indirizza al bilanciamento del carico quando questo è in uso. Application Manager - Componenti integrati. Vengono visualizzati la connessione di database, i servizi di controllo e i dati analitici sulla connessione di VMware Identity Manager. Connector - Componenti integrati. Vengono visualizzate informazioni sui servizi gestiti dalle pagine Amministrazione servizi di Connector. Vengono visualizzate informazioni sulle risorse di ThinApp, View e Citrix Published App. Moduli. Visualizza le risorse abilitate in VMware Identity Manager. Fare clic su Abilitato per passare alla pagina di Amministrazione servizi di Connector per la risorsa in questione. 118 VMware, Inc.

119 Capitolo 11 Utilizzo del dashboard della console di amministrazione Visualizzazione di report È possibile creare report per monitorare le attività di utenti e gruppi e l'utilizzo delle risorse. I report possono essere visualizzati nella pagina Dashboard > Report della console di amministrazione. È possibile esportare i report nel formato di file csv (con valori delimitati da virgole). Tavola Tipi di report Report Attività recente Uso delle risorse Permessi risorsa Attività risorsa Appartenenza a gruppi Report di assegnazione ruoli Utenti Utenti simultanei Utilizzo dispositivi Auditing eventi Descrizione Attività recente è un report sulle azioni eseguite dagli utenti durante l'utilizzo del portale Workspace ONE nell'ultimo giorno, nell'ultima settimana, nell'ultimo mese o nelle ultime 12 settimane. Le attività possono includere informazioni sull'utente, ad esempio il numero di accessi utente univoci o il numero di accessi generali, o informazioni sulle risorse, ad esempio il numero di risorse avviate e i permessi delle risorse aggiunti. È possibile fare clic su Mostra eventi per visualizzare la data, l'ora e dettagli relativi all'utente per l'attività. Uso delle risorse è un report relativo a tutte le risorse del catalogo con dettagli sul numero di utenti, avvii e licenze per ogni risorsa. È possibile scegliere di visualizzare le attività dell'ultimo giorno, dell'ultima settimana, dell'ultimo mese o delle ultime 12 settimane. Permessi risorsa è un report relativo a una risorsa che mostra il numero di utenti autorizzati, il numero di avvii e il numero di licenze utilizzate per ogni risorsa. Il report Attività risorsa può essere creato per tutti gli utenti o per un gruppo di utenti specifico. Le informazioni relative all'attività della risorsa includono il nome utente, la risorsa autorizzata per l'utente e la data dell'ultimo accesso alla risorsa, nonché indicazioni sul tipo di dispositivo usato dall'utente per accedere alla risorsa. Appartenenza a gruppi è un elenco dei membri di un gruppo specificato dall'utente. Report di assegnazione ruoli include gli utenti che sono amministratori solo di API o amministratori e i loro indirizzi . Il report Utenti include tutti gli utenti e fornisce dettagli su ogni utente, ad esempio l'indirizzo , il ruolo e le affiliazioni ai gruppi. Il report Utenti simultanei mostra il numero di sessioni utente aperte nello stesso momento, nonché la data e l'ora. Il report Utilizzo dispositivi può mostrare l'utilizzo dei dispositivi per tutti gli utenti o per un gruppo di utenti specifico. Le informazioni relative al dispositivo sono elencate in base ai singoli utenti e includono il nome dell'utente, il nome del dispositivo, informazioni sul sistema operativo e la data dell'ultimo utilizzo. Il report Auditing eventi elenca gli eventi relativi a un utente specificato, ad esempio gli accessi dell'utente negli ultimi 30 giorni. È inoltre possibile visualizzare i dettagli dell'auditing evento. Questa funzionalità è utile per la risoluzione dei problemi. Per eseguire un report Auditing eventi, è necessario abilitare l'auditing nella pagina Catalogo > Impostazioni > Auditing. Vedere Generazione di un report sugli eventi di auditing, pag Generazione di un report sugli eventi di auditing È possibile generare un report degli eventi di auditing specificati. I report degli eventi di auditing sono molto utili nella risoluzione dei problemi. Prerequisiti L'auditing deve essere attivato. Per verificare che sia attivato, aprire la pagina Catalogo > Impostazioni della console di amministrazione e selezionare Auditing. VMware, Inc. 119

120 Amministrazione di VMware Identity Manager 1 Nella console di amministrazione, scegliere Report > Auditing eventi. 2 Selezionare i criteri degli eventi di auditing. Criteri degli eventi di auditing Utente Tipo Azione Oggetto Intervallo di date Descrizione Questa casella di testo consente di restringere la ricerca di eventi di auditing a quelli generati per un utente specifico. Questo elenco a discesa consente di restringere la ricerca di eventi di auditing a uno specifico tipo di evento di auditing. L'elenco a discesa non visualizza tutti i potenziali tipi di eventi di auditing. L'elenco visualizza solo i tipi di eventi che si sono verificati nella distribuzione. I tipi di eventi di auditing che sono elencati con tutte le lettere maiuscole sono eventi di accesso, come LOGIN e LAUNCH, che non generano modifiche nel database. Altri tipi di eventi di auditing generano modifiche nel database. Questo elenco a discesa consente di restringere la ricerca ad azioni specifiche. L'elenco visualizza gli eventi che apportano modifiche specifiche al database. Se si seleziona un evento di accesso nell'elenco a discesa Tipo, che significa un evento non di azione, non specificare un'azione nell'elenco a discesa Azione. Questa casella di testo consente di restringere la ricerca a un oggetto specifico. Esempi di oggetti sono gruppi, utenti e dispositivi. Gli oggetti sono identificati da un nome o da un numero identificativo (ID). Queste caselle di testo consentono di restringere la ricerca a un intervallo di date specifico nel formato "Da giorni fa a giorni fa". L'intervallo di date massimo è di 30 giorni. Ad esempio, da 90 giorni fa a 60 giorni fa è un intervallo valido, mentre da 90 giorni fa a 45 giorni fa è un intervallo non valido perché supera la differenza massima di 30 giorni. 3 Fare clic su Mostra. Viene mostrato un report di eventi di auditing basato sui criteri specificati. Nota: Nei momenti in cui il sottosistema di auditing viene riavviato, la pagina Auditing eventi potrebbe visualizzare un messaggio di errore e non mostrare il report. Se viene mostrato un errore di report non visualizzato, attendere qualche minuto e riprovare. 4 Per ulteriori informazioni su un evento di auditing, fare clic su Visualizza dettagli in relazione allo specifico evento di auditing. 120 VMware, Inc.

121 Personalizzazione del branding dei 12 servizi VMware Identity Manager È possibile personalizzare i loghi, i caratteri e lo sfondo utilizzati nella console di amministrazione, le schermate di accesso di utenti e amministratore, la visualizzazione Web del portale delle app Workspace ONE e la visualizzazione Web dell'app Workspace ONE nei dispositivi mobili. È possibile utilizzare lo strumento di personalizzazione per adattare l'aspetto dei colori, dei loghi e del design caratteristici della società. La scheda dell'indirizzo del browser e le pagine di accesso possono essere personalizzate nelle pagine Gestione identità e accessi > Configura > Branding personalizzato. Aggiungere un logo e personalizzare le visualizzazioni mobile e tablet del portale Web utente dalle pagine Catalogo > Impostazioni > Branding portale utente. Questo capitolo include i seguenti argomenti: Personalizzazione del branding in VMware Identity Manager, pag. 121 Personalizzazione del branding per il Portale utente, pag. 122 Personalizzazione del branding per l'applicazione VMware Verify, pag. 123 Personalizzazione del branding in VMware Identity Manager È possibile aggiungere il nome della società, il nome del prodotto e una favicon alla barra degli indirizzi per la console di amministrazione e il portale utente. È inoltre possibile personalizzare la pagina di accesso per impostare colori di sfondo corrispondenti ai colori e al design del logo della società. Per aggiungere il logo dell'azienda, passare alla pagina Catalogo > Impostazioni > Branding portale utente nella console di amministrazione. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura > Branding personalizzato. 2 Definire le impostazioni seguenti nella forma appropriata. Nota: Se un'impostazione non è elencata nella tabella, non è utilizzata e non è personalizzabile. Campo modulo Descrizione Nomi e loghi Nome azienda L'opzione Nome azienda si applica sia ai desktop che ai dispositivi mobili. È possibile aggiungere il nome della propria azienda come titolo mostrato nella scheda del browser. Immettere il nuovo nome azienda sostituendo quello corrente. VMware, Inc. 121

122 Amministrazione di VMware Identity Manager Campo modulo Nome prodotto Favicon Descrizione L'opzione Nome prodotto si applica sia ai desktop che ai dispositivi mobili. Il nome prodotto viene visualizzato dopo il nome dell'azienda nella scheda del browser. Immettere un nuovo nome di prodotto sostituendo quello corrente. Una favicon è un'icona associata a un URL, che viene visualizzata nella barra degli indirizzi del browser. Le dimensioni massime dell'immagine della favicon sono 16 x 16 pixel. I formati supportati sono JPEG, PNG, GIF e ICO. Fare clic su Carica per caricare una nuova immagine e sostituire la favicon corrente. Viene visualizzata la richiesta di conferma del cambiamento. Il cambio viene effettuato immediatamente. Schermata Accedi Logo Colore di sfondo Colore di sfondo della casella Colore di sfondo del pulsante di accesso Colore testo del pulsante di accesso Fare clic su Carica per caricare un nuovo logo e sostituire quello corrente nelle schermate di accesso. Facendo clic su Conferma il cambio viene effettuato immediatamente. La dimensioni minime consigliate per l'immagine da caricare sono 350 x 100 pixel di altezza. Se si caricano un'immagine più grande di 350 x 100 pixel, questa viene scalata per adattarla alle dimensioni 350 x 100 pixel. I formati supportati sono JPEG, PNG e GIF. Colore visualizzato per lo sfondo della schermata di accesso. Sostituire il codice di colore esadecimale di sei cifre con il codice corrispondente al nuovo colore dello sfondo. È possibile personalizzare il colore della casella della schermata di accesso. Sostituire il codice di colore esadecimale di sei cifre esistente con quello nuovo. È possibile personalizzare il colore del pulsante di accesso. Sostituire il codice di colore esadecimale di sei cifre esistente con quello nuovo. È possibile personalizzare il colore del testo mostrato sul pulsante di accesso. Sostituire il codice di colore esadecimale di sei cifre esistente con quello nuovo. Quando si personalizza la schermata di accesso, è possibile vedere le modifiche nel riquadro di anteprima prima di salvarle e renderle effettive. 3 Fare clic su Salva. Gli aggiornamenti del branding personalizzato nella console di amministrazione e nelle pagine di accesso vengono applicati entro cinque minuti dal momento in cui si fa clic su Salva. Passi successivi Controllare l'aspetto delle modifiche del branding nelle varie interfacce. Aggiornare l'aspetto del portale Workspace ONE dell'utente finale e delle visualizzazioni su dispositivi mobili e tablet. Vedere Personalizzazione del branding per il Portale utente, pag. 122 Personalizzazione del branding per il Portale utente È possibile aggiungere un logo, modificare i colori dello sfondo e aggiungere immagini per personalizzare il portale Workspace ONE. 1 Nella scheda Catalogo della console di amministrazione, selezionare Impostazioni > Branding portale utente. 122 VMware, Inc.

123 Capitolo 12 Personalizzazione del branding dei servizi VMware Identity Manager 2 Definire le impostazioni nella forma appropriata. Elemento del modulo Logo Descrizione Aggiungere un logo dell'intestazione che sarà il banner presente nella parte superiore della console di amministrazione e nelle pagine Web del portale Workspace ONE. Le dimensioni massime dell'immagine sono 220 x 40 pixel. I formati supportati sono JPEG, PNG e GIF. Portale Colore di sfondo intestazione Colore testo intestazione Colore di sfondo Nome e colore dell'icona Effetto lettering Immagine (facoltativa) Immettere un codice di colore esadecimale di sei cifre al posto di quello esistente per modificare il colore di sfondo dell'intestazione. Digitando il nuovo codice di colore, il colore dello sfondo nella schermata di anteprima del portale delle app cambia di conseguenza. Immettere un codice di colore esadecimale di sei cifre al posto di quello esistente per modificare il colore del testo visualizzato nell'intestazione. Colore visualizzato per lo sfondo della schermata del portale Web. Sostituire il codice di colore esadecimale di sei cifre con il codice corrispondente al nuovo colore dello sfondo. Digitando il nuovo codice di colore, il colore dello sfondo nella schermata di anteprima del portale delle app cambia di conseguenza. Selezionare Evidenziazione sfondo per dare risalto al colore dello sfondo. Se questa opzione è attivata, i browser che supportano immagini di sfondo multiple mostreranno la sovrapposizione nelle pagine di avvio e del catalogo. Selezionare Motivo di sfondo per impostare il motivo triangolare preimpostato nel colore dello sfondo. È possibile selezionare il colore del testo per i nomi elencati sotto le icone nelle pagine del portale delle app. Sostituire il codice di colore esadecimale con il codice corrispondente al nuovo colore dei caratteri. Selezionare il tipo di lettering da utilizzare per il testo nelle schermate del portale Workspace ONE. Per aggiungere un'immagine allo sfondo della schermata del portale delle app invece di un colore, caricare un'immagine. 3 Fare clic su Salva. Gli aggiornamenti del branding personalizzato vengono aggiornati ogni 24 ore per il portale utente. Per apportare prima le modifiche, in qualità di utente amministratore aprire una nuova scheda e immettere il seguente URL (sostituire myco.example.com con il nome di dominio desiderato). Passi successivi Controllare l'aspetto delle modifiche del branding nelle varie interfacce. Personalizzazione del branding per l'applicazione VMware Verify Se l'applicazione VMware Verify è stata abilitata per l'autenticazione a due fattori, è possibile personalizzare la pagina di accesso con il logo dell'azienda. Prerequisiti VMware Verify abilitata. 1 Nella scheda Catalogo della console di amministrazione, selezionare Impostazioni > Branding portale utente. VMware, Inc. 123

124 Amministrazione di VMware Identity Manager 2 Modificare la sezione VMware Verify. Elemento del modulo Icona Logo Descrizione Caricare il logo dell'azienda che viene visualizzato nelle pagine di richiesta di approvazione. Le dimensioni dell'immagine sono 540 x 170 pixel, il formato è PNG e può essere al massimo 128 kb. Caricare un'icona da visualizzare sul dispositivo all'avvio di VMware Verify. Le dimensioni dell'immagine sono 81 x 81 pixel, il formato è PNG e può essere al massimo 128 kb. 3 Fare clic su Salva. 124 VMware, Inc.

125 Integrazione di AirWatch con VMware 13 Identity Manager AirWatch gestisce la mobilità aziendale dei dispositivi e VMware Identity Manager l'autenticazione Single Sign-On e la gestione delle identità degli utenti. Quando AirWatch e VMware Identity Manager sono integrati, gli utenti dei dispositivi registrati in AirWatch possono accedere in sicurezza alle applicazioni per cui sono autorizzati senza dover inserire svariate password. Quando AirWatch è integrato con VMware Identity Manager, è possibile configurare le seguenti integrazioni con AirWatch. Una directory AirWatch che sincronizza utenti e gruppi di AirWatch in una directory nel servizio di VMware Identity Manager e quindi imposta l'autenticazione con password tramite AirWatch Cloud Connector. Single Sign-On in un catalogo unificato contenente applicazioni autorizzate sia da AirWatch che da VMware Identity Manager. Single Sign-On che utilizza l'autenticazione Kerberos in dispositivi ios 9. Regole del criterio di accesso per controllare il rispetto della conformità dei dispositivi ios 9 gestiti da AirWatch. Questo capitolo include i seguenti argomenti: Configurazione di AirWatch per l'integrazione con VMware Identity Manager, pag. 126 Configurazione di un'istanza di AirWatch in VMware Identity Manager, pag. 129 Abilitazione del catalogo unificato per AirWatch, pag. 130 Implementazione dell'autenticazione con AirWatch Cloud Connector, pag. 131 Implementazione dell'autenticazione SSO mobile per dispositivi ios gestiti da AirWatch, pag. 133 Implementazione dell'autenticazione Single Sign-On mobile per dispositivi Android, pag. 141 Attivazione del controllo di conformità per i dispositivi gestiti da AirWatch, pag. 147 VMware, Inc. 125

126 Amministrazione di VMware Identity Manager Configurazione di AirWatch per l'integrazione con VMware Identity Manager È necessario configurare le impostazioni nella console di amministrazione di AirWatch per la comunicazione con VMware Identity Manager prima di configurare le impostazioni di AirWatch nella console di amministrazione di VMware Identity Manager. Per integrare AirWatch e VMware Identity Manager, è necessario che siano soddisfatte le condizioni seguenti. Il gruppo organizzazione in AirWatch per cui si sta configurando VMware Identity Manager deve essere Cliente. Una chiave di gestione API REST per la comunicazione con il servizio VMware Identity Manager e una chiave API utente iscritta in REST per l'autenticazione della password di AirWatch Cloud Connector devono essere create nello stesso gruppo organizzazione in cui è configurato VMware Identity Manager. Le impostazioni dell'account amministratore API e il certificato di autenticazione amministratore di AirWatch devono essere aggiunti alle impostazioni di AirWatch nella console di amministrazione di VMware Identity Manager. Gli account utente di Active Directory devono essere configurati nello stesso gruppo organizzazione in cui è configurato VMware Identity Manager. Se gli utenti finali si trovano in un gruppo organizzazione figlio da cui VMware Identity Manager viene configurato dopo la registrazione e l'iscrizione, la mappatura del gruppo di utenti nella configurazione di iscrizione di AirWatch deve essere utilizzata per filtrare gli utenti e i loro dispositivi nel gruppo organizzazione appropriato. Le configurazioni della console di amministrazione di AirWatch sono le seguenti. Chiave API amministratore REST per la comunicazione con il servizio VMware Identity Manager Account amministratore API per VMware Identity Manager e certificato di autenticazione amministratore esportato da AirWatch e aggiunto alle impostazioni di AirWatch in VMware Identity Manager Chiave API utente iscritta in REST utilizzata per l'autenticazione della password di AirWatch Cloud Connector Creazione di chiavi API REST in AirWatch È necessario attivare l'accesso dell'api di amministrazione REST e l'accesso degli utenti registrati nella console di amministrazione di AirWatch per integrare VMware Identity Manager con AirWatch. Quando si attiva l'accesso API viene generata una chiave API. 1 Dalla console di amministrazione di AirWatch, selezionare il gruppo al livello Globale > Cliente e passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema> Avanzate > API > API REST. 2 Nella scheda Generale, fare clic su Aggiungi per generare la chiave API da utilizzare nel servizio VMware Identity Manager. Il tipo di account deve essere Amministratore. Immettere un nome di servizio univoco. Aggiungere una descrizione, come ad esempio AirWatchAPI for IDM. 3 Per generare la chiave API utente di registrazione, fare nuovamente clic su Aggiungi. 126 VMware, Inc.

127 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager 4 Selezionare Utente di registrazione dal menu a discesa Tipo account. Immettere un nome di servizio univoco. Aggiungere una descrizione, come ad esempio UserAPI per IDM. 5 Copiare le due chiavi API e salvare le chiavi in un file. Aggiungere queste chiavi quando si configura AirWatch nella console di amministrazione di VMware Identity Manager. 6 Fare clic su Salva. Creazione di account amministrativo e certificato in AirWatch Dopo aver creato la chiave dell'api di amministrazione, è possibile aggiungere un account amministratore e impostare l'autenticazione con certificato nella console di amministrazione di AirWatch. Salvare questo certificato in un file accessibile dalla console di amministrazione di AirWatch. Il certificato utilizzato è un certificato di AirWatch autofirmato generato dal certificato root di amministrazione di AirWatch. Prerequisiti La chiave dell'api di amministrazione REST di AirWatch è stata creata. 1 Dalla console di amministrazione di AirWatch, selezionare il gruppo al livello Globale > Cliente e passare a Account > Amministratori > Visualizzazione elenco. 2 Fare clic su Aggiungi > Aggiungi amministratore. VMware, Inc. 127

128 Amministrazione di VMware Identity Manager 3 Nella scheda Base, immettere il nome utente e la password dell'amministratore del certificato nelle caselle di testo corrispondenti. 4 Selezionare la scheda Ruoli, scegliere il gruppo organizzazione corrente, fare clic sulla seconda casella di testo e selezionare Amministratore di AirWatch. 5 Fare clic sulla scheda API e selezionare Certificati nella casella di testo Autenticazione. 6 Immettere la password del certificato. La password coincide con la password immessa per l'amministratore nella scheda Base. 7 Fare clic su Salva. Vengono creati il nuovo account amministrativo e il certificato client. 8 Nella pagina Vista elenco, selezionare l'amministratore creato e aprire nuovamente la scheda API. La pagina dei certificati visualizza informazioni sul certificato. 9 Immettere la password impostata nella casella di testo Password certificato, fare clic su Esporta certificato client e salvare il file. 128 VMware, Inc.

129 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Il certificato del client viene salvato come tipo di file.p12. Passi successivi Configurare le impostazioni dell'url AirWatch nella console di amministrazione di VMware Identity Manager. Configurazione di un'istanza di AirWatch in VMware Identity Manager Dopo aver configurato le impostazioni nella console di amministrazione di AirWatch, nella pagina Gestione identità e accessi della console di amministrazione di VMware Identity Manager, è necessario specificare l'url di AirWatch, i valori delle chiavi API e il certificato. Una volta configurate le impostazioni di AirWatch, è possibile attivare le funzionalità facoltative disponibili con l'integrazione con AirWatch. Aggiunta delle impostazioni di AirWatch a VMware Identity Manager Configurare le impostazioni di AirWatch in VMware Identity Manager per integrare AirWatch con VMware Identity Manager e attivare le opzioni di integrazione delle funzionalità di AirWatch. Vengono aggiunti il certificato e la chiave dell'api di AirWatch per l'autorizzazione di VMware Identity Manager con AirWatch. Prerequisiti URL del server di AirWatch utilizzato dall'amministratore per accedere alla console di amministrazione di AirWatch. Chiave dell'api di amministrazione di AirWatch utilizzata per creare richieste di API da VMware Identity Manager al server di AirWatch per configurare l'integrazione. File del certificato di AirWatch utilizzato per effettuare chiamate API e password del certificato. Il file del certificato deve essere in formato.p12. Chiave API utente registrato di AirWatch. ID del gruppo di AirWatch per il tenant, ovvero l'identificatore del tenant in AirWatch. 1 Nella scheda Gestione identità e accessi della console di amministrazione di VMware Identity Manager, fare clic su Impostazione > AirWatch. 2 Specificare le impostazioni di integrazione di AirWatch nei seguenti campi. Campo URL API di AirWatch Certificato API di AirWatch Password certificato Chiave API di amministrazione di AirWatch Chiave API utente registrato di AirWatch ID Gruppo di AirWatch Descrizione Immettere l'url di AirWatch. Ad esempio Caricare il file del certificato utilizzato per effettuare chiamate API. Immettere la password del certificato. Immettere il valore della chiave dell'api di amministrazione. Un esempio di valore di chiave API è FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc +jveeys= Immettere la chiave API dell'utente registrato. Immettere l'id di AirWatch relativo al gruppo dell'organizzazione in cui sono stati creati la chiave dell'api e l'account di amministrazione. VMware, Inc. 129

130 Amministrazione di VMware Identity Manager 3 Fare clic su Salva. Passi successivi Attivare l'opzione della funzione Catalogo unificato per unire al catalogo unificato la configurazione delle app presenti nel catalogo di AirWatch. Attivare il controllo della conformità per verificare che i dispositivi gestiti di AirWatch si attengano alla politica di conformità di AirWatch. Vedere Attivazione del controllo di conformità per i dispositivi gestiti da AirWatch, pag Abilitazione del catalogo unificato per AirWatch Quando si configura VMware Identity Manager con l'istanza di AirWatch, è possibile abilitare il catalogo unificato che consente agli utenti finali di visualizzare tutte le app per cui sono autorizzati sia da VMware Identity Manager che da AirWatch. Quando AirWatch non è integrato con il catalogo unificato, gli utenti finali visualizzano solo le app per cui sono autorizzati dal servizio di VMware Identity Manager. Prerequisiti AirWatch configurato in VMware Identity Manager. 1 Nella scheda Gestione identità e accessi della console di amministrazione selezionare Configura > AirWatch. 2 Nella sezione Catalogo unificato di questa pagina, selezionare Attiva. 3 Fare clic su Salva. 130 VMware, Inc.

131 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Passi successivi Informare gli utenti finali di AirWatch su come accedere al catalogo unificato e visualizzare il proprio portale Workspace ONE tramite VMware Identity Manager. Implementazione dell'autenticazione con AirWatch Cloud Connector È possibile integrare AirWatch Cloud Connector con il servizio di VMware Identity Manager per l'autenticazione delle password degli utenti. È possibile configurare il servizio di VMware Identity Manager per sincronizzare gli utenti dalla directory di AirWatch invece di distribuire un VMware Identity Manager Connector. Per implementare l'autenticazione di AirWatch Cloud Connector, attivare l'autenticazione con password di AirWatch Cloud Connector nella pagina del provider di identità integrato dalla console di amministrazione di VMware Identity Manager. Nota: AirWatch Cloud Connector deve essere configurato in AirWatch versione 8.3 o successive per l'autenticazione con VMware Identity Manager. L'autenticazione con nome utente e password è integrata nella distribuzione di AirWatch Cloud Connector. Per autenticare gli utenti che utilizzano altri metodi di autenticazione supportati da VMware Identity Manager, è necessario configurare il VMware Identity Manager Connector. Gestione della mappatura degli attributi dell'utente È possibile configurare la mappatura degli attributi dell'utente tra la directory di AirWatch e la directory di VMware Identity Manager. La pagina Attributi utente nella console di amministrazione di VMware Identity Manager, pagina Gestione identità e accessi > Configura > Attributi utente, elenca gli attributi predefiniti della directory che possono essere mappati agli attributi della directory di AirWatch. Gli attributi obbligatori sono contrassegnati con un asterisco. Gli utenti nel cui profilo manca un attributo obbligatorio non vengono sincronizzati con il servizio VMware Identity Manager. Tavola Mappatura degli attributi predefiniti della directory AirWatch Nome attributo utente VMware Identity Manager userprincipalname distinguishedname employeeid domain disabled (utente esterno disabilitato) phone lastname firstname username Mappatura predefinita all'attributo utente AirWatch userprincipalname distinguishedname employeeid Dominio disabilitato telephonenumber lastname* firstname* * username* VMware, Inc. 131

132 Amministrazione di VMware Identity Manager Sincronizzazione di utenti e gruppi dalla directory di AirWatch alla directory di VMware Identity Configurare le impostazioni di VMware Identity Manager nella console di amministrazione di AirWatch per stabilire una connessione tra l'istanza del gruppo dell'organizzazione della directory di AirWatch e VMware Identity Manager. Questa connessione viene utilizzata per sincronizzare utenti e gruppi in una directory creata nel servizio VMware Identity Manager. La directory di VMware Identity Manager può essere utilizzata con AirWatch Cloud Connector per l'autenticazione della password. Gli utenti e i gruppi vengono inizialmente sincronizzati nella directory di VMware Identity Manager manualmente. La pianificazione della sincronizzazione di AirWatch determina quando gli utenti e i gruppi vengono sincronizzati con la directory di VMware Identity Manager. Quando un utente o un gruppo viene aggiunto o eliminato nel server AirWatch, la modifica viene immediatamente applicata nel servizio VMware Identity Manager. Prerequisiti Nome e password dell'amministratore locale di VMware Identity Manager. Identificare i valori di attributo da mappare dalla directory di AirWatch. Vedere Gestione della mappatura degli attributi dell'utente, pag Nella pagina Gruppi e impostazioni > Tutte le impostazioni della console di amministrazione di AirWatch, selezionare Globale > Gruppo organizzazione a livello di cliente e passare a Sistema > Integrazione azienda >VMware Identity Manager. 2 Nella sezione Server, fare clic su Configura. Nota: Il pulsante di configurazione è disponibile solo se anche il servizio di directory è configurato per lo stesso gruppo dell'organizzazione. Se il pulsante Configura non è visibile, significa che non ci si trova nel gruppo dell'organizzazione corretto. È possibile cambiare il gruppo dell'organizzazione nel menu a discesa Globale. 3 Immettere le impostazioni di VMware Identity Manager. Opzione URL Nome utente amministratore Password amministratore Descrizione Immettere l'url VMware del tenant. Ad esempio Immettere il nome utente dell'amministratore locale di VMware Identity Manager. Immettere la password dell'amministratore locale di VMware Identity Manager. 4 Fare clic su Avanti. 5 Abilitare la mappatura personalizzata per configurare la mappatura degli attributi utente da AirWatch al servizio VMware Identity Manager. 6 Fare clic su Test della connessione per verificare che le impostazioni siano corrette. 132 VMware, Inc.

133 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager 7 Fare clic su Sincronizza ora per sincronizzare manualmente tutti gli utenti e i gruppi con il servizio VMware Identity Manager. Nota: Per controllare il carico del sistema, la sincronizzazione manuale può essere eseguita solo quattro ore dopo la sincronizzazione precedente. Nel servizio VMware Identity Manager viene creata una directory di AirWatch e gli utenti e i gruppi vengono sincronizzati con una directory di VMware Identity Manager. Passi successivi Controllare la scheda Utenti e gruppi della console di amministrazione di VMware Identity Manager per verificare che i nomi degli utenti e dei gruppi siano sincronizzati. Aggiornamento di VMware Identity Manager dopo l'aggiornamento di AirWatch Quando si aggiorna AirWatch a una nuova versione, è necessario aggiornare le opzioni di configurazione Catalogo unificato e Autenticazione password utente tramite AirWatch nel servizio VMware Identity Manager. Quando si salvano queste opzioni dopo l'aggiornamento di AirWatch, le impostazioni di AirWatch nel servizio VMware Identity Manager vengono aggiornate con la nuova versione di AirWatch. 1 Dopo avere aggiornato AirWatch, accedere alla console di amministrazione di VMware Identity Manager. 2 Nella scheda Gestione identità e accessi, fare clic su Configura > AirWatch. 3 Scorrere la pagina verso il basso fino alla sezione Catalogo unificato e fare clic su Salva. 4 Scorrere verso il basso fino alla sezione Autenticazione password utente tramite AirWatch e fare clic su Salva. La configurazione di AirWatch viene aggiornata con la nuova versione nel servizio VMware Identity Manager. Implementazione dell'autenticazione SSO mobile per dispositivi ios gestiti da AirWatch Per l'autenticazione di dispositivi ios, VMware Identity Manager utilizza un provider di identità integrato nel servizio di Identity Manager per fornire accesso all'autenticazione SSO mobile. Questo metodo di autenticazione utilizza un Centro distribuzione chiavi senza l'impiego di un connettore o di un sistema di terze parti. È necessario installare il servizio Centro distribuzione chiavi nel provider di identità integrato di VMware Identity Manager prima di attivare Kerberos nella console di amministrazione. L'implementazione dell'autenticazione SSO mobile per dispositivi ios 9 gestiti da AirWatch richiede i seguenti passaggi di configurazione. Nota: L'autenticazione SSO mobile è supportata nei dispositivi ios che eseguono ios 9 o versione successiva. Inizializzare il Centro distribuzione chiavi nell'appliance VMware Identity Manager. Vedere il capitolo sulla preparazione all'uso dell'autenticazione Kerberos su dispositivi ios nella Guida dell'installazione. Se si utilizzano i Servizi certificati Active Directory, configurare un modello di CA per la distribuzione di certificati Kerberos nei Servizi certificati Active Directory. Quindi configurare AirWatch per utilizzare la CA di Active Directory. Aggiungere il modello di certificato nella console di amministrazione di AirWatch. Scaricare il certificato dell'emittente per configurare SSO mobile per ios. VMware, Inc. 133

134 Amministrazione di VMware Identity Manager Se si utilizza AirWatch Certificate Authority, attivare Certificati nella pagina delle integrazioni di VMware Identity Manager. Scaricare il certificato dell'emittente per configurare SSO mobile per ios. Configurare il provider di identità integrato e attivare e configurare l'autenticazione SSO mobile per ios nella console di amministrazione di VMware Identity Manager. Configurare il profilo di dispositivo ios e attivare Single Sign-In dalla console di amministrazione di AirWatch. Configurazione dell'autorità di certificazione di Active Directory in AirWatch Per impostare l'autenticazione SSO (Single Sign-On) in dispositivi mobili ios 9 gestiti da AirWatch, è possibile configurare una relazione basata sulla fiducia tra Active Directory e AirWatch e attivare il metodo di autenticazione SSO mobile per ios in VMware Identity Manager. Dopo aver configurato l'autorità di certificazione e il modello di certificato per la distribuzione di certificati Kerberos in Servizi certificati Active Directory, abilitare la richiesta del certificato utilizzato per l'autenticazione in AirWatch e aggiungere l'autorità di certificazione nella console di amministrazione di AirWatch. 1 Dal menu principale della console di amministrazione di AirWatch, passare a Dispositivi > Certificati > Autorità di certificazione. 2 Fare clic su Aggiungi. 3 Configurare le opzioni seguenti nella pagina Autorità di certificazione. Nota: Assicurarsi che come Tipo autorità sia selezionata Microsoft ADCS prima di iniziare a compilare il modulo. Opzione Nome Tipo di autorità Protocollo Nome host del server Nome autorità Autenticazione Nome utente e password Descrizione Immettere il nome della nuova autorità di certificazione. Assicurarsi che sia selezionata l'opzione Microsoft ADCS. Selezionare il protocollo ADCS. Immettere l'url del server. Immettere il nome host nel formato L'indirizzo può iniziare con http o https in base alla configurazione del sito. L'URL deve includere una barra / finale. Nota: Se la connessione non riesce quando si verifica l'url, rimuovere o dall'indirizzo e verificare di nuovo la connessione. Immettere il nome dell'autorità di certificazione a cui è connesso l'endpoint di ADCS. È possibile conoscere questo nome avviando l'applicazione Certification Authority sul server dell'autorità di certificazione. Assicurarsi che sia selezionata l'opzione Account servizio. Immettere il nome utente e la password per l'account amministrativo di ADCS, dotato di privilegi di accesso sufficienti a consentire ad AirWatch di richiedere ed emettere certificati. 4 Fare clic su Salva. Passi successivi Configurare il modello di certificato in AirWatch. 134 VMware, Inc.

135 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Configurazione di AirWatch in modo che utilizzi l'autorità di certificazione Active Directory Il modello dell'autorità di certificazione deve essere configurato correttamente per la distribuzione di certificati Kerberos. Nei servizi certificati Active Directory (AD CS) è possibile duplicare il modello di autenticazione Kerberos per configurare un nuovo modello di autorità di certificazione per l'autenticazione ios Kerberos. Quando si duplica il modello di autenticazione Kerberos da AD CS, è necessario configurare le seguenti informazioni nella finestra di dialogo Proprietà nuovo modello. Figura Proprietà dei servizi certificati Active Directory della finestra di dialogo Nuovo modello Scheda Generale. Immettere il nome visualizzato del modello e il nome del modello, ad esempio ioskerberos. Si tratta del nome visualizzato mostrato nello snap-in Modelli di certificato, nello snap-in Certificati e nello snap-in Autorità di certificazione. Scheda Nome oggetto. Selezionare il pulsante di opzione Inserisci nella richiesta. Il nome dell'argomento viene fornito da AirWatch quando questo richiede il certificato. Scheda Estensione. Definire i criteri dell'applicazione. Selezionare Criteri di applicazione e fare clic su Modifica per aggiungere un nuovo criterio di applicazione. Denominare questo criterio Autenticazione client Kerberos. Aggiungere l'identificatore di oggetto (OID) come segue: Non modificare. Nell'elenco Descrizione dei criteri di applicazione, elencare tutti i criteri elencati tranne il criterio Autenticazione client Kerberos e il criterio Autenticazione smart card. Scheda Sicurezza. Aggiungere l'account AirWatch all'elenco di utenti che possono utilizzare il certificato. Impostare i permessi per l'account. Impostare Controllo completo per consentire all'entità di sicurezza di modificare tutti gli attributi di un modello di certificato, compresi i permessi per il modello di certificato. In caso contrario, impostare i permessi in base ai requisiti dell'organizzazione. Salvare le modifiche. Aggiungere il modello all'elenco di modelli utilizzati dall'autorità di certificazione Active Directory. In AirWatch, configurare l'autorità di certificazione e aggiungere il modello di certificato. Aggiunta di un modello di certificato in AirWatch È possibile aggiungere un modello di certificato che associ la CA (Certificate Authority, autorità di certificazione) utilizzata per generare il certificato dell'utente. Prerequisiti Configurare la CA in AirWatch. VMware, Inc. 135

136 Amministrazione di VMware Identity Manager 1 Dalla console di amministrazione di AirWatch, passare a Sistema > Integrazione Enterprise > Autorità di certificazione. 2 Selezionare la scheda Modello di richiesta e fare clic su Aggiungi. 3 Configurare le opzioni seguenti nella pagina dei modelli di certificato. Opzione Nome Autorità di certificazione Modello emittente Nome oggetto Lunghezza chiave privata Tipo chiave privata Tipo di SAN Rinnovo automatico certificati Periodo di rinnovo automatico (in giorni) Consenti la revoca dei certificati Pubblica chiave privata Destinazione chiave privata Descrizione Immettere il nome del nuovo modello di richiesta in AirWatch. Selezionare l'autorità di certificazione creata dal menu a discesa. Immettere il nome del modello di certificato CA di Microsoft esattamente come creato in AD CS. Ad esempio ioskerberos. Dopo CN=, immettere {EnrollmentUser}, dove la casella di testo {} è il valore di ricerca di AirWatch. Il testo qui immesso corrisponde all'oggetto del certificato, utilizzabile per determinare chi ha ricevuto il certificato. Questa lunghezza della chiave privata corrisponde all'impostazione del modello di certificato utilizzato da AD CS. In genere è pari a Selezionare la casella di controllo Firma e crittografia. Per il SAN (Subject Alternate Name, nome alternativo dell'oggetto), selezionare Nome principale utente. Il valore deve essere {EnrollmentUser}. Se con l'autenticazione Kerberos è configurato il controllo di conformità del dispositivo, è necessario impostare un secondo tipo di SAN per includere l'udid. Selezionare il tipo di SAN DNS. Il valore deve essere UDID={DeviceUid}. Selezionare la casella di controllo per far sì che i certificati che utilizzano questo modello vengano rinnovati automaticamente prima della loro data di scadenza. Specificare il periodo di rinnovo automatico, espresso in giorni. Selezionare la casella di controllo per far sì che i certificati vengano revocati automaticamente quando vengono eliminati i dispositivi applicabili o ne viene annullata la registrazione, oppure se viene rimosso il profilo applicabile. Selezionare questa casella di controllo per pubblicare la chiave privata. Servizio di directory o servizio Web personalizzato 136 VMware, Inc.

137 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager 4 Fare clic su Salva. Passi successivi Nella console di amministrazione del provider di identità, configurare il provider di identità integrato con il metodo di autenticazione SSO mobile per ios. Configurazione del profilo Apple ios in AirWatch utilizzando autorità di certificazione Active Directory e modello di certificato Creare e distribuire il profilo di dispositivo Apple ios in AirWatch per inserire le impostazioni del provider di identità nel dispositivo. Questo profilo contiene le informazioni necessarie al dispositivo per connettersi al provider di identità di VMware e il certificato utilizzato dal dispositivo stesso per l'autenticazione. Attivare Single Sign-On per consentire un accesso rapido e integrato senza richiedere l'autenticazione in ogni app. Prerequisiti In VMware Identity Manager è configurato SSO mobile per ios. File dell'autorità di certificazione ios Kerberos salvato su un computer a cui sia possibile accedere dalla console di amministrazione di AirWatch. Configurazione corretta in AirWatch della propria autorità di certificazione e del modello di certificato. Elenco degli URL e degli ID dei pacchetti applicazione che utilizzano l'autenticazione SSO mobile per ios sui dispositivi ios. 1 Nella console di amministrazione di AirWatch, passare a Dispositivi > Profili e risorse > Profili. 2 Selezionare Aggiungi > Aggiungi profilo e selezionare Apple ios. 3 Immettere il nome ioskerberos e configurare le impostazioni in Generale. VMware, Inc. 137

138 Amministrazione di VMware Identity Manager 4 Nel riquadro di navigazione di sinistra, selezionare Credenziali > Configura per configurare la credenziale. Opzione Origine credenziali Autorità di certificazione Modello di certificato Descrizione Selezionare Autorità di certificazione definita dal menu a discesa. Selezionare l'autorità di certificazione nell'elenco del menu a discesa. Selezionare il modello di richiesta che fa riferimento all'autorità di certificazione dal menu a discesa. Questo è il modello di certificato creato in Aggiunta del modello di certificato in AirWatch. 5 Fare di nuovo clic sul + nell'angolo inferiore destro della pagina e creare una seconda credenziale. 6 Dal menu a discesa Origine credenziali, selezionare Carica. 7 Immettere il nome della credenziale. 8 Fare clic su Carica per caricare il certificato root del server KDC scaricato dalla pagina Gestione identità e accessi > Gestione > Provider di identità > Provider di identità integrato. 9 Nel riquadro di navigazione a sinistra, selezionare Single Sign-On e fare clic su Configura. 10 Immettere le informazioni di connessione. Opzione Nome account Nome principale Kerberos Area di autenticazione Certificati di rinnovo Prefissi URL Applicazioni Descrizione Inserire Kerberos. Fare clic su + e scegliere {EnrollmentUser}. Immettere il nome dell'area di autenticazione utilizzato nell'inizializzazione del KDC nell'appliance VMware Identity Manager. Ad esempio EXAMPLE.COM. Selezionare Certificato 1 dal menu a discesa. Questo è il certificato della CA di Active Directory che è stato configurato per primo con le credenziali. Immettere i prefissi di URL che devono corrispondere per poter utilizzare questo con autenticazione Kerberos su HTTP. Immettere l'url del server di VMware Identity Manager nella forma Inserire l'elenco di identificatori di applicazione a cui è consentito l'uso di questo accesso. Per eseguire un singolo accesso utilizzando il browser Safari integrato in ios, immettere il primo ID di pacchetto applicazione nella forma com.apple.mobilesafari. Continuare l'immissione degli altri ID di pacchetti applicazione. Le applicazioni elencate devono supportare l'autenticazione SAML. 11 Fare clic su Salva e pubblica. Una volta inserito il profilo ios nei dispositivi degli utenti, questi potranno accedere a VMware Identity Manager utilizzando il metodo di autenticazione SSO mobile per ios senza dover immettere le proprie credenziali. Passi successivi Creare un altro profilo per configurare eventuali altre funzionalità desiderate, ad esempio Clip web per creare icone per applicazioni Web che è possibile inserire da AirWatch alle home page dei dispositivi ios o al catalogo delle app. 138 VMware, Inc.

139 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Utilizzo dell'autorità di certificazione di AirWatch per l'autenticazione Kerberos È possibile utilizzare l'autorità di certificazione di AirWatch anziché quella di Active Directory per configurare SSO con l'autenticazione Kerberos incorporata nei dispositivi mobili ios 9 gestiti da AirWatch. È possibile abilitare l'autorità di certificazione di AirWatch nella console di amministrazione di AirWatch ed esportare il certificato dell'emittente CA per l'utilizzo nel servizio VMware Identity Manager. L'autorità di certificazione di AirWatch è progettata per seguire il protocollo SCEP (Simple Certificate Enrollment Protocol) e viene utilizzata con i dispositivi gestiti di AirWatch che supportano SCEP. L'integrazione di VMware Identity Manager con AirWatch utilizza l'autorità di certificazione di AirWatch per emettere certificati per i dispositivi mobili ios 9 come parte del profilo. Il certificato root dell'emittente dell'autorità di certificazione di AirWatch è anche il certificato di firma OCSP. Attivazione ed esportazione di AirWatch Certificate Authority Quando si attiva VMware Identity Manager in AirWatch, è possibile generare il certificato root dell'emittente di AirWatch ed esportare il certificato per utilizzarlo nell'autenticazione SSO mobile per ios su dispositivi mobili ios 9 gestiti. 1 Dalla console di amministrazione di AirWatch, andare a Sistema > Integrazione Enterprise > VMware Identity Manager. 2 Per attivare AirWatch Certificate Authority, il gruppo dev'essere di tipo Cliente. Tip Per visualizzare o cambiare il tipo del gruppo, passare a Gruppi e impostazioni, Gruppi > Gruppi> Dettagli gruppo. 3 Nella sezione CERTIFICATO, fare clic su Attiva. La pagina mostra i dettagli del certificato root dell'emittente. 4 Fare clic su Esporta e salvare il file. Passi successivi Nella console di amministrazione di VMware Identity Manager, configurare l'autenticazione Kerberos nel provider di identità integrato e aggiungere il certificato dell'emittente della CA. Configurazione del profilo Apple ios in AirWatch utilizzando la CA di AirWatch Creare e distribuire il profilo di dispositivo Apple ios in AirWatch per inserire le impostazioni del provider di identità nel dispositivo. Questo profilo contiene le informazioni necessarie al dispositivo per connettersi al provider di identità di VMware e il certificato utilizzato dal dispositivo stesso per l'autenticazione. Prerequisiti Autenticazione Kerberos integrata configurata in Identity Manager. File del certificato root del server KDC di VMware Identity Manager salvato su un computer a cui sia possibile accedere dalla console di amministrazione di AirWatch. Certificato abilitato e scaricato dalla pagina Sistema > Integrazione aziendale > VMware Identity Manager della console di amministrazione di AirWatch. Elenco degli URL e degli ID dei pacchetti applicazione che utilizzano l'autenticazione Kerberos integrata sui dispositivi ios. VMware, Inc. 139

140 Amministrazione di VMware Identity Manager 1 Dalla console di amministrazione di AirWatch passare a Dispositivi > Profili e risorse > Profilo > Aggiungi profilo e selezionare Apple IOS. 2 Configurare le impostazioni della sezione Generale del profilo e specificare ioskerberos come nome del dispositivo. 3 Nel riquadro di navigazione di sinistra, selezionare SCEP > Configura per configurare la credenziale. Opzione Origine credenziali Autorità di certificazione Modello di certificato Descrizione Selezionare AirWatch Certificate Authority dal menu a discesa. Selezionare la AirWatch Certificate Authority dal menu a discesa. Selezionare Single Sign On per impostare il tipo di certificato emesso dalla CA di AirWatch. 4 Fare clic su Credenziali > Configura e creare una seconda credenziale. 5 Dal menu a discesa Origine credenziali, selezionare Carica. 6 Immettere il nome della credenziale ios Kerberos. 7 Fare clic su Carica per caricare il certificato root del server KDC di VMware Identity Manager scaricato dalla pagina Gestione identità e accessi > Gestione > Provider di identità > Provider di identità integrato. 8 Nel riquadro di navigazione di sinistra, selezionare Single Sign-On. 9 Immettere le informazioni di connessione. Opzione Nome account Nome principale Kerberos Area di autenticazione Certificati di rinnovo Prefissi URL Applicazioni Descrizione Inserire Kerberos. Fare clic su + e scegliere {EnrollmentUser}. Immettere il nome dell'area di autenticazione utilizzato nell'inizializzazione del KDC nell'appliance VMware Identity Manager. Ad esempio EXAMPLE.COM. Nei dispositivi ios 8 o versione successiva, selezionare il certificato utilizzato per eseguire nuovamente l'autenticazione dell'utente in modo automatico senza alcuna interazione da parte dell'utente quando la sessione Single Sign-On dell'utente scade. Immettere i prefissi di URL che devono corrispondere per poter utilizzare questo con autenticazione Kerberos su HTTP. Immettere l'url del server di VMware Identity Manager nella forma Inserire l'elenco di identificatori di applicazione a cui è consentito l'uso di questo accesso. Per eseguire un singolo accesso utilizzando il browser Safari integrato in ios, immettere il primo ID di pacchetto applicazione com.apple.mobilesafari. Continuare l'immissione degli altri ID di pacchetti applicazione. Le applicazioni elencate devono supportare l'autenticazione SAML. 10 Fare clic su Salva e pubblica. Una volta inserito il profilo ios nei dispositivi degli utenti, questi potranno accedere a VMware Identity Manager utilizzando il metodo di autenticazione Kerberos integrato senza dover immettere le proprie credenziali. 140 VMware, Inc.

141 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Passi successivi Creare un altro profilo per configurare eventuali altre funzionalità desiderate per ios Kerberos, ad esempio Clip web per creare icone per applicazioni Web che è possibile inserire da AirWatch alle home page dei dispositivi ios o al catalogo delle app. Implementazione dell'autenticazione Single Sign-On mobile per dispositivi Android SSO mobile per Android è un'implementazione del metodo di autenticazione del certificato per i dispositivi Android gestiti da AirWatch. Nel dispositivo Android viene installata l'applicazione mobile AirWatch Tunnel. Il client AirWatch Tunnel viene configurato in modo da accedere al servizio VMware Identity Manager per l'autenticazione. Il client Tunnel utilizza il certificato del client per stabilire una sessione SSL con autenticazione reciproca e il servizio VMware Identity Manager recupera il certificato del client per l'autenticazione. Nota: L'autenticazione SSO mobile per Android supporta dispositivi Android 4.4 e versioni successive. Single Sign-On mobile senza accesso alla VPN L'autenticazione Single Sign-On mobile per i dispositivi Android può essere configurata in modo da ignorare il server Tunnel quando non è necessario accedere alla VPN. L'implementazione dell'autenticazione SSO mobile per Android senza una VPN utilizza le stesse pagine di configurazione usate per configurare AirWatch Tunnel, ma poiché non si sta installando il server Tunnel, non è necessario immettere il nome host e la porta del server AirWatch Tunnel. Si configura comunque un profilo mediante il modulo del profilo di AirWatch Tunnel, ma il traffico non viene indirizzato al server Tunnel. Il client Tunnel viene utilizzato solo per Single Sign-On. Nella console di amministrazione di AirWatch, configurare le seguenti impostazioni. Componente Tunnel per app in AirWatch Tunnel. Questa configurazione consente ai dispositivi Android di accedere alle app interne e pubbliche gestite tramite il client dell'app mobile AirWatch Tunnel. Profilo Tunnel per app. Questo profilo è utilizzato per attivare le funzionalità di tunneling per app per Android. Poiché il server Tunnel non viene configurato, nella pagina delle regole del traffico di rete, selezionare l'opzione per ignorare il server Tunnel in modo che il traffico non venga indirizzato a tale server. Single Sign-On mobile con accesso alla VPN Se l'applicazione configurata per Single Sign-On viene utilizzata anche per accedere alle risorse della rete Intranet protette dal firewall, configurare l'accesso alla VPN e il server Tunnel. Se si configura Single Sign- On con la VPN, il client Tunnel può facoltativamente instradare il traffico dell'applicazione e le richieste di accesso tramite il server Tunnel. Anziché la configurazione predefinita utilizzata per il client Tunnel nella console in modalità Single Sign-On, si utilizza una configurazione che punta al server Tunnel. L'implementazione dell'autenticazione SSO mobile per Android per dispositivi Android gestiti da AirWatch richiede la configurazione di AirWatch Tunnel nella console di amministrazione di AirWatch e l'installazione del server AirWatch Tunnel prima di configurare SSO mobile per Android nella console di amministrazione di VMware Identity Manager. Il servizio AirWatch Tunnel fornisce l'accesso per app alla VPN per le applicazioni gestite da AirWatch. AirWatch Tunnel consente inoltre di usare un proxy per il traffico da un'applicazione mobile a VMware Identity Manager per Single Sign-On. VMware, Inc. 141

142 Amministrazione di VMware Identity Manager Nella console di amministrazione di AirWatch, configurare le seguenti impostazioni. Componente Tunnel per app in AirWatch Tunnel. Questa configurazione consente ai dispositivi Android di accedere alle applicazioni interne e pubbliche gestite tramite il client dell'app mobile AirWatch Tunnel. Dopo aver configurato le impostazioni di AirWatch Tunnel nella console di amministrazione, scaricare il programma di installazione di AirWatch Tunnel e procedere con l'installazione del server AirWatch Tunnel. Profilo VPN per Android. Questo profilo è utilizzato per attivare le funzionalità di tunneling per app per Android. Attivare la VPN per ogni app che utilizza la funzionalità di tunnel delle applicazioni nella console di amministrazione. Creare regole del traffico del dispositivo con un elenco di tutte le applicazioni configurate per la VPN per app, i dettagli del server proxy e l'url di VMware Identity Manager. Per informazioni dettagliate sull'installazione e la configurazione di AirWatch Tunnel, vedere la guida di VMware AirWatch Tunnel sul sito Web AirWatch Resources. Configurazione di Single Sign-On per dispositivi Android dalla console di amministrazione di AirWatch Configurare Single Sign-On per i dispositivi Android per consentire agli utenti di accedere in modo sicuro alle app aziendali senza immettere la propria password. Per configurare Single Sign-On per i dispositivi Android, non è necessario configurare AirWatch Tunnel, ma durante la configurazione di Single Sign-On vengono utilizzati molti degli stessi campi Prerequisiti Android 4.4 o versione successiva Le applicazioni devono supportare SAML o un altro standard di federazione supportato 1 Dalla console di amministrazione di AirWatch, passare a Sistema > Integrazione Enterprise > AirWatch Tunnel. 2 La prima volta che si configura AirWatch Tunnel, selezionare Configura e attenersi alla configurazione guidata. In alternativa, selezionare Sostituisci e selezionare la casella di controllo Abilita AirWatch Tunnel. Quindi fare clic su Configura. 3 Nella pagina Tipo configurazione, abilitare Per-App Tunnel (solo Linux). Fare clic su Avanti. Lasciare il modello di distribuzione Base. 4 Nella pagina Dettagli, immettere un valore fittizio nella casella di testo, poiché questo campo non è necessario per la configurazione di Single Sign-On. Fare clic su Avanti. 5 Nella pagina SSL, configurare il certificato SSL del tunneling per app. Per utilizzare un SSL pubblico, selezionare la casella di controllo Utilizza certificato SSL pubblico. Fare clic su Avanti. Viene generato automaticamente il certificato principale (root) del dispositivo di Tunnel. Nota: I certificati SAN non sono supportati. Verificare che il certificato sia emesso per il nome host del server corrispondente o che sia un certificato con caratteri jolly valido per il dominio corrispondente. 142 VMware, Inc.

143 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager 6 Nella pagina Autenticazione, selezionare il tipo di autenticazione con certificato da utilizzare. Fare clic su Avanti. Opzione Predefinito CA aziendale Descrizione Selezionare Predefinito per utilizzare i certificati emessi da AirWatch. Viene visualizzato un menu a discesa che elenca l'autorità di certificazione e il modello di certificato configurati AirWatch. È possibile anche caricare il certificato root della CA. Se si seleziona CA aziendale, assicurarsi che il modello di CA contenga il nome del soggetto CN=UDID. È possibile scaricare i certificati CA dalla pagina della configurazione di AirWatch Tunnel. 7 Fare clic su Avanti. 8 Nella pagina Associazione del profilo, associare un profilo VPN di AirWatch Tunnel VPN per Android esistente o crearne uno nuovo. Se si crea il profilo in questo passaggio, è comunque necessario pubblicare il profilo. Vedere Configurazione del profilo Android in AirWatch. 9 Riesaminare il riepilogo della configurazione e fare clic su Salva. Si verrà indirizzati alla pagina di configurazione delle impostazioni di sistema. Configurazione delle impostazioni di accesso alla VPN di AirWatch Tunnel dalla console di amministrazione di AirWatch L'attivazione del componente Tunnel per app nelle impostazioni di AirWatch Tunnel consente di impostare la funzionalità di tunnelling per app per dispositivi Android. Il tunneling per app consente alle applicazioni pubbliche gestite e interne di accedere alle risorse dell'azienda in base alle singole app. La VPN può connettersi automaticamente quando viene avviata una determinata app. Per istruzioni dettagliate sulla configurazione di AirWatch Tunnel, vedere la guida di VMware AirWatch Tunnel sul sito Web AirWatch Resources. 1 Dalla console di amministrazione di AirWatch, passare a Sistema > Integrazione Enterprise > AirWatch Tunnel. 2 La prima volta che si configura AirWatch Tunnel, selezionare Configura e attenersi alla configurazione guidata. In alternativa, selezionare Sostituisci e selezionare la casella di controllo Abilita AirWatch Tunnel. Quindi fare clic su Configura. 3 Nella pagina Tipo configurazione, abilitare Per-App Tunnel (solo Linux). Fare clic su Avanti. Lasciare il modello di distribuzione Base. 4 Nella pagina Dettagli, specificare il nome host e la porta del server di AirWatch per la configurazione del tunnelling per app. Un esempio di immissione è tunnel.example.com. Fare clic su Avanti. 5 Nella pagina SSL, configurare il certificato SSL del tunneling per app. Per utilizzare un SSL pubblico, selezionare la casella di controllo Utilizza certificato SSL pubblico. Fare clic su Avanti. Viene generato automaticamente il certificato principale (root) del dispositivo di Tunnel. Nota: I certificati SAN non sono supportati. Verificare che il certificato sia emesso per il nome host del server corrispondente o che sia un certificato con caratteri jolly valido per il dominio corrispondente. VMware, Inc. 143

144 Amministrazione di VMware Identity Manager 6 Nella pagina Autenticazione, selezionare il tipo di autenticazione con certificato da utilizzare. Fare clic su Avanti. Opzione Predefinito CA aziendale Descrizione Selezionare Predefinito per utilizzare i certificati emessi da AirWatch. Viene visualizzato un menu a discesa che elenca l'autorità di certificazione e il modello di certificato configurati AirWatch. È possibile anche caricare il certificato root della CA. Se si seleziona CA aziendale, assicurarsi che il modello di CA contenga il nome dell'oggetto CN=UDID. È possibile scaricare i certificati CA dalla pagina di configurazione di AirWatch Tunnel. Se il controllo della conformità del dispositivo è configurato per Android, assicurarsi che il modello di CA contenga il nome dell'oggetto CN=UDID oppure impostare un tipo di SAN che includa UDID. Selezionare il tipo di SAN DNS. Il valore deve essere UDID={DeviceUid}. 7 Fare clic su Avanti. 8 Nella pagina Associazione del profilo, associare un profilo VPN di AirWatch Tunnel VPN per Android esistente o crearne uno nuovo. Se si crea il profilo in questo passaggio, è comunque necessario pubblicare il profilo. Vedere Configurazione del profilo Android in AirWatch. 9 (Facoltativo) Nella pagina Varie, abilitare i registri di accesso per i componenti di Per-App Tunnel. Fare clic su Avanti. È necessario abilitare questi registri prima di installare il server di AirWatch Tunnel. 10 Riesaminare il riepilogo della configurazione e fare clic su Salva. Si verrà indirizzati alla pagina di configurazione delle impostazioni di sistema. 11 Selezionare la scheda Generale e scaricare l'appliance virtuale di Tunnel. È possibile utilizzare VMware Access Point per distribuire il server Tunnel. Passi successivi Installare il server AirWatch Tunnel. Per istruzioni, vedere la guida di VMware AirWatch Tunnel sul sito Web AirWatch Resources. Configurazione del profilo Per-App per Android Dopo aver configurato e installato il componente Per-App Tunnel di AirWatch Tunnel, è possibile configurare il profilo Android VPN e aggiungere una versione al profilo. 1 Dalla console di amministrazione di AirWatch, passare a Dispositivi > Profili > Aggiungi profilo e selezionare Android o Android for Work. 2 Configurare le impostazioni generali per Android, se non già configurate. 3 Nella colonna di sinistra, selezionare VPN e fare clic su Configura. 4 Completare le informazioni sulla connessione VPN. Opzione Tipo di connessione Nome connessione Descrizione Selezionare AirWatch Tunnel. Immettere un nome per la connessione. Ad esempio AndroidSSO Configuration. 144 VMware, Inc.

145 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Opzione Server Regole VPN per app Descrizione Viene immesso automaticamente l'url del server di AirWatch Tunnel. Selezionare la casella di controllo Regole VPN per app. 5 Fare clic su Aggiungi versione. 6 Fare clic su Salva e pubblica. Passi successivi Attivare VPN per app per le applicazioni Android a cui è possibile accedere utilizzando SSO mobile per Android. Vedere Abilitazione di VPN per app per applicazioni Android, pag Abilitazione di VPN per app per applicazioni Android È possibile abilitare l'impostazione Profilo VPN per-app per le applicazioni Android a cui si accede tramite l'autenticazione SSO mobile per Android di VMware Identity Manager. Prerequisiti AirWatch Tunnel configurato con il componente Per-App Tunnel installato. Profilo VPN per Android creato. 1 Dalla console di amministrazione di AirWatch, andare a App e libri > Applicazioni > Visualizzazione elenco. 2 Selezionare la scheda Interno. 3 Selezionare Aggiungi applicazione e aggiungere un'app. 4 Fare clic su Salva e assegna. 5 Nella pagina Assegnazione, selezionare Aggiungi assegnazione e nel menu a discesa Profilo VPN perapp della sezione Avanzate, selezionare il profilo VPN per Android creato. 6 Fare clic su Salva e pubblica. Attivare VPN per app per ogni applicazione Android a cui si accede con l'autenticazione SSO mobile per Android. Per ulteriori informazioni sull'aggiunta o la modifica di app, vedere la guida di VMware AirWatch Mobile Application Management, disponibile sul sito Web delle risorse di AirWatch. Passi successivi Creare le Regole di accesso alla rete. Vedere Configurazione delle regole di accesso alla rete in AirWatch, pag Configurazione delle regole di accesso alla rete in AirWatch Configurare le regole di accesso alla rete affinché il client AirWatch Tunnel instradi il traffico al proxy HTTPS per dispositivi Android. Elencare le app Android configurate con l'opzione VPN per app nelle regole per il traffico e configurare l'indirizzo del server proxy e il nome host destination. Per istruzioni dettagliate sulla creazione delle regole di accesso alla rete, vedere la guida di VMware AirWatch Tunnel sul sito Web delle risorse di AirWatch. Prerequisiti Opzione AirWatch Tunnel configurata con il componente Per-App Tunnel installato. Profilo VPN per Android creato. VMware, Inc. 145

146 Amministrazione di VMware Identity Manager VPN per app attivato per ogni app Android aggiunta alle regole di accesso alla rete. 1 Dalla console di amministrazione di AirWatch, passare a Sistema > Integrazione Enterprise > AirWatch Tunnel > Regole di accesso alla rete. 2 Configurare le impostazioni delle regole di accesso alla rete così come descritto nella guida di AirWatch Tunnel. In particolare nella configurazione di SSO mobile per Android, configurare le seguenti impostazioni nella pagina Regole di accesso alla rete. a b Nella colonna Applicazione, aggiungere le app Android configurate con il profilo VPN per app. Nella colonna Azione, selezionare Proxy e specificare le informazioni relative al proxy HTTPS. Immettere il nome host e la porta di VMware Identity Manager. Ad esempio login.example.com:5262. Nota: Se si fornisce accesso esterno all'host VMware Identity Manager, è necessario aprire la porta 5262 nel firewall o consentire il proxy inverso del traffico sulla porta 5262 del proxy nella DMZ. c Nella colonna Destinazione del nome host, specificare il nome del VMware Identity Manager di destinazione. Ad esempio myco.example.com. Il client AirWatch Tunnel instrada il traffico verso il proxy HTTPS dal nome host di VMware Identity Manager. 3 Fare clic su Salva. Passi successivi Pubblicare queste regole. Dopo aver pubblicato le regole, il dispositivo riceve un profilo VPN di aggiornamento e l'applicazione AirWatch Tunnel viene configurata per attivare SSO. Passare alla console di amministrazione di VMware Identity Manager e configurare SSO mobile per Android nella pagina del provider di identità integrato. Vedere GUID-3D7A6C AE-94BD-003EAF3718CD#GUID-3D7A6C AE-94BD-003EAF3718CD. 146 VMware, Inc.

147 Capitolo 13 Integrazione di AirWatch con VMware Identity Manager Attivazione del controllo di conformità per i dispositivi gestiti da AirWatch Quando gli utenti registrano i propri dispositivi attraverso l'applicazione AirWatch Agent, a scadenze regolari programmate vengono inviati dati campione che vengono utilizzati per valutare conformità. La valutazione di questi dati campione consente di verificare che il dispositivo rispetti le regole di conformità stabilite dall'amministratore tramite la console di AirWatch. Se il dispositivo non rispetta la conformità vengono intraprese le azioni corrispondenti configurate nella console di AirWatch. VMware Identity Manager dispone di un'opzione per i criteri di accesso che può essere configurata per controllare lo stato di conformità del dispositivo sul server AirWatch quando gli utenti accedono dal dispositivo. Con il controllo di conformità è possibile bloccare l'accesso degli utenti a un'applicazione o l'utilizzo di Single Sign-On nel portale di VMware Identity Manager se il dispositivo non rispetta la conformità. La possibilità di accedere viene ripristinata quando il dispositivo rispetta nuovamente la conformità. Se il dispositivo è compromesso, l'applicazione Workspace ONE disconnette e blocca automaticamente l'accesso alle applicazioni. Se il dispositivo è stato registrato tramite la gestione adattiva, con un comando di rimozione dei dati aziendali emesso dalla console di AirWatch è possibile annullare la registrazione del dispositivo e rimuovere le applicazioni gestite dal dispositivo. Le applicazioni non gestite non vengono rimosse. Per ulteriori informazioni sui criteri di conformità di AirWatch, vedere la guida di VMware AirWatch Mobile Device Management, disponibile sul sito Web delle risorse di AirWatch. Configurazione della regola del criterio di accesso per il controllo di conformità Configurare una regola del criterio di accesso che richieda il controllo di conformità per consentire a VMware Identity Manager di verificare che i dispositivi gestiti da AirWatch rispettino i criteri di conformità del dispositivo AirWatch. Abilitare il controllo di conformità nel provider di identità integrato. Quando il controllo di conformità è abilitato, creare una regola del criterio di accesso che richiede autenticazione e verifica della conformità per i dispositivi gestiti da AirWatch. La regola del criterio di controllo conformità opera in una catena di autenticazione con SSO mobile per ios, SSO mobile per Android e Certificato (distribuzione cloud). Il metodo di autenticazione da utilizzare deve precedere l'opzione di conformità dei dispositivi nella configurazione della regola del criterio. Prerequisiti Metodi di autenticazione configurati nel provider di identità integrato. 1 Nella console di amministrazione, Gestione identità e accessi, selezionare Configurazione > AirWatch. 2 Nella sezione Controllo della conformità della pagina AirWatch, selezionare Attiva. 3 Fare clic su Salva. 4 Nella scheda Gestione identità e accessi, andare a Gestione > Criteri. 5 Selezionare il criterio di accesso da modificare. 6 Nella sezione Regole del criterio, selezionare la regola del criterio da modificare. 7 Dal menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente, fare clic su + e selezionare il metodo di autenticazione da utilizzare. 8 Dal secondo menu a discesa quindi l'utente deve autenticarsi utilizzando il metodo seguente, selezionare Conformità dispositivo (con AirWatch). VMware, Inc. 147

148 Amministrazione di VMware Identity Manager 9 (Facoltativo) Nella casella di testo Testo del messaggio, creare un messaggio personalizzato da visualizzare quando l'autenticazione di un utente non riesce a causa di un dispositivo non conforme. Nella casella di testo Collegamento errore personalizzato, è possibile aggiungere un collegamento nel messaggio. 10 Fare clic su Salva. 148 VMware, Inc.