Guida rapida a VMwareWorkspace ONEData aggiornamento: MAGGIO 2018VMware Workspace ONEVMware Identity Manager 3.2VMware AirWatch 9.3

Guida rapida a VMware Workspace ONE

VMware, Inc. 2

È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo:

https://docs.vmware.com/it/

Inoltrare eventuali commenti sulla documentazione al seguente indirizzo:

docfeedback@vmware.com

Copyright © 2017–2018 VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.P.le Biancamano 820121 Milanotel: 02-6203.2075fax: 02-6203.4000www.vmware.com/it

Contenuti

Guida introduttiva a Workspace ONE 4

1 Utilizzo dell'introduzione guidata Workspace ONE 5

2 Configurazione di Enterprise System Connector 7

Configurazione di Enterprise System Connector 7

Creazione dell'Active Directory ACC 9

Gestione dei criteri di accesso da applicare agli utenti 10

3 Configurazione di AirWatch Enterprise Mobility Management su Google per

Android 14

4 Configurazione di Single Sign-on mobile 16

Configurazione guidata del Single Sign-On mobile 17

5 Personalizzazione del portale utente di Workspace ONE 21

VMware, Inc. 3

Guida introduttiva a Workspace ONE

L'introduzione guidata a VMware Workspace ONE illustra le procedure di utilizzo delle Workspace ONE™procedure guidate Guida introduttiva nella console dell'amministratore di AirWatch.

Questa guida spiega come distribuire le funzionalità principali di Workspace ONE, ovvero laconfigurazione del Single Sign-On (SSO), l'accesso condizionale e i criteri.

DestinatariQueste informazioni sono destinate agli amministratori che distribuiranno Workspace ONE per SSOmobile e gestione dei dispositivi. Sono rivolte ad amministratori di sistema Windows o Linux esperti chehanno familiarità con la tecnologia delle macchine virtuali e le operazioni di data center.

VMware, Inc. 4

Utilizzo dell'introduzioneguidata Workspace ONE 1Le introduzioni guidate di Workspace ONE guidano l'utente nei passaggi di configurazione per integrare iservizi AirWatch e VMware Identity Manager di VMware per creare l'ambiente di Workspace ONE.

La procedura guidata di Workspace ONE tiene traccia del punto in cui ci si trova all'interno del processodi configurazione. Le procedure guidate possono essere avviate, messe in pausa, riavviate in un secondomomento. È possibile riesaminare la configurazione e cambiare le risposte quando necessario.

n Registrazione EMM Android. La procedura guidata guida l'utente nei passaggi per registrareAirWatch come provider EMM per i dispositivi Android con Google.

n Connector e directory dell'azienda. La procedura guidata conduce l'utente nelle operazioni daeseguire per configurare VMware Enterprise System Connector e la connessione ad Active Directoryper importare utenti e gruppi dalla directory in uso nell'azienda.

n Single Sign-On mobile. La procedura con una serie di passaggi necessari per configurare tutte leimpostazioni per Single Sign-On per dispositivi iOS, Android e Windows 10.

n Branding portale utente. La procedura guidata apre la pagina Branding portale utente nella console diamministrazione di VMware Identity Manager in cui è possibile personalizzare loghi, caratteri edettagli dello sfondo per l'applicazione Workspace ONE.

Figura 1‑1. Introduzioni guidate a Workspace ONE

VMware, Inc. 5

Il servizio Apple Push Notification (APNs) è il protocollo di messaggistica creato da Apple per gestiredispositivi mobili. Richiede che il provider MDM abbia un certificato APNs valido configurato. Laconfigurazione di APN è un prerequisito per gestire i dispositivi iOS. Per impostare una connessione pushsicura da Apple vedere Generare e rinnovare un certificato APNS in resources.air-watch.com.

Per configurare l'individuazione automatica, attenersi alla procedura nella pagina di configurazione diindividuazione automatica. La configurazione dell'individuazione automatica non è necessaria perconfigurare e utilizzare Workspace ONE.

L'introduzione guidata può avvisare l'utente se sono già presenti configurazioni potenzialmente in conflittoin AirWatch o nel servizio di VMware Identity Manager. Se si verifica questa situazione, o se l'introduzioneguidata completa solo parzialmente i passaggi, le funzionalità possono essere configurate manualmente.L'introduzione guidata non sostituisce la possibilità di configurare o modificare le singole impostazioni, maautomatizza significativamente la configurazione iniziale per la maggior parte dei clienti.

Passare al menu Introduzione di Workspace ONEAccedere alla pagina Introduzione di Workspace ONE dal menu principale nella console diamministrazione di AirWatch.

1 Selezionare il gruppo dell'organizzazione dall'elenco globale.

2 Nel riquadro di navigazione a sinistra fare clic su Introduzione.

3 Nella sezione Introduzione > Workspace ONE, fare clic su Avvia procedura guidata.

Guida rapida a VMware Workspace ONE

VMware, Inc. 6

Configurazione di EnterpriseSystem Connector 2L'impostazione guidata di Enterprise Connector & Directory permette di configurare VMware EnterpriseSystems Connector per consentire ai componenti di Workspace ONE, AirWatch e VMware IdentityManager di comunicare con Active Directory.

Si consiglia di installare l'intero VMware Enterprise Systems Connector, compreso il componente IdentityManager. Il servizio VMware Identity Manager utilizza il canale di sincronizzazione delle directory diIdentity Manager nel connettore, anziché il canale ACC di AirWatch. Questa opzione offre la migliorecompatibilità con ambienti Active Directory avanzati.

Questo capitolo include i seguenti argomenti:

n Configurazione di Enterprise System Connector

n Creazione dell'Active Directory ACC

n Gestione dei criteri di accesso da applicare agli utenti

Configurazione di Enterprise System ConnectorLa configurazione di VMware Enterprise System Connector è sempre necessaria per i clienti SaaS. Iclienti in locale potrebbero richiedere questo connettore in base alle loro architetture di rete. Per consigli eulteriori informazioni, consultare la guida all'architettura di riferimento di VMware AirWatch.

Prerequisiti

Per installare Enterprise System Connector, attenersi alla procedura che segue. Vedere la Guidaall'installazione e configurazione di VMware Enterprise Systems Connector per i prerequisiti e altreinformazioni dettagliate.

n Certificato Secure Channel installato per stabilire la protezione tra AWCM e Console di AirWatch,Servizi dispositivo, API e il Portale self-service

n Accedere alla console di amministrazione di VMware Identity Manager come amministratore locale egenerare un codice di attivazione.

a Passare alla scheda Gestione identità & accessi > Configura.

b Nella pagina Connettori, fare clic su Aggiungi connettore. Immettere il nome per il connettore.

c Fare clic su Genera codice di attivazione.

VMware, Inc. 7

d Copiare il codice di attivazione e salvarlo per utilizzarlo quando si configura il connettore.

Procedura

1 Accedere alla console di AirWatch con la password di amministratore. Se necessario, creare unapassword.

2 Accettare i termini di utilizzo e impostare le domande per il ripristino della password e il PIN disicurezza.

3 Per le distribuzioni in locale, creare o selezionare il gruppo di livello cliente che dovrà eseguire laprocedura guidata.

Il gruppo di livello cliente è il solo livello in cui è disponibile l'introduzione guidata.

4 Selezionare Guida introduttiva > Workspace ONE.

5 Nella sezione Enterprise Connector & Directory, fare clic su Configura.

6 Per scaricare VMware Enterprise Systems Connector, creare una password e fare clic su Scarica ilprogramma di installazione di VMware Enterprise Systems Connector.

Per installare il canale AirWatch ACC, fare clic su Ignora e completare la configurazione delladirectory ACC. Vedere Creazione dell'Active Directory ACC.

7 Eseguire il programma di installazione di VMware Enterprise Systems Connector. Rivedere le fasidella la procedura guidata di Install Shield.

8 Dopo l'installazione, fare clic su Test della connessione.

9 Fare clic su Continua.

Viene visualizzata la pagina Impostazioni > Integrazione di livello aziendale > Servizi Directory.

10 Se richiesto, selezionare Aggiungi Active Directory su LDAP/IWA.

11 Immettere i dettagli relativi al server di Active Directory.

Opzione Descrizione

Nome directory Aggiungere un nome per identificare questa directory.

Tipo di directory Selezionare Active Directory su LDAP.

Sincronizzazione e autenticazionedirectory

Selezionare il connettore che è stato installato. Il connettore si sincronizza conActive Directory.

Autenticazione è impostato su Sì.In genere l'attributo di ricerca directory è impostato su sAMAccountName.

Posizione server Selezionare questa casella per usare i record di Posizione servizio DNS perindividuare i domini di Active Directory. Se non si utilizza la ricerca DNS diPosizione servizio, deselezionare la casella di controllo e specificare il nome hoste la porta del server Active Directory. Il numero di porta predefinito è 389.

Guida rapida a VMware Workspace ONE

VMware, Inc. 8

Opzione Descrizione

Certificati Se Active Directory richiede la crittografia STARTTLS, selezionare la casella dicontrollo sottostante e fornire il certificato CA root.

Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, nonsarà possibile creare la directory.

Dettagli utente bind Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare lericerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com.

Nome distinto di binding Immettere l'account che può cercare gli utenti. Adesempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Password nome distinto di binding Immettere la password dell'account dibinding. L'uso di un utente Nome distinto di binding con una password che non hascadenza è consigliato.

12 Fare clic su Test della connessione per verificare la connettività.

13 Fare clic su Salva.

Passi successivi

Per il servizio di directory con VMware Identity Manger, rivedere gli attributi utente sincronizzati da ActiveDirectory, quindi selezionare gruppi e utenti da sincronizzare.

n Passare alla console di amministrazione di VMware Identity Manager, pagina Gestione identità eaccessi, Configura > Attributi utente per verificare gli attributi di utenti e gruppi.

n Per gestire le impostazioni di sincronizzazione compresa l'aggiunta di utenti e gruppi, passare allapagina Gestione > Directory e selezionare LA VISTA Impostazioni di sincronizzazione della directory.

Eseguire la procedura guidata di Mobile Single Sign per configurare il SSO mobile per dispositivi iOS,Android e Windows 10.

Creazione dell'Active Directory ACCLa configurazione di ACC è un'implementazione semplice ma dalle funzionalità limitate. È necessarioimpostare una connessione con l'Active Directory per sincronizzare utenti e gruppi alla directory diAirWatch.

Procedura

1 Selezionare la procedura Enterprise Connector & Directory per installare il canale ACC AirWatch, fareclic su Ignora e completare la configurazione della directory ACC.

2 Nella pagina di configurazione della directory, immettere i dettagli del server di Active Directory perACC.

Opzione Descrizione

Tipo di directory Active Directory è selezionato.

Server Immettere il nome host o l'indirizzo IP del server della directory. Ad esempio,digitare il nome host myco.example.com.

Guida rapida a VMware Workspace ONE

VMware, Inc. 9

Opzione Descrizione

Tipo di crittografia Selezionare la modalità di crittografia utilizzata per la comunicazione dei servizidirectory: Nessuna, SSL o Avvia TLS.

Porta Immettere la porta TCP utilizzata per comunicare con il controller di dominio. Ilnumero di porta predefinito è 389.

Versione protocollo Immettere la versione del protocollo LDAP attualmente in uso. La versione è 2 o3. Se si è certi della versione del protocollo utilizzare, lasciare il valore 3.

Tipo autenticazione di binding Selezionare il tipo di autenticazione di binding utilizzato per consentire al server diAirWatch di comunicare con il controller di dominio.

Il valore comunemente utilizzato è GSS-NEGOTIATE.

Nome utente bind Immettere il nome utente dell'account bind per l'autenticazione con il server didirectory.

Password di binding Specificare la password dell'account di binding.

Dominio Immettere il dominio predefinito e il nome server per l'account utente basato sulladirectory.

3 Fare clic su Salva.

4 Fare clic su Test della connessione per verificare la connettività.

Passi successivi

Per il servizio di directory con ACC, passare a Sistema > Integrazione di livello aziendale > Servizi didirectory per configurare gli utenti e gruppi, se non precedentemente configurati.

Eseguire la procedura guidata di Mobile Single Sign per configurare il SSO mobile per dispositivi iOS,Android e Windows 10.

Gestione dei criteri di accesso da applicare agli utentiPer fornire accesso sicuro al portale delle app Workspace ONE degli utenti e avviare le applicazioni Webe desktop, è possibile configurare criteri di accesso. I criteri di accesso includono regole che specificano icriteri che devono essere soddisfatti per accedere al portale delle app e utilizzare le risorse.

I criteri di accesso consentono agli amministratori di configurare le funzionalità come il Single Sign-On,l'accesso condizionale alle applicazioni in base alla registrazione, lo stato di conformità, l'aggiornamentoall'edizione superiore e l'autenticazione a più fattori.

Le regole dei criteri confrontano l'indirizzo IP del richiedente con gli intervalli di rete definiti e stabilisconoil tipo di dispositivi che gli utenti possono utilizzare per accedere. La regola definisce i metodi diautenticazione e il numero di ore per cui l'autenticazione è valida. È possibile selezionare uno o piùgruppi da associare alla regola di accesso.

È disponibile una vasta gamma di opzioni di configurazione, ma questa guida introduttiva descrive illivello gestito e non gestito di mobility aziendale per l'accesso alle applicazioni.

Guida rapida a VMware Workspace ONE

VMware, Inc. 10

Il criterio di accesso predefinito viene configurato quando si esegue la configurazione guidata del SingleSign-On mobile per consentire l'accesso a tutti i tipi di dispositivi che sono stati configurati. Questo criterioè considerato come accesso di livello 1 per le applicazioni alle quali possono accedere i dispositivi nongestiti.

È possibile creare criteri per le applicazioni che richiedono accesso limitato da dispositivi gestiti conformi.VMware Identity Manager offre diversi adattatori di autenticazione integrati per implementare questaesperienza. Quando viene configurato il Single Sign-On mobile, vengono abilitati questi metodi diautenticazione.

n SSO mobile (per iOS). Adattatore basato su Kerberos per i dispositivi iOS

n SSO mobile (per Android). Implementazione appositamente progettata di autenticazione dei certificatiper Android

n Certificato (distribuzione cloud). Servizio di autenticazione dei certificati destinata a browser Web edispositivi desktop

n Password. Consente l'autenticazione delle password di directory con un unico connettore quandovengono distribuiti VMware Identity Manager e AirWatch insieme con entrambi i componenti diVMware Enterprise Systems Connector

n Password (AirWatch Connector). Consente l'autenticazione delle password di directory con un unicoconnettore quando vengono distribuiti VMware Identity Manager e AirWatch insieme utilizzando soloACC

n Conformità dispositivo (con AirWatch). Misura l'integrità dei dispositivi gestiti. Il risultato, positivo onegativo, è basato sui criteri definiti da AirWatch. La conformità può essere concatenata con qualsiasialtro adattatore integrato eccetto la password

Criterio di accesso predefinito di livello 1 per dispositivi nongestitiUtilizzare il criterio di accesso predefinito come criterio di livello 1 di confronto per accedere a tutte leapplicazioni. Quando viene configurato il Single Sign-On mobile, vengono create le regole di accesso perdispositivi iOS, Android e Windows 10. Ogni dispositivo è abilitato per il Single Sign-On utilizzando ilmetodo di autenticazione specifico per il dispositivo. In ogni regola, il metodo di fallback è la password.Questa impostazione offre la migliore esperienza per gestire i dispositivi, e fornisce comunque un'opzionedi accesso manuale per i dispositivi non gestiti.

Il criterio predefinito è configurato per consentire l'accesso a tutti gli intervalli di rete. Il timeout dellasessione è di otto ore.

È opportuno proteggere ulteriormente l'accesso per dispositivi non gestiti VMware Verify o altri tipi diautenticazione a più fattori.

Guida rapida a VMware Workspace ONE

VMware, Inc. 11

Figura 2‑1. Esempio di criterio predefinito per i dispositivi non gestiti

Quando viene utilizzata la procedura guidata per la configurazione del Single Sign-On mobile, le regoledei criteri di accesso predefinite riflettono questo livello di controllo dell'accesso.

Configurazione dei criteri di livello 2 per i dispositivi gestitiSe l'organizzazione distribuisce applicazioni che contengono dati sensibili, è possibile limitare l'accesso aqueste applicazioni ai soli dispositivi gestiti da MDM. I dispositivi gestiti possono essere registrati eripristinati, se necessario, e i dati aziendali vengono rimossi quando viene annullata la registrazione deldispositivo.

Per applicare questo requisito gestito su una selezione di applicazioni, è necessario creare criteri specificiper queste applicazioni. Quando si crea il criterio, nella sezione Applicabile a selezionare le applicazioniinteressate da questo criterio.

Creare una regola del criterio per ogni piattaforma dei dispositivi della distribuzione. Definire il metodo diautenticazione SSO corretto. Tuttavia, poiché i dispositivi non gestiti non devono accedere a questeapplicazioni, non è necessario definire un metodo di autenticazione di fallback. Ad esempio, se undispositivo iOS non gestito prova ad accedere a un'applicazione configurata solo per l'accesso deidispositivi gestiti, il dispositivo non risponde con il certificato di wrapping Kerberos appropriato. Il tentativodi autenticazione non riesce e l'utente non è in grado di accedere al contenuto.

Guida rapida a VMware Workspace ONE

VMware, Inc. 12

Figura 2‑2. Esempio di criterio di accesso di livello 2 per i dispositivi gestiti

Guida rapida a VMware Workspace ONE

VMware, Inc. 13

Configurazione di AirWatchEnterprise Mobility Managementsu Google per Android 3Per gestire i dispositivi Android in Workspace ONE, è necessario registrare AirWatch come provider diEnterprise Mobility Management (EMM) con Google. La procedura guidata illustra i passaggi daeffettuare per registrare AirWatch come provider di EMM.

Nota: Se si distribuisce la G Suite, vedere la Guida Integrazione di VMware AirWatch con Android forWork per i dettagli di configurazione.

Prerequisiti

Un account utente di Google.

Procedura

1 Selezionare il gruppo per Workspace ONE dall'elenco globale.

2 Nel riquadro di navigazione a sinistra fare clic su Introduzione.

3 Nella sezione Introduzione > Workspace ONE, fare clic su Avvia procedura guidata.

4 Nella sezione relativa alla registrazione EMM di Android, fare clic su Configura.

VMware, Inc. 14

5 Fare clic su Registra con Google.

Si verrà reindirizzati a Google Play per aggiungere il nome dell'organizzazione. Il provider di EMM ègià popolato con AirWatch.

6 Completare la configurazione nella pagina e fare clic su CONFERMA.

7 Fare clic su COMPLETA REGISTRAZIONE.

Si verrà reindirizzati alla console di amministrazione di AirWatch, pagina Android for Work. Allapagina sono state aggiunte la console di amministrazione di Google e le impostazioni API.

8 Fare clic su Salva e quindi su Test della connessione.

A questo punto si è pronti per registrare i dispositivi Android con Android Enterprise.

Guida rapida a VMware Workspace ONE

VMware, Inc. 15

Configurazione di Single Sign-on mobile 4Single Sign-On mobile consente agli utenti di accedere automaticamente alle applicazioni mobiliselezionate in modo semplice e sicuro.

I dispositivi che sono configurati per il Single Sign-On mobile (SSO) sono iOS, Android e Windows 10.

Configurazione del componente Single Sign-On iOSIl single Sign-On mobile per iOS utilizza il protocollo Kerberos PKINIT per il trasporto del certificato diSingle Sign-On mobile per iOS, ma non richiede un'infrastruttura locale. Un adattatore Kerberos integrato,disponibile nel servizio di gestione delle identità, può gestire l'autenticazione di iOS senza la necessità dicomunicazione del dispositivo con il controller di dominio interno. Inoltre, AirWatch può distribuire icertificati di identità ai dispositivi, eliminando la necessità per conservare le autorità di certificazione inlocale.

Dispositivi supportati

n iOS 9 o versioni successive

Configurazione del componente Single Sign-On AndroidWorkspace ONE offre Single Sign-On mobile Android universale. Il Single Sign-On mobile consente agliutenti di accedere alle applicazioni aziendali in modo sicuro, senza la necessità di una password.L'applicazione mobile VMware Tunnel è installata sui dispositivi Android per aggiungere certificati einformazioni sull'ID dei dispositivi nei flussi di autenticazione. Questa soluzione supporta sia la gestioneAndroid classica sia Android for Work.

Dispositivi supportati

n Android 5 e versioni successive

n Le applicazioni devono supportare SAML o un altro standard di federazione supportato

L'autenticazione Single Sign-On mobile per i dispositivi Android può essere configurata in modo daignorare il server Tunnel quando non è necessario accedere alla VPN. Per il Single Sign-On, ènecessaria la sola applicazione mobile Tunnel.

VMware, Inc. 16

La distribuzione di Workspace ONE in tutti i dispositivi Android non distribuisce automaticamente icontainer dell'applicazione Android for Work. Android for Work deve utilizzare la funzionalità di gestioneadattiva di Workspace ONE. Per aggiungere questa applicazione ai dispositivi Android for Work e permaggiori dettagli sulle opzioni aggiuntive disponibili come parte di AirWatch MAM, consultare la guidaIntegrazione di VMware AirWatch con Android for Work, disponibile in AirWatch Resources.

Configurazione del componente Single Sign-On Windows10Il SSO basato su certificato è l'esperienza consigliato per desktop e laptop Windows gestiti.L'autenticazione con certificato è supportata su tutte le installazioni Windows basate su x86.

Configurazione guidata del Single Sign-On mobileConfigurare il Single Sign-On (SSO) mobile per consentire agli utenti dei dispositivi registrati in AirWatchdi accedere alle applicazioni abilitate in modo sicuro senza dover inserire più password.

La configurazione guidata viene eseguita mediante una serie di passaggi necessari per configurare tuttele impostazioni per tutte le piattaforme supportate. Una volta completata la configurazione guidata, èpossibile modificare la configurazione.

Figura 4‑1. Elenco dei componenti configurati

La configurazione guidata può richiedere alcuni minuti. Non aggiornare o uscire dalla pagina diconfigurazione guidata mentre la configurazione è in corso.

È anche possibile selezionare manualmente i singoli componenti da configurare.

Guida rapida a VMware Workspace ONE

VMware, Inc. 17

Procedura

1 Accedere alla console di AirWatch con la password di amministratore.

2 Selezionare Guida introduttiva > Workspace ONE.

3 Nella sezione Single Sign-On mobile, fare clic su Configura.

4 Nella pagina Configurazione facile e veloce! fare clic su Inizia per far sì che la procedura guidataconfigurare tutti i componenti Single Sign-On mobile per Workspace ONE.

Fare clic su Installazione manuale per configurare il Single Sign-On manualmente.

5 Sulla pagina Inizia, fare clic su Continua.

6 Nella pagina Configura automaticamente, fare clic su Avvia configurazione.

Al termine viene visualizzato un segno di spunta accanto al passaggio eseguito.

7 Fare clic su Fine quando la configurazione è completa.

È possibile scegliere Modifica impostazioni per modificare o rivedere la configurazione delcomponente, altrimenti fare clic su Chiudi.

La configurazione guidata del Single Sign-On mobile configura automaticamente i seguenti componentiper configurare il Single Sign-On mobile per dispositivi iOS, Android for Work e Windows 10 conWorkspace ONE.

Tavola 4‑1. Componenti configurati per Single Sign-On mobile

Componente configurato DescrizionePagina delle impostazioni dellaConsole di amministrazione

Autorità di certificazione Viene configurata una connessione all'autorità dicertificazione AirWatch nativa utilizzata per emetterecertificati di autenticazione per SSO mobile perdispositivi iOS gestiti.

Console AirWatch > Sistema >Integrazione di livello aziendale >Autorità di certificazione

Modelli di certificati Un modello di certificato AirWatch è preconfiguratoper rilasciare certificati per Single Sign-On mobile.

Console AirWatch > Sistema >Integrazione di livello aziendale > Modellidi richiesta

VMware Tunnel VMware Tunnel è configurato e configura uncertificato per fornire servizi Single Sign-On locali alleapplicazioni Android di terzi connesse aVMware Identity Manager.

Console AirWatch > Sistema >Integrazione di livello aziendale >VMware Tunnel

Metodi di autenticazione I metodi di autenticazione richiesti per il Single Sign-On mobile sono configurati nel servizioVMware Identity Manager . Questi metodi diautenticazione stabiliscono una catena di attendibilitàtra l'autorità di certificazione di AirWatch e ilservizioVMware Identity Manager. I metodi diautenticazione configurati sono SSO mobile per iOS,SSO mobile per Android, Password (AirWatchConnector), Certificato (distribuzione cloud). Inoltre,Conformità dispositivo con AirWatch è abilitata.

Console di amministrazioneVMware Identity Manager > Gestioneidentità e accessi > Gestisci > Metodi diautenticazione

Guida rapida a VMware Workspace ONE

VMware, Inc. 18

Tavola 4‑1. Componenti configurati per Single Sign-On mobile (Continua)

Componente configurato DescrizionePagina delle impostazioni dellaConsole di amministrazione

Profili di autenticazioneutente

Vengono creati profili di configurazione AirWatch periOS e Windows. I profili sono utilizzati per distribuireun certificato e configurare i dispositivi in modo cheeffettuino l'autenticazione con il servizio VMwareIdentity Manager.

Console AirWatch> Dispositivi > Profili erisorse > Profili

Criteri di accesso Nel servizio VMware Identity Manager, il criterio diaccesso predefinito è configurato con le regole diaccesso per ogni dispositivo iOS, Android e Windows10. Gli utenti effettuano l'autenticazione usando ilSingle Sign-On mobile per i dispositivi gestiti. Vedere Gestione dei criteri di accesso da applicare agli utenti.

Console di amministrazioneVMware Identity Manager > Gestioneidentità e accessi > Gestisci > criteri

Passi successivi

n Per i dispositivi iOS, i servizi devono essere integrati con Kerberos. Questo metodo di autenticazioneper dispositivi iOS utilizza un Centro distribuzione chiavi senza l'impiego di un sistema di terzi. Per ledistribuzioni in locale, sono disponibili due opzioni KDC. KDC come servizio con hosting nel cloudVMware identity Manager e un servizio KDC integrato nell'appliance. Questa impostazione vieneconfigurata dalla console di amministrazione di VMware Identity Manager. Vedere Utilizzo di uncentro di distribuzione chiavi (KDI) per l'autenticazione da dispositivi iOS.

n Abilitare la VPN per ogni app che utilizza la funzionalità di tunnel dell'app nella Consoledell'amministratore AirWatch.

n Pubblicare il profilo iOS per attivare il SSO dalla Console dell'amministratore AirWatch. Il profilo vienegenerato ma non automaticamente pubblicato.

n Per le distribuzioni Windows, il certificato per la distribuzione cloud deve essere configuratomanualmente. Questa impostazione viene configurata dalla console di amministrazione di VMwareIdentity Manager. Consultare la guida all'amministrazione di VMware Identity Manager.

n Creare criteri di accesso per le applicazioni che richiedono l'accesso limitato da dispositivi gestiti.Vedere Gestione dei criteri di accesso da applicare agli utenti.

Utilizzo di un centro di distribuzione chiavi (KDI) perl'autenticazione da dispositivi iOSNel dispositivo iOS, è necessario integrare il servizio con Kerberos. Grazie all'autenticazione Kerberos, gliutenti che hanno effettuato l'accesso al loro dominio, possono accedere al portale dell'applicazione senzadover immettere altre credenziali. Questo metodo di autenticazione per dispositivi iOS utilizza un Centrodistribuzione chiavi senza l'impiego di un connettore o di un sistema di terze parti.

I tenant del Cloud VMware Identity Manager non devono gestire o configurare KDC.

Guida rapida a VMware Workspace ONE

VMware, Inc. 19

Per le distribuzioni in locale, sono disponibili due opzioni relative al servizio KDC.

n KDC integrato. Il servizio KDC integrato richiede l'inizializzazione di KDC nell'appliance e la creazionedi voci DNS pubbliche per consentire ai client Kerberos di individuare KDC. Per ulteriori informazionisull'attivazione del KDC integrato, vedere la guida di amministrazione di VMware Identity Manager.

n KDC come servizio ospitato nel cloud di VMware Identity Manager. Se si utilizza KDC nel cloud, ènecessario selezionare il nome dell'area di autenticazione appropriato nella pagina dell'adattatore diautenticazione di iOS.

Nota: Se VMware Identity Manager è installato e configurato con AirWatch in un ambiente Windows, ènecessario configurare il metodo di autenticazione per i dispositivi iOS mobili in modo che utilizzino ilcloud di VMware Identity Manager ospitato nel servizio del KDC.

Guida rapida a VMware Workspace ONE

VMware, Inc. 20

Personalizzazione del portaleutente di Workspace ONE 5La procedura guidata Branding portale utente indirizza alla pagina Branding portale utente di WorkspaceONE nella console di amministrazione di VMware Identity Manager. È possibile personalizzare i loghi, icaratteri e l'aspetto dello sfondo nel portale di Workspace ONE in modo che corrisponda al design e aicolori, ai loghi e al design della propria azienda.

Prerequisiti

Servizio VMware Identity Manager configurato.

Procedura

1 Accedere alla console di AirWatch con la password di amministratore.

2 Selezionare Guida introduttiva > Branding portale utente.

Si viene indirizzati alla console di amministrazione di Identity Manager. Se non è connessi allaconsole di amministrazione di Identity Manager viene visualizzata la schermata di accesso.Immettere il nome e la password dell'amministratore di VMware Identity Manager e passare allapagina Catalogo > Impostazioni > Branding portale utente.

Se si è già connessi, viene visualizzata la pagina Branding portale utente.

3 Definire le impostazioni nella forma appropriata.

Elemento del modulo Descrizione

Logo Aggiungere un logo dell'intestazione che sarà il banner presente nella parte superiore dellepagine Web del portale Workspace ONE.

Le dimensioni massime dell'immagine sono 220 x 40 pixel. I formati supportati sono JPEG, PNGe GIF.

Portale

Colore di sfondointestazione

Immettere un codice di colore esadecimale di sei cifre al posto di quello esistente per modificareil colore di sfondo dell'intestazione. Quando si digita con un nuovo codice di colore, il colore dellosfondo nella schermata di anteprima del portale dell'applicazione cambia di conseguenza.

Colore testointestazione

Immettere un codice di colore esadecimale di sei cifre al posto di quello esistente per modificareil colore del testo visualizzato nell'intestazione.

VMware, Inc. 21

Elemento del modulo Descrizione

Colore di sfondo Colore visualizzato per lo sfondo della schermata del portale Web.

Sostituire il codice di colore esadecimale di sei cifre con il codice corrispondente al nuovo coloredello sfondo. Quando si digita con un nuovo codice di colore, il colore dello sfondo nellaschermata di anteprima del portale dell'applicazione cambia di conseguenza.

Selezionare Evidenziazione sfondo per dare risalto al colore dello sfondo. Se l'opzioneEvidenziazione sfondo è abilitata, nei browser che supportano più immagini di sfondo lasovrapposizione sarà visibile nelle pagine di avvio e del catalogo.

Selezionare Motivo di sfondo per impostare il motivo triangolare preimpostato nel colore dellosfondo.

Colore di sfondo icona Immettere un codice di colore esadecimale di sei cifre per modificare la casella del colore disfondo che circonda le icone delle applicazioni.

Opacità sfondo icona Per impostare la trasparenza, spostare il dispositivo di scorrimento sulla barra.

Nome e coloredell'icona

È possibile selezionare il colore del testo per i nomi elencati sotto le icone nelle pagine delportale delle app.

Sostituire il codice di colore esadecimale con il codice corrispondente al nuovo colore deicaratteri.

Effetto lettering Selezionare il tipo di lettering da utilizzare per il testo nelle schermate del portale WorkspaceONE.

Evidenziazione sfondo Se abilitato, per i browser che supportano immagini di sfondo multiple, il backgroundsovrapposto viene visualizzato nelle pagine di catalogo e segnalibro.

Motivo di sfondo Se abilitato, per i browser che supportano immagini di sfondo multiple, il motivo vienevisualizzato nelle pagine di catalogo e segnalibro.

Immagine (facoltativa) Per aggiungere un'immagine allo sfondo della schermata del portale delle app invece di uncolore, caricare un'immagine.

4 Fare clic su Salva.

Esaminare l'aspetto delle modifiche di branding. Gli aggiornamenti del branding personalizzato vengonoaggiornati ogni 24 ore per il portale utente. Per apportare prima le modifiche, in qualità di utenteamministratore aprire una nuova scheda e immettere il seguente URL (sostituire myco.example.com conil nome di dominio desiderato). https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true.

Guida rapida a VMware Workspace ONE

VMware, Inc. 22