vmware workspace one · introducción a workspace one 1 vmware workspace ® one ® es una...

Guía de implementaciónde VMware WorkspaceONE (local)Mayo de 2018VMware Workspace ONEVMware Identity Manager 3.2VMware AirWatch 9.3

Guía de implementación de VMware Workspace ONE (local)

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2017–2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la implementación de VMware Workspace ONE 6

1 Introducción a Workspace ONE 7

Introducción a la arquitectura de Workspace ONE 7

Requisitos 8

Detalles de las funciones de Workspace ONE 9

Introducción al asistente de Workspace ONE 10

2 Integrar AirWatch con VMware Identity Manager 11

Configurar la integración de la consola de administración de AirWatch 11

Configurar una instancia de AirWatch en VMware Identity Manager 14

Habilitar el catálogo de Workspace ONE para AirWatch 17

Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch 18

Habilitar la autenticación de contraseña de usuario a través de AirWatch 18

Configurar la regla de directiva de acceso 19

Actualizar VMware Identity Manager después de actualizar AirWatch 20

Implementación de la autenticación con AirWatch Cloud Connector 21

3 Implementar la autenticación Single Sign-On móvil para los dispositivos iOS

administrados por AirWatch 26Descripción general de la implementación para configurar el SSO móvil para iOS 27

Configurar la autoridad de certificación de Active Directory en AirWatch 27

Utilizar la autoridad de certificación de AirWatch para autenticación de Kerberos 31

Usar un centro de distribución de claves para la autenticación de dispositivos iOS 32

Configurar el SSO móvil para la autenticación de iOS 34

Configurar el proveedor de identidades integrado para la autenticación de iOS con SSO móvil 35

Configurar el perfil de iOS de Apple en AirWatch mediante la entidad de certificación de Active

Directory y la plantilla de certificado 36

Configurar el perfil de iOS de Apple en AirWatch con la entidad de certificación de AirWatch 38

Asignar un perfil de dispositivo de AirWatch 40

4 Implementar la autenticación Single Sign-On móvil en dispositivos Android

administrados por AirWatch 41Configurar Single-Sign-On para dispositivos Android desde la consola de administración de

AirWatch 43

Configurar el acceso a la VPN de VMware Tunnel desde la consola de administración de AirWatch 44

Configurar el perfil de túnel por aplicaciones para Android 46

Habilitar la VPN por aplicaciones para las aplicaciones Android 46

VMware, Inc. 3

Configurar las reglas del tráfico en AirWatch 47

Configurar la autenticación de SSO móvil para Android en el proveedor de identidades integrado 49

5 Inscripción directa en AirWatch mediante Workspace ONE 52

Activación de Workspace ONE para inscripción directa 52

Experiencia del usuario al inscribirse directamente en AirWatch con Workspace ONE 55

6 Aprovechamiento de Workspace ONE para admitir la integración del programa

de inscripción de dispositivos de Apple 63

7 Habilitar la experiencia de fábrica de Workspace ONE en dispositivos Dell

Windows 10 65Habilitar el token de acceso externo de AirWatch 65

Activar el token de acceso externo como método de autenticación 66

Asocie el método de autenticación de token de acceso externo al proveedor de identidad

integrado 67

Crear la directiva de acceso para el proceso de experiencia de fábrica de Workspace ONE 68

Personalización de marca de fábrica de Workspace ONE para Windows 10 69

8 Implementar la aplicación móvil de VMware Workspace ONE 71

Opciones de administración de dispositivos en AirWatch para las aplicaciones públicas e internas

de Workspace ONE 71

Administrar el acceso a las aplicaciones 73

Requerir las condiciones de uso para obtener acceso al catálogo de Workspace ONE 74

Obtener y distribuir la aplicación Workspace ONE 76

Registro de dominios de correo electrónico para detección automática 79

Configuración de autenticación de sesión 80

Estrategias de implementación para configurar varios grupos de organización de AirWatch 81

9 Trabajar en el portal de Workspace ONE 86

Trabajar con aplicaciones en Workspace ONE 86

Establecer códigos de acceso para la aplicación Workspace ONE 91

Agregar aplicaciones nativas 92

Usar VMware Verify para la autenticación de usuario 92

Enviar alertas a los usuarios de Workspace ONE 92

Trabajar con Workspace ONE para dispositivos Android 93

10 Usar el catálogo de Workspace ONE 95

Administrar recursos del catálogo 95

11 Personalización de marca para los servicios de VMware Identity Manager 98

Personalizar marcas en el servicio de VMware Identity Manager 98


VMware, Inc. 4

Personalizar marcas para el portal de usuario 99

12 Acceso a otros documentos 102


VMware, Inc. 5

Acerca de la implementación de VMwareWorkspace ONE

La Guía de implementación de VMware Workspace™ ONE™ ofrece información sobre la integración deVMware Identity Manager™ y VMware AirWatch® para proporcionar Single Sign-On a Workspace ONE,la administración de dispositivos en AirWatch y VMware Workspace ONE como un catálogo deaplicaciones.

Cuando se integran AirWatch y VMware Identity Manager, los usuarios de los dispositivos inscritos enAirWatch pueden iniciar sesión de forma segura en las aplicaciones habilitadas sin tener que introducirvarias contraseñas.

Público objetivoEsta información está destinada a los administradores familiarizados con los servicios de AirWatch yVMware Identity Manager.

VMware, Inc. 6

Introducción a Workspace ONE 1VMware Workspace® ONE® es una plataforma empresarial segura que proporciona y administraaplicaciones en dispositivos iOS, Android y Windows 10. La administración de la identidad, lasaplicaciones y la movilidad empresarial se integran en la plataforma de Workspace ONE.

VMware AirWatch® y VMware Identity Manager™ se han integrado para ofrecer el catálogo deWorkspace ONE de aplicaciones y servicios de administración de acceso móvil.

Los servicios de VMware Identity Manager proporcionan los componentes relacionados con la identidad,incluida la autenticación para los usuarios que utilizan Single Sign-On en sus recursos. Usted crea unconjunto de directivas relacionadas con las redes y la autenticación para controlar el acceso a dichosrecursos.

Los servicios de AirWatch proporcionan a los dispositivos la inscripción, la distribución de aplicaciones ylas herramientas de comprobación de conformidad para asegurar que los dispositivos de acceso remotocumplan con los estándares de seguridad empresarial. Los usuarios de los dispositivos inscritos enAirWatch pueden iniciar sesión de forma segura en las aplicaciones habilitadas sin tener que introducirvarias contraseñas.

Este capítulo cubre los siguientes temas:

n Introducción a la arquitectura de Workspace ONE

n Requisitos

n Detalles de las funciones de Workspace ONE

n Introducción al asistente de Workspace ONE

Introducción a la arquitectura de Workspace ONEWorkspace ONE proporciona a los usuarios acceso seguro a aplicaciones en la nube, móviles y deWindows administradas desde un catálogo unificado. La aplicación nativa de Workspace ONE estádisponible para el acceso desde dispositivos iOS, Android y Windows 10.

Cuando se implementa Workspace ONE, también se deben implementar los siguientes servicios deVMware Identity Manager y AirWatch.

n VMware Enterprise Systems Connector se ha instalado y se ha configurado. Configure elcomponente de VMware Identity Manager Connector o el componente de AirWatch Cloud Connector(ACC).

VMware, Inc. 7

n Integre la instancia de Active Directory de su empresa con VMware Identity Manager o con AirWatchCloud Connector para sincronizar los usuarios y los grupos de Active Directory con el servicio deWorkspace ONE.

n Configure VMware Identity Manager con las claves de API y el certificado raíz de administrador deAirWatch, y habilite el catálogo unificado, la comprobación de conformidad y la autenticación decontraseñas de usuario mediante AirWatch.

Figura 1‑1. Descripción general de la arquitectura de Workspace ONE

VMware Identity Manager

Portal del usuario final

Directorio deusuarios

Directivas deacceso

Infraestructura básica

VMware IdentityManager Connectoro AirWatch Cloud

Connector

Aplicaciones de Horizon

Escritorios de Horizon

Active Directory

Catálogode aplicaciones

Métodos de autenticación

Integración de Horizon

VMware AirWatch

Perfiles dedispositivo

Integración del correo electrónico

Integración delcontenido

Prevención depérdida de datos

Integración del directorio empresarial

Catálogo deaplicaciones móviles

Aplicación Workspace ONE

Almacenes de aplicaciones públicas

Aplicacionesbasadas en SaaS

Usuarios y dispositivos

web/virtuales

RequisitosA continuación, se enumeran los requisitos del sistema de Workspace ONE.

Tabla 1‑1. Requisitos del sistema de Workspace ONE

Requisitos de Workspace ONE Detalles

Active Directory Windows Server 2008 y 2008 R2

Windows Server 2012 y 2012 R2

Explorador web para acceder a la consola de administraciónde VMware Identity Manager y AirWatch

Internet Explorer 11 para Windows

Google Chrome 4.0 y versiones posteriores

Mozilla Firefox 40 y versiones posteriores

Safari 6.2.8 y versiones posteriores

VMware Enterprise Connector con VMware Identity ManagerConnector o AirWatch Cloud Connector instalados.

Windows Server 2008 R2

Windows Server 2012 o 2012 R2

.NET Framework 4.6.2

Consulte la Guía de instalación y configuración de VMwareEnterprise Systems Connector para implementar losconectores.


VMware, Inc. 8

Detalles de las funciones de Workspace ONEA continuación, se describen las principales funciones de Workspace ONE.

Aplicaciones móviles nativas de Workspace ONELos usuarios pueden instalar la aplicación Workspace ONE en un dispositivo móvil y utilizar credencialesempresariales para el acceso Single Sign-On (SSO) a las aplicaciones empresariales, en la nube ymóviles.

Catálogo de aplicaciones de autoservicio para recursos web,Horizon y CitrixWorkspace ONE proporciona a los usuarios acceso a aplicaciones en la nube, móviles y de Windowsdesde un catálogo unificado. El catálogo contiene las aplicaciones publicadas enVMware Identity Manager y VMware AirWatch. Los tipos de aplicación compatibles incluyen paquetesweb, SaaS, móviles nativos, móviles desarrollados internamente, de Windows heredados y modernos, deHorizon 7, de VMware Horizon Cloud Service™, publicados de Citrix y de ThinApp. El almacén deaplicaciones también contiene escritorios virtualizados.

Iniciar aplicaciones web y virtuales con Single Sign-OnWorkspace ONE proporciona autenticación Single Sign-On (SSO) móvil, una implementación de inicio desesión con un toque en aplicaciones móviles. SSO móvil está disponible para dispositivos Android, iOS yWindows 10.

Acceso condicional con cumplimiento del dispositivoCon Workspace ONE, puede aplicar el acceso condicional basado en el rango de red, la plataforma y loscriterios específicos de la aplicación para la autenticación. Un dispositivo debe comprobar elcumplimiento de las normas de seguridad antes de autorizar el acceso a una aplicación.VMware Identity Manager incluye una opción de directiva de acceso que se puede configurar paracomprobar el estado de conformidad del dispositivo de servidor de AirWatch cuando los usuarios inicianla sesión en el dispositivo.

Autenticación multifactorWorkspace ONEproporciona autenticación multifactor a través de la aplicación VMware Verify. Cuandoun usuario intenta acceder al catálogo de Workspace ONE, o a cualquier aplicación que requiereautenticación segura, VMware Verify envía una notificación al teléfono del usuario. Para comprobar losintentos de acceso a Workspace ONE, el usuario debe deslizar sobre Aceptar para acceder a laaplicación.


VMware, Inc. 9

Administración adaptablePara las aplicaciones que solo requieren un nivel básico de seguridad, los usuarios no tienen queinscribir su dispositivo en AirWatch Mobile Device Management™. Los usuarios pueden descargar laaplicación móvil Workspace ONE y seleccionar las aplicaciones que deseen instalar. Para lasaplicaciones que requieren un mayor nivel de seguridad, los usuarios pueden inscribir su dispositivo enAirWatch directamente desde la aplicación móvil Workspace ONE.

Introducción al asistente de Workspace ONEPuede utilizar el asistente de introducción de Workspace ONE para configurar los ajustes de laintegración de los servicios de AirWatch y VMware Identity Manager para crear el entorno de WorkspaceONE.

El asistente de introducción no reemplaza la capacidad de configurar o editar cualquier ajuste individual,pero automatiza significativamente la configuración inicial para la mayoría de clientes.

El asistente de introducción de Workspace ONE puede utilizarse para configurar las siguientes opciones.

n Enterprise Connector y directorio. El asistente le guiará por los pasos necesarios para configurarVMware Enterprise System Connector y la conexión de Active Directory de AirWatch CloudConnector para importar usuarios y grupos del directorio de su empresa. Consulte la Guía deconfiguración rápida de VMware Workspace ONE para configurar Enterprise Connector.

n Detección automática. Ejecute el asistente para registrar su dominio de correo electrónico en elservicio de detección automática para que al usuario final le resulte más fácil acceder al portal deaplicaciones a través de la aplicación Workspace ONE. A continuación, los usuarios finales debenintroducir su dirección de correo electrónico en lugar de la URL de la organización.

n Catálogo de Workspace ONE. El asistente del catálogo de Workspace ONE le indicará cuáles sonlos pasos para configurar el catálogo de Workspace ONE. También puede utilizar el paso depersonalización de marca de Workspace ONE para agregar la información de marca de su empresaal catálogo y la aplicación de Workspace ONE. Consulte la Guía de configuración rápida de VMwareWorkspace ONE para configurar el catálogo de Workspace ONE.

n Administración adaptable. Configure la administración adaptable para restringir ciertas aplicacionesque requieren un perfil concreto en los dispositivos del usuario. El perfil garantiza que se puedanquitar datos y aplicaciones empresariales si es necesario. También puede exigir que las aplicacionespúblicas se administren o se utilicen de forma independiente mediante descarga manual en la tiendade aplicaciones.

El asistente de introducción le alertará si existen conflictos potenciales entre las configuraciones actualesde AirWatch o los servicios de VMware Identity Manager. Si esto ocurre, o si el asistente de introducciónsolo completa los pasos de forma parcial, las características se pueden configurar manualmente. Utilicea esta guía para configurar los servicios de AirWatch y VMware Identity Manager manualmente paraWorkspace ONE.


VMware, Inc. 10

Integrar AirWatch conVMware Identity Manager 2Si desea configurar los servicios de administración de dispositivos móviles de AirWatch en dispositivoscon servicios de VMware Identity Manager para Single Sign-On y administración de identidades deusuarios, debe integrar los servicios.

Cuando se integran AirWatch y VMware Identity Manager, los usuarios de los dispositivos inscritos deAirWatch pueden iniciar sesión en Workspace ONE para acceder a las aplicaciones habilitadas de formasegura sin tener que introducir varias contraseñas.

El asistente de primeros pasos de Workspace ONE le guiará a través de la configuración para integrarAirWatch y VMware Identity Manager. Consulte la Guía de configuración rápida de VMwareWorkspace ONE para ejecutar los asistentes de Workspace ONE.


n Configurar la integración de la consola de administración de AirWatch

n Configurar una instancia de AirWatch en VMware Identity Manager

n Habilitar el catálogo de Workspace ONE para AirWatch

n Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch

n Habilitar la autenticación de contraseña de usuario a través de AirWatch

n Configurar la regla de directiva de acceso

n Actualizar VMware Identity Manager después de actualizar AirWatch

n Implementación de la autenticación con AirWatch Cloud Connector

Configurar la integración de la consola de administraciónde AirWatchPara realizar la integración con los servicios de VMware Identity Manager, configure estas opciones en laconsola de administración de AirWatch.

n Clave de administrador de REST API para la comunicación con el servicio VMware Identity Manager

n Clave de API del usuario inscrito de REST para la autenticación con contraseña de AirWatch CloudConnector creada en el mismo grupo de organización en el que VMware Identity Manager estáconfigurado.

VMware, Inc. 11

n Cuenta de administrador de API de VMware Identity Manager y el certificado de autenticación deadministrador que se exporta de AirWatch y se agrega a la configuración de AirWatch en la consolade administración de VMware Identity Manager.

Crear claves de la REST API en AirWatchSe debe habilitar el acceso de los usuarios registrados y de la API del administrador de REST en laconsola de administración de AirWatch para integrar VMware Identity Manager con AirWatch. Cuandohabilite el acceso de la API, se generará una clave de API.

Procedimiento

1 En la consola de administración de AirWatch, seleccione Global y, a continuación, el grupo de laorganización a nivel de cliente, y acceda a Grupos y ajustes > Todos los ajustes > Sistema >Avanzado > API > REST API.

2 En la pestaña General, haga clic en Agregar para generar la clave de API que se utilizará en elservicio VMware Identity Manager. El tipo de cuenta debe ser Admin.

Proporcione un nombre de servicio único. Agregue una descripción, como AirWatchAPI for IDM.

3 Para generar la clave de API del usuario registrado, vuelva a hacer clic en Agregar.

4 En el menú desplegable Tipo de cuenta, seleccione Usuario de inscripción.

Proporcione un nombre de servicio único. Agregue una descripción, como UserAPI for IDM.

5 Copie las dos claves de API y guárdelas en un archivo.

Debe agregar estas claves cuando configure AirWatch en la consola de administración de VMwareIdentity Manager.

6 Haga clic en Guardar.


VMware, Inc. 12

Exportar el certificado raíz del administrador de VMwareAirWatchDespués de crear la clave de API de administrador, debe agregar una cuenta de administrador yconfigurar la autenticación con certificado en la consola de administración de AirWatch.

Para la autenticación basada en certificado de REST API, se generará un certificado a nivel de usuariodesde la consola de administración de AirWatch. El certificado utilizado es un certificado de AirWatchautofirmado que se generó desde el certificado raíz del administrador de AirWatch.

Prerequisitos

Debe haber creado la clave de API de administrador de REST de AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, seleccione Global y, continuación, el grupo de laorganización a nivel de cliente, y acceda a Cuentas > Administradores > Vista en lista.

2 Haga clic en Agregar > Agregar administrador.

3 En la pestaña Básico, introduzca la contraseña y el nombre del usuario administrador del certificadoen los cuadros de texto obligatorios.

4 Seleccione la pestaña Funciones, elija el grupo de organización actual, haga clic en el segundocuadro de texto y, a continuación, seleccione Administrador de AirWatch.

5 Seleccione la pestaña API y haga clic en Certificados en el cuadro de texto Autenticación.


VMware, Inc. 13

6 Introduzca la contraseña del certificado. La contraseña es la misma que introdujo para eladministrador en la pestaña Básico.


Se crearán el certificado de cliente y la cuenta del administrador nuevos.

8 En la página Vista en lista, seleccione el administrador que creó y vuelva a abrir la pestaña API.

La página de certificados mostrará información sobre el certificado.

9 Introduzca la contraseña que estableció en el cuadro de texto Contraseña del certificado, haga clicen Exportar el certificado de cliente y guarde el archivo.

El certificado de cliente se guardará como un tipo de archivo .p12.

Qué hacer a continuación

Configure las opciones de la URL de AirWatch en la consola de administración de VMware IdentityManager.

Configurar una instancia de AirWatch en VMware IdentityManagerDespués de configurar las opciones en la consola de administración de AirWatch, debe introducir la URLde AirWatch, los valores de la clave de API y el certificado en la página Administración de acceso eidentidad de la consola de administración de VMware Identity Manager. Después de configurar lasopciones de AirWatch, puede habilitar las opciones de las funciones disponibles para Workspace ONE.

Agregar la configuración de AirWatch en la consola deadministración de VMware Identity ManagerConfigure los ajustes de AirWatch en la consola de administración de VMware Identity Manager paraintegrar AirWatch con VMware Identity Manager.

Puede vincular dominios configurados en VMware Identity Manager a grupos de organización específicosen AirWatch para facilitar el registro de dispositivos en AirWatch. Consulte Asignar dominios deVMware Identity Manager a varios grupos de organización.


VMware, Inc. 14

Prerequisitos

n URL del servidor de AirWatch que utiliza el administrador para iniciar la sesión en la consola deadministración de AirWatch.

n Clave de API de administración de AirWatch que se utiliza para realizar solicitudes de API deVMware Identity Manager al servidor de AirWatch para configurar la integración.

n Archivo del certificado de AirWatch que se utiliza para realizar llamadas de API y la contraseña delcertificado. El certificado debe estar en formato de archivo .p12.

n Clave de API del usuario inscrito en AirWatch.

n ID de grupo de AirWatch para el arrendatario, que es el identificador del arrendatario en AirWatch.

Procedimiento

1 En la consola de administración de VMware Identity Manager, pestaña Administración de acceso eidentidades, haga clic en Configurar > AirWatch.

2 Introduzca los parámetros de integración de AirWatch en los campos siguientes.

Campo Descripción

URL de API de AirWatch Introduzca la URL de la API de AirWatch. Por ejemplo,https://api91.example.com

Certificado de API de AirWatch Cargue el certificado utilizado para realizar llamadas de API.

Contraseña del certificado Introduzca la contraseña del certificado.

Clave de API del administrador deAirWatch

Introduzca el valor de la clave de API de administrador. Ejemplo de un valor declave de API FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

Clave de API del usuario inscrito enAirWatch

Introduzca el valor de la clave de API del usuario inscrito.

ID de grupo de AirWatch. Introduzca el ID de grupo de AirWatch del grupo de la organización en el que secrearon la clave de API y la cuenta de administrador.

3 Para asignar dominios a varios grupos de organización, seleccione la casilla Asignar dominios a

varios grupos de organización.

a Seleccione el dominio que desee asignar en el menú desplegable y escriba el ID del grupo deorganización y la clave de API de administración de ese grupo en los cuadros de texto.

b Haga clic en + para asignar grupos de organización adicionales al dominio.

c Para asignar otro dominio, haga clic en + que aparece junto al menú desplegable.


VMware, Inc. 15



n Habilite la opción Catálogo unificado para fusionar las aplicaciones configuradas en el catálogo deAirWatch con el catálogo unificado.

n Habilite Comprobación de conformidad para verificar que los dispositivos administrados por AirWatchcumplen sus directivas.

Asignar dominios de VMware Identity Manager a varios grupos deorganización en AirWatchAl configurar los usuarios y los dispositivos en AirWatch, AirWatch utiliza grupos de organización (GO)para organizar y agrupar los usuarios y establecer permisos. Cuando AirWatch se integra con VMwareIdentity Manager, las claves de REST API de los usuarios administrador e inscrito solo se puedenconfigurar en el grupo de organización de AirWatch del tipo Cliente.

En entornos de AirWatch configurados para varios arrendatarios, se crean varios grupos de organizaciónpara los usuarios y los dispositivos. Los dispositivos se registran o se inscriben en un grupo deorganización. Los grupos de organización pueden configurarse de forma exclusiva en un entorno devarios arrendatarios. Por ejemplo, se pueden crear grupos de organización por ubicaciones geográficas,departamentos o casos de uso.


VMware, Inc. 16

Puede vincular dominios configurados en VMware Identity Manager a grupos de organización específicosen AirWatch para administrar el registro de dispositivos mediante Workspace ONE. Cuando los usuariosinician sesión en Workspace ONE, se activa un evento de registro del dispositivo en VMware IdentityManager. Durante el registro del dispositivo, se envía una solicitud a AirWatch para obtener lasaplicaciones para las que tiene autorización la combinación de usuario y dispositivo.

Los grupos de organización de dispositivos deben identificarse cuando AirWatch se integra con VMwareIdentity Manager para que el administrador de identidades pueda encontrar al usuario y registrarcorrectamente el dispositivo en el grupo de organización correspondiente.

Al configurar los ajustes de AirWatch en el servicio de VMware Identity Manager, puede introducir los IDde grupo de organización de dispositivos y las claves de API para asignar varios GO a un dominio.Cuando los usuarios inician sesión en Workspace ONE desde sus dispositivos, se comprueba el registrode los usuarios y se registra el dispositivo en el grupo de organización apropiado en AirWatch.

Para obtener más información acerca de cómo configurar varios grupos de organización, consulte Estrategias de implementación para configurar varios grupos de organización de AirWatch.

NOTA: Cuando AirWatch se integra con VMware Identity Manager y se configuran varios grupos deorganización de AirWatch, la opción Catálogo global de Active Directory no se puede configurar para suuso con el servicio de VMware Identity Manager.

Habilitar el catálogo de Workspace ONE para AirWatchCuando configure VMware Identity Manager con su instancia de AirWatch, puede habilitar el catálogo deWorkspace ONE. Los usuarios finales ven todas las aplicaciones para las que tienen autorización desdesu portal de Workspace ONE.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > AirWatch.

2 En la sección Catálogo unificado de esta página, seleccione Habilitar.



Notifique a los usuarios finales de AirWatch cómo pueden obtener acceso al catálogo unificado y ver suportal de Workspace ONE.


VMware, Inc. 17

Habilitar la comprobación de conformidad paradispositivos administrados por AirWatchCuando los usuarios inscriben sus dispositivos, los datos de ejemplo utilizados para evaluar laconformidad se envían de forma programada. La evaluación de estos datos de ejemplo garantiza que eldispositivo cumple las reglas de conformidad que establece el administrador en la consola de AirWatch.Si el dispositivo no cumple con la conformidad, se llevan a cabo las acciones correspondientes en laconsola de AirWatch.

El servicio VMware Identity Manager incluye una opción de directiva de acceso que se puede configurarpara comprobar el estado de conformidad del dispositivo de servidor de AirWatch cuando los usuariosinician la sesión en el dispositivo. Esta comprobación de conformidad garantiza que los usuarios nopuedan iniciar sesión en una aplicación ni usar un inicio de sesión único en el portal de Workspace ONEsi el dispositivo deja de cumplir las reglas de conformidad. Cuando el dispositivo vuelve a ser conforme,se restaurará la capacidad de iniciar la sesión.

La aplicación Workspace ONE cierra sesión automáticamente y bloquea el acceso a las aplicaciones si eldispositivo está en peligro. Si el dispositivo se registró a través de una administración adaptativa, uncomando de borrado empresarial emitido por la consola de AirWatch anula el registro del dispositivo yelimina las aplicaciones administradas desde el dispositivo. Las aplicaciones que no están administradasno se eliminan.

Para obtener más información sobre las directivas de conformidad de AirWatch, consulte la guía deVMware AirWatch Mobile Device Management disponible en el sitio web AirWatch Resources.

Habilitar la autenticación de contraseña de usuario através de AirWatchPara implementar la autenticación con AirWatch Cloud Connector, debe habilitar la autenticación decontraseña a través de la función AirWatch.

Prerequisitos

n AirWatch configurado en VMware Identity Manager.

n AirWatch Cloud Connector instalado y activado.

n Servicios de directorio de AirWatch integrados con Active Directory.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > AirWatch

2 En la sección Autenticación de la contraseña de usuario mediante AirWatch, seleccione Habilitar.



VMware, Inc. 18


Consulte Implementación de la autenticación con AirWatch Cloud Connector para usar la autenticaciónde AirWatch Cloud Connector.

Configurar la regla de directiva de accesoPara proporcionar acceso seguro al portal de aplicaciones de Workspace ONE de los usuarios y parainiciar aplicaciones de escritorio y web, configure directivas de acceso. Las directivas de acceso incluyenreglas que especifican los criterios que se deben cumplir para iniciar sesión y utilizar los recursos.

Debe editar las reglas predeterminadas de directiva para seleccionar los métodos de autenticación queconfiguró. Una regla de directiva puede configurarse para autenticar usuarios en función de condicionestales como la red, el tipo de dispositivo, el estado de compatibilidad y registro de dispositivos de AirWatcho la aplicación a la que se va a acceder. Una regla de directiva también puede configurarse para quedeniegue el acceso a los usuarios según el tipo de intervalo y dispositivo de red. Puede agregar grupos auna política para administrar la autenticación de grupos específicos.

Cuando se habilite Comprobación de conformidad, cree una regla de directiva de acceso que solicite laverificación de conformidad del dispositivo y la autenticación de los dispositivos administrados porAirWatch.

La regla de directiva de comprobación de conformidad funciona en una cadena de autenticación con elSSO móvil para iOS, el SSO móvil para Android y la implementación en la nube del certificado. Elmétodo de autenticación que se utilice debe ir delante de la opción de conformidad de dispositivos en laconfiguración de las reglas de la directiva.

Prerequisitos

Los métodos de autenticación deben estar configurados y asociados a un proveedor de identidadesintegrado.

La comprobación de conformidad debe estar habilitada en la página AirWatch de VMware IdentityManager.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en Editar política predeterminada.

3 Haga clic en Siguiente.

4 Haga clic en Agregar regla de directiva para agregar una regla o seleccione una regla que deseeeditar.

Aparece la página Agregar una regla de directiva.

a Seleccione el rango de redes que se aplicará a esta regla.

b En el menú desplegable y el usuario que accede al contenido desde, seleccione el tipo dedispositivo móvil.


VMware, Inc. 19

c En el menú desplegable entonces el usuario debe autenticarse con, seleccione el método deautenticación que se usará.

d Haga clic en + para seleccionar Cumplimiento normativo del dispositivo (con AirWatch)

e Haga clic en Guardar.


Actualizar VMware Identity Manager después deactualizar AirWatchCuando actualiza AirWatch a una nueva versión, debe actualizar las opciones de configuración Catálogounificado y Autenticación de contraseña de usuario en la página de configuración de AirWatch de laconsola de administración de VMware Identity Manager.

Cuando se guardan estas opciones después de actualizar AirWatch, la configuración de AirWatch en elservicio de VMware Identity Manager se actualiza con la nueva versión de AirWatch.

Procedimiento

1 Después de actualizar AirWatch, inicie sesión en la consola de administración de VMware IdentityManager.

2 En la pestaña Administración de acceso e identidad, haga clic en Configurar > AirWatch.

3 Diríjase a la sección Catálogo unificado y haga clic en Guardar.


VMware, Inc. 20

4 Diríjase a la sección Autenticación de contraseña de usuario a través de AirWatch y haga clic enGuardar.

Se actualiza la configuración de AirWatch con la nueva versión en el servicio de VMware IdentityManager.

Implementación de la autenticación con AirWatch CloudConnectorEl componente AirWatch Cloud Connector (ACC) de VMware Enterprise Systems Connector estáintegrado con VMware Identity Manager para la autenticación de contraseñas de usuario enWorkspace ONE.

NOTA: Instale ACC y configure el componente ACC en AirWatch. Consulte la guía Instalación yconfiguración de VMware Enterprise Systems Connector para obtener más información sobre cómoinstalar y configurar AirWatch Cloud Connector. Después de instalar y configurar ACC, debe integrar losservicios del directorio de AirWatch con Active Directory. Consulte la guía sobre los servicios deldirectorio de VMware AirWatch para obtener más información sobre cómo habilitar los servicios deldirectorio.

Para implementar la autenticación de AirWatch Cloud Connector para Workspace ONE, en la consola deadministración de VMware Identity Manager, el método de autenticación Contraseña (AirWatchConnector) está asociado a un proveedor de identidades integrado.

Puede habilitar la compatibilidad con just-in-time en AirWatch para agregar nuevos usuarios al directoriode VMware Identity Manager cuando estos inicien sesión por primera vez. Cuando la compatibilidad conjust-in-time está habilitada, los usuarios no tienen que esperar a la siguiente sincronización programadaen el servidor de AirWatch para acceder a Workspace ONE. En su lugar, los nuevos usuarios iniciansesión en el portal de Workspace ONE, desde un dispositivo Android o iOS, o bien desde el equipo, ydeben introducir el nombre de usuario y la contraseña de Active Directory. El servicio deVMware Identity Manager autentica las credenciales de Active Directory a través de AirWatch CloudConnector y agrega el perfil de usuario al directorio.

Después de asociar los métodos de autenticación en el proveedor de identidades integrado, puede creardirectivas de acceso que se apliquen a estos métodos de autenticación.

NOTA: La autenticación de nombre de usuario y contraseña se integra con la implementación deAirWatch Cloud Connector. Para autenticar los usuarios con otros métodos de autenticación compatiblescon VMware Identity Manager, se debe configurar el conector de VMware Identity Manager.

Administración de la asignación de atributos de usuarioPuede configurar la asignación de atributos de usuario entre el directorio de AirWatch y el directorio deVMware Identity Manager.


VMware, Inc. 21

La página Atributos de usuario de la pestaña Administración de acceso e identidad de VMware IdentityManager muestra los atributos de directorio predeterminados que se asignan a los atributos del directoriode AirWatch. Los atributos obligatorios aparecen marcados con un asterisco. Los usuarios a los que lesfalte algún atributo obligatorio en el perfil no se sincronizan con el servicio de VMware Identity Manager.

Tabla 2‑1. Asignación de atributos de directorio de AirWatch predeterminados

Nombre de atributo de usuario de VMware IdentityManager

Asignación predeterminada a atributos de usuario deAirWatch

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

dominio Dominio

disabled (usuario externo deshabilitado) deshabilitado

phone telephoneNumber

lastName apellido*

firstName nombre*

correo electrónico correo electrónico*

userName nombre de usuario*

Sincronizar los usuarios y grupos del directorio de AirWatch en eldirectorio de VMware IdentityEstablezca la configuración de VMware Identity Manager en la consola de administración de AirWatchpara establecer una conexión entre la instancia del grupo de su organización del directorio de AirWatch yVMware Identity Manager. Esta conexión se usa para sincronizar usuarios y grupos de un directoriocreado en le servicio VMware Identity Manager.

Los usuarios y los grupos se sincronizan inicialmente en el directorio de VMware Identity Manager deforma manual. La programación de sincronización de AirWatch determina cuándo se sincronizan losgrupos y los usuarios con el directorio de VMware Identity Manager.

Cuando se agrega o se elimina un usuario o un grupo en el servidor de AirWatch, el cambio se reflejainmediatamente en el servicio de VMware Identity Manager.

Prerequisitos

n Nombre de administrador local y contraseña de VMware Identity Manager

n Identifique los valores del atributo que desea asignar del directorio de AirWatch. Consulte Administración de la asignación de atributos de usuario.

Procedimiento

1 En la consola de administración de AirWatch, Grupos y ajustes, en la página Todos los ajustes,seleccione Global, acceda al grupo de la organización a nivel de cliente y navegue hasta Sistema >Integración empresarial >VMware Identity Manager.


VMware, Inc. 22

2 En la sección Servidor, haga clic en Configurar.

NOTA: El botón de configuración solo está disponible cuando el servicio de directorio también estáconfigurado para el mismo grupo de organización. Si el botón Configurar no está visible, no seencuentra en el correcto grupo de organización. Puede cambiar el grupo de organización en el menúdesplegable Global.

3 Introduzca las opciones de VMware Identity Manager.

Opción Descripción

URL Introduzca la URL del arrendatario de VMware. Por ejemplo,https://myco.identitymanager.com.

Nombre de usuario de administrador Introduzca el nombre del usuario administrador local de VMware IdentityManager.

Contraseña del administrador Introduzca la contraseña del usuario administrador local de VMware IdentityManager.


5 Habilite la asignación personalizada para la asignación de los atributos de usuarios de AirWatch en elservicio VMware Identity Manager.

6 Haga clic en Probar conexión para verificar que las opciones son correctas.

7 Haga clic en Sincronizar ahora para sincronizar manualmente todos los grupos y usuarios en elservicio VMware Identity Manager.

NOTA: Para controlar la carga del sistema, la sincronización manual solo se puede llevar a cabocuatro horas después de una sincronización anterior.

Se crea un directorio de AirWatch en el servicio VMware Identity Manager y los usuarios y grupos sesincronizan en un directorio de VMware Identity Manager.


Revise la pestaña Usuarios y grupos en la consola de administración de VMware Identity Manager paracomprobar que se realizó la sincronización de los nombres de grupos y usuarios.

Administrar configuración de autenticación con contraseña enAirWatchPuede revisar y administrar la configuración Contraseña (AirWatch Connector) que se estableció cuandoinstaló AirWatch y agregó el servicio VMware Identity Manager.


VMware, Inc. 23

El método de autenticación Contraseña (AirWatch Connector) se administra desde la páginaAdministración de acceso e identidad > Métodos de autenticación y se asocia al proveedor deidentidades integrado en la página Proveedores de identidades.

IMPORTANTE: Cuando se actualiza el software AirWatch Cloud Connector, asegúrese de que actualicela configuración de AirWatch de VMware Identity Manager en la página AirWatch de la consola deadministración de VMware Identity Manager.

Procedimiento

1 Para revisar y administrar la configuración, en la pestaña Administración de acceso e identidad,seleccione Métodos de autenticación.

2 En la columna para configurar Contraseña (AirWatch Connector), haga clic en el icono de lápiz.

3 Revise la configuración.


Habilitar la autenticación concontraseña de AirWatch

Esta casilla de verificación habilita la autenticación con contraseña de AirWatch.

URL de la consola de administraciónde AirWatch

Se rellena automáticamente con la dirección URL de AirWatch.

Clave de API de AirWatch Se rellena automáticamente con la clave de API de administrador de AirWatch.

Certificado utilizado para laautenticación

Se rellena automáticamente con el certificado de AirWatch Cloud Connector.

Contraseña del certificado Se rellena automáticamente con la contraseña del certificado de AirWatch CloudConnector.

ID de grupo de AirWatch Se rellena automáticamente con el ID del grupo organizativo.

Número de intentos de autenticaciónpermitidos

Número máximo de intentos de inicio de sesión fallidos cuando se utiliza laautenticación con contraseña de AirWatch. No se permitirán más inicios desesión tras alcanzar este número de inicios de sesión fallidos. El servicio VMwareIdentity Manager intenta utilizar el método de autenticación de reserva si esteestá configurado. El valor predeterminado es cinco intentos.

JIT habilitado Si JIT no está habilitado, seleccione esta casilla de verificación para habilitar elaprovisionamiento de usuarios Just-In-Time en el servicio de VMware IdentityManager de forma dinámica cuando inician sesión la primera vez.


Configurar el proveedor de identidades integradoPuede configurar varios proveedores de identidades integrados y asociar métodos de autenticación quese hayan configurado en Administración de acceso e identidad > Administrar > página Métodos deautenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.


VMware, Inc. 24

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.


Nombre del proveedor de identidades Introduzca el nombre de esta instancia del proveedor de identidades integrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.Seleccione los rangos de redes para los usuarios en función de las direcciones IPque desea dirigir a esta instancia del proveedor de identidades para laautenticación.

Métodos de autenticación Se muestran los métodos de autenticación que están configurados en el servicio.Seleccione la casilla de los métodos de autenticación que se asociarán a esteproveedor de identidades integrado.

Para el Cumplimiento normativo del dispositivo (con AirWatch) y la Contraseña(AirWatch Connector), asegúrese de que esta opción está habilitada en la páginade configuración de AirWatch.

3 Haga clic en Agregar.


Configure la regla de directiva de acceso predeterminada para agregar la directiva de autenticación a laregla. Consulte Configurar la regla de directiva de acceso


VMware, Inc. 25

Implementar la autenticaciónSingle Sign-On móvil para losdispositivos iOS administradospor AirWatch 3Para la autenticación de los dispositivos iOS, VMware Identity Manager utiliza un proveedor deidentidades que está integrado en el servicio de VMware Identity Manager para proporcionar acceso a laautenticación de SSO móvil.

Este método de autenticación para los dispositivos iOS utiliza un centro de distribución de claves (KDC,Key Distribution Center) sin utilizar un conector o un sistema externo. La autenticación de Kerberosproporciona acceso al portal de aplicaciones de Workspace ONE sin solicitudes adicionales decredenciales a los usuarios que iniciaron sesión en su dominio correctamente.

Este capítulo cubre los siguientes temas:n Descripción general de la implementación para configurar el SSO móvil para iOS

n Configurar la autoridad de certificación de Active Directory en AirWatch

n Utilizar la autoridad de certificación de AirWatch para autenticación de Kerberos

n Usar un centro de distribución de claves para la autenticación de dispositivos iOS

n Configurar el SSO móvil para la autenticación de iOS

n Configurar el proveedor de identidades integrado para la autenticación de iOS con SSO móvil

n Configurar el perfil de iOS de Apple en AirWatch mediante la entidad de certificación de ActiveDirectory y la plantilla de certificado

n Configurar el perfil de iOS de Apple en AirWatch con la entidad de certificación de AirWatch

n Asignar un perfil de dispositivo de AirWatch

VMware, Inc. 26

Descripción general de la implementación para configurarel SSO móvil para iOSPara implementar la autenticación de SSO móvil en dispositivos iOS 9 o posteriores administrados porAirWatch, es necesario completar los siguientes pasos de configuración.

n Descargue el certificado del emisor para configurar el SSO móvil para iOS.

n Si utiliza los servicios de certificado de Active Directory, configure una plantilla de entidad decertificación para la distribución del certificado de Kerberos en los servicios de certificado deActive Directory. A continuación, configure AirWatch para que utilice la entidad de certificación deActive Directory. Agregue la plantilla del certificado en la consola de administración de AirWatch.Descargue el certificado expedido para configurar el SSO móvil para iOS.

n Si utiliza la entidad de certificación de AirWatch, habilite los certificados en la página deintegraciones de VMware Identity Manager. Descargue el certificado expedido para configurar elSSO móvil para iOS.

n Establezca el centro de distribución de claves (KDC) que se usará.

n Configure el perfil de dispositivos con iOS y habilite el inicio de sesión único en la consola deadministración de AirWatch.

n Configure el método de autenticación SSO móvil (iOS).

n Configure el proveedor de identidades integrado y asocie el SSO móvil para la autenticación de iOSen la consola de administración de VMware Identity Manager.

Configurar la autoridad de certificación de ActiveDirectory en AirWatchPara configurar el single sign-on único en dispositivos móviles iOS 9 administrados por AirWatch, puedeestablecer una relación de confianza entre Active Directory y AirWatch y habilitar el método deautenticación SSO móvil para iOS en VMware Identity Manager.

Después de configurar la autoridad y la plantilla de certificación para la distribución de certificados deKerberos en los servicios de certificado de Active Directory, se debe habilitar AirWatch para que solicite elcertificado utilizado para la autenticación y agregar la autoridad de certificación a la consola deadministración de AirWatch.

Procedimiento

1 En el menú principal de la consola de administración de AirWatch, vaya a Dispositivos >Certificados > Autoridades de certificación.



VMware, Inc. 27

3 En la página Autoridad de certificación, establezca la siguiente configuración.

NOTA: Asegúrese de que Microsoft AD CS esté seleccionado como tipo de autoridad antes deempezar a completar este formulario.


Nombre Introduzca un nombre para la nueva autoridad de certificación.

Tipo de autoridad Asegúrese de que la opción Microsoft ADCS esté seleccionada.

Protocolo Seleccione ADCS como protocolo.

Nombre de host del servidor Introduzca la dirección URL del servidor. Introduzca el nombre de host en esteformato https://{servername.com}/certsrv.adcs/. El sitio puede usar elprotocolo http o https, en función de cómo esté configurado. La URL debe incluiruna barra inclinada (/) al final.

NOTA: Si la conexión falla al probar la URL, quite http:// o https:// de la direccióny vuelva a probarla.

Nombre de la autoridad Introduzca el nombre de la autoridad de certificación a la que esté conectado eldispositivo de destino de ADCS. Para encontrarlo, puede iniciar la aplicaciónCertification Authority en el servidor de la autoridad de certificación.

Autenticación Asegúrese de que la opción Cuenta del servicio esté seleccionada.

Nombre de usuario y contraseña Introduzca el nombre de usuario y la contraseña de una cuenta de administradorde AD CS con derechos de acceso suficientes para permitir que AirWatch solicitey emita certificados.



Configure la plantilla del certificado en AirWatch.

Configurar AirWatch para utilizar la autoridad de certificación deActive DirectoryLa plantilla de la autoridad de certificación debe estar correctamente configurada para la distribución decertificados de Kerberos. En los servicios de certificado de Active Directory (AD CS), se puede duplicar laplantilla de autenticación de Kerberos existente para configurar una nueva plantilla de autoridad decertificación para la autenticación de Kerberos en iOS.

Al duplicar la plantilla de autenticación de Kerberos de AD CS, se debe configurar la informaciónsiguiente en el cuadro de diálogo de propiedades de la nueva plantilla.


VMware, Inc. 28

Figura 3‑1. Cuadro de diálogo de propiedades de la nueva plantilla de los servicios decertificados de Active Directory

n Pestaña General . Introduzca el nombre de la plantilla que se mostrará y el nombre de la plantilla.Por ejemplo, iOSKerberos. Este nombre es el que se muestra en el complemento de plantillas decertificado, el complemento de certificados y el complemento de autoridad de certificación.

n Pestaña Tratamiento de la solicitud. Habilite Permitir la exportación de la clave privada.

n Pestaña Nombre del usuario. Seleccione el botón de opción para incluirlo en la solicitud. Elnombre del usuario lo proporciona AirWatch al solicitar el certificado.

n Pestaña Extensiones. Defina las directivas de la aplicación.

n Seleccione la opción de directivas de las aplicaciones y haga clic en Editar para agregar unanueva directiva de aplicación. Llame a esta directiva Kerberos Client Authentication.

n Agregue el identificador de objeto (OID) como sigue: 1.3.6.1.5.2.3.4. No lo cambie.

n En la lista de descripción de las directivas de aplicaciones, elimine todas las directivas indicadasexcepto la directiva Kerberos Client Authentication y la directiva de autenticación de Smart Card.

n Pestaña Seguridad. Agregue la cuenta de AirWatch a la lista de usuarios que pueden utilizar elcertificado. Establezca los permisos de la cuenta. Elija la opción de control total para permitir que elusuario principal de seguridad pueda modificar todos los atributos de una plantilla de certificado,incluyendo los permisos de la plantilla del certificado. De lo contrario, establezca los permisos deacuerdo a las necesidades de su organización.

Guarde los cambios. Agregue la plantilla a la lista de plantillas utilizadas por la autoridad de certificaciónde Active Directory.

En AirWatch, configure la autoridad de certificación y agregue la plantilla del certificado.

Agregar una plantilla de certificación en AirWatchSe agrega la plantilla de certificación que asocia la autoridad de certificación utilizada para generar elcertificado del usuario.

Prerequisitos

Configure la autoridad de certificación en AirWatch.


VMware, Inc. 29

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial >Entidades de certificación.

2 Seleccione la pestaña Solicitar plantilla y haga clic en Agregar.

3 Aplique la siguiente configuración en la página de la plantilla de certificación.


Nombre Introduzca el nombre de la nueva plantilla de solicitud en AirWatch.

Entidad de certificación En el menú desplegable, seleccione la entidad de certificación que se creó.

Emitir una plantilla Introduzca el nombre de la plantilla de certificación de Microsoft CA exactamentecomo se creó en AD CS. Por ejemplo, iOSKerberos.

Nombre del usuario Después de CN=, introduzca {EnrollmentUser}, donde el cuadro de texto {} esel valor de búsqueda de AirWatch. El texto introducido aquí es el Usuario delcertificado, que se puede utilizar para determinar quién recibió el certificado.Eltexto introducido aquí es el sujeto del certificado

Longitud de la clave privada La longitud de esta clave privada coincide con el valor de la plantilla decertificación que utiliza AD CS. Normalmente es 2048.

Tipo de clave privada Seleccione la casilla para Firma y cifrado.

Tipo de SAN Como nombre alternativo del usuario (SAN), seleccione Nombre principal delusuario. El valor debe ser {EnrollmentUser}. Si la comprobación deconformidad del dispositivo está configurada con la autenticación de Kerberos,debe configurar un segundo tipo SAN para incluir el UDID. Seleccione el tipo deSAN DNS. El valor debe ser UDID={DeviceUid}.

Renovación automática de certificados Seleccione esta casilla para que los certificados que utilicen esta plantilla serenueven automáticamente antes de sus fechas de caducidad.

Período de renovación automática(días)

Especifique el período de renovación automática en días.

Habilitar revocación de certificados Seleccione esta casilla para que los certificados se revoquen automáticamentecuando los dispositivos aplicables se borren o se cancele su inscripción, o bien sise borra el perfil aplicable.

Publicar clave privada Seleccione esta casilla de verificación para publicar la clave privada.

Destino de clave privada Servicio de directorio o servicio web personalizado


VMware, Inc. 30



En la consola de administración del proveedor de identidades, configure el proveedor de identidadesintegrado con el método de autenticación de SSO para dispositivos móviles con iOS.

Utilizar la autoridad de certificación de AirWatch paraautenticación de KerberosPara configurar e inicio de sesión único con la autenticación de Kerberos integrada en dispositivosmóviles con iOS 9 administrados por AirWatch, puede utilizar la autoridad de certificación de AirWatch enlugar de la de Active Directory. Puede habilitar la autoridad de certificación de AirWatch en la consola deadministración de AirWatch y exportar el certificado del emisor de la CA para utilizarlo en el servicioVMware Identity Manager.

La autoridad de certificación de AirWatch se diseñó para seguir el protocolo Simple Certificate EnrollmentProtocol (SCEP) y se utiliza en dispositivos administrados por AirWatch compatibles con SCEP. En laintegración de VMware Identity Manager con AirWatch se utiliza la autoridad de certificación de AirWatchpara emitir certificados a dispositivos móviles con iOS 9 como parte del perfil.

En certificado raíz del emisor de la autoridad de certificación de AirWatch es también el certificado defirma de OCSP.


VMware, Inc. 31

Habilitación y exportación de la autoridad de certificación deAirWatchCuando VMware Identity Manager está habilitado en AirWatch, puede generar un certificado raíz deentidad emisora AirWatch y exportarlo para usarlo con la autenticación SSO móvil para iOS endispositivos móviles iOS 9 administrados.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > VMwareIdentity Manager.

2 Para habilitar la autoridad de certificación de AirWatch, el tipo del grupo de organización debe serCliente.

Tip Para ver o cambiar el tipo de grupo, vaya a Grupos y ajustes, Grupos > Gruposorganizativos> Detalles del grupo organizativo.

3 En la sección de CERTIFICADO, haga clic en Habilitar.

La página mostrará los detalles del certificado raíz de la entidad emisora.

4 Haga clic en Exportar y guarde el archivo.


En la consola de administración de VMware Identity Manager, configure la autenticación de Kerberos enel proveedor de identidades integrado y agregue el certificado emitido por la entidad de certificación.

Usar un centro de distribución de claves para laautenticación de dispositivos iOSPara un dispositivo iOS, se debe integrar el servicio con Kerberos. La autenticación Kerberosproporciona acceso al portal de aplicaciones sin solicitudes adicionales de credenciales a los usuariosque iniciaron sesión en su dominio correctamente. Este método de autenticación para los dispositivosiOS utiliza un centro de distribución de claves (KDC, Key Distribution Center) sin utilizar un conector o unsistema externo.

Los arrendatarios de VMware Identity Manager Cloud no necesitan administrar ni configurar el KDC.

En las implementaciones locales, están disponibles dos opciones de servicio KDC.

n KDC integrado. El KDC integrado requiere inicializar KDC en el dispositivo y crear entradas de DNSpúblicas para permitir que los clientes de Kerberos encuentren el KDC. Para obtener másinformación sobre cómo habilitar el KDC integrado, consulte a la Guía de administración deVMware Identity Manager.


VMware, Inc. 32

n KDC como un servicio alojado en la nube de VMware Identity Manager. El uso de KDC en la nuberequiere la selección de un nombre de territorio apropiado en la página del adaptador deautenticación de iOS.

NOTA: Cuando VMware Identity Manager esté instalado y configurado con AirWatch en un entorno deWindows, se deberá configurar el método de autenticación móvil de iOS para utilizar el servicio KDCalojado en VMware Identity Manager Cloud.

Usar el servicio KDC alojado en la nubePara admitir el uso de la autenticación Kerberos en SSO móvil para iOS, VMware Identity Managerproporciona un servicio KDC alojado en la nube.

El servicio KDC alojado en la nube debe utilizarse cuando se implementa el servicio de VMware IdentityManager con AirWatch en un entorno de Windows.

Para utilizar el KDC administrado en el dispositivo de VMware Identity Manager, consulte Preparaciónpara utilizar la autenticación Kerberos en dispositivos iOS en la Guía de configuración e instalación deVMware Identity Manager.

Al configurar la autenticación SSO móvil para iOS, configure el nombre de territorio para el servicio KDCalojado en la nube. El territorio es el nombre de la entidad administrativa que mantiene los datos deautenticación. Al hacer clic en Guardar, el servicio de VMware Identity Manager se registrará con elservicio KDC alojado en la nube. Los datos que se almacenan en el servicio KDC se basan en laconfiguración del método de autenticación SSO móvil para iOS, lo que incluye el certificado de CA, elcertificado de firma OCSP y los detalles de configuración de la solicitud OCSP. No se almacena ningunaotra información específica del usuario en el servicio en la nube.

Los registros de inicio de sesión se almacenan en el servicio en la nube. La información de identificaciónpersonal (Personally Identifiable Information, PII) en los registros de inicio de sesión abarca el nombreprincipal de Kerberos del perfil del usuario, el DN de sujeto, los valores de UPN y SAN de correoelectrónico, el identificador de dispositivo del certificado del usuario y el nombre de dominio completo delservicio IDM al que el usuario obtiene acceso.

Para utilizar el servicio KDC alojado en la nube, VMware Identity Manager debe configurarse de lasiguiente manera.

n El nombre de dominio completo del servicio de VMware Identity Manager debe ser accesible desdeInternet. El certificado SSL/TLS utilizado por VMware Identity Manager debe estar firmadopúblicamente.

n Los puertos de respuesta/solicitud de salida 88 (UDP) y 443 (HTTPS/TCP) deben ser accesiblesdesde el servicio VMware Identity Manager.

n Si habilita OCSP, el respondedor de OCSP debe ser accesible desde Internet.


VMware, Inc. 33

Configurar el SSO móvil para la autenticación de iOSPuede configurar el método de autenticación SSO móvil para iOS desde la página Métodos deautenticación en la consola administrativa. En el proveedor de identidades integrado, seleccione elmétodo de autenticación SSO móvil (para iOS) que desea usar.

Prerequisitos

n Debe utilizar un archivo DER o PEM de la autoridad de certificación para emitir certificados a losusuarios en el arrendatario de AirWatch.

n Debe utilizar el certificado de firma de quien responde de OCSP para la comprobación de larevocación.

n Para el servicio KDC, seleccione el nombre de territorio de dicho servicio. Si utiliza el servicio KDCintegrado, se debe inicializar KDC. Consulte Instalar y configurar VMware Identity Manager paraobtener detalles sobre KDC integrado.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Métodos deautenticación.

2 En la columna para configurar SSO móvil (para iOS), haga clic en el icono.

3 Configure el método de autenticación Kerberos.


Habilitar autenticación de KDC Seleccione esta casilla para permitir que los usuarios inicien sesión condispositivos iOS compatibles con la autenticación de Kerberos.

Territorio Si utiliza el servicio de KDC alojado en la nube, introduzca el nombre de territoriocompatible predefinido que se le suministró. Debe introducir el texto de esteparámetro todo en mayúsculas. Por ejemplo, OP. VMWAREIDENTITY.COM

Si utiliza el KDC integrado, se muestra el nombre de territorio que configurócuando inicializó KDC.

El valor de territorio es de solo lectura. El dominio introducido aquí es el nombrede territorio de Identity Manager de su arrendatario.

Certificados de CA intermedio y raíz Cargue el archivo del certificado del emisor de la autoridad de certificación. Elformato del archivo puede ser PEM o DER.

DN de sujeto del certificado de CAcargado

El contenido del archivo del certificado cargado se muestra aquí. Se puedecargar más de un archivo y cualquier certificado incluido en la lista o agregado aella.

Habilitar OCSP Active la casilla para usar el protocolo de validación de certificados Protocolo deestado de certificados en línea (Online Certificate Status Protocol, OCSP) paraobtener el estado de revocación de un certificado.

Enviar nonce de OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificadorúnico de la solicitud de OCSP.

Certificado de firma de quien respondede OCSP

Cargue el certificado OCSP de quien responde.

Cuando utiliza la autoridad de certificación de AirWatch, el certificado emisor seutiliza como el certificado OCSP. Cargue también aquí el certificado de AirWatch.


VMware, Inc. 34


DN de sujeto del certificado de firmade quien responde de OCSP

El archivo del certificado OCSP cargado se muestra aquí.

Mensaje de cancelación Cree un mensaje personalizado de inicio de sesión que se muestre cuando elproceso de autenticación tarde demasiado. Si no crea un mensaje personalizado,el mensaje predeterminado es Attempting to authenticate yourcredentials.

Habilitar vínculo de cancelación Cuando el proceso de autenticación tarde demasiado, proporcione a los usuariosla opción de hacer clic en Cancelar para detener el intento de autenticación ycancelar el inicio de sesión.

Cuando el vínculo Cancelar está habilitado. Aparece la opción Cancelar al finaldel mensaje de error de autenticación que se muestra.

URL de servidor de administración dedispositivos empresariales

Introduzca la URL de servidor de administración de dispositivos móviles (MDM)para redirigir a los usuarios cuando se haya denegado el acceso debido a que eldispositivo no está inscrito en AirWatch para la administración de MDM. EstaURL se muestra en el mensaje de error de autenticación. Si no introduce unadirección URL aquí, se muestra el mensaje de acceso denegado genérico.



n Asocie el método de autenticación SSO móvil (para iOS) en el proveedor de identidades integrado.

n Configure la regla de la directiva de acceso predeterminada de la autenticación de Kerberos para losdispositivos iOS. Asegúrese de que este método de autenticación es el primer método configuradoen la regla.

n Acceda a la consola de administración de AirWatch, configure el perfil del dispositivo iOS enAirWatch y agregue el certificado emisor del certificado del servidor KDC desdeVMware Identity Manager.

Configurar el proveedor de identidades integrado para laautenticación de iOS con SSO móvilConfigure el proveedor de identidades integrado y asocie el método de autenticación de iOS con SSOmóvil que se haya configurado en Administración de acceso e identidad > Administrar > página Métodosde autenticación.

Prerequisitos

La autenticación con SSO móvil (para iOS) se ha configurado en la página Métodos de autenticación.

Procedimiento



VMware, Inc. 35

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.


Nombre del proveedor de identidades Introduzca el nombre de esta instancia del proveedor de identidades integrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.


Métodos de autenticación Se muestran los métodos de autenticación que están configurados en el servicio.Seleccione la casilla del método de autenticación que se asociará a esteproveedor de identidades integrado. Agregue otros métodos de autenticación.

Para el Cumplimiento normativo del dispositivo (con AirWatch) y la Contraseña(AirWatch Connector), asegúrese de que esta opción está habilitada en la páginade configuración de AirWatch.

3 En la sección Exportación de certificado KDC, haga clic en Descargar certificado. Guarde este

certificado en un archivo al que se pueda acceder desde la consola de administración de AirWatch.

Cargue este certificado cuando configure el perfil del dispositivo iOS en AirWatch.



n Configure la regla de la directiva de acceso predeterminada de la autenticación de Kerberos para losdispositivos iOS. Asegúrese de que este método de autenticación es el primer método configuradoen la regla.

n Acceda a la consola de administración de AirWatch, configure el perfil del dispositivo iOS enAirWatch y agregue el certificado emisor del certificado del servidor KDC desdeVMware Identity Manager.

Configurar el perfil de iOS de Apple en AirWatchmediante la entidad de certificación de Active Directory yla plantilla de certificadoCree e implemente el perfil del dispositivo iOS de Apple en AirWatch para realizar un envío push de laconfiguración del proveedor de identidades al dispositivo. Este perfil contiene la información necesariapara que el dispositivo se conecte al proveedor de identidades de VMware y al certificado que utilizó eldispositivo para autenticarse. Habilite el single sign-on para permitir acceso continuo sin solicitar laautenticación en cada aplicación.

Prerequisitos

n SSO móvil para iOS se configura en VMware Identity Manager.

n El archivo de la entidad de certificación de Kerberos para iOS está guardado en un equipo al que sepuede acceder desde la consola de administración de AirWatch.


VMware, Inc. 36

n La entidad de certificación y la plantilla de certificado deben estar configuradas correctamente enAirWatch.

n Lista de las URL y los ID del paquete de la aplicación que utilizan el método de autenticación SSOmóvil para iOS integrado en dispositivos iOS.

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursos >Perfiles.

2 Seleccione Agregar > Agregar perfil y seleccione Apple iOS.

3 Introduzca el nombre iOSKerberos y establezca la configuración General.

4 En el panel de navegación izquierdo, seleccione Credenciales > Configurar para configurar lacredencial.


Fuente de credenciales Seleccione Autoridad definida de certificación en el menú desplegable.

Entidad de certificación Seleccione la entidad de certificación en la lista del menú desplegable.

Plantilla de certificado Seleccione la plantilla de la solicitud que menciona a la autoridad de certificaciónen el menú desplegable. Esta es la plantilla de certificado creada en la secciónAgregar la plantilla de certificado en AirWatch.

5 Vuelva a hacer clic en + en la esquina inferior derecha de la página y cree una segunda credencial.

6 En el menú desplegable Fuente de credenciales, seleccione Cargar.

7 Introduzca un nombre de credencial.

8 Haga clic en Cargar para cargar el certificado raíz del servidor KDC que se descargó de la páginaAdministración de acceso e identidad > Administrar > Proveedores de identidades > Proveedor deidentidades integrado.

9 En el menú de navegación de la izquierda, seleccione Single Sign-On y haga clic en Configurar.

10 Introduzca la información de la conexión.


Nombre de la cuenta Introduzca Kerberos.

Nombre principal de Kerberos Haga clic en + y seleccione {EnrollmentUser}.

Territorio Introduzca el nombre de territorio de Identity Manager de su arrendatario. El textode este parámetro debe ir en mayúscula. Las opciones de nombres de territorioson VMWAREIDENTITY.COM, VMWAREIDENTITY.EU y VMWAREIDENTITY.ASIA.

Introduzca el nombre de territorio que utilizó cuando inicializó KDC en eldispositivo de VMware Identity Manager. Por ejemplo, EXAMPLE.COM

Certificado de renovación Seleccione la opción del certificado número 1 en el menú desplegable. Este esel certificado CA de Active Directory que se configuró primero con credenciales.


VMware, Inc. 37


Prefijos de URL Introduzca los prefijos de URL que deben coincidir para utilizar esta cuenta parala autenticación de Kerberos a través de HTTP.

Introduzca la URL del servidor de VMware Identity Manager comohttps://myco.example.com.

Introduzca la URL del servidor de VMware Identity Manager comohttps://<tenant>.vmwareidentity.<region>.

Aplicaciones Introduzca la lista de las identidades de la aplicación que tienen permiso parautilizar este inicio de sesión. Para realizar un single sign-on con el navegadorSafari integrado en iOS, introduzca el primer ID del paquete de la aplicacióncomo com.apple.mobilesafari. Siga introduciendo los ID del paquete de laaplicación. Las aplicaciones que aparecen deben ser compatibles con laautenticación SAML

11 Haga clic en Guardar y publicar.


Asigne el perfil del dispositivo a un grupo inteligente. Los grupos inteligentes son grupos personalizablesque determinan las plataformas, los dispositivos y los usuarios que recibirán la aplicación, el libro, ladirectiva de conformidad, el perfil de dispositivo o el aprovisionamiento asignados.

Configurar el perfil de iOS de Apple en AirWatch con laentidad de certificación de AirWatchCree e implemente el perfil del dispositivo iOS de Apple en AirWatch para realizar un envío push de laconfiguración del proveedor de identidades al dispositivo. Este perfil contiene la información necesariapara que el dispositivo se conecte al proveedor de identidades de VMware y el certificado que utiliza eldispositivo para autenticarse.

Prerequisitos

n Kerberos integrado se ha configurado en VMware Identity Manager.

n El archivo de certificado raíz del servidor KDC de VMware Identity Manager se ha guardado en unequipo al que se puede acceder desde la consola de administración de AirWatch.

n El certificado está habilitado y se ha descargado desde la página Sistema > Integración empresarial> VMware Identity Manager de la consola de administración de AirWatch.

n Lista de las URL y los ID del paquete de la aplicación que utilizan la autenticación de Kerberosintegrado en dispositivos iOS.

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursos > Perfil> Agregar perfil y seleccione Apple iOS.

2 Configure la opción General del perfil e introduzca el nombre del dispositivo como iOSKerberos.


VMware, Inc. 38

3 En el panel de navegación izquierdo, seleccione SCEP > Configurar para configurar la credencial.


Fuente de credenciales Seleccione Entidad de certificación de AirWatch en el menú desplegable.

Entidad de certificación Seleccione Entidad de certificación de AirWatch en el menú desplegable.

Plantilla de certificado Seleccione Inicio de sesión único para establecer el tipo de certificado emitidopor la autoridad de certificación de AirWatch.

4 Haga clic en Credenciales > Configurar y cree un segunda credencial.

5 En el menú desplegable Fuente de credenciales, seleccione Cargar.

6 Introduzca el nombre de la credencial de Kerberos para iOS.

7 Haga clic en Cargar para cargar el certificado raíz del servidor KDC de VMware Identity Managerque se descargó de la página Administración de acceso e identidad > Administrar > Proveedores deidentidades > Proveedor de identidades incorporado.

8 En el menú de navegación de la izquierda, seleccione Single Sign-On.

9 Introduzca la información de la conexión.


Nombre de la cuenta Introduzca Kerberos.

Nombre principal de Kerberos Haga clic en + y seleccione {EnrollmentUser}.

Territorio Introduzca el nombre de territorio de Identity Manager de su arrendatario. El textode este parámetro debe ir en mayúscula. Las opciones de nombres de territorioson VMWAREIDENTITY.COM, VMWAREIDENTITY.EU y VMWAREIDENTITY.ASIA.

Introduzca el nombre de territorio que utilizó cuando inicializó KDC en eldispositivo de VMware Identity Manager. Por ejemplo, EXAMPLE.COM.

Certificado de renovación En dispositivos con iOS 8 o versiones posteriores, seleccione el certificado usadopara volver a autenticar al usuario automáticamente sin necesidad de interactuarcon el usuario cuando caduque la sesión Single Sign-On.

Prefijos de URL Introduzca los prefijos de URL que deben coincidir para utilizar esta cuenta parala autenticación de Kerberos a través de HTTP.

Introduzca la URL del servidor de VMware Identity Manager comohttps://myco.example.com.

Introduzca la URL del servidor de VMware Identity Manager comohttps://<tenant>.vmwareidentity.<region>.

Aplicaciones Introduzca la lista de las identidades de la aplicación que tienen permiso parautilizar este inicio de sesión. Para realizar un single sign-on con el navegadorSafari integrado en iOS, introduzca el primer ID del paquete de la aplicacióncomo com.apple.mobilesafari. Siga introduciendo los ID del paquete de laaplicación. Las aplicaciones enumeradas deben ser compatibles con laautenticación SAML.



VMware, Inc. 39

Cuando se realice un envío push correctamente del perfil de iOS a los dispositivos de los usuarios, estospodrán iniciar sesión en VMware Identity Manager con el método de autenticación de Kerberos integradosin introducir sus credenciales.


Asigne el perfil del dispositivo a un grupo inteligente. Los grupos inteligentes son grupos personalizablesque determinan las plataformas, los dispositivos y los usuarios que recibirán la aplicación, el libro, ladirectiva de conformidad, el perfil de dispositivo o el aprovisionamiento asignados.

Asignar un perfil de dispositivo de AirWatchDespués de crear un perfil de dispositivo, asígnelo a un grupo inteligente.

Los grupos inteligentes son grupos personalizables que determinan las plataformas, los dispositivos y losusuarios que recibirán la aplicación, la directiva de conformidad, el perfil de dispositivo o elaprovisionamiento asignados. Consulte a la Guía de administración de dispositivos móviles de AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursosPerfiles.

2 Seleccione el perfil de dispositivo que desee asignar al grupo inteligente.

3 En la pestaña General, haga clic en el cuadro de texto Grupos asignados y seleccione Crear grupode asignación.

4 En la página Crear nuevo grupo inteligente, introduzca el nombre del grupo inteligente.

5 Elija los valores para Plataforma y sistema operativo y seleccione el sistema operativo y la versióncorrectos en los menús desplegables.


Después de asignar un grupo inteligente a la opción del dispositivo, los usuarios podrán iniciar sesión enWorkspace ONE y acceder a aplicaciones desde el catálogo.


VMware, Inc. 40

Implementar la autenticaciónSingle Sign-On móvil endispositivos Androidadministrados por AirWatch 4El SSO móvil para Android es una implementación del método de autenticación mediante certificado paradispositivos gestionados por AirWatch.

La aplicación para dispositivos móviles VMware Tunnel se instala en el dispositivo Android. El clienteVMware Tunnel está configurado para acceder al servicio VMware Identity Manager para laautenticación. El cliente del túnel utiliza el certificado del cliente para establecer una sesión SSLautenticada de forma mutua y el servicio de VMware Identity Manager recupera el certificado de dichocliente para la autenticación.

NOTA: La autenticación SSO móvil para Android es compatible con los dispositivos con Android 4.4 ouna versión posterior.

Single Sign-On móvil sin acceso a la VPNLa autenticación Single Sign-On móvil para dispositivos Android se puede configurar de modo que eviteel servidor de Tunnel cuando no sea necesario acceder a la VPN. La implementación de SSO móvil parala autenticación de Android sin VPN utiliza las mismas páginas de configuración que la configuración deVMware Tunnel. Debido a que no se instala el servidor de Tunnel, no se introducen ni el nombre de hostni el puerto del servidor de VMware Tunnel. Aun así, deberá configurar un perfil con el formulario de perfilde VMware Tunnel, pero el tráfico no se redirigirá al servidor de Tunnel. El cliente de Tunnel solo se usapara el Single-Sign-On.

En la consola de administración de AirWatch puede configurar los siguientes ajustes.

n El componente del túnel por aplicaciones en VMware Tunnel. Esta configuración permite a losdispositivos Android acceder a aplicaciones internas y administradas de forma pública a través delcliente de la aplicación móvil de VMware Tunnel.

n Perfil de Tunnel por aplicaciones. Este perfil se utiliza para habilitar las funciones de los túneles poraplicaciones para Android.

n En la página de reglas de tráfico de red, como no se va a configurar el servidor de Tunnel, seleccioneOmitir para que el tráfico se redirija hacia un servidor de Tunnel.

VMware, Inc. 41

Single-Sign-On móvil con acceso a la VPNCuando la aplicación configurada para Single-Sign-On también se use para acceder a los recursos deintranet tras el firewall, configure el acceso a la VPN y configure el servidor Tunnel. Cuando Single-Sign-On esté configurado con la VPN, el cliente de Tunnel puede enrutar el tráfico de las aplicaciones y lassolicitudes de inicio de sesión a través del servidor de Tunnel. En lugar la configuración predeterminadautilizada para el cliente de Tunnel en la consola en el modo de Single-Sign-On, la configuración debedirigir al servidor de Tunnel.

Para implementar el SSO móvil para la autenticación de Android en dispositivos administrados porAirWatch, es necesario configurar VMware Tunnel en la consola de administración de AirWatch e instalarel servidor de VMware Tunnel antes de configurar el SSO móvil de Android en la consola deadministración de VMware Identity Manager. El servicio de VMware Tunnel proporciona acceso a la VPNpor aplicación a las aplicaciones administradas por AirWatch. VMware Tunnel también proporciona lacapacidad de derivar el tráfico mediante un servidor proxy desde una aplicación móvil aVMware Identity Manager para Single Sign-On.

En la consola de administración de AirWatch puede configurar los siguientes ajustes.

n El componente del túnel por aplicaciones en VMware Tunnel. Esta configuración permite a losdispositivos Android acceder a aplicaciones internas y administradas de forma pública a través delcliente de la aplicación móvil de VMware Tunnel.

Después de configurar los ajustes de VMware Tunnel en la consola de administración, descargue elinstalador de VMware Tunnel y comience la instalación del servidor.

n Perfil VPN de Android. Este perfil se utiliza para habilitar las funciones de los túneles poraplicaciones para Android.

n Habilitar la VPN para cada aplicación que utilice la función del túnel de aplicaciones desde la consolade administración.

n Cree reglas del tráfico de dispositivo con una lista de todas las aplicaciones configuradas para laVPN por aplicación, los detalles del servidor proxy y la URL de VMware Identity Manager.

Para obtener información detallada sobre cómo instalar y configurar VMware Tunnel, consulte la Guía deVMware Tunnel en el sitio web de AirWatch Resources.


n Configurar Single-Sign-On para dispositivos Android desde la consola de administración deAirWatch

n Configurar el acceso a la VPN de VMware Tunnel desde la consola de administración de AirWatch

n Configurar el perfil de túnel por aplicaciones para Android

n Habilitar la VPN por aplicaciones para las aplicaciones Android

n Configurar las reglas del tráfico en AirWatch

n Configurar la autenticación de SSO móvil para Android en el proveedor de identidades integrado


VMware, Inc. 42

Configurar Single-Sign-On para dispositivos Androiddesde la consola de administración de AirWatchSingle-Sign-On para dispositivos Android permite a los usuarios iniciar sesión de forma segura enaplicaciones empresariales sin tener que introducir su contraseña.

Para configurar Single Sign-On para dispositivos Android, no es necesario configurar VMware Tunnel,pero se utilizan muchos de los mismos campos para configurar Single Sign-On.

Prerequisitos

n Android 4.4 o versiones posteriores

n Las aplicaciones deben admitir SAML u otro estándar compatible

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > VMwareTunnel.

2 La primera vez que configure VMware Tunnel, seleccione Configurar y siga las instrucciones delasistente de configuración. De lo contrario, seleccione Reemplazar y marque la casilla HabilitarVMware Tunnel. Luego haga clic en Configurar.

3 En la página Tipo de configuración, habilite Túnel por cada aplicación (solo Linux). Haga clic enSiguiente.

Mantenga el modo de implementación Básico,

4 En la página Detalles, introduzca un valor ficticio en el cuadro de texto, ya que este campo no esnecesario para configurar Single-Sign-On. Haga clic en Siguiente.

5 En la página SSL, configure el certificado SSL de túnel por cada aplicación. Para utilizar un SSLpúblico, seleccione la casilla Utilizar certificado público de SSL. Haga clic en Siguiente.

El certificado raíz del dispositivo en túnel se genera automáticamente.

NOTA: Los certificados SAN no son compatibles. Asegúrese que su certificado se emitió para elnombre de host del servidor correspondiente o es un certificado comodín válido para el dominiocorrespondiente.


VMware, Inc. 43

6 En la página Autenticación, seleccione el tipo de certificado que desea utilizar. Haga clic enSiguiente.


Predeterminado Seleccione Predeterminado para utilizar los certificados emitidos por AirWatch.

CA empresarial Aparece un menú desplegable con la lista de la entidad de certificación y laplantilla del certificado que se configuraron. También puede cargar el certificadoraíz de su CA.

Si selecciona CA empresarial, asegúrese de que la plantilla CA contiene siguiente nombre de asuntoCN=UDID. Puede descargar los certificados CA en la página de configuración de VMware Tunnel.


8 En la página Asociación de perfil, cree un perfil de VPN para VMware Tunnel de Android o asocieuno ya existente.

Debe publicar el perfil aunque lo cree en este paso. Consulte la sección sobre cómo configurar elperfil de Android en AirWatch.

9 Revise el resumen de la configuración y haga clic en Guardar.

Accederá a la página de configuración del sistema.

Configurar el acceso a la VPN de VMware Tunnel desde laconsola de administración de AirWatchPuede habilitar el componente y la funcionalidad de túnel por aplicación en la configuración de VMwareTunnel para los dispositivos Android. El túnel por cada aplicación permite a las aplicaciones internas ygestionadas de forma pública acceder a sus recursos corporativos por rango de aplicaciones.

La VPN se puede conectar automáticamente cuando inicie una aplicación específica.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > VMwareTunnel.

2 La primera vez que configure VMware Tunnel, seleccione Configuración y siga las instrucciones delasistente de configuración. De lo contrario, seleccione Anular y seleccione Habilitar. Luego hagaclic en Configurar.

3 En la página Tipo de configuración, habilite Túnel por cada aplicación (solo Linux). Haga clic enSiguiente.

Mantenga el modo de implementación Básico,

4 En la página Detalles, introduzca el puerto y el nombre del host del servidor de VMware Tunnel en laconfiguración del túnel por cada aplicación. Por ejemplo, introduzca tunnel.example.com. Haga clicen Siguiente.


VMware, Inc. 44

5 En la página SSL, configure el certificado SSL de túnel por cada aplicación. Para utilizar un SSLpúblico, seleccione la casilla Utilizar certificado público de SSL. Haga clic en Siguiente.

El certificado raíz del dispositivo en túnel se genera automáticamente.

NOTA: Los certificados SAN no son compatibles. Asegúrese que su certificado se emitió para elnombre de host del servidor correspondiente o es un certificado comodín válido para el dominiocorrespondiente.

6 En la página Autenticación, seleccione el tipo de certificado que desea utilizar. Haga clic enSiguiente.


Predeterminado Seleccione Predeterminado para utilizar los certificados emitidos por AirWatch.

CA empresarial Aparece un menú desplegable con la lista de la entidad de certificación y laplantilla del certificado que se configuraron. También puede cargar el certificadoraíz de su CA.

Si selecciona CA empresarial, asegúrese de que la plantilla CA contenga el nombre de asuntoCN=<udid>:<string>. Puede descargar los certificados CA en la página de configuración de VMwareTunnel.

Si la comprobación de cumplimiento de dispositivo está configurada para Android, asegúrese de quela plantilla de CA contenga el nombre de asunto CN={DeviceUid} o establezca un tipo de SAN paraincluir el UDID. Seleccione el tipo de SAN Nombre de DNS. El valor debe ser UDID={DeviceUid}.


8 En la página Asociación de perfil, cree un perfil de VPN para VMware Tunnel de Android o asocieuno ya existente.

Debe publicar el perfil aunque lo cree en este paso. Consulte la sección sobre cómo configurar elperfil de Android en AirWatch.

9 De forma opcional, en la página Variado, habilite los registros de acceso para los componentes deltúnel por aplicaciones. Haga clic en Siguiente.

Debe habilitar estos registros antes de instalar el servidor VMware Tunnel.

10 Revise el resumen de la configuración y haga clic en Guardar.

Accederá a la página de configuración del sistema.

11 Seleccione la pestaña General y descargue el dispositivo virtual de Tunnel.

Puede implementar el servidor de Tunnel con VMware Unified Access Gateway.


Instale el servidor de VMware Tunnel. Para obtener más instrucciones, consulte la Guía de VMwareTunnel en el sitio web de recursos de AirWatch.


VMware, Inc. 45

Configurar el perfil de túnel por aplicaciones paraAndroidDespués de configurar e instalar el componente del túnel por aplicaciones de VMware Tunnel, puedeconfigurar el perfil VPN de Android y agregar una versión al perfil.

Procedimiento

1 En la consola de administrador de AirWatch, diríjase a Dispositivos > Perfiles > Agregar perfil yseleccione Android o Android for Work.

2 Consulte que la Configuración general de Android esté preparada.

3 En la columna de la izquierda, seleccione VPN y haga clic en Configurar.

4 Complete la información de conexión de la VPN.


Tipo de conexión Seleccione VMware Tunnel.

Nombre de la conexión Introduzca un nombre para esta conexión. Por ejemplo,Configuración AndroidSSO.

Servidor La URL del servidor de VMware Tunnel se introduce automáticamente.

Reglas de VPN por aplicación Seleccione la casilla Reglas de VPN por aplicación.

5 Haga clic en Agregar versión.



Habilite la VPN por aplicaciones para las aplicaciones Android a las que se acceden con el SSO móvilpara Android. Consulte Habilitar la VPN por aplicaciones para las aplicaciones Android.

Asigne el perfil del dispositivo a un grupo inteligente. Los grupos inteligentes son grupos personalizablesque determinan las plataformas, los dispositivos y los usuarios que recibirán la aplicación, el libro, ladirectiva de conformidad, el perfil de dispositivo o el aprovisionamiento asignados. Consulte Asignar unperfil de dispositivo de AirWatch.

Habilitar la VPN por aplicaciones para las aplicacionesAndroidLa configuración del perfil de la VPN por aplicaciones se habilita para las aplicaciones Android a las quese acceden con el SSO móvil para Android de VMware Identity Manager.

Prerequisitos

n Configurar VMware Tunnel con el componente del túnel por aplicaciones instalado.

n Tener creado un perfil VPN de Android.


VMware, Inc. 46

Procedimiento

1 En la consola de administración de AirWatch, diríjase a Aplicaciones y libros > Aplicaciones >Vista en lista.

2 Seleccione la pestaña Interna.

3 Seleccione Agregar aplicación y agregue una aplicación.

4 Haga clic en Guardar y asignar.

5 En la página Asignación, seleccione Agregar asignación y en la sección Avanzado Perfil de VPNpor aplicación seleccione en el menú desplegable el perfil VPN de Android que creó.


Habilite la VPN por aplicaciones para todas las aplicaciones Android a las que se acceden con elSSO móvil para Android. Para obtener más información sobre cómo agregar y editar aplicaciones,consulte la Guía de administración de aplicaciones móviles de VMware AirWatch en el sitio web derecursos de AirWatch.


Cree las reglas de tráfico de red. Consulte Configurar las reglas del tráfico en AirWatch.

Configurar las reglas del tráfico en AirWatchConfigure las reglas del tráfico de red de tal forma que el cliente de VMware Tunnel enrute el tráfico alproxy HTTPS para los dispositivos Android. Incluya una lista de las aplicaciones para Android que esténconfiguradas con la opción VPN por aplicación en las reglas de tráfico y configure la dirección delservidor proxy y el nombre de host de destino.

Configure las reglas de tráfico del dispositivo para controlar cómo gestionan los dispositivos el tráfico delas aplicaciones especificadas. Las reglas de tráfico del dispositivo fuerzan la aplicación VMware Tunnelpara que envíe tráfico a través del túnel, bloquee todo el tráfico en los dominios especificados, omita lared interna para conectarse directamente a Internet o envíe tráfico a un sitio del proxy HTTPS.

Para obtener más información sobre cómo crear reglas de tráfico de red, consulte la guía de VMwareTunnel en el sitio web de AirWatch Resources.

Prerequisitos

n La opción VMware Tunnel configurada con el componente del túnel por aplicaciones instalado.

n Tener creado un perfil VPN de Android.

n Habilitar la VPN por aplicaciones para cada aplicación Android que se agrega a las reglas del tráficode red.

Procedimiento

1 En la consola de administración de AirWatch, diríjase a Sistema > Integración empresarial >VMware Tunnel > Reglas de acceso a la red.


VMware, Inc. 47

2 En la pestaña Reglas de tráfico del dispositivo, configure las opciones de reglas de tráfico deldispositivo como se describe en la Guía de VMware Tunnel. Solo en la configuración del SSO móvilpara Android, configure las siguientes opciones.

a Seleccione la acción predeterminada.


Túnel Para la configuración de VPN con single sign-on en Android, seleccione Túnel como la acciónpredeterminada. Todas las aplicaciones del dispositivo que estén configuradas con la opción VPN poraplicación envían el tráfico de red a través del túnel.

Omitir Para realizar el single sign-on en Android, seleccione Omitir como la acción predeterminada.

IMPORTANTE: Con Omitir como la acción predeterminada, todas las aplicaciones configuradas con laopción VPN por aplicación en el dispositivo omiten el túnel y se conectan directamente a Internet. Con estaimplementación, no se envía tráfico al servidor de Tunnel cuando su cliente se utiliza solo para el singlesign-on.

Para realizar el single sign-on en Android con el uso de VPN, seleccione Omitir como la acciónpredeterminada.

IMPORTANTE: Con Omitir como la acción predeterminada, todas las aplicaciones configuradascon la opción VPN por aplicación en el dispositivo omiten el túnel y se conectan directamente aInternet. Con esta implementación, no se envía tráfico al servidor de Tunnel cuando su cliente seutiliza solo para el single sign-on.

b En la columna Aplicación, agregue las aplicaciones Android que están configuradas con el perfilVPN por aplicación.

c Para los arrendatarios alojados en la nube, seleccione Proxy en la columna Acción y especifiquela información del proxy HTTPS. Introduzca certproxy.vmwareidentity.com:5262.

En la columna Nombre de host de destino, introduzca el nombre de host de destino deVMware Identity Manager. Introduzca <tenant>.vmwareidentitymanager.<region>. Lasopciones de direcciones son vmwareidentity.com, vmwareidentity.eu o vmwareidentity.asia. Elcliente VMware Tunnel enruta el tráfico al proxy HTTPS desde el nombre de host de VMwareIdentity Manager.

d Si es local, seleccione Proxy en la columna Acción y especifique la información sobre el proxyHTTPS. Introduzca el puerto y el nombre de host de VMware Identity Manager. Por ejemplo,login.example.com:5262.

NOTA: Para las implementaciones locales, si proporciona acceso externo al host de VMwareIdentity Manager, el puerto 5262 del firewall debe estar abierto o el tráfico del puerto 5262 debeser redirigido a través del proxy inverso en el DMZ.

En la columna Nombre de host de destino, introduzca el nombre de host de destino deVMware Identity Manager. Por ejemplo, myco.example.com. El cliente VMware Tunnel enruta eltráfico al proxy HTTPS desde el nombre de host de VMware Identity Manager.


VMware, Inc. 48



Publique estas reglas. Después de que se publiquen estas reglas, el dispositivo recibe un perfil VPN deactualización y la aplicación VMware Tunnel se configura para habilitar el SSO.

Diríjase a la consola de administración de VMware Identity Manager y configure el SSO móvil paraAndroid en la página del proveedor de identidades integrado.

Configurar la autenticación de SSO móvil para Android enel proveedor de identidades integradoPara proporcionar un inicio de sesión único en los dispositivos Android administrados con AirWatch, debeconfigurar el SSO de dispositivos móviles para la autenticación de Android en el proveedor deidentidades integrado de VMware Identity Manager.

Prerequisitos

n Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificadospresentados por sus usuarios.

n (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para laautenticación de certificado.

n Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidorOCSP.

n (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Haga clic en el proveedor de identidades etiquetado como Integrado.


VMware, Inc. 49

3 Compruebe que la configuración de los usuarios y las redes en el proveedor de identidadesintegrado sea correcta.

Si no es así, modifique las secciones de los usuarios y las redes según sea necesario.

NOTA: El rango de red utilizado en la regla de directiva del SSO móvil para Android debe estarformado solo por las direcciones IP usadas para recibir respuestas del servidor proxy de VMwareTunnel.

4 En la sección Métodos de autenticación, haga clic en el icono de la rueda dentada SSO móvil (paraAndroid).

5 En la página ertProxyAuthAdapter, configure el método de autenticación.


Habilitar adaptador de certificado Seleccione esta casilla para habilitar el SSO móvil para Android.

Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados. El formato delarchivo puede ser PEM o DER.

DN de sujeto del certificado de CAcargado

El contenido del archivo del certificado cargado se muestra aquí.

Usar correo electrónico si no hay UPNen el certificado

Si el nombre principal de usuario (UPN) no existe en el certificado, active estacasilla para usar el atributo emailAddress como extensión de nombre alternativodel firmante para validar las cuentas de usuario.

Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensionesde las políticas de certificados. Escriba el número de ID de objeto (OID) para lapolítica de emisión de certificados. Haga clic en Añadir otro valor para añadirmás OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados.Esto impide la autenticación de los usuarios con certificados de usuariorevocados.

Usar CRL de certificados Active esta casilla para usar la lista de revocación de certificados (CRL)publicada por la CA que emitió los certificados para validar el estado de uncertificado, es decir, si está revocado o no.

Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

Habilitar revocación con OCSP Active esta casilla para usar el protocolo de validación de certificados Protocolode estado de certificados en línea (Online Certificate Status Protocol, OCSP)para obtener el estado de revocación de un certificado.

Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir denuevo a la CRL si la comprobación con OCSP no está disponible.

Enviar nonce de OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificadorúnico de la solicitud de OCSP.

URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP parala comprobación de la revocación.

Certificado de firma de quien respondede OCSP

Escriba la ruta del certificado OCSP para el quien responde. Introdúzcalacomo /path/to/file.cer


VMware, Inc. 50


Habilitar vínculo de cancelación Cuando la autenticación esté tardando mucho tiempo y si este vínculo estáhabilitado, los usuarios pueden hacer clic en Cancelar para detener el intento deautenticación y cancelar el inicio de sesión.

Mensaje de cancelación Cree un mensaje personalizado que se muestre cuando el proceso deautenticación tarde demasiado. Si no crea un mensaje personalizado, el mensajepredeterminado es Attempting to authenticate your credentials.


7 Haga clic en Guardar en la página del proveedor de identidades integrado.


Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android.


VMware, Inc. 51

Inscripción directa en AirWatchmediante Workspace ONE 5La inscripción directa mediante Workspace ONE requiere que los usuarios inscriban sus dispositivospara acceder a los recursos de la aplicación Workspace ONE.

Cuando la inscripción directa se realiza mediante la aplicación Workspace ONE, se puede dirigir a todoslos usuarios a la tienda de aplicaciones correspondiente para que descarguen Workspace ONE,introduzcan su dirección de correo electrónico y sigan las indicaciones para comenzar a utilizarWorkspace ONE en sus dispositivos.

Dispositivos compatiblesn Apple iOS 9.0 y posterior

n Android Enterprise (anteriormente conocido como Android for Work) 4.1 y posterior

n Android Legacy 4.1 y posterior

Un dispositivo Android Legacy es un dispositivo Android que no admite Android Enterprise, o undispositivo que admite Android Enterprise que se conecta a una instancia de AirWatch que no admiteAndroid Enterprise.


n Activación de Workspace ONE para inscripción directa

n Experiencia del usuario al inscribirse directamente en AirWatch con Workspace ONE

Activación de Workspace ONE para inscripción directaLa inscripción de dispositivos directa mediante Workspace ONE se habilita desde la página Inscripción >Restricciones de la consola de administración de AirWatch del grupo de organización (OG).

Cuando se habilita Workspace ONE para inscripción directa, los dispositivos que cumplan los requisitos einicien sesión por primera vez se inscribirán directamente. Los dispositivos que no cumplan los requisitospara la inscripción directa tendrán acceso de solo administración a las aplicaciones móviles con unestado registrado de Workspace ONE.

Procedimiento

1 En la consola de administración de AirWatch, seleccione el grupo de organización en el que deseehabilitar la inscripción directa para Workspace ONE.

VMware, Inc. 52

2 Vaya hasta Grupos y configuración > Todos los ajustes > Dispositivos y usuarios > General >Inscripción y seleccione la pestaña Restricciones.

3 Para ver la configuración actual, seleccione Anular si fuera necesario.

4 Desplácese hacia abajo hasta los requisitos de administración de Workspace ONE y seleccione lasopciones de configuración.

Configuración Descripción

Requerir MDM paraWorkspace ONE

Cuando se habilita esta opción, los usuarios y los dispositivos que cumplen los requisitosdeberán inscribirse inmediatamente al iniciar sesión en Workspace ONE.

Grupo de usuariosasignado

Todos los usuarios es el grupo de usuarios predeterminado. Puede seleccionar un grupo deusuarios específico para incluirlo en el proceso de inscripción directa.

iOS Habilite esta opción para incluir los dispositivos iOS. Los dispositivos iOS no podráninscribirse directamente si esta opción está deshabilitada. Si está deshabilitada, losdispositivos se podrán registrar en AirWatch con un estado sin administrar.

Android Legacy Habilite esta opción para incluir dispositivos Android Legacy. Los dispositivos AndroidLegacy no podrán inscribirse directamente si esta opción está deshabilitada. Si estádeshabilitada, los dispositivos se podrán registrar en AirWatch con un estado sin administrar.

Android Enterprise Habilite esta opción para incluir dispositivos Android Enterprise. Los dispositivos AndroidEnterprise no podrán inscribirse directamente si esta opción está deshabilitada. Si estádeshabilitada, los dispositivos se podrán registrar en AirWatch con un estado sin administrar.


6 Siga configurando las pestañas de inscripción con las opciones de inscripción compatibles conWorkspace ONE. Consulte Opciones de configuración de inscripción directa de Workspace ONE.

Para obtener más información sobre cómo configurar la inscripción directa para Workspace ONE,consulte el capítulo Inscripción de dispositivos de la Guía de VMware AirWatch Mobile DeviceManagement.

Opciones de configuración de inscripción directa deWorkspace ONEConfigure la inscripción directa mediante Workspace ONE en la consola administrativa de AirWatch.Vaya a Grupos y configuración > Todos los ajustes > Dispositivo y usuarios > General >Inscripción. En la tabla de opciones de inscripción de dispositivos de Workspace ONE se enumeran loselementos de menú que se pueden configurar.

La página de configuración de inscripción permite configurar opciones relacionadas con la inscripción dedispositivos y usuarios. La página se divide en las pestañas que se describen a continuación. Paraobtener información detallada sobre la configuración de la inscripción de dispositivos, consulte a la Guíade VMware AirWatch Mobile Device Management.


VMware, Inc. 53

https://resources.air-watch.com/view/chy4qmz7s82wp39823wb

https://resources.air-watch.com/view/chy4qmz7s82wp39823wb

Figura 5‑1. Página de inscripción de la consola de AirWatch

Tabla 5‑1. Elementos de menú configurables de la inscripción directa de Workspace ONE

Pestaña de inscripciónElementos de menú configurables de la inscripción directa enWorkspace ONE

Autenticación Se admiten usuarios del directorio.

Además, se admiten usuarios SAML con Active Directory sobre la marcha.Se admiten usuarios SAML sin LDAP cuando existe un registro de usuarioen AirWatch al iniciar sesión por primera vez.

Para el modo de inscripción de dispositivos, solo se admite la inscripciónabierta. Solo los dispositivos registrados no es compatible.

Términos de uso Se pueden redactar Términos de uso para que los usuarios los aceptenantes de continuar con el proceso de inscripción directa.

Agrupar Todas las opciones de menú de agrupación son compatibles con lainscripción directa de Workspace ONE.

Sincronizar grupos de usuarios en tiempo real para Workspace ONEestá habilitado de forma predeterminada. Cuando se inscribe un dispositivo,AirWatch realiza una llamada en tiempo real a Active Directory parasincronizar los grupos de usuario del usuario. Si el usuario no existe enAirWatch, la consola de AirWatch primero sincroniza el usuario yposteriormente sincroniza los grupos de usuarios en tiempo real. Si estafunción no está habilitada, la consola de AirWatch no sincroniza los gruposde usuarios.

NOTA: Esta función hace un uso intensivo de CPU. Si los grupos deusuarios no cambian con frecuencia o los grupos de usuarios ya existen enAirWatch, deshabilite esta configuración para mejorar el rendimiento y evitarproblemas de latencia cuando se inicia la aplicación Workspace ONE.

Consulte Colocación de dispositivos en la sección Grupo de organizacióncorrecto en Estrategias de implementación para configurar varios grupos deorganización de AirWatch.

Restricciones n En Control de acceso de usuarios, seleccione Restringir la inscripcióna los usuarios conocidos y Restringir la inscripción a los gruposconfigurados.

n Se admiten límites para la cantidad máxima de dispositivos.n La Configuración de políticas se admite de forma parcial.

n Tipos de propiedad admitidos. Workspace ONE solo solicitaPropiedad del usuario y Empresarial: dedicado.

NOTA: No se admite el tipo de inscripción de admisión decontenedores.


VMware, Inc. 54

Tabla 5‑1. Elementos de menú configurables de la inscripción directa de Workspace ONE(Continua)

Pestaña de inscripciónElementos de menú configurables de la inscripción directa enWorkspace ONE

Indicaciones opcionales Las dos indicaciones opcionales que se pueden habilitar son Solicitar eltipo de propiedad y Solicitar la activación del número del activo deldispositivo. La solicitud para introducir el número del activo solo aparececuando el tipo de propiedad es Propiedad de la empresa.

Personalización Opciones de menú de personalización admitidas.n URL de destino posterior a la inscripción (solo iOS)n Mensaje del perfil de MDM (solo iOS)n Uso de aplicaciones de MDM personalizadas

Puede habilitar el uso de plantillas de mensaje específicas para cadaplataforma, pero las plantillas de mensaje específicas de Workspace ONEno están disponibles para Workspace ONE 3.2.

Experiencia del usuario al inscribirse directamente enAirWatch con Workspace ONECuando se implementa la administración de dispositivos móviles a través de Workspace ONE, losusuarios descargan la aplicación Workspace ONE, se autentican con AirWatch e inscriben su dispositivo.Después de inscribir el dispositivo, los usuarios pueden utilizar Workspace ONE para agregar y utilizarrecursos autorizados de forma inmediata.

El proceso que experimentan los usuarios al utilizar Workspace ONE para inscribir sus dispositivos essimilar para los dispositivos iOS y Android Enterprise. La inscripción de dispositivos Android Legacy seredirige a AirWatch Agent. AirWatch Agent devuelve el control automáticamente a Workspace ONEcuando se completa la inscripción. Los usuarios pueden acceder a Workspace ONE en cada una deestas variantes.

Inscripción directa mediante Workspace ONE en dispositivos iOSDirija a los usuarios para descargar, instalar y ejecutar la aplicación Workspace ONE desde Apple AppStore.

Procedimiento

1 Los usuarios abren la aplicación, introducen la URL del servidor y la dirección de correo electrónico yse autentican según la configuración de su entorno.


VMware, Inc. 55

2 Aparece la pantalla Su empresa requiere configuración adicional.

Figura 5‑2. Notificación de la configuración de inscripción de dispositivos

3 Si se configuran los Términos de uso, los usuarios deberán aceptar los términos de uso para podercontinuar.

4 Si configura indicaciones opcionales para que muestren el tipo de propiedad del dispositivo ysoliciten el número del activo del dispositivo, se mostrará esta información.

Figura 5‑3. Selección de propiedad del dispositivo


VMware, Inc. 56

5 Se abre Safari y los usuarios hacen clic en Permitir para abrir la página de configuración.

Figura 5‑4. Admisión de los ajustes del perfil de configuración

Los servicios de Workspace y el perfil de configuración se configuran en el dispositivo.

El dispositivo se ha inscrito en AirWatch y se inicia Workspace ONE. Se muestra la pantalla derecomendaciones.

Figura 5‑5. Pantalla de aplicaciones recomendadas

6 Los usuarios pueden seleccionar las aplicaciones que desean instalar, u omiten este paso por elmomento.


VMware, Inc. 57

AirWatch MDM administra el dispositivo ahora. Si se han seleccionado las aplicaciones recomendadasque se van a instalar, los usuarios recibirán notificaciones push para dichas aplicaciones.

Inscripción directa mediante Workspace ONE en dispositivosAndroid EnterpriseDirija a los usuarios para descargar, instalar y ejecutar la aplicación Workspace ONE desde la tienda deaplicaciones de Google o el repositorio.

Procedimiento

1 Los usuarios introducen la URL del servidor y la dirección de correo electrónico y se autenticansegún la configuración de su entorno.

2 Aparece la pantalla Su empresa requiere configuración adicional. El usuario hace clic enContinuar.

Figura 5‑6. Notificación de la configuración de inscripción de dispositivos

3 Si se configuran los Términos de uso, los usuarios deberán aceptar los términos de uso para podercontinuar.

4 Si configura indicaciones opcionales para que muestren el tipo de propiedad del dispositivo ysoliciten el número del activo del dispositivo, se mostrará esta información.


VMware, Inc. 58

5 Los servicios de Workspace y el perfil de trabajo se configuran en el dispositivo.

Figura 5‑7. Configuración de las notificaciones del perfil de trabajo

Los usuarios ven un mensaje que describe el control de administración de dispositivos con este perfilde trabajo y hacen clic en Aceptar.

La aplicación Workspace ONE está instalada y la cuenta de Android Work se ha registrado.

6 El dispositivo se ha inscrito en AirWatch y se inicia Workspace ONE. Se muestra la pantalla derecomendaciones.



AirWatch MDM administra el dispositivo ahora. Si se han seleccionado las aplicaciones recomendadasque se van a instalar, la instalación de dichas aplicaciones comienza con un icono de insignia de maletínde Android Enterprise.


VMware, Inc. 59

Inscripción de dispositivos para dispositivos con Android LegacyLa inscripción de dispositivos Android Legacy se redirige a AirWatch Agent. AirWatch Agent devuelve elcontrol automáticamente a Workspace ONE cuando se completa la inscripción.

Dirija a los usuarios a la tienda de aplicaciones para descargar Workspace ONE.

Procedimiento

1 Los usuarios abren la aplicación, introducen la URL del servidor o el correo electrónico yproporcionan su nombre de usuario y su contraseña para iniciar sesión.

En este punto, la aplicación Workspace ONE puede detectar que el dispositivo no admite AndroidEnterprise, y si este requiere inscripción directa antes de acceder a los recursos de Workspace ONE.

2 La configuración adicional es requerida por aparecer la pantalla de su empresa, y los usuarioshacen clic en Continuar para dirigirse a la aplicación AirWatch Agent en la tienda Google Play.

Figura 5‑9. Solicitud de descarga de la aplicación AirWatch Agent


VMware, Inc. 60

3 Los usuarios descargan la aplicación AirWatch Agent.

NOTA: Si la aplicación AirWatch Agent ya está instalada en el dispositivo, Workspace ONE iniciaráautomáticamente la aplicación. No se redirigirá a los usuarios a la tienda de aplicaciones.

La información de autenticación proporcionada para Workspace ONE se transmite a la aplicaciónAirWatch Agent para que los usuarios no tengan que volver a introducirla.

Se inicia la aplicación AirWatch Agent. Durante la inscripción de dispositivos con AirWatch Agent, losusuarios seleccionan el tipo de propiedad y especifican el número del activo del dispositivo si se haconfigurado.

4 Cuando aparece Permitir que el agente realice y administre llamadas de teléfono, los usuarioshacen clic en Permitir.

AirWatch Agent validará la inscripción, autenticará al usuario y otorgará permisos a AirWatch en eldispositivo.

5 Cuando aparece la pantalla ¿Activar aplicación de administración de dispositivos?, los usuarioshacen clic en Activar esta aplicación de administración de dispositivos.

Figura 5‑10. Activación de la aplicación de administración de dispositivos

6 Los usuarios deben conceder permiso para acceder a diversas capacidades del dispositivo.

El dispositivo se ha inscrito en AirWatch y se inicia Workspace ONE. Se muestra la pantalla deaplicaciones recomendadas.


VMware, Inc. 61



AirWatch MDM administra el dispositivo ahora. Si se han seleccionado las aplicaciones recomendadasque se van a instalar, los usuarios empezarán a recibir notificaciones para dichas aplicaciones.


VMware, Inc. 62

Aprovechamiento deWorkspace ONE para admitir laintegración del programa deinscripción de dispositivos deApple 6El programa de inscripción de dispositivos (DEP) de Apple no es compatible con los escenarios en losque un cliente utiliza SAML para la autenticación de usuario. Sin embargo, Workspace ONE haimplementado una manera única para admitir este caso de uso.

Mediante la inscripción preparada de AirWatch, los administradores pueden asignar el dispositivo a unusuario de inscripción preparada de varios dispositivos y permitir que Workspace ONE reasigne eldispositivo al usuario apropiado al iniciar sesión en la aplicación Workspace ONE.

La aplicación Workspace ONE debe instalarse en el dispositivo como parte de la inscripción de usuariopreparada. Cuando los usuarios inician sesión en Workspace ONE por primera vez, Workspace ONEautentica al usuario mediante el proveedor SAML configurado. Después de autenticar al usuario, secambia la propiedad del dispositivo de usuario de inscripción preparada de varios dispositivos a usuariode directorio autenticado.

Requisitos previosEl usuario de directorio debe existir en AirWatch cuando este inicia sesión en la aplicación WorkspaceONE. Puede cargar previamente los usuarios mediante una carga masiva con CSV, o aplicar la siguienteAPI para generar los usuarios según sea necesario.

NOTA: El valor del tipo de seguridad debe ser igual que el de directorio.

https://<API_SERVER_ADDRESS>/api/help/#!/apis/10006?!/User/User_AddUser

Flujo de la compatibilidad de Workspace ONE con laintegración del DEPEstas tareas se deben completar para implementar la compatibilidad con el programa de inscripción dedispositivos de Apple mediante Workspace ONE.

n Instale la aplicación Workspace ONE en los dispositivos iOS.

n Asegúrese de que existe un usuario de inscripción preparada con la siguiente configuración deinscripción preparada.

a Vaya a Cuentas > Usuarios > Vista de lista, y seleccione la cuenta de usuario para la quedesee habilitar la inscripción preparada a fin de editarla.

VMware, Inc. 63

b En la página Agregar/editar usuario, seleccione la pestaña Opciones avanzadas. Desplácesehacia abajo hasta la sección Inscripción preparada y habilite las opciones Inscripciónpreparada y Dispositivos de varios usuarios.

Figura 6‑1. Opción Dispositivos de varios usuarios en AirWatch

n Asigne el dispositivo al usuario de inscripción preparada en el portal del DEP de Apple y entregue eldispositivo al usuario final.

Para obtener más información sobre el programa de inscripción de dispositivos de Apple, consulte la Guía de VMware AirWatch para el programa de inscripción de dispositivos de Apple.

Funcionamiento de la integraciónCuando el usuario enciende en el dispositivo por primera vez, este se inscribe y se asigna al usuario deinscripción preparada de varios dispositivos. El usuario inicia la aplicación Workspace ONE que estádisponible en la pantalla de inicio e inicia sesión. Workspace ONE autentica al usuario mediante delproveedor SAML configurado.

Después de autenticar al usuario, se cambia la propiedad del dispositivo de usuario de inscripciónpreparada de varios dispositivos a usuario de directorio autenticado. Las aplicaciones, los perfiles y losrecursos asignados al usuario autenticado se insertan en el dispositivo.


VMware, Inc. 64

https://resources.air-watch.com/view/xtg6zrvtz687jczhv2js/en

Habilitar la experiencia defábrica de Workspace ONE endispositivos Dell Windows 10 7Cuando los usuarios reciben un nuevo dispositivo Dell® Windows 10 con el aprovisionamiento deexperiencia de fábrica (OOBE) habilitado en el Servicio de Aprovisionamiento de AirWatch Windows 10,la aplicación Workspace ONE puede configurarse para abrirse de forma automática y distribuiraplicaciones al dispositivo.

Para proporcionar esta OOBE con la aplicación Workspace ONE, debe habilitar el método deautenticación de token de acceso externo como parte de la integración de AirWatch. Luego se habilita elmétodo de autenticación en el proveedor integrado, y usted crea una regla de directiva de acceso parautilizar el método de autenticación de token de acceso externo.

La OOBE de Workspace ONE ejecuta la aplicación Workspace ONE sin necesidad de que los usuariosintroduzcan sus credenciales de inicio de sesión una segunda vez. Si este método de autenticación noestá habilitado, los usuarios deben iniciar sesión en Workspace ONE además de iniciar sesión en eldispositivo durante el proceso de registro de Windows.

NOTA: Otros servicios que deben estar configurados para la OOBE en dispositivos Dell Windows 10incluyen el servicio de aprovisionamiento de AirWatch para Windows 10 y la federación con ActiveDirectory de Microsoft Azure. Consulte la Guía de la plataforma de escritorio de Windows de AirWatch eintroducción a la inscripción en escritorios de Windows y el servicio de aprovisionamiento de Windows 10para obtener detalles sobre la configuración de los servicios de aprovisionamiento.


n Habilitar el token de acceso externo de AirWatch

n Activar el token de acceso externo como método de autenticación

n Asocie el método de autenticación de token de acceso externo al proveedor de identidad integrado

n Crear la directiva de acceso para el proceso de experiencia de fábrica de Workspace ONE

n Personalización de marca de fábrica de Workspace ONE para Windows 10

Habilitar el token de acceso externo de AirWatchPara habilitar la experiencia de fábrica de Workspace ONE en dispositivos Windows 10 de Dell, primerodebe habilitar el método de autenticación de token de acceso externo en la página de configuración deAirWatch.

VMware, Inc. 65

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > AirWatch.

2 En la sección Autenticación de token de acceso externo mediante AirWatch, seleccione Habilitar.



Active el token de acceso externo como método de autenticación.

Activar el token de acceso externo como método deautenticaciónEn VMware Identity Manager, el método de autenticación de token de acceso externo es único para laintegración de AirWatch y es obligatorio para el inicio de sesión único (SSO) y para la activación de laexperiencia de fábrica (OOBE) en Workspace ONE en dispositivos Windows 10.

Prerequisitos

Cuando se utiliza la autenticación de token de acceso externo de AirWatch, el componente AirWatchCloud Connector de VMware Enterprise Systems Connector debe estar implementado y configurado.

n Autenticación de token de acceso externo habilitada en la página de AirWatch en la pestañaAdministración de acceso e identidad.

n Servicio de Microsoft Azure Active Directory configurado.

n Servicio de aprovisionamiento de AirWatch para dispositivos Windows 10 configurado.

La configuración del token de acceso externo es de solo lectura y se basa en la configuración deAirWatch en VMware Identity Manager. La excepción es el campo de duración del token.

Procedimiento

1 Para revisar y administrar la configuración, en la pestaña Administración de acceso e identidad,seleccione Métodos de autenticación.

2 En la columna Token de acceso externo de AirWatch Configurar, haga clic en el icono del lápiz.

3 Revise la configuración.


Habilitar token de acceso externo deAirWatch

Esta casilla de verificación se habilita en la página de AirWatch.

URL de la consola de administraciónde AirWatch

Se rellena automáticamente con la dirección URL de AirWatch.

Clave de API de AirWatch Se rellena automáticamente con la clave de API de administrador de AirWatch.

Certificado utilizado para laautenticación

Se rellena automáticamente con el certificado de AirWatch Cloud Connector.


VMware, Inc. 66


Contraseña del certificado Se rellena automáticamente con la contraseña del certificado de AirWatch CloudConnector.

Tiempo de vida del token de accesoexterno de AirWatch en segundos

El token de acceso se utiliza para validar la autenticación con VMware IdentityManager. Los tokens de acceso tienen una duración limitada. El tiempoconfigurado es el tiempo máximo durante el cual el token de acceso es válido. Laduración del token puede editarse y su valor predeterminado es 600 segundos,que equivale a 10 minutos.

Si caduca el token de acceso, se solicita a los usuarios que se autentiquen denuevo en la aplicación Workspace ONE.



Asocie el método de autenticación de token de acceso externo de AirWatch en el proveedor de identidadintegrado. Consulte Configurar el proveedor de identidades integrado

Después de que el token de acceso externo de AirWatch se asocie con el proveedor de identidadintegrado, cree una regla de directiva de acceso para utilizar este método de autenticación. Consulte Crear la directiva de acceso para el proceso de experiencia de fábrica de Workspace ONE.

Asocie el método de autenticación de token de accesoexterno al proveedor de identidad integradoCuando el token de acceso externo está configurado como un método de autenticación, el método deautenticación está disponible en el proveedor de identidad integrado. Debe asociar este método deautenticación con un directorio de usuarios en el proveedor de identidad integrado.

Prerequisitos

Token de acceso externo habilitado en la página de configuración de AirWatch.

Token de acceso externo activado como un método de autenticación.

Procedimiento



VMware, Inc. 67

2 Haga clic en Integrado desde la vista de lista.


Usuarios Los directorios configurados aparecen en la lista. Seleccione los directorios delos usuarios para utilizar el método de autenticación de token de acceso externo.


Métodos de autenticación Se muestran los métodos de autenticación que están configurados en el servicio.Active la casilla de verificación Token de acceso externo de AirWatch.



Configure la regla de directiva de acceso predeterminada para ver una lista del método de autenticaciónde token de acceso externo como el último método de reserva en la regla. Consulte Crear la directiva deacceso para el proceso de experiencia de fábrica de Workspace ONE.

Vaya a la página Configuración del catálogo para crear un mensaje y una página de bienvenida de marcapersonalizada para los usuarios que inicien sesión en Workspace ONE como parte de la experienciadirecta de fábrica de Windows 10. Consulte Personalización de marca de fábrica de Workspace ONEpara Windows 10.

Crear la directiva de acceso para el proceso deexperiencia de fábrica de Workspace ONEPara establecer la experiencia de fábrica de Workspace ONE (OOBE) después de que el token deacceso externo está habilitado y se haya agregado al proveedor de identidad integrado, debe agregar elmétodo de autenticación de token de acceso externo al conjunto de directivas de accesopredeterminado.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en Editar directiva predeterminada y, a continuación, haga clic en Siguiente.

3 Seleccione la fila en la que figura la aplicación Workspace ONE en la columna Tipo de dispositivo.

Si la regla de la aplicación Workspace ONE no aparece, haga clic en Agregar regla de directiva.


VMware, Inc. 68

4 Seleccione los métodos de autenticación que se usan para acceder al contenido desde la aplicaciónWorkspace ONE.

Enumere el método de autenticación de token de acceso externo como el último método de reservaen la regla. Cuando se detecte el token de acceso externo en la solicitud de autenticación, serespetará el método de autenticación. No se detecta ningún otro método de autenticación despuésdel token de acceso externo.

5 Haga clic en Siguiente para revisar la configuración.


Figura 7‑1.

7 En la página Configuración, revise el orden de las reglas en la lista de reglas. Si la regla deaplicación Workspace ONE no es la primera regla de la lista de directivas de accesopredeterminadas, arrastre la regla para que sea la primera fila de la lista.

La aplicación Workspace ONE debe ser la primera regla de la lista de reglas de directiva de accesopredeterminada.


9 Revise la página Resumen y haga clic en Guardar.

Personalización de marca de fábrica de Workspace ONEpara Windows 10Cuando VMware AirWatch utiliza el servicio de aprovisionamiento de Windows 10 para el nuevoaprovisionamiento de dispositivos Windows 10, pueden establecerse la personalización de marca y unmensaje de bienvenida en la aplicación Workspace ONE.


VMware, Inc. 69

Dado que los usuarios encienden sus equipos nuevos e inician sesión con sus credenciales por primeravez, el agente de aprovisionamiento de AirWatch se asegura de que la aplicación Workspace ONE estédisponible. Workspace ONE se inicia una vez que Windows está totalmente preparado. Los usuariosverán un mensaje de bienvenida personalizado con personalización de marca de la empresa antes deque se abra el catálogo de aplicaciones de Workspace ONE. Durante este tiempo, si Mostraraplicaciones recomendadas en la pestaña Marcadores está habilitado en la página Catálogo >Configuración > Configuración del portal de usuario, Workspace ONE descarga las aplicacionesrecomendadas.

NOTA: Consulte la Guía de la plataforma de escritorios de Windows para obtener información sobre elservicio de aprovisionamiento de Windows 10 por parte de AirWatch.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración >Personalización de marca del portal de usuario.

2 En la sección Experiencia de fábrica del escritorio, edite la configuración para personalizar laspáginas de registro de Workspace ONE.

Elemento delformulario Descripción

Logotipo de la pantallade bienvenida

Agregue un logotipo que debe ir centrado en la parte superior de la pantalla de bienvenida.

El tamaño máximo de la imagen es 250 x 250 px. El formato es PNG.

Color de fondo de lapantalla de bienvenida

El color que se muestra para el fondo de las pantallas de inicio y bienvenida.

Para cambiar el color de fondo, introduzca un código de color hexadecimal de seis dígitos sobreel que ya aparece. La pantalla de vista previa se actualiza con el nuevo color.

Color del botónSiguiente de la pantallade bienvenida

Introduzca un código de color hexadecimal de seis dígitos para cambiar el color de fondo para elbotón Siguiente que se muestra en la pantalla de bienvenida.

Color de fuente de lapantalla de bienvenida

Introduzca un código de color hexadecimal de seis dígitos para cambiar el color de fuente parael botón Siguiente.

Mensaje de bienvenida Cree un mensaje de bienvenida sobre el uso de Workspace ONE que se muestre en la páginade bienvenida.



VMware, Inc. 70

Implementar la aplicación móvilde VMware Workspace ONE 8Cuando la aplicación VMware Workspace ONE esté instalada en dispositivos móviles, los usuariospodrán acceder a los recursos que autorizó.

Los usuarios pueden acceder a sus aplicaciones autorizadas mediante la funcionalidad de Single Sign-On cuando sus identidades se administran con VMware Identity Manager. También pueden acceder a uncatálogo de aplicaciones al que pueden agregar otras aplicaciones.

La interfaz de la aplicación Workspace ONE ofrece una experiencia y opciones similares en cualquiersmartphone, tablet o equipo de escritorio.

Si el dispositivo está registrado en la administración de dispositivos móviles (MDM), puede realizar unenvío push de la aplicación Workspace ONE como una aplicación administrada.


n Opciones de administración de dispositivos en AirWatch para las aplicaciones públicas e internas deWorkspace ONE

n Administrar el acceso a las aplicaciones

n Requerir las condiciones de uso para obtener acceso al catálogo de Workspace ONE

n Obtener y distribuir la aplicación Workspace ONE

n Registro de dominios de correo electrónico para detección automática

n Configuración de autenticación de sesión

n Estrategias de implementación para configurar varios grupos de organización de AirWatch

Opciones de administración de dispositivos en AirWatchpara las aplicaciones públicas e internas deWorkspace ONEPuede configurar la implementación de aplicaciones públicas e internas según el estado deadministración del dispositivo. Cualquier dispositivo puede acceder a las aplicaciones que se hanconfigurado para el acceso abierto. Solo los dispositivos que tengan permiso, ya sea a través deWorkspace Services o mediante la inscripción de Agent, podrán acceder a las aplicaciones que se hayanconfigurado para el acceso administrado.

En la tabla se describen las capacidades de los escenarios administrados y no administrados.

VMware, Inc. 71

Tipo deacceso Características Descripción Usos recomendados

Accesoabierto (noadministrado)

n Catálogo de aplicacionesde autoservicio pararecursos web, Horizon yCitrix

n Iniciar web/máquina virtualcon Single Sign-On (SSO)

n Touch ID/protección deaplicación mediante PIN

n Detección de jailbreak en eldispositivo

n Compatibilidad con elacceso condicional deVMware Identity Manager,incluidas las directivas deautenticación y el bloqueode dispositivos.

n Acceso a las aplicacionesnativas.

n Distribución de aplicacionesy SDK interna.

Los usuarios acceden a losrecursos en sus dispositivos sinconceder permiso a losadministradores para acceder asus dispositivos.

Las aplicaciones con accesoabierto están disponibles para losdispositivos sin importar su estadoadministrado. Los administradoresno pueden quitar aplicacionesnativas de forma sistemáticacuando se configuran para elacceso abierto.

n Proporcione acceso a lasaplicaciones a los usuarios finalesinmediatamente después de iniciarsesión, sin permisos de seguridadcon privilegios elevados.

n Recomiende el uso de unaaplicación sin necesidad deinstalarla. Los usuarios puedaninstalar la aplicación en sudispositivo cuando lo deseen.

n Las aplicaciones no contienendatos empresariales confidencialesy no tienen acceso a recursosempresariales protegidos.

n Para distribuir aplicaciones alpersonal auxiliar sin el perfilAirWatch MDM.

Accesoadministrado

n Catálogo de aplicacionesde autoservicio pararecursos web, Horizon yCitrix

n Iniciar web/máquina virtualcon Single Sign-On (SSO)

n Touch ID/protección deaplicación mediante PIN

n Detección de jailbreak en eldispositivo

n Compatibilidad con elacceso condicional deVMware Identity Manager,incluidas las directivas deautenticación y el bloqueode dispositivos.

n Instalación administrada ydirecta de aplicacionesnativas

n Administración deaplicaciones y SDK interna

n Soporte para laconfiguración deaplicaciones

n VPN por aplicaciónn SSO con un toque para

aplicaciones nativas queadmiten SAML

n Perfiles de dispositivo

Los usuarios instalan un perfil deadministración en sus dispositivospara conceder permiso a losadministradores para acceder asus dispositivos.

Las aplicaciones con accesoadministrado están disponiblespara los dispositivos queadministra AirWatch.

Si AirWatch no administra eldispositivo, Workspace ONEsolicita al usuario del dispositivoque se inscriba con AirWatch. Si eldispositivo está inscrito, el usuariopuede utilizar el dispositivo paraacceder a la aplicación a través deWorkspace ONE.

n Para eliminar datos confidencialesde los dispositivos cuando losusuarios abandonan laorganización o pierden sudispositivo.

n Solicite túnel por cada aplicaciónpara autenticarse y comunicarsede forma segura con recursosinternos de back-end cuando lasaplicaciones accedan a la intranet.

n Habilite Single Sign-On para lasaplicaciones.

n Realice un seguimiento del estadode adopción e instalación delusuario para las aplicaciones.

n Implemente la aplicaciónautomáticamente tras lainscripción.


VMware, Inc. 72

Tipo deacceso Características Descripción Usos recomendados

n Motor de cumplimiento deAirWatch

Para obtener información sobre dónde configurar las opciones de acceso administrado para aplicacionesinternas, o cómo agregar una aplicación pública para la implementación a través de Workspace ONE,consulte a la Guía de administración de aplicaciones móviles de AirWatch.

Plataformas compatibles con el acceso abierto y administradoConfigure el tipo de acceso a las aplicaciones internas y públicas en función de la plataforma.

Acceso administrado Acceso abierto

APLICACIONES INTERNAS

Android X X

iOS X X

Windows 10 Desktop X -

Windows 10 Phone X -

APLICACIONES PÚBLICAS

Android X X

iOS X X

Windows 10 Desktop - X

Windows 10 Phone - X

Administrar el acceso a las aplicacionesUn solo usuario puede tener derecho a acceder a una mezcla de aplicaciones nativas abiertas oadministradas. El enfoque de administración adaptable permite que los usuarios finales utilicenaplicaciones de acceso abierto sin necesidad de administración. Cuando los usuarios solicitan unaaplicación nativa que requiere administración, la administración adaptable proporciona la seguridadadicional y el control necesarios para administrar esa aplicación nativa.

Cuando se administran las aplicaciones, los usuarios deben habilitar Workspace Services para instalar yusar las aplicaciones administradas. Al cargar una aplicación en la consola de administración deAirWatch, el estado de acceso se muestra como abierto o administrado dependiendo de la configuraciónde dicha aplicación. Por ejemplo, si se selecciona la opción Enviar configuración de la aplicación, laaplicación requerirá administración.

Las aplicaciones que requieran administración mostrarán un icono de estrella cuando aparezcan sinadministrar en el catálogo. Los usuarios deben habilitar Workspace Services siguiendo el proceso deadministración adaptable para utilizar la aplicación. Cuando los usuarios intentan descargar unaaplicación con un icono de estrella, se les pide que habiliten Workspace Services. Los usuarios puedenhacer clic en un vínculo de aviso de privacidad para obtener más información sobre el impacto de


VMware, Inc. 73

privacidad en su información personal si eligen continuar con el proceso de administración adaptable. Elaviso de privacidad extrae automáticamente la configuración del entorno de AirWatch en el que elusuario va a registrarse. Después de revisar la información de la configuración de privacidad, losusuarios pueden habilitar Workspace Services o retroceder y continuar utilizando la aplicaciónWorkspace ONE sin administrar en el dispositivo. Cuando los usuarios habilitan Workspace Services, seelimina el icono de estrella de todas las aplicaciones administradas.

Eliminar el acceso en dispositivos administradosLos usuarios pueden deshabilitar la aplicación Workspace ONE en sus dispositivos administrados através de la opción Eliminar cuenta. La eliminación de la cuenta ejecuta un borrado empresarial deldispositivo, revoca el acceso empresarial y devuelve al usuario a la pantalla de inicio de sesión. Losadministradores pueden realizar un borrado empresarial desde la consola de administración de AirWatchpara deshabilitar servicios de Workspace ONE.

Ejecutar la acción de eliminación de una cuenta en dispositivos administrados revoca el accesoconcedido a través de la aplicación Workspace ONE y anula la inscripción del dispositivo en AirWatch.Se eliminan del dispositivo las aplicaciones que requieren administración y se revoca el acceso a lasaplicaciones de productividad de AirWatch, como Boxer, Browser y Content Locker.

Requerir las condiciones de uso para obtener acceso alcatálogo de Workspace ONEPuede escribir sus propias condiciones de uso de Workspace ONE para la organización y asegurarse deque el usuario final acepte estas condiciones de uso antes de utilizar Workspace ONE.

Las condiciones de uso se muestran después de que el usuario inicia sesión en Workspace ONE. Losusuarios deben aceptar las condiciones de uso antes de ir a su catálogo de Workspace ONE.

La función Condiciones de uso incluye las siguientes opciones de configuración.

n Crear versiones de condiciones de uso existentes.

n Editar las condiciones de uso.

n Crear varias condiciones de uso que se muestren en función del tipo de dispositivo.

n Crear copias específicas para cada idioma de las condiciones de uso.

Las directivas de condiciones de uso que se configuran se indican en la pestaña Administración deacceso e identidad. Puede editar la directiva de condiciones de uso para realizar una corrección en ladirectiva existente o crear una nueva versión de la directiva. Al agregar una nueva versión de lascondiciones de uso, se reemplazan las condiciones de uso existentes. La edición de una directiva nocambia la versión de las condiciones de uso.

Puede ver el número de usuarios que aceptaron o rechazaron las condiciones de uso desde la páginaCondiciones de uso. Haga clic en el número aceptado o rechazado para ver una lista de los usuarios ysu estado.


VMware, Inc. 74

Configurar y habilitar las condiciones de usoEn la página Condiciones de uso, agregue la directiva de condiciones de uso y configure los parámetrosde uso. Después de agregar las condiciones de uso, habilite la opción Condición de uso. Cuando losusuarios inicien sesión en Workspace ONE, deberán aceptar las condiciones de uso para acceder a sucatálogo.

Prerequisitos

El texto de la directiva de condiciones de uso en formato HTML para copiarlo y pegarlo en el cuadro detexto de contenido Condiciones de uso. Puede agregar condiciones de uso en inglés, alemán, español,francés, italiano y holandés.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Condiciones de uso.

2 Haga clic en Agregar condiciones de uso.

3 Introduzca un nombre descriptivo para las condiciones de uso.

4 Seleccione Cualquiera si la directiva de condiciones de uso es para todos los usuarios. Para utilizardirectivas de condiciones de uso por tipo de dispositivo, elija Plataformas de dispositivosseleccionadas y seleccione los tipos de dispositivos que deben mostrar esta directiva decondiciones de uso.

5 De forma predeterminada, el idioma de las condiciones de uso que se muestra primero depende dela configuración de preferencias de idioma de cada explorador. Introduzca el contenido de lascondiciones de uso para el idioma predeterminado en el cuadro de texto.


Para agregar una directiva de condiciones de uso en otro idioma, haga clic en Agregar idioma yseleccione otro idioma. Se actualizará el cuadro de texto de contenido Condiciones de uso y sepodrá agregar texto en el cuadro de texto.

Puede arrastrar el nombre de los idiomas para establecer el orden en el que se deben mostrar lascondiciones de uso.

7 Para comenzar a usar las condiciones de uso, haga clic en Habilitar condiciones de uso en lapágina que se muestra.


Si seleccionó un tipo de dispositivo específico para las condiciones de uso, puede crear condiciones deuso adicionales para los otros tipos de dispositivos.


VMware, Inc. 75

Ver el estado de aceptación de las condiciones de usoLas directivas de condiciones de uso que se enumeran en la página Administración de acceso eidentidad > Condiciones de uso muestran el número de usuarios que aceptaron o rechazaron la directiva.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Condiciones de uso.

2 En la columna Aceptar/Rechazar, haga clic en el número de Aceptada a la izquierda o el número deRechazada a la derecha.

Una página de estado muestra la acción realizada, ya sea aceptada o rechazada, con el nombre deusuario, el identificador de dispositivo, la versión de la directiva visualizada, la plataforma utilizada yla fecha.

3 Haga clic en Cancelar para cerrar la vista.

Obtener y distribuir la aplicación Workspace ONELos usuarios pueden descargar la aplicación VMware Workspace ONE de la tienda de aplicaciones deldispositivo o los administradores pueden configurar AirWatch para realizar un envío push de la aplicaciónWorkspace ONE como aplicación administrada a los dispositivos.

Puede implementar la aplicación Workspace ONE desde la consola de administración de AirWatch paraespecificar los grupos y los usuarios dentro de la organización. Después de que los usuarios iniciensesión en la aplicación Workspace ONE en sus dispositivos, pueden acceder a las aplicaciones SaaS yWeb para las que están autorizados.

Los pasos siguientes indican cómo realizar un envío push de la aplicación móvil Workspace ONE comoaplicación administrada desde la consola de administración de AirWatch. También puede ejecutar elasistente de introducción de Workspace ONE para realizar un envío push de la aplicación.

NOTA: Para obtener información detallada sobre cómo configurar aplicaciones administradas enAirWatch, consulte la Guía de administración de aplicaciones móviles (MAM) de VMware AirWatch,disponible en el portal de recursos en https://resources.air-watch.com.

Prerequisitos

Si está pensando realizar un envío push de la aplicación móvil Workspace ONE desde la consola deadministración de AirWatch, prepare grupos inteligentes de usuarios finales que estén autorizados parala aplicación.

Procedimiento

1 En la consola de administración de AirWatch, desplácese hasta Aplicaciones y libros >Aplicaciones > Vista en lista > Públicamente y seleccione Agregar aplicación.

2 Seleccione la plataforma: iOS, Android o Windows.


VMware, Inc. 76

3 Seleccione Buscar en la tienda de aplicaciones y en el cuadro de texto Nombre, introduzcaWorkspace ONE como palabra clave para buscar VMware Workspace ONE en la tienda deaplicaciones.

4 Seleccione Siguiente y, a continuación, Seleccionar para cargar la aplicación Workspace ONE de lapágina de resultados de la tienda de aplicaciones.

5 Configure las opciones de asignación e implementación para los usuarios de Workspace ONE en laconfiguración de la pestaña siguiente.

Pestaña Descripción

Información Introduzca y visualice la información relacionada con los modelos, la clasificacióny las categorías de los dispositivos admitidos.

Asignación Asigne la aplicación móvil de Workspace ONE a los grupos inteligentes deusuarios finales que pueden usar la aplicación en sus dispositivos.

Implementación Configure las funciones avanzadas de administración de movilidad empresarial(EMM) y de disponibilidad, si procede.

Para configurar automáticamente aplicaciones administradas, habilite Enviarconfiguración de la aplicación e introduzca los pares de valores clave deconfiguración de aplicaciones para empresas (ACE). Consulte Pares de valoresclave de configuración de aplicaciones para empresas de AirWatch.

Condiciones de uso (Opcional) Habilite las Condiciones de uso para usar la aplicaciónWorkspace ONE.

6 Seleccione Guardar y publicar para que la aplicación esté disponible para los usuarios.

Realice estos pasos en todas las plataformas compatibles.

Pares de valores clave de configuración de aplicaciones paraempresas de AirWatchAl implementar la aplicación Workspace ONE como una aplicación administrada en AirWatch y habilitarEnviar configuración de la aplicación cuando se realiza un envío push de la aplicación Workspace ONEdesde la consola de AirWatch, puede preconfigurar las opciones de Workspace ONE que se aplicancuando los usuarios implementan e inician la aplicación Workspace ONE.

Cuando la aplicación Workspace ONE se carga en la consola de administración de AirWatch como unaaplicación móvil administrada, puede configurar la URL del servidor de VMware Workspace ONE, el valorde UID del dispositivo y los requisitos de autenticación de certificado en dispositivos con Android.


VMware, Inc. 77

Tabla 8‑1. Opciones de configuración de dispositivos administrados por Workspace ONE dela consola de administración de AirWatch

PlataformaClave deconfiguración Tipo de valor

Valor deconfiguración Explicación

Todo AppServiceHost Cadena <URL del servidorde VMware

Workspace ONE>

Configura la URL delservidor para VMwareWorkspace ONE entodos los dispositivos.

iOS deviceUDID Cadena {DeviceUid}

Introduzca el valor deUID del dispositivo.

No utilice la funciónpara introducir valor debúsqueda.

Realiza un seguimientode los dispositivosutilizados paraautenticar el entorno deVMware IdentityManager.

iOS SkipDiscoveryScre

en

Booleano true A partir de WorkspaceONE 3.1, se puedeconfigurar la clave deconfiguraciónSkipDiscoveryScreen.

Cuando se establececomo True, WorkspaceONE intenta omitir lapantalla de URL deservidor/dirección decorreo electrónico.Cuando se utiliza conla clave deconfiguraciónAppServiceHost, losusuarios vaninmediatamente a lapantalla deautenticación. Sitambién se utiliza elSSO móvil, losadministradorespueden proporcionar alos usuarios finales unaexperiencia sencillasegún la cual iniciaránWorkspace ONE einmediatamentecomenzará la carga dela aplicaciónWorkspace ONE.


VMware, Inc. 78

Registro de dominios de correo electrónico paradetección automáticaPuede registrar su dominio de correo electrónico en el servicio de detección automática para que alusuario final le resulte más fácil acceder al portal de aplicaciones a través de la aplicación WorkspaceONE. El usuario final debe introducir su dirección de correo electrónico en vez de la URL de laorganización.

Si el dominio del correo electrónico de la organización se registra para la detección automática, losusuarios finales introducen solo la dirección de correo electrónico en la página de inicio de sesión paraacceder al portal de las aplicaciones. Por ejemplo, deben introducir, [email protected].

Si no se utiliza la detección automática, la primera vez que los usuarios finales abren la aplicaciónWorkspace ONE, deben proporcionar la URL completa de la organización. Por ejemplo, debe introducirmyco.vmwareidentity.com.

Configurar detección automática en VMware Identity ManagerPara registrar un dominio, debe introducir el nombre de dominio y la dirección de correo electrónico en lapágina Detección automática de la consola de administración de Identity Manager.

Se le enviará un mensaje de correo electrónico con un token de activación a su dirección de correoelectrónico del dominio. Para activar el registro del dominio, introduzca el token en la página Detecciónautomática y compruebe que el dominio que registró es el suyo.

NOTA: Para configurar la detección automática para las implementaciones locales de VMware IdentityManager, debe iniciar sesión en la consola de administrador como el administrador local. Introduzca lacontraseña y el ID que creó en el sitio web de AirWatch, https://secure.air-watch.com/register.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > Detección automática.

2 (Solo implementaciones locales). Configure la URL de detección automática de AirWatch.


URL de detección automática Introduzca la URL como https://discovery.awmdm.com.

ID de AirWatch Introduzca la dirección de correo electrónico que registró en AirWatch para iniciar sesión enel sitio web.

Contraseña Introduzca la contraseña asociada a la cuenta de AirWatch.

3 En el cuadro de texto Dominio de correo electrónico, introduzca el dominio de correo electrónicode la organización que va a registrar.

4 En el cuadro de texto Dirección de correo electrónico de confirmación, introduzca una direcciónde correo electrónico de dicho dominio de correo electrónico para recibir el token de verificación.


VMware, Inc. 79

5 Haga clic en Aceptar.

El estado de registro de este dominio de correo electrónico está marcado como Pendiente. Solopuede tener un dominio de correo electrónico pendiente a la vez.

6 Vaya al correo electrónico y copie el token de activación que hay en el mensaje.

7 Vuelva a la página Administración de acceso e identidad > Detección automática y pegue eltoken en el cuadro de texto Token de activación

8 Haga clic en Verificar para registrar el dominio.

El dominio de correo electrónico se registró y agregó a la lista de dominios de correo electrónicoregistrados en la página Detección automática.

El usuario final ya puede introducir su dirección de correo electrónico en la aplicación Workspace ONEpara acceder al portal de su aplicación.


Si tiene más de un dominio de correo electrónico, puede agregar otro dominio de correo electrónico pararegistrar.

Configuración de autenticación de sesiónEl servicio VMware Identity Manager incluye una directiva de acceso predeterminada que controla elacceso del usuario a sus recursos de VMware Identity Manager.

La duración de la sesión de autenticación configurada en las reglas de la directiva determina el tiempomáximo que el usuario tiene desde su último evento de autenticación para acceder a la página de iniciode sus aplicaciones o para iniciar una aplicación web específica. El valor predeterminado es ocho horas.Una vez que el usuario está autenticado, tiene ocho horas para iniciar una aplicación web a menos queinicie otro evento de autenticación que amplíe el tiempo.

Puede editar la directiva predeterminada para cambiar la duración de la sesión en la consola deadministración de VMware Identity Manager, pestaña Administración de acceso e identidad, Administrar> Directivas. Consulte en la guía de administración de VMware Identity Manager la sección deadministración de directivas de acceso.

Habilitar la comprobación de conformidad para dispositivosadministrados por AirWatchCuando los usuarios inscriben sus dispositivos, los datos de ejemplo utilizados para evaluar laconformidad se envían de forma programada. La evaluación de estos datos de ejemplo garantiza que eldispositivo cumple las reglas de conformidad que establece el administrador en la consola de AirWatch.Si el dispositivo no cumple con la conformidad, se llevan a cabo las acciones correspondientes en laconsola de AirWatch.


VMware, Inc. 80

El servicio VMware Identity Manager incluye una opción de directiva de acceso que se puede configurarpara comprobar el estado de conformidad del dispositivo de servidor de AirWatch cuando los usuariosinician la sesión en el dispositivo. Esta comprobación de conformidad garantiza que los usuarios nopuedan iniciar sesión en una aplicación ni usar un inicio de sesión único en el portal de Workspace ONEsi el dispositivo deja de cumplir las reglas de conformidad. Cuando el dispositivo vuelve a ser conforme,se restaurará la capacidad de iniciar la sesión.

La aplicación Workspace ONE cierra sesión automáticamente y bloquea el acceso a las aplicaciones si eldispositivo está en peligro. Si el dispositivo se registró a través de una administración adaptativa, uncomando de borrado empresarial emitido por la consola de AirWatch anula el registro del dispositivo yelimina las aplicaciones administradas desde el dispositivo. Las aplicaciones que no están administradasno se eliminan.

Para obtener más información sobre las directivas de conformidad de AirWatch, consulte la guía deVMware AirWatch Mobile Device Management disponible en el sitio web AirWatch Resources.

Estrategias de implementación para configurar variosgrupos de organización de AirWatchAirWatch utiliza grupos de organización (GO) para identificar a los usuarios y establecer permisos.Cuando AirWatchse integra con VMware Identity Manager, las claves de REST API de usuarioadministrador e inscrito se configuran en el tipo de grupo de organización de AirWatch llamado cliente.

Cuando los usuarios inician sesión en Workspace ONE desde un dispositivo, se activa un evento deregistro de dispositivo en VMware Identity Manager. Se envía una solicitud a AirWatch para obtener lasaplicaciones para las que tienen autorización la combinación de usuario y dispositivo. La solicitud seenvía mediante la REST API para localizar el usuario en AirWatch y para colocar el dispositivo en elgrupo de organización correspondiente.

Para gestionar los grupos de organización, se pueden configurar dos opciones enVMware Identity Manager.

n Habilite la detección automática de AirWatch.

n Asigne los grupos de organización de AirWatch a dominios del servicio de VMware Identity Manager.

Si no se configura ninguna de estas dos opciones, Workspace ONE intentará encontrar el usuario en elgrupo de organización donde se creó la clave de REST API. Es decir, en el grupo de clientes.

Usar la detección automática de AirWatchConfigure la detección automática cuando se configure un único directorio en un grupo secundario delgrupo de organización de clientes, o cuando se configuren varios directorios en el grupo de clientes condominios de correo electrónico únicos.


VMware, Inc. 81

Figura 8‑1. Ejemplo 1

En el ejemplo 1, el dominio de correo electrónico de la organización se ha registrado para la detecciónautomática. Los usuarios solo introducen su dirección de correo electrónico en la página de inicio desesión de Workspace ONE.

En este ejemplo, cuando los usuarios del dominio de Norteamérica inician sesión en Workspace ONE,introducen la dirección de correo completa como [email protected]. La aplicación busca eldominio y comprueba que el usuario existe o se puede crear con una llamada al directorio en el grupo deorganización de Norteamérica. Se puede registrar el dispositivo.

Usar la asignación de grupos de organización de AirWatch adominios de VMware Identity ManagerConfigure VMware Identity Manager para la asignación de grupos de organización de AirWatch cuandose configuren varios directorios con el mismo dominio de correo electrónico. Habilite Asignar dominiosa varios grupos de organización en la página de configuración de AirWatch en la consola deadministración de VMware Identity Manager.

Cuando se habilita la opción Asignar dominios a varios grupos de organización, los dominiosconfigurados en VMware Identity Manager se pueden asignar a ID de grupo de organización deAirWatch. La clave de REST API de administración también es necesaria.

En el ejemplo 2, se han asignado dos dominios a diferentes grupos de organización. Se necesita unaclave de REST API de administración. Ambos ID de grupo de organización usan la misma clave deREST API de administración.


En la página de configuración de AirWatch de la consola de administración de VMware Identity Manager,configure un ID de grupo de organización de AirWatch específico para cada dominio.


VMware, Inc. 82

Figura 8‑3. Configuración del grupo de organización del ejemplo 2

Con esta configuración, cuando los usuarios inicien sesión en Workspace ONE desde su dispositivo, lasolicitud de registro del dispositivo intentará buscar los usuarios del Dominio3 en el grupo deorganización Europa, y los usuarios del Dominio4 en el grupo de organización Asia-Pacífico.

En el ejemplo 3, se ha asignado un dominio a varios grupos de organización de AirWatch. Ambosdirectorios comparten el dominio de correo electrónico. El dominio apunta al mismo grupo deorganización de AirWatch.


En esta configuración, cuando los usuarios inicien sesión en Workspace ONE, la aplicación pedirá a losusuarios que seleccionen el grupo en el que deseen registrarse. En este ejemplo, los usuarios puedenseleccionar Ingeniería o Contabilidad.


VMware, Inc. 83

Figura 8‑5. Grupos de organización donde los directorios comparten el mismo dominio

Colocar dispositivos en el grupo de organización correctoCuando un registro de usuario se encuentra correctamente, el dispositivo se agrega al grupo deorganización correspondiente. La opción de configuración de inscripción de AirWatch Modo deasignación de ID de grupo determina el grupo de organización en el que se colocará el dispositivo. Estaconfiguración se encuentra en la página Configuración del sistema > Dispositivos y usuarios > General >Inscripción > Agrupar.

Figura 8‑6. Inscripción en grupos de AirWatch para dispositivos

En el ejemplo 4, todos los usuarios se encuentran en el nivel de grupo de organización Empresa.



VMware, Inc. 84

La colocación de los dispositivos dependerá de la configuración seleccionada para el modo deasignación de ID de grupo en el grupo organizativo Empresa.

n Si se selecciona la opción predeterminada, el dispositivo se colocará en el mismo grupo donde estéel usuario. En el ejemplo 4, el dispositivo se coloca en el grupo Empresa.

n Si se selecciona Pedir al usuario que seleccione el ID de grupo, los usuarios deberán seleccionar elgrupo en el que se registrará el dispositivo. En el ejemplo 4, los usuarios verán un menú desplegableen la aplicación de Workspace ONE con las opciones Ingeniería y Contabilidad.

n Si se elige Seleccionar automáticamente en función del grupo de usuarios, los dispositivos secolocarán en Ingeniería o Contabilidad según la asignación del grupo de usuarios y la asignacióncorrespondiente en la consola de administración de AirWatch.

Comprender el concepto de un grupo ocultoEn el ejemplo 4, cuando se pide a los usuarios que seleccionen el grupo de organización en el que seregistrarán, los usuarios también pueden especificar un valor de ID de grupo que no esté en la lista quese muestra en la aplicación de Workspace ONE. Este es el concepto de un grupo oculto.

En el ejemplo 5, en la estructura de grupo de organización Empresa, Norteamérica y Beta se hanconfigurado como grupos en Empresa.


En el ejemplo 5, los usuarios introducen su dirección de correo electrónico en Workspace ONE. Despuésde la autenticación, los usuarios ven una lista que muestra las opciones Ingeniería y Contabilidad paraelegirlas. Beta no es una de las opciones que se muestran. Si los usuarios conocen el ID de grupo deorganización, pueden escribir Beta en el cuadro de texto de la selección de grupo y registrarcorrectamente el dispositivo en Beta.


VMware, Inc. 85

Trabajar en el portal deWorkspace ONE 9Cuando la aplicación Workspace ONE esté instalada en los dispositivos, el usuario podrá iniciar sesiónen Workspace ONE para acceder de forma segura a las aplicaciones del catálogo que su organizaciónhabilitó para él. Cuando se configura la aplicación con un inicio de sesión único, no es necesario que losusuarios vuelvan a introducir las credenciales de inicio de sesión al iniciar la aplicación.

La interfaz de usuario de Workspace ONE funciona de forma similar en teléfonos, tablets y escritorios. Lapágina Catálogo de Workspace ONE muestra los recursos que se han enviado a Workspace ONE. Losusuarios pueden tocar o hacer clic para buscar, agregar, marcar y actualizar aplicaciones. Pueden hacerclic con el botón derecho en una aplicación para quitarla de la página Marcadores e ir a la páginaCatálogo para agregar recursos autorizados.

Este capítulo cubre los siguientes temas:n Trabajar con aplicaciones en Workspace ONE

n Establecer códigos de acceso para la aplicación Workspace ONE

n Agregar aplicaciones nativas

n Usar VMware Verify para la autenticación de usuario

n Enviar alertas a los usuarios de Workspace ONE

n Trabajar con Workspace ONE para dispositivos Android

Trabajar con aplicaciones en Workspace ONEEl portal del usuario de Workspace ONE está compuesto por las pestañas Catálogo y Marcadores. Aliniciar sesión en el portal de Workspace ONE la primera vez, se muestra la pestaña Catálogo si lapestaña Marcadores está vacía.

Tras el primer inicio, los usuarios van directamente a la última pestaña visitada. Si los usuarios prefierenque se inicie desde la pestaña Catálogo, pueden utilizar la vista Catálogo.

Puede ocultar la pestaña Catálogo o la pestaña Marcadores en el portal de Workspace ONE paraproporcionar una experiencia de usuario específica para sus requisitos. Puede cambiar la configuracióndel portal desde la página Catálogo > Configuración > Configuración del portal de usuario.

VMware, Inc. 86

Figura 9‑1. Vista inicial de la página Marcadores

En el catálogo, los usuarios podrán abrir o instalar las aplicaciones web, móviles y virtuales para las quetengan autorización. Si la pestaña Marcadores no está oculta, los usuarios pueden seleccionar el iconode la cinta para marcar la aplicación.

En las páginas del catálogo, las categorías se pueden organizar en categorías lógicas para que sea másfácil para los usuarios localizar los recursos que necesitan. Una categoría, denominada Recomendada,se muestra de forma predeterminada. Al clasificar las aplicaciones como recomendadas, puede habilitarMostrar aplicaciones recomendadas en la pestaña Marcadores para rellenar la página Marcadorescon estas aplicaciones.

Con esta configuración, se ofrece a los usuarios acceso inmediato a las aplicaciones recomendadascuando inician sesión por primera vez en el portal de Workspace ONE.

Figura 9‑2. Página Catálogo de Workspace ONE

NOTA: Las aplicaciones móviles no están disponibles en los exploradores de escritorio.


VMware, Inc. 87

Los usuarios pueden iniciar las aplicaciones web de la siguiente manera.

n Desde la pestaña Marcadores. Los usuarios hacen clic en el icono de la aplicación para iniciarla.

n Desde la pestaña Catálogo. Los usuarios hacen clic en el icono del cuadro con la flecha para abrir laaplicación.

n Desde la búsqueda de Spotlight o la búsqueda en Workspace ONE. En la búsqueda de Spotlight endispositivos iOS, los usuarios seleccionan el icono de la aplicación de la lista. En la búsqueda deWorkspace ONE, los usuarios hacen clic en el icono del cuadro con la flecha para abrir la aplicación.

Para iniciar las aplicaciones nativas instaladas, los usuarios hacen clic en el icono de la aplicación en elSpringBoard de iOS.

Los usuarios pueden acceder a la configuración de Workspace ONE desde el menú desplegable situadojunto a su nombre.

n Cuenta. La información de perfil del usuario, incluidos el nombre, el nombre de usuario y la direcciónde correo electrónico.

n Dispositivos. La lista de dispositivos que han iniciado sesión en la aplicación de Workspace ONE y laúltima fecha y hora de inicio de sesión.

n Sugerencias de aplicación. Sugerencias acerca de cómo navegar por Workspace ONE en eldispositivo del usuario.

n Acerca de. Copyright, patente e información de licencia de Workspace ONE.

n Preferencias. La configuración de inicio predeterminada cuando se accede a las aplicacionesremotas de Horizon, ya sea para ver la aplicación en Horizon Client o en un explorador.

Los usuarios deberán tocar el icono de la aplicación Workspace ONE en los dispositivos para iniciarsesión en su portal de aplicaciones. Si tienen aplicaciones marcadas, se mostrará la página Marcadores.La aplicación Workspace ONE en dispositivos incluye vínculos a la asistencia técnica y la configuración.


VMware, Inc. 88

Figura 9‑3. Vista de dispositivo del portal de Workspace ONE

n La página de asistencia técnica incluye un vínculo a los dispositivos y el envío de informes. Lapágina Dispositivos muestra la última vez que se inició sesión en el dispositivo. La opción Enviarinforme ofrece al usuario la posibilidad de enviarle información de diagnóstico u otros comentarios.Los usuarios pueden activar o desactivar esta función desde la configuración de su dispositivo.

n La página Configuración muestra la versión de la aplicación Workspace ONE y la directiva deprivacidad de VMware Workspace. Los usuarios pueden quitar la cuenta de la página Configuraciónpara cerrar sesión en la aplicación Workspace ONE.

Utilizar la búsqueda en Workspace ONELos usuarios pueden utilizar la búsqueda en Workspace ONE para encontrar aplicaciones por nombre ocategoría.

Al escribir en el cuadro de texto de búsqueda, se mostrarán las aplicaciones que coincidan con el textointroducido.


VMware, Inc. 89

Figura 9‑4. Resultados de la búsqueda

Los usuarios pueden iniciar una aplicación web o descargar una aplicación nativa directamente desde losresultados de búsqueda.

En dispositivos iOS, los usuarios pueden utilizar Spotlight para buscar aplicaciones que estén en el portalde Workspace ONE. En la pantalla de inicio del dispositivo iOS, toque la pantalla y arrastre hacia abajopara mostrar el campo de búsqueda de Spotlight. Al introducir un nombre de aplicación que se encuentreen el portal de Workspace ONE, se abrirá Workspace ONE y se iniciará la aplicación.

Ayudar a los usuarios a informar sobre problemas desdedispositivos iOSEn dispositivos iOS, se puede usar la función Rage Shake para enviar registros a los desarrolladores deaplicaciones de iOS.

Los usuarios agitan su dispositivo y este registra su estado actual y envía información detallada porcorreo electrónico a los desarrolladores de la aplicación de Workspace ONE de forma predeterminada.Los usuarios pueden introducir manualmente otra dirección de correo electrónico para enviar lainformación a otra dirección.

Los usuarios pueden activar la opción Habilitar comentarios en la función Shake desde la páginaConfiguración > Workspace en su dispositivo. Los usuarios pueden utilizar Rage Shake en cualquierpantalla del portal de Workspace ONE para enviar un informe.


VMware, Inc. 90

Figura 9‑5. Habilitar comentarios en la función Shake

Cuando un dispositivo iOS recibe un mensaje de error similar a este dispositivo se ha registradopara otro usuario o entorno, se puede usar la opción Restablecimiento de aplicaciones manualpara borrar todos los datos de aplicaciones almacenados localmente en el dispositivo.

Establecer códigos de acceso para la aplicaciónWorkspace ONELos usuarios deben tener la función de bloqueo de código de acceso habilitada en sus dispositivos. Si noestá habilitada, la primera vez que se inicie la aplicación Workspace ONE, se pedirá a los usuarios quecreen un código de acceso. Este código de acceso se introducirá cada vez que el usuario acceda aWorkspace ONE desde su dispositivo.

Si no se utiliza la función de código de acceso, se les solicita a los usuarios que establezcan un códigode acceso antes de poder acceder a la aplicación Workspace ONE. El nivel en el que se va a establecerel código de acceso depende de la plataforma. En los dispositivos Android, el código de acceso seestablece a nivel de aplicación. En los dispositivos iOS y Windows Escritorio, el código de acceso seestablece a nivel de dispositivo.

NOTA: Los dispositivos iOS y Android también son compatibles con la función del sensor de huelladigital Touch ID.

Workspace ONE puede detectar posibles problemas de seguridad en los dispositivos. Si el usuariodeshabilita el código de acceso del dispositivo, la próxima vez que acceda a la aplicaciónWorkspace ONE se le indicará que establezca un código de acceso para poder acceder aWorkspace ONE.


VMware, Inc. 91

Agregar aplicaciones nativasLas aplicaciones nativas son programas de aplicación que se desarrollan para un dispositivo móvilconcreto. El usuario podrá ver sus aplicaciones nativas autorizadas para AirWatch en la página delcatálogo de Workspace ONE. Por ejemplo, si un usuario está viendo el catálogo en un dispositivo iOS,solo se mostrarán las aplicaciones iOS autorizadas para dicho usuario.

Para instalar la aplicación en su dispositivo, el usuario deberá tocar en Instalar en la página del catálogo.Una vez que toque en Instalar, aparecerá un mensaje emergente con información sobre lo que ocurrirá acontinuación. La información cambiará en función de la plataforma y el tipo de aplicación. Lasaplicaciones que aparecen con un icono de bloqueo requieren que AirWatch administre el dispositivo.Cuando un usuario final intenta descargar una aplicación con el icono de bloqueo, aparece el siguientemensaje Installation of this app requires enablement of Workspace Services.

Usar VMware Verify para la autenticación de usuarioCuando se habilita el servicio VMware Verify como método de autenticación secundario de laautenticación en dos fases para iniciar sesión en Workspace ONE desde el dispositivo, los usuariosdeben descargar la aplicación VMware Verify de la tienda de aplicaciones del dispositivo.

La primera vez que los usuarios inician sesión en la aplicación Workspace ONE, se les solicita queintroduzcan el nombre de usuario y la contraseña. Cuando se verifican estos datos, se les solicita queintroduzcan su número de teléfono para registrarse en el servicio VMware Verify.

Al hacer clic en Inscribirse, el número de teléfono del dispositivo se registra en el servicio VMwareVerify. Si no se ha descargado la aplicación VMware Verify, se solicitará que se descargue.

Cuando se instala la aplicación, se solicita a los usuarios que introduzcan el mismo número de teléfonoque introdujeron antes y que seleccionen un método de notificación para recibir un código de registro conun plazo determinado. El código de registro se introduce en la página de registro anclada.

Después de registrar el número de teléfono, los usuarios puede utilizar un código de acceso de plazodeterminado que aparece en la aplicación VMware Verify para iniciar sesión en Workspace ONE. Elcódigo de acceso es un número único que se genera en el dispositivo y cambia constantemente.

Los usuarios pueden registrar más de un dispositivo. El código de acceso de VMware Verify sesincroniza automáticamente al resto de los dispositivos registrados.

Enviar alertas a los usuarios de Workspace ONELos administradores pueden enviar notificaciones a los usuarios de Workspace ONE sobre los próximosperiodos de inactividad del sistema o el estado de cumplimiento para pedirles que realicen alguna accióno para enviarles alertas. Las notificaciones se pueden enviar a través de la consola de administración deAirWatch. Pueden aparecer como una notificación del dispositivo o como una notificación en laaplicación.


VMware, Inc. 92

Trabajar con Workspace ONE para dispositivos AndroidEstos son los tipos de aplicaciones que pueden habilitarse a través de la aplicación de AndroidWorkspace ONE.

n aplicaciones web

n Las aplicaciones remotas que están habilitadas en el servicio de VMware Identity Manager. Porejemplo, las aplicaciones virtuales de Horizon, Citrix XenApp y ThinApp.

n Las aplicaciones nativas, tanto administradas como no administradas. Las aplicaciones nativas sonaplicaciones Android desarrolladas para la plataforma Android. Existen dos tipos.

n Las aplicaciones públicas que se distribuyen desde Google Play Store.

n Las aplicaciones internas que se distribuyen de forma privada a través de AirWatch y que noestán disponibles en Google Play Store.

Las aplicaciones web que se abren en el navegador. Los usuarios pueden acceder a aplicacionesvirtuales a través de VMware Horizon Client o Citrix Receiver.

Registrar Workspace ONEIniciar sesión en Workspace ONE con una URL de servidor y unas credenciales válidas permite a losusuarios acceder al catálogo unificado de Workspace ONE. En el catálogo unificado, los usuarios puedenver todas las aplicaciones que se les han asignado.

Los usuarios deben registrar Workspace ONE para acceder a las aplicaciones. Cuando se registraWorkspace ONE, los usuarios pueden utilizar las aplicaciones web y virtuales habilitadas a través deVMware Identity Manager, las aplicaciones de productividad de AirWatch y las aplicaciones del SDK sinadministración.

NOTA: Las aplicaciones del SDK son contenedores, se administran a través del SDK de AirWatch y norequieren que el dispositivo se administre.

Los usuarios pueden iniciar la administración adaptable, que habilita Android for Work en el dispositivo yadmite perfiles, directivas y distribución de aplicaciones mejorada en el dispositivo.

Administrar Android for Work con Workspace ONEAl habilitar Android for Work en los dispositivos, se separan los datos personales de los datos de trabajoa nivel de sistema operativo. Android for Work crea una separación clara entre aplicaciones personales yde trabajo. Android for Work crea las aplicaciones de trabajo con una etiqueta de trabajo Androidespecífica.


VMware, Inc. 93

Figura 9‑6. Contenido de Android for Work

Los administradores determinan qué aplicaciones del catálogo requieren que un dispositivo se administreantes de poder acceder a ellas. Las aplicaciones del catálogo que requieran administración mostrarán unsímbolo de estrella especial junto al botón de descarga.

Cuando los usuarios intenten descargar una de estas aplicaciones, recibirán un mensaje indicando quela aplicación requiere que el dispositivo se administre. Una pantalla muestra la descripción de lasfunciones y los beneficios de la administración de dispositivos.

Figura 9‑7. Página de introducción de Workspace Services

Cuando los usuarios aceptan habilitar la administración de Android for Work, pasan por el proceso deconfiguración de la administración. Cuando el dispositivo está administrado, se crea el contenedorAndroid for Work en el dispositivo.


VMware, Inc. 94

Usar el catálogo deWorkspace ONE 10Cuando se integran AirWatch y VMware Identity Manager, el catálogo de aplicaciones deWorkspace ONE es el repositorio de todos los recursos que se pueden autorizar para los usuarios. Losusuarios pueden acceder a las aplicaciones empresariales que se administran en el catálogo deWorkspace ONE en función de la configuración que se establece para la aplicación.

El acceso a las aplicaciones de nube, móviles y de Windows se puede realizar desde el catálogo. Lasaplicaciones nativas que estén desarrolladas internamente o disponibles públicamente en las tiendas deaplicaciones pueden ponerse a disposición de los usuarios finales desde el portal de Workspace ONE.

En la página Catálogo de Workspace ONE, puede realizar las siguientes tareas:

n Agregar recursos nuevos al catálogo

n Ver los recursos que puede autorizar actualmente para que los usen los usuarios

n Obtener acceso a información sobre cada recurso del catálogo

Algunas aplicaciones web se pueden agregar al catálogo directamente desde la página Catálogo. Otrostipos de recurso requieren realizar acciones fuera de la consola de administración. Consulte a la Guía deconfiguración de recursos de VMware Identity Manager para obtener más información sobre laconfiguración de los recursos.

Administrar recursos del catálogoAntes de poder autorizar un recurso determinado a los usuarios, se debe incluir ese recurso en elcatálogo. El método a utilizar para ello dependerá del tipo de recurso de que se trate.

Los tipos de recursos que se pueden definir en el catálogo para su autorización y distribución a losusuarios son aplicaciones web, aplicaciones de Windows obtenidas como paquetes de VMware ThinApp,grupos de escritorios de Horizon Client y aplicaciones virtuales de Horizon o aplicaciones basadas enCitrix.

Para integrar y habilitar grupos de aplicaciones y escritorios de Horizon Client, recursos publicados deCitrix o paquetes de aplicaciones de ThinApp, se utiliza la función de colección de aplicaciones virtualesdisponible en el menú desplegable de la pestaña Catálogo.

Para obtener información sobre los requisitos, la instalación y la configuración de estos recursos,consulte Configuración de recursos en VMware Identity Manager.

VMware, Inc. 95

Agregar aplicaciones Web al catálogo de la organizaciónEs posible agregar aplicaciones Web al catálogo y que los usuarios y los grupos puedan acceder a ellas.

El catálogo se rellena directamente con aplicaciones web desde la página Catálogo de la consola deadministración. Al hacer clic en una aplicación de la página Catálogo, se muestra información sobre esaaplicación. En la página que se muestra se pueden configurar parámetros de la aplicación web eintroducir los atributos SAML adecuados para configurar el inicio de sesión único entreVMware Identity Manager y la aplicación web de destino. Cuando la aplicación web está configurada sepueden autorizar usuarios y grupos para acceder a ella.

Al agregar una entrada al catálogo para una aplicación Web, se crea un registro de aplicación y seconfigura la dirección de la aplicación Web. El servicio de VMware Identity Manager utiliza el registro deaplicaciones como una plantilla para establecer una conexión segura con la aplicación Web.

Se pueden utilizar los siguientes métodos para agregar registros de las aplicaciones Web al catálogodesde la pestaña Catálogo.

Método Descripción

En el catálogo deaplicaciones en lanube

Los tipos de aplicaciones Web empresariales más populares aparecen en la lista del catálogo deaplicaciones en la nube. Estas aplicaciones federadas están configuradas de forma parcial. Debecompletar el formulario de registro del resto de las aplicaciones.

Cree uno nuevo Puede agregar aplicaciones Web al catálogo que no aparecen en la lista del catálogo de aplicacionesen la nube. Las aplicaciones que no están federadas se crean como nuevas. Los registros de estasaplicaciones web son más genéricos que el de las aplicaciones del catálogo de aplicaciones en lanube. Introduzca la descripción, la configuración y la descripción de la aplicación para crear el registrode la aplicación.

Importar un archivoZIP o JAR

Se puede importar una aplicación web configurada anteriormente en el servicio. Este método se puedeutilizar para mover una implementación desde la fase de ensayo a la de producción. En este caso, seexporta la aplicación web de la implementación de ensayo como un archivo ZIP. A continuación, seimporta el archivo ZIP a la implementación de producción.

Después de agregar las aplicaciones Web al diálogo, puede configurar la información delaprovisionamiento, la licencia, las directivas de acceso y las autorizaciones.

Agrupar recursos en categoríasLos recursos se pueden organizar en categorías lógicas para que los usuarios puedan localizarfácilmente el recurso que necesitan en el portal de Workspace ONE.

Al crear las categorías tenga en cuenta la estructura de la organización, la función de trabajo de losrecursos y el tipo de recurso. Se puede asignar más de una categoría a un recurso. Por ejemplo, puedecrear una categoría llamada Socio de ventas y otra llamada Recursos de ventas de personal. AsigneSocio de ventas a todos los recursos de ventas del catálogo. Además, Recursos de ventas de personal alos recursos de ventas específicos que solo se comparten con los socios de personal.

Después de crear una categoría, esta se puede aplicar a cualquiera de los recursos del catálogo. Puedeaplicar varias categorías al mismo recurso.


VMware, Inc. 96

Cuando los usuarios inician sesión en su portal de Workspace ONE, ven las categorías que se hanhabilitado para la vista.

Consulte la sección Administrar el catálogo de la Guía de administración de VMware Identity Manager.


VMware, Inc. 97

Personalización de marca paralos servicios deVMware Identity Manager 11Puede personalizar los logotipos, las fuentes y el fondo que aparecen en la consola de administración,las pantallas de inicio de sesión del administrador y del usuario, la vista web del portal de aplicaciones deWorkspace ONE y la vista web de la aplicación Workspace ONE en dispositivos móviles.

Puede usar la herramienta de personalización para que coincidan con el estilo, el diseño, los logotipos ylos colores de su empresa.

Este capítulo cubre los siguientes temas:n Personalizar marcas en el servicio de VMware Identity Manager

n Personalizar marcas para el portal de usuario

Personalizar marcas en el servicio deVMware Identity ManagerPuede agregar el nombre de la empresa y el nombre del producto en la consola de administración y elportal del usuario, así como el icono de favoritos en la barra de direcciones para ambos elementos.También puede personalizar la página de inicio de sesión para establecer los colores de fondo que seadecuen al diseño del logotipo y los colores de su compañía.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Personalización de marca.

2 Edite la configuración siguiente de la forma que corresponda.

Campo del formulario Descripción

Pestaña Nombres y logotipos

Nombre de la empresa Nombre de la empresa se aplica tanto a los dispositivos móviles como a los escritorios. Puedeagregar el nombre de la empresa como el título que aparecerá en la pestaña del navegador.

Si desea cambiar el nombre de la empresa, introduzca otro nombre sobre el que ya aparece.

Nombre del producto Nombre del producto se aplica tanto a los dispositivos móviles como a los escritorio. El nombredel producto se muestra tras el nombre de la empresa en la pestaña del navegador.

VMware, Inc. 98

Campo del formulario Descripción

Icono de favoritos Un icono de favoritos es un icono asociado a una URL que se muestra en la barra dedirecciones del navegador.

El tamaño máximo de la imagen del icono de favoritos es 16 x 16 px. El formato puede serJPEG, PNG, GIF o ICO.

Haga clic en Cargar para cargar una nueva imagen que sustituya al icono de favoritos actual.Se le pedirá que confirme el cambio. El cambio se realiza inmediatamente.

Pestaña Pantalla de inicio de sesión

Logotipo Haga clic en Cargar para cargar un nuevo logotipo que sustituya al actual en las pantallas deinicio de sesión. Al hacer clic en Confirmar, el cambio se realiza inmediatamente.

El tamaño mínimo de imagen recomendado para cargar es 350 x 100 px. Si carga imágenes conun tamaño superior a 350 x 100 px, se ajustarán a un tamaño de 350 x 100 px. El formato puedeser JPEG, PNG o GIF.

Color de fondo Color de fondo que se muestra en la pantalla de inicio de sesión.

Para cambiar el color de fondo, introduzca el código de color hexadecimal de seis dígitos sobreel que ya aparece.

Color de fondo delcuadro

El color del cuadro de la pantalla de inicio de sesión se puede personalizar.

Introduzca el código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo delbotón de inicio desesión

El color del botón de inicio de sesión se puede personalizar.

Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color del texto delbotón de inicio desesión

El color del texto que aparece en el botón de inicio de sesión se puede personalizar.

Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Cuando personalice la pantalla de inicio de sesión, podrá ver los cambios en el panel Vista previaantes de guardarlos.


Las actualizaciones de personalización de marca realizadas en la consola de administración y laspáginas de inicio de sesión se aplican en un plazo de cinco minutos después de hacer clic en Guardar.


Compruebe el aspecto de los cambios de personalización de marca en las distintas interfaces.

Actualice el aspecto de la vista en el tablet, el móvil y el portal de Workspace ONE de usuario final.Consulte Personalizar marcas para el portal de usuario

Personalizar marcas para el portal de usuarioPuede agregar un logotipo, cambiar los colores del fondo y agregar imágenes para personalizar el portalde Workspace ONE.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración >Personalización de marca del portal de usuario.


VMware, Inc. 99

2 Edite la configuración de la forma oportuna.

Elemento delformulario Descripción

Logotipo Agregue un logotipo de cabecera para que sea el banner en la parte superior de la consola deadministración y las páginas web del portal de Workspace ONE.

El tamaño máximo de la imagen es 220 x 40 px. El formato puede ser JPEG, PNG o GIF.

Portal

Color de fondo de lacabecera

Para cambiar el color de fondo de la cabecera, introduzca un código de color hexadecimal deseis dígitos sobre el que ya aparece. Al introducir el nuevo código de color, cambiará el color defondo en la pantalla de vista previa del portal de la aplicación.

Color del texto de lacabecera

Para cambiar el color del texto que aparece en la cabecera, introduzca un código de colorhexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo Color de fondo que se muestra en la pantalla del portal web.

Para cambiar el color de fondo, introduzca un nuevo código de color hexadecimal de seis dígitossobre el que ya aparece. Al introducir el nuevo código de color, cambiará el color de fondo en lapantalla de vista previa del portal de la aplicación.

Seleccione Fondo resaltado para destacar el color de fondo. Si la opción Fondo resaltado estáhabilitada, los navegadores que admiten varias imágenes de fondo muestran la superposiciónen el programa de inicio y las páginas del catálogo.

Seleccione Trama de fondo para establecer la trama prediseñada del triángulo en el color defondo.

Color de fondo de icono Introduzca un código de color hexadecimal de seis dígitos para cambiar el cuadro de color defondo que rodea los iconos de las aplicaciones.

Opacidad del fondo delicono

Para establecer una transparencia, mueva el control deslizante de la barra.

Color del nombre y delicono

Puede seleccionar el color del texto de los nombres que aparecen debajo de los iconos en laspáginas del portal de la aplicación.

Para cambiar el color de fondo, introduzca un código de color hexadecimal sobre el que yaaparece.

Efecto de las letras Seleccione el tipo de letras que utilizará para el texto en las pantallas del portal de WorkspaceONE.

Fondo resaltado Si se habilita, en los navegadores que admiten varias imágenes de fondo, la superposición defondo se muestra en las páginas de marcadores y del catálogo.

Trama de fondo Si se habilita, en los navegadores que admiten varias imágenes bg, las superposiciones defondo aparecen en las páginas de marcadores y del catálogo.

Imagen (opcional) Para agregar una imagen al fondo en la pantalla del portal de la aplicación en vez de un color,cargue una imagen.


Las actualizaciones de personalización de marca se realizan cada 24 horas para el portal del usuario.Para realizar un envío push más rápido de los cambios, abra una nueva pestaña como administrador,introduzca esta URL y sustituya su nombre de dominio por miempr.ejemplo.com.https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true


VMware, Inc. 100


Revise el aspecto de los cambios de personalización de marca en las distintas interfaces.


VMware, Inc. 101

Acceso a otros documentos 12Al configurar Workspace ONE, es posible que deba consultar la documentación de referencia de VMwareIdentity Manager y VMware AirWatch.

Para obtener una lista de la documentación completa de AirWatch 9.2, vaya a https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm.

Para obtener la documentación general de AirWatch, puede ir a AirWatch Resources en Mi AirWatch, ybuscar otras versiones de la documentación.

Para obtener la documentación general de VMware Identity Manager, puede ir a https://docs.vmware.com/es/VMware-Identity-Manager/index.html.

VMware, Inc. 102

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://resources.air-watch.com

https://docs.vmware.com/es/VMware-Identity-Manager/index.html

vmware workspace one · introducción a workspace one 1 vmware workspace ® one ® es una...

Documents