363n de VMware Identity Manager - VMware Identity … · uso de recursos y de dispositivos, ... La...

156
Administración de VMware Identity Manager VMware Identity Manager 2.8

Transcript of 363n de VMware Identity Manager - VMware Identity … · uso de recursos y de dispositivos, ... La...

Administración de VMware IdentityManager

VMware Identity Manager 2.8

Administración de VMware Identity Manager

2 VMware, Inc.

Puede encontrar la documentación técnica más actualizada en el sitio web de WMware en:

https://docs.vmware.com/es/

En el sitio web de VMware también están disponibles las últimas actualizaciones del producto.

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2013 – 2016 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

Contenido

Acerca de la sección de administración de VMware Identity Manager 7

1 Uso de la consola de administración de VMware Identity Manager 9

Navegar por la consola de administración 9Introducción a la configuración de Administración de acceso e identidad 11

2 Integración con el directorio empresarial 15

Conceptos importantes relacionados con la integración de directorios 15

3 Integrar con Active Directory 17

Entornos de Active Directory 17Acerca de la selección de controladores de dominio (archivo domain_krb.properties) 19Administrar atributos de usuario que se sincronizan desde Active Directory 24Permisos necesarios para unir un dominio 25Configurar la conexión de Active Directory con el servicio 26Permitir a los usuarios cambiar las contraseñas de Active Directory 31Configurar los elementos de protección de la sincronización de directorio 32

4 Integrar los directorios LDAP 35

Limitaciones de la integración del directorio LDAP 35Integrar un directorio LDAP en el servicio 36

5 Usar directorios locales 41

Crear un directorio local 42Cambiar la configuración del directorio local 47Eliminar un directorio local 48Configurar el método de autenticación para los usuarios administradores del sistema 49

6 Aprovisionamiento de usuarios Just-in-Time 51

Acerca del aprovisionamiento de usuarios Just-in-Time 51Preparar el aprovisionamiento Just-in-Time 52Configurar el aprovisionamiento de usuarios Just-in-Time 54Requisitos para las aserciones SAML 55Deshabilitación del aprovisionamiento de usuarios Just-in-Time 56Eliminar un directorio Just-in-Time 56Mensajes de error 57

7 Configurar la autenticación de usuario de VMware Identity Manager 59

Configurar Kerberos para VMware Identity Manager 61Configurar SecurID para VMware Identity Manager 65Configurar RADIUS para VMware Identity Manager 67

VMware, Inc. 3

Configurar la autenticación adaptativa de RSA en VMware Identity Manager 69Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con

VMware Identity Manager 72Configurar VMware para la autenticación en dos fases 75Configurar un proveedor de identidades integrado 77Configurar proveedores de identidades adicionales de Workspace 79Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios 80Administrar métodos de autenticación que se apliquen a los usuarios 82

8 Administrar políticas de acceso 87

Establecer la configuración de la directiva de acceso 87Administrar las directivas específicas de aplicaciones de escritorio y web 90Agregar una directiva específica de aplicaciones de escritorio y web 91Configurar el mensaje de error personalizado de acceso denegado 92Editar una directiva de acceso 93Habilitación de cookies persistentes en dispositivos móviles 94

9 Administrar usuarios y grupos 95

Tipos de usuarios y grupos 95Acerca de los nombres de usuario y de grupo 96Administrar usuarios 97Crear grupos y configurar reglas de grupo 98Editar reglas de grupo 101Agregar recursos a grupos 101Crear usuarios locales 102Administrar contraseñas 104

10 Administración del catálogo 107

Administrar recursos del catálogo 108Agrupar recursos en categorías 111Administración de la configuración de catálogo 113

11 Trabajar en el panel de información de la consola de administración 119

Supervisar los usuarios y el uso de recursos desde el panel de información 119Supervisar el estado y la información del sistema 120Ver informes 121

12 Personalización de marca en los servicios de VMware Identity Manager 123

Personalizar marcas en VMware Identity Manager 123Personalizar marcas para el portal de usuario 125Personalización de marca para la aplicación VMware Verify 126

13 Integrar AirWatch con VMware Identity Manager 127

Configurar AirWatch para la integración con VMware Identity Manager 128Configurar una instancia de AirWatch en VMware Identity Manager 131Habilitación del catálogo unificado de AirWatch 132Implementación de la autenticación con AirWatch Cloud Connector 133

Administración de VMware Identity Manager

4 VMware, Inc.

Implementar la autenticación Single Sign-On móvil para los dispositivos iOS administrados porAirWatch 135

Implementar la autenticación Single-Sign-On móvil en dispositivos Android 143Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch 149

Índice 151

Contenido

VMware, Inc. 5

Administración de VMware Identity Manager

6 VMware, Inc.

Acerca de la sección de administración deVMware Identity Manager

La sección de administración de VMware Identity Manager proporciona información e instrucciones parautilizar y mantener los servicios de VMware Identity Manager. VMware Identity Manager™ permiteconfigurar y administrar métodos de autenticación y directivas de acceso, personalizar un catálogo derecursos para las aplicaciones de la organización y proporcionar a los usuarios un acceso seguro,multidispositivo y administrado a esos recursos. Esos recursos incluyen aplicaciones web, aplicaciones deWindows obtenidas como paquetes de ThinApp, aplicaciones basadas en Citrix y grupos de aplicaciones yescritorios de View.

Público objetivoEsta información está dirigida a cualquier usuario que desee configurar y administrarVMware Identity Manager. Esta información está escrita para administradores de sistemas Windows oLinux con experiencia y que estén familiarizados con la tecnología de máquina virtual, la gestión deidentidades, Kerberos y servicios de directorio. Es útil conocer también otras tecnologías como VMwareThinApp®, View, virtualización de aplicaciones de Citrix y métodos de autenticación, como RSA SecurID, siestá prevista su implementación.

VMware, Inc. 7

Administración de VMware Identity Manager

8 VMware, Inc.

Uso de la consola de administraciónde VMware Identity Manager 1

La consola de administración de VMware Identity Manager™ proporciona una consola de administracióncentralizada con la que se pueden administrar usuarios y grupos, agregar recursos al catálogo, administrarautorizaciones para los recursos del catálogo, configurar la integración de AirWatch, así como configurar yadministrar las directivas de acceso y autenticación.

Las tareas clave que se realizan en la consola de administración son administrar la autenticación de usuariosy las directivas de acceso, y autorizar usuarios para que usen los recursos. Hay otras tareas que sustentanestas tareas clave al proporcionar un control más detallado de los usuarios o grupos que disponen deautorización sobre determinados recursos y en qué condiciones.

Los usuarios finales pueden iniciar sesión en el portal de VMware Workspace™ ONE™ desde el escritorio odesde sus dispositivos móviles para acceder a recursos de trabajo, incluidos escritorios, navegadores,documentos corporativos compartidos y varios tipos de aplicaciones que autorizó para su uso.

Este capítulo cubre los siguientes temas:

n “Navegar por la consola de administración,” página 9

n “Introducción a la configuración de Administración de acceso e identidad,” página 11

Navegar por la consola de administraciónLas tareas de la consola de administración se organizan en pestañas.

Pestaña Descripción

Panel deinformación

El panel de información de interacción del usuario se puede utilizar para supervisar al usuario y eluso de recursos. Este panel muestra información sobre quién inició la sesión, las aplicaciones quese están utilizando y la frecuencia con que se utilizan.El panel de información de diagnósticos del sistema de muestra una descripción general detalladadel estado de los dispositivos de su entorno e información sobre los servicios.Es posible crear informes para hacer un seguimiento de las actividades de grupos y usuarios, deluso de recursos y de dispositivos, así como de los eventos de auditoría de cada usuario.

Usuarios y grupos En la pestaña Usuarios y grupos, se pueden administrar y supervisar usuarios y gruposimportados de Active Directory o del directorio LDAP, crear usuarios y grupos y autorizar a losusuarios y los grupos a utilizar recursos. Puede configurar la directiva de contraseñas para losusuarios locales.

Catálogo El catálogo es el repositorio de todos los recursos cuyo uso se puede autorizar a los usuarios. En lapestaña Catálogo, puede agregar aplicaciones web, paquetes ThinApp, aplicaciones y grupos deView, escritorios de Horizon Air y aplicaciones basadas en Citrix. Puede crear una nuevaaplicación, agrupar las aplicaciones en categorías y acceder a la información de cada recurso. En lapágina de configuración del catálogo se pueden descargar certificados SAML, administrarconfiguraciones de recursos y personalizar la apariencia del portal del usuario.

VMware, Inc. 9

Pestaña Descripción

Administración deacceso e identidad

En la pestaña Administración de acceso e identidad, puede configurar el servicio del conector,configurar la integración de AirWatch, los métodos de autenticación y aplicar la personalización demarca en la página de inicio de sesión y la consola de administración. Puede administrar laconfiguración de los directorios, de los proveedores de identidades y las directivas de acceso.También se pueden configurar proveedores de identidades externos.

Configuración dedispositivos

En la pestaña Configuración de dispositivos se puede administrar la configuración del dispositivo,cambiar la configuración de certificados SSL para ese dispositivo, cambiar las contraseñas delsistema y del administrador de los servicios y administrar otras funciones de la infraestructura.También se puede actualizar la configuración de las licencias y configurar los valores de SMTP.

Navegadores web admitidos para obtener acceso a la consola deadministración

La consola de administración de VMware Identity Manager es una aplicación basada en web que le permiteadministrar su arrendatario. Los navegadores siguientes le permiten obtener acceso a la consola deadministración.

n Internet Explorer 11 para sistemas Windows

n Google Chrome 42.0 o posterior para sistemas Windows y Mac

n Mozilla Firefox 40 o posterior para sistemas Windows y Mac

n Safari 6.2.8 y posterior para sistemas Mac

NOTA: En Internet Explorer 11, es necesario tener habilitado JavaScript y el uso de cookies para superar laautenticación de VMware Identity Manager.

Componentes de los usuarios finales de VMware Identity ManagerLos usuarios pueden acceder a los recursos autorizados desde el portal de Workspace ONE.

Pueden acceder a aplicaciones de Windows virtualizadas obtenidas como paquetes de ThinApp de IdentityManager Desktop .

Tabla 1‑1. Componentes de cliente de usuario

Componente de usuario Descripción Terminales disponibles

Portal de aplicaciones de usuariode Workspace ONE

El portal de aplicaciones es una aplicación basada enweb sin agente. Se trata de la interfaz predeterminadaque se usa cuando los usuarios obtienen acceso usanen un navegador los recursos para los que disponen deautorización.Si un usuario final ha autorizado aplicacionesThinApp y se encuentra en un equipo Windows en elque la aplicación Identity Manager Desktop seencuentra instalada y en funcionamiento, podrá ver einiciar en este portal de aplicaciones los paquetes deThinApp para los que tiene autorización.

El portal de aplicacionesbasado en web seencuentra disponible entodos los terminales delsistema compatibles, comoequipos Windows y Mac, ydispositivos con iOS yAndroid.

Identity Manager Desktop Cuando este programa se encuentra instalado en losequipos Windows de los usuarios, estos podrántrabajar con sus aplicaciones Windows virtualizadasque se han capturado como paquetes de ThinApp.

Equipos Windows

Administración de VMware Identity Manager

10 VMware, Inc.

Introducción a la configuración de Administración de acceso eidentidad

La pestaña Administración de acceso e identidad de la consola de administración permite configurar yadministrar los métodos de autenticación, las directivas de acceso y el servicio de directorio, así comopersonalizar el portal del usuario final y el aspecto de la consola de administración.

A continuación, se describen las opciones de configuración de la pestaña Administración de acceso eidentidad.

Figura 1‑1. Páginas de configuración de Administración de acceso e identidad

Tabla 1‑2. Configuración de administración de identidad y acceso

Configuración Descripción

Configurar > Conectores La página Conectores muestra los conectores implementados en su red empresarial. Elconector se usa para sincronizar los datos de los usuarios y de los grupos entre el directorioempresarial y el servicio y, cuando se utiliza como proveedor de identidades, autentica losusuarios en el servicio.Cuando se asocia un directorio con una instancia de conectores, el conector crea unapartición para el directorio asociado llamada trabajo. Una instancia de conectores puedetener varios trabajos asociados a ella. Cada trabajo actúa como proveedor de identidades.Se definen y configuran los métodos de autenticación para cada trabajo.El conector sincroniza los datos de los usuarios y de los grupos entre el directorioempresarial y el servicio a través de uno o varios trabajos.n En la columna Trabajo, seleccione un trabajo para ver los detalles del conector y

navegar a la página Adaptadores de autenticación para consultar el estado de losmétodos de autenticación disponibles. Para obtener información sobre la configuración,consulte Capítulo 7, “Configurar la autenticación de usuario de VMware IdentityManager,” página 59.

n En la columna Proveedor de identidades, seleccione la IdP para ver, editar o desactivar.Consulte “Agregar y configurar una instancia de proveedor de identidades,”página 80.

n En la columna Directorio asociado, acceda al directorio asociado a este trabajo.Para poder agregar un conector nuevo, haga clic en Agregar conector con el fin de generarun código de activación que puede pegar en el asistente de configuración para establecer lacomunicación con el conector.Vínculo Unirse al dominion Haga clic en Unirse al dominio para unir el conector a un dominio de Active Directory

concreto. Por ejemplo, al configurar la autenticación Kerberos, debe unirse al dominioActive Directory que contenga usuarios o al que tenga relación de confianza con losdominios que contengan usuarios.

n Al configurar un directorio con un Active Directory de autenticación de Windowsintegrada, el conector se une al dominio según la configuración.

Configurar >Personalización de marca

La página Personalización de marca permite personalizar la pantalla de inicio de sesión y elencabezado de la consola de administración. Consulte “Personalizar marcas en VMwareIdentity Manager,” página 123.Para personalizar las vistas para Web y para móviles y tablets, del portal de usuario final,vaya a Catálogo > Configuración> Personalización de marca del portal de usuario. Consulte “Personalizar marcas para el portal de usuario,” página 125.

Configurar > Atributos deusuario

En la página Atributos de usuario se muestran los atributos de usuario predeterminadosque se sincronizan en el directorio y podrá agregar otros atributos que puede asignar aatributos de Active Directory. Consulte “Seleccionar atributos para sincronizar con eldirectorio,” página 24.

Capítulo 1 Uso de la consola de administración de VMware Identity Manager

VMware, Inc. 11

Tabla 1‑2. Configuración de administración de identidad y acceso (Continua)

Configuración Descripción

Configurar > Rangos deredes

Esta página muestra los rangos de redes que haya agregado. Al configurar un rango deredes, se permite el acceso de los usuarios a través de esas direcciones IP. Puede agregarrangos de redes adicionales y editar los rangos existentes. Consulte “Agregar o editar unrango de redes,” página 82.

Configurar > Detecciónautomática

Cuando se integran VMware Identity Manager y AirWatch, es posible integrar el serviciode detección automática de Windows que se implementó en la configuración de AirWatchcon el servicio de VMware Identity Manager. Para obtener más información sobre cómoconfigurar la detección automática en AirWatch, consulte la guía de instalación del serviciode detección automática de Windows en VMware AirWatch disponible en el sitio web deAirWatch, http://air-watch.comRegistre el dominio de correo electrónico que usará el servicio de detección automáticapara facilitar a los usuarios el acceso a su portal de aplicaciones mediante Workspace ONE.Los usuarios finales pueden introducir sus direcciones de correo electrónico en lugar de laURL de la organización al obtener acceso a su portal de aplicaciones mediante WorkspaceONE.Consulte la guía sobre la configuración de la aplicación VMware Workspace ONE endispositivos para obtener más información sobre la detección automática.

Configurar > AirWatch Esta página permite configurar la integración con AirWatch. Una vez configurada yguardada la integración, puede habilitar el catálogo unificado para fusionar laconfiguración de las aplicaciones AirWatch Catalog para el catálogo unificado, habilitar lacomprobación de cumplimiento para verificar que los dispositivos administrados cumplenlas directivas de conformidad de AirWatch y habilitar la autenticación con contraseñamediante AirWatch Cloud Connector (ACC). Consulte Capítulo 13, “Integrar AirWatch conVMware Identity Manager,” página 127.

Configurar > Preferencias La página Preferencias muestra las funciones que el administrador puede habilitar. Estoincluye:n Se pueden habilitar cookies persistentes en esta página. Consulte “Habilitar cookie

persistente,” página 94.n Cuando se configuran usuarios locales en su servicio, para mostrar Usuarios locales

como una opción del dominio en la página de inicio de sesión, habilite Mostrarusuarios locales en la página de inicio de sesión.

A continuación, se describen las opciones de configuración usados para administrar los servicios de lapestaña Administración de acceso e identidad.

Figura 1‑2. Páginas de administración de Administración de acceso e identidad

Administración de VMware Identity Manager

12 VMware, Inc.

Tabla 1‑3. Configuración de administración de Administración de acceso e identidad

Configuración Descripción

Administrar > Directorios La página Directorios enumera los clientes que ha creado. Cree uno o varios directorios ysincronícelos a continuación con la implementación del directorio empresarial. En estapágina, puede consultar el número de grupos y usuarios que se han sincronizado en eldirectorio y el tiempo desde la última sincronización. Para iniciar la sincronización deldirectorio, haga clic en Sincronizar ahora.Consulte Capítulo 2, “Integración con el directorio empresarial,” página 15.Al hacer clic en el nombre de un directorio, puede editar la configuración desincronización, navegar por la página Proveedores de identidades y consultar el registro desincronización.Desde la página de configuración de sincronización de directorios, puede programar lafrecuencia de sincronización, consultar la lista de dominios asociados a este directorio,cambiar la lista de atributos asignados, actualizar el usuario y la lista de grupos que sesincroniza y configurar los destinos de protección.

Administrar > Proveedoresde identidades

La página Proveedores de identidades enumera los proveedores de identidades que haconfigurado. El conector es el proveedor de identidades inicial. Puede agregar instancias deproveedor de identidades de terceros o combinar ambas. El proveedor de identidadesintegrado de VMware Identity Manager se puede configurar para realizar tareas deautenticación.Consulte “Agregar y configurar una instancia de proveedor de identidades,” página 80.

Administrar > Asistente derecuperación decontraseñas

En la página Asistente de recuperación de contraseñas, puede cambiar el comportamientopredeterminado cuando el usuario final hace clic en "He olvidado la contraseña" en lapantalla de inicio de sesión.

Administrar > Directivas En la página Directivas se muestra la directiva de acceso predeterminada y otras directivasde acceso de aplicaciones Web que haya creado. Las directivas son un conjunto de reglasque especifican los criterios que se deben cumplir para que los usuarios obtengan acceso asu portal Mis aplicaciones o inicien las aplicaciones web que tienen habilitadas. Puedeeditar la directiva predeterminada y, si se agregan aplicaciones web al catálogo, puedeagregar directivas nuevas para administrar el acceso a ellas. Consulte Capítulo 8,“Administrar políticas de acceso,” página 87.

Capítulo 1 Uso de la consola de administración de VMware Identity Manager

VMware, Inc. 13

Administración de VMware Identity Manager

14 VMware, Inc.

Integración con el directorioempresarial 2

Puede integrar VMware Identity Manager con el directorio empresarial para sincronizar usuarios y gruposdel directorio empresarial al servicio de VMware Identity Manager.

Los siguientes tipos de directorios son compatibles.

n Active Directory mediante LDAP

n Active Directory, Autenticación de Windows integrada

n directorio LDAP

Realice las siguientes tareas para efectuar la integración con su directorio empresarial.

n Especifique los atributos que desea que tengan los usuarios en el servicio de VMware Identity Manager.

n Cree un directorio en el servicio de VMware Identity Manager del mismo tipo que el directorioempresarial y especifique los detalles de conexión.

n Asigne los atributos de VMware Identity Manager a los atributos utilizados en Active Directory o eldirectorio LDAP.

n Especifique los usuarios y los grupos que se sincronizan.

n Sincronice los usuarios y los grupos.

Después de integrar el directorio empresarial y realizar la sincronización inicial, puede actualizar laconfiguración, configurar una programación para que se sincronice de forma periódica o comenzar unasincronización en cualquier momento.

Conceptos importantes relacionados con la integración de directoriosVarios conceptos son esenciales para comprender cómo el servicio de VMware Identity Manager se integracon el entorno de Active Directory o del directorio LDAP.

ConectorEl conector, un componente del servicio, realiza las siguientes funciones.

n Sincroniza en el servicio la información de los usuarios y los grupos desde Active Directory o eldirectorio LDAP.

n Cuando se usa como proveedor de identidades, autentica a los usuarios en el servicio.

VMware, Inc. 15

El conector es el proveedor de identidades predeterminado. También puede usar proveedores deidentidades de terceros que admitan el protocolo SAML 2.0. Use un proveedor de identidades deterceros para un tipo de autenticación que el conector no admita o si el proveedor de identidades deterceros es preferible en función de la política de seguridad de su empresa.

NOTA: Si usa proveedores de identidades de terceros, puede configurar el conector para quesincronice los datos de usuarios y grupos o puede configurar el aprovisionamiento de usuarios Just-in-Time. Consulte la sección Aprovisionamiento de usuarios Just-in-Time del tema sobre la administraciónde VMware Identity Manager para obtener más información.

DirectorioEl servicio de VMware Identity Manager tiene su propio concepto de directorio, correspondiente a ActiveDirectory o al directorio LDAP que se encuentra en su entorno. Este directorio utiliza atributos para definirlos usuarios y los grupos. Se crean uno o varios directorios en el servicio y después se sincronizan conActive Directory o el directorio LDAP. Puede crear los siguientes tipos de directorio en el servicio.

n Active Directory

n Active Directory a través de LDAP. Cree este tipo de directorio si va a conectarse a un solo entornode dominio de Active Directory. Para el tipo de directorio Active Directory a través de LDAP, elconector se enlaza a Active Directory mediante la autenticación de enlace simple.

n Active Directory, Autenticación de Windows integrada. Cree este tipo de directorio si va aconectarse a un entorno de Active Directory con varios dominios o bosques. El conector se enlaza aActive Directory mediante Autenticación de Windows integrada.

El tipo y el número de directorios que cree varían según el entorno de Active Directory, es decir, con unsolo dominio o con varios, y según el tipo de confianza usada entre los dominios. En la mayoría de losentornos, se crea un solo directorio.

n Directorio LDAP

El servicio no tiene acceso directo a Active Directory o al directorio LDAP. Solo el conector tiene accesodirecto. Por tanto, se asocia cada directorio creado en el servicio con una instancia del conector.

TrabajoCuando se asocia un directorio a una instancia del conector, el conector crea una partición para el directorioasociado que se denomina trabajo. Una instancia del conector tiene varios trabajos asociados a ella. Cadatrabajo actúa como proveedor de identidades. Se definen y configuran los métodos de autenticación paracada trabajo.

El conector sincroniza los datos de usuarios y grupos entre Active Directory o el directorio LDAP y elservicio a través de uno o varios trabajos.

IMPORTANTE: No puede tener dos trabajos del tipo Active Directory con Autenticación de Windowsintegrada en la misma instancia del conector.

Consideraciones de seguridadPara los directorios empresariales integrados en el servicio de VMware Identity Manager, las opciones deseguridad, como las reglas de complejidad de la contraseña y las directivas de bloqueo de cuenta, se debenestablecer directamente en el directorio empresarial. VMware Identity Manager no reemplaza estasopciones.

Administración de VMware Identity Manager

16 VMware, Inc.

Integrar con Active Directory 3Es posible integrar VMware Identity Manager con la implementación de Active Directory para sincronizarusuarios y grupos desde Active Directory a VMware Identity Manager.

Consulte también “Conceptos importantes relacionados con la integración de directorios,” página 15.

Este capítulo cubre los siguientes temas:

n “Entornos de Active Directory,” página 17

n “Acerca de la selección de controladores de dominio (archivo domain_krb.properties),” página 19

n “Administrar atributos de usuario que se sincronizan desde Active Directory,” página 24

n “Permisos necesarios para unir un dominio,” página 25

n “Configurar la conexión de Active Directory con el servicio,” página 26

n “Permitir a los usuarios cambiar las contraseñas de Active Directory,” página 31

n “Configurar los elementos de protección de la sincronización de directorio,” página 32

Entornos de Active DirectoryEs posible integrar el servicio con un entorno de Active Directory formado por un único dominio de ActiveDirectory, varios dominios en un único bosque de Active Directory o varios dominios en varios bosques deActive Directory.

Entorno de dominio único de Active DirectoryLa implementación única de Active Directory permite sincronizar usuarios y grupos desde un únicodominio de Active Directory.

Para este tipo de entorno, cuando añada un directorio al servicio, seleccione la opción Active Directory enLDAP.

Para obtener más información, consulte:

n “Acerca de la selección de controladores de dominio (archivo domain_krb.properties),” página 19

n “Administrar atributos de usuario que se sincronizan desde Active Directory,” página 24

n “Permisos necesarios para unir un dominio,” página 25

n “Configurar la conexión de Active Directory con el servicio,” página 26

VMware, Inc. 17

Entorno de varios dominios y un único bosque de Active DirectoryLa implementación en varios dominios y un único bosque de Active Directory permite sincronizar usuariosy grupos desde varios dominios de Active Directory dentro de un único bosque.

Puede configurar el servicio para este tipo de entorno de Active Directory como un tipo de directorio únicode Active Directory con Autenticación de Windows integrada o, si lo desea, como un tipo de directorioActive Directory en LDAP configurado con la opción de catálogo global.

n La opción que se recomienda es crear un tipo de directorio único de Active Directory con Autenticaciónde Windows integrada.

Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación deWindows integrada).

Para obtener más información, consulte:

n “Acerca de la selección de controladores de dominio (archivo domain_krb.properties),” página 19

n “Administrar atributos de usuario que se sincronizan desde Active Directory,” página 24

n “Permisos necesarios para unir un dominio,” página 25

n “Configurar la conexión de Active Directory con el servicio,” página 26

n Si la autenticación integrada en Windows (IWA, Integrated Windows Authentication) no funciona en suentorno Active Directory, cree un directorio del tipo Active Directory mediante LDAP y seleccione laopción de catálogo global.

Entre las limitaciones que existen al seleccionar la opción de catálogo global se incluyen las siguientes:

n Los atributos del objeto de Active Directory que se replican en el catálogo global se identifican en elesquema de Active Directory como un conjunto de atributos parcial (PAS, Partial Attribute Set).Solo estarán disponibles estos atributos para la asignación de atributos por parte del servicio. Si esnecesario, edite el esquema para agregar o eliminar atributos que están almacenados en el catálogoglobal.

n El catálogo global almacena la pertenencia a grupos (el atributo de miembro) únicamente degrupos universales. Solo los grupos universales se sincronizan con el servicio. Si es necesario,cambie el ámbito de un grupo de un dominio local o global a universal.

n La cuenta de DN de enlace que defina al configurar un directorio en el servicio debe disponer depermisos de lectura sobre el atributo Token-Groups-Global-And-Universal (TGGAU).

Active Directory usa los puertos 389 y 636 para consultas LDAP estándar. Para las consultas delcatálogo global, se usan los puertos 3268 y 3269.

Cuando agregue un directorio al entorno de catálogo global, especifique lo siguiente durante laconfiguración.

n Seleccione la opción Active Directory mediante LDAP.

n Anule la selección de la casilla correspondiente a la opción Este directorio admite la ubicación deservicio de DNS.

n Seleccione la opción Este directorio tiene un catálogo global. Al seleccionar esta opción, el númerode puerto del servidor cambia automáticamente a 3268. Además, y debido a que no se necesita elDN base para configurar la opción de catálogo global, no se mostrará el cuadro de texto DN base.

n Agregue el nombre de host del servidor de Active Directory.

n Si su Active Directory necesita acceder mediante SSL, seleccione la opción Este directorio requiereque todas las conexiones usen SSL y pegue el certificado en el cuadro de texto proporcionado. Alseleccionar esta opción, el número de puerto del servidor cambia automáticamente a 3269.

Administración de VMware Identity Manager

18 VMware, Inc.

Entorno de varios bosques de Active Directory con relaciones de confianzaLa implementación de varios bosques de Active Directory con relaciones de confianza permite sincronizarusuarios y grupos de varios dominios de Active Directory de diversos bosques entre los que exista unarelación de confianza bidireccional.

Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación deWindows integrada).

Para obtener más información, consulte:

n “Acerca de la selección de controladores de dominio (archivo domain_krb.properties),” página 19

n “Administrar atributos de usuario que se sincronizan desde Active Directory,” página 24

n “Permisos necesarios para unir un dominio,” página 25

n “Configurar la conexión de Active Directory con el servicio,” página 26

Entorno de varios bosques de Active Directory sin relaciones de confianzaLa implementación de varios bosques de Active Directory sin relaciones de confianza permite sincronizarusuarios y grupos de varios dominios de Active Directory de diversos bosques sin la existencia de unarelación de confianza entre los dominios. Para este tipo de entorno se crean varios directorios en el servicio,uno para cada bosque.

El tipo de directorios que se creen en el servicio dependerá del bosque. En el caso de bosques con variosdominios, seleccione la opción Active Directory (Autenticación de Windows integrada). En el caso de unbosque con un único dominio, seleccione la opción Active Directory en LDAP.

Para obtener más información, consulte:

n “Acerca de la selección de controladores de dominio (archivo domain_krb.properties),” página 19

n “Administrar atributos de usuario que se sincronizan desde Active Directory,” página 24

n “Permisos necesarios para unir un dominio,” página 25

n “Configurar la conexión de Active Directory con el servicio,” página 26

Acerca de la selección de controladores de dominio (archivodomain_krb.properties)

El archivo domain_krb.properties determina qué controladores de dominio se utilizarán para los directoriosque tengan habilitada la búsqueda de ubicación del servicio DNS (registros SRV). Contiene una lista decontroladores de dominio para cada dominio. El conector crea inicialmente el archivo, y posteriormentedeberá mantenerlo usted. El archivo anula la búsqueda de ubicación del servicio DNS (SRV).

Los siguientes tipos de directorio tienen habilitada la búsqueda de ubicación del servicio DNS:

n Active Directory mediante LDAP con la opción Este directorio admite la ubicación de servicio de DNSseleccionada

n Active Directory (autenticación integrada de Windows), que tiene siempre habilitada la búsqueda deubicación del servicio DNS

Al crear por primara vez un directorio que tenga habilitada la búsqueda de ubicación del servicio DNS, secreará automáticamente un archivo domain_krb.properties en el directorio /usr/local/horizon/conf de lamáquina virtual, que se rellenará automáticamente con los controladores de dominio para cada dominio.Para rellenar el archivo, el conector intenta encontrar controladores de dominio que se encuentren en elmismo sitio que el conector y selecciona dos a los que se pueda acceder y que respondan más rápido.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 19

Al crear directorios adicionales que tengan habilitada la ubicación del servicio DNS, o al agregar nuevosdominios a un directorio de autenticación integrada de Windows, los nuevos dominios se agregarán alarchivo, junto con una lista de controladores de dominio para ellos.

Para anular en cualquier momento la selección predeterminada, edite el archivo domain_krb.properties.Después de crear un directorio, se recomienda revisar el archivo domain_krb.properties y verificar que loscontroladores de dominio indicados son los óptimos para esa configuración. En implementaciones globalesde Active Directory con varios controladores de dominio en distintas ubicaciones geográficas, si se utiliza uncontrolador de dominio que esté muy próximo al conector se asegura una comunicación más rápida conActive Directory.

También se deben actualizar manualmente otros cambios en el archivo. Se aplican las siguientes reglas.

n El archivo domain_krb.properties se crea en la máquina virtual que contiene el conector. En unaimplementación típica, sin conectores adicionales, el archivo se crea en la máquina virtual del servicioVMware Identity Manager. Si se utiliza un conector adicional para el directorio, el archivo se crea en lamáquina virtual del conector. Una máquina virtual solo puede tener un archivo domain_krb.properties.

n El archivo se crea y se rellena automáticamente con los controladores de dominio para cada dominio alcrear por primera vez un directorio que tenga habilitada la búsqueda de ubicación del servicio DNS.

n Los controladores de dominio de cada dominio se indican en orden de prioridad. Para conectar a ActiveDirectory, el conector intenta utilizar el primer controlador de dominio de la lista. Si no está accesible, lointenta con el segundo de la lista, y así sucesivamente.

n El archivo solo se actualiza al crear un nuevo directorio que tenga habilitada la búsqueda de ubicacióndel servicio DNS, o bien al agregar un dominio a un directorio de autenticación integrada de Windows.El nuevo dominio y la lista de sus controladores de dominio se agregarán al archivo.

Tenga en cuenta que si ya existe una entrada para un dominio en el archivo, no se actualizará. Porejemplo, si se crea un directorio y se elimina a continuación, la entrada de dominio original permaneceen el archivo y no se actualiza.

n El archivo no se actualiza automáticamente en ningún otro caso. Por ejemplo, si se elimina undirectorio, la entrada de dominio no se elimina en el archivo.

n Si no se puede acceder a un controlador de dominio de la lista del archivo, edite el archivo y elimínelo.

n Si se agrega o elimina una entrada de dominio manualmente, los cambios no se sobrescribirán.

Para obtener información sobre cómo editar el archivo domain_krb.properties, consulte “Editar el archivodomain_krb.properties,” página 22.

IMPORTANTE: El archivo /etc/krb5.conf debe ser coherente con el archivo domain_krb.properties.Cuando actualice el archivo domain_krb.properties, actualice también el archivo krb5.conf. Consulte “Editar el archivo domain_krb.properties,” página 22 y el artículo 2091744 de la base de conocimientospara obtener más información.

Cómo se seleccionan controladores de dominio para rellenar automáticamenteel archivo domain_krb.properties

Para seleccionar los controladores de dominio con los que rellenar automáticamente el archivodomain_krb.properties, se determina en primer lugar la subred en la que reside el conector (según lamáscara de red y la dirección IP) y, a continuación, se utiliza la configuración de Active Directory paraidentificar el sitio de esa subred, se obtiene la lista de controladores de dominio para ese sitio, se filtra la listapara el dominio correspondiente y se eligen los dos controladores de dominio que respondan más rápido.

Administración de VMware Identity Manager

20 VMware, Inc.

Para detectar los controladores de dominio que estén más próximos, VMware Identity Manager aplica losrequisitos siguientes:

n La subred del conector debe estar presente en la configuración de Active Directory, o bien se debeespecificar una subred en el archivo runtime-config.properties. Consulte “Anular la selección desubred predeterminada,” página 21.

La subred se utiliza para determinar el sitio.

n La configuración de Active Directory debe poder conocer el sitio.

Si no se puede determinar la subred, o si la configuración de Active Directory no permite conocer el sitio, seutilizará la búsqueda de ubicación del servicio DNS para encontrar controladores de dominio y el archivo serellenará con algunos controladores de dominio accesibles. Tenga en cuenta que estos controladores dedominio pueden no estar en la misma ubicación geográfica que el conector, lo que puede ocasionar retardoso que se agote el tiempo de espera al comunicarse con Active Directory. En este caso, edite manualmente elarchivo domain_krb.properties y especifique los controladores de dominio correctos que se deben utilizarpara cada dominio. Consulte “Editar el archivo domain_krb.properties,” página 22.

Archivo domain_krb.properties de ejemploexample.com=host1.example.com:389,host2.example.com:389

Anular la selección de subred predeterminadaPara rellenar automáticamente el archivo domain_krb.properties, el conector intenta encontrarcontroladores de dominio situados en la misma ubicación, para que la latencia entre el conector y ActiveDirectory sea mínima.

Para encontrar la ubicación, el conector determina la subred en la que reside, a partir de la dirección IP y lamáscara de red, y utiliza entonces la configuración de Active Directory para identificar la ubicación de esasubred. Si la subred de la máquina virtual no está en Active Directory, o si se desea anular la selecciónautomática de subred, se puede especificar una subred en el archivo runtime-config.properties.

Procedimiento

1 Inicie sesión en el dispositivo virtual VMware Identity Manager como usuario root.

NOTA: Si se utiliza un conector adicional para el directorio, inicie la sesión en la máquina virtual delconector.

2 Edite el archivo /usr/local/horizon/conf/runtime-config.properties para agregar el atributosiguiente.

siteaware.subnet.override=subnet

donde subnet es una subred de la ubicación cuyos controladores de dominio se desea utilizar. Porejemplo:

siteaware.subnet.override=10.100.0.0/20

3 Guarde y cierre el archivo.

4 Reinicie el servicio.

service horizon-workspace restart

Capítulo 3 Integrar con Active Directory

VMware, Inc. 21

Editar el archivo domain_krb.propertiesEl archivo /usr/local/horizon/conf/domain_krb.properties determina qué controladores de dominio seutilizarán para los directorios que tengan habilitada la búsqueda de ubicación del servicio DNS. El archivose puede editar en cualquier momento para modificar la lista de controladores de dominio de un dominio opara agregar o eliminar entradas de dominios. Los cambios no se sobrescribirán.

El archivo se creará y el conector lo rellenará automáticamente. En algunos escenarios como los siguientes,se debe actualizar manualmente:

n Si los controladores de dominio seleccionados de forma predeterminada no son los ideales para laconfiguración, edite el archivo y especifique los controladores de dominio que se deben utilizar.

n Si se elimina un directorio, se debe eliminar la entrada del dominio correspondiente del archivo.

n Si alguno de los controladores de dominio no es accesible, se debe eliminar del archivo.

Consulte también “Acerca de la selección de controladores de dominio (archivo domain_krb.properties),”página 19.

Procedimiento

1 Inicie sesión en la máquina virtual VMware Identity Manager como usuario root.

NOTA: Si se utiliza un conector adicional para el directorio, inicie la sesión en la máquina virtual delconector.

2 Cambie los directorios a /usr/local/horizon/conf.

3 Edite el archivo domain_krb.properties para agregar o editar la lista de valores de dominio a host.

Utilice el siguiente formato:

domain=host:port,host2:port,host3:port

Por ejemplo:

example.com=examplehost1.example.com:389,examplehost2.example.com:389

Indique los controladores de dominio en orden de prioridad. Para conectar a Active Directory, elconector intenta utilizar el primer controlador de dominio de la lista. Si no está accesible, lo intenta conel segundo de la lista, y así sucesivamente.

IMPORTANTE: Los nombres de dominio debes estar en minúsculas.

4 Cambie el propietario del archivo domain_krb.properties a horizon y el grupo a www mediante elcomando siguiente.

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5 Reinicie el servicio.

service horizon-workspace restart

Administración de VMware Identity Manager

22 VMware, Inc.

Qué hacer a continuación

Después de editar el archivo domain_krb.properties, edite el archivo /etc/krb5.conf. El archivo krb5.confdebe ser coherente con el archivo domain_krb.properties.

1 Edite el archivo /etc/krb5.conf y actualice la sección realms para especificar los mismos valores dedominio a host que se utilizan en el archivo /usr/local/horizon/conf/domain_krb.properties. No esnecesario especificar el número de puerto. Por ejemplo, si el archivo domain_krb.properties tiene laentrada de dominio example.com=examplehost.example.com:389, debería actualizar el archivo krb5.confa los siguientes valores.

[realms]

GAUTO-QA.COM = {

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

NOTA: Es posible tener varias entradas kdc, aunque no es un requisito, ya que en muchos casos solohay un único valor kdc. Si decide definir valores kdc adicionales, cada línea tendrá una entrada kdc quedefinirá un controlador de dominio.

2 Reinicie el servicio del área de trabajo.

service horizon-workspace restart

Consulte el artículo 2091744 de la Base de conocimientos.

Resolver problemas del archivo domain_krb.propertiesUtilice la información siguiente para resolver problemas del archivo domain_krb.properties.

Error al resolver el dominioSi el archivo domain_krb.properties ya incluye una entrada de un dominio y se intenta crear un nuevodirectorio de otro tipo para el mismo dominio, se producirá un error al resolver el dominio. Se debe editar elarchivo domain_krb.properties y eliminar manualmente la entrada del dominio antes de crear el nuevodirectorio.

No se puede acceder a los controladores de dominioDespués de agregar una entrada de dominio al archivo domain_krb.properties, no se actualizaautomáticamente. Si no se puede acceder a alguno de los controladores de dominio de la lista del archivo,edite el archivo manualmente y elimínelo.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 23

Administrar atributos de usuario que se sincronizan desde ActiveDirectory

Durante la configuración del directorio del servicio de VMware Identity Manager, selecciona los filtros yatributos del usuario de Active Directory para seleccionar los usuarios que se sincronizan en el directorio deVMware Identity Manager. Puede cambiar los atributos de usuario que se sincronizan en la consola deadministración, pestaña Administración de acceso e identidades, Configurar > Atributos de usuario.

Los cambios que se realizan y se guardan en la página Atributos de usuario se agregan a la página Atributosasignados en el directorio de VMware Identity Manager. Los cambios en los atributos se actualizan en eldirectorio durante la siguiente sincronización con Active Directory.

En la página Atributos de usuario, se muestran los atributos de directorio predeterminados que se puedenasignar a atributos de Active Directory. Seleccione los atributos que sean obligatorios; también puedeagregar otros atributos que desee sincronizar con el directorio. Cuando agrega atributos, el nombredistingue entre mayúsculas y minúsculas. Por ejemplo, dirección, Dirección y DIRECCIÓN son atributosdiferentes.

Tabla 3‑1. Atributos de Active Directory predeterminados para sincronizar con el directorio

Nombre de atributo de directorio de VMwareIdentity Manager Asignación predeterminada al atributo de Active Directory

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

dominio canonicalName. Agrega el nombre de dominio completo delobjeto.

disabled (usuario externo deshabilitado) userAccountControl. Marcado con UF_Account_DisableCuando se deshabilita una cuenta, los usuarios no puedeniniciar sesión en sus aplicaciones ni en sus recursos. Losrecursos para los que los usuarios tienen autorización no seeliminan de la cuenta para que, cuando se quite la marca de lacuenta, puedan iniciar sesión y acceder a los recursosautorizados.

phone telephoneNumber

lastName sn

firstName givenName

correo electrónico mail

userName sAMAccountName.

Seleccionar atributos para sincronizar con el directorioAl configurar el directorio de VMware Identity Manager para sincronizar con Active Directory, seespecifican los atributos de usuario que se sincronizan con el directorio. Antes de configurar el directorio,puede especificar en la página Atributos de usuario qué atributos predeterminados son obligatorios y añadirotros adicionales que desee asignar a atributos de Active Directory.

Cuando configura la página Atributos de usuario antes de que se cree el directorio, puede cambiar losatributos predeterminados de obligatorios a no obligatorios, marcar atributos como obligatorios y añadiratributos personalizados.

Una vez creado el directorio, puede convertir un atributo obligatorio en no obligatorio, y puede eliminaratributos personalizados. No se puede convertir un atributo en atributo obligatorio.

Administración de VMware Identity Manager

24 VMware, Inc.

Cuando añada otros atributos para que se sincronicen con el directorio, una vez creado el directorio, vaya ala página Atributos asignados del directorio para asignar estos atributos a atributos de Active Directory.

IMPORTANTE: Si va a sincronizar recursos de XenApp con VMware Identity Manager, debe convertirdistinguishedName en atributo obligatorio. Debe especificar esto antes de crear el directorio deVMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneConfiguración > Atributos de usuario.

2 En la sección Atributos predeterminados, repase la lista de atributos obligatorios y realice los cambiosnecesarios para reflejar cuáles deben serlo.

3 En la sección Atributos, añada el nombre de atributo de directorio de VMware Identity Manager a lalista.

4 Haga clic en Guardar.

Se actualiza el estado de atributo predeterminado y los atributos que añadió se incorporan a la listaAtributos asignados del directorio.

5 Tras la creación del directorio, vaya a la página Administrar > Directorios y seleccione el directorio.

6 Haga clic en Configuración de sincronización > Atributos asignados.

7 En el menú desplegable de los atributos que haya añadido, seleccione el atributo de Active Directory alque realizar la asignación.

8 Haga clic en Guardar.

El directorio se actualizará la próxima vez que se sincronice con Active Directory.

Permisos necesarios para unir un dominioEn algunos casos, puede que necesite unir el conector de VMware Identity Manager a un dominio. Paradirectorios Active Directory mediante LDAP, puede unirse a un dominio después de crear el directorio. Paradirectorios del tipo Active Directory (autenticación IWA), el conector se une automáticamente al dominio alcrear el directorio. En ambos casos se le pedirán las correspondientes credenciales.

Para unirse a un dominio, necesita credenciales de Active Directory con el privilegio para "unir el equipo aldominio de AD". Esto se configura en Active Directory con los derechos siguientes:

n Crear objetos de equipo

n Eliminar objetos de equipo

Al unir un dominio se crea un objeto de equipo en la ubicación predeterminada en Active Directory, amenos que especifique una unidad organizativa personalizada.

Siga los siguientes pasos si no cuenta con los derechos necesarios para unirse a un dominio y desea realizareste proceso.

1 Pida a su administrador de Active Directory que cree el objeto de equipo en Active Directory, en unaubicación determinada por la directiva de la empresa. Proporcione el nombre de host del conector.Asegúrese de que proporciona el nombre de dominio plenamente cualificado, comoservidor.ejemplo.com.

Tip Puede consultar el nombre de host en la columna Nombre de host de la página Conectores de laconsola de administración. Haga clic en Administración de acceso e identidad > Configurar >Conectores para abrir la página Conectores.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 25

2 Después de crear el objeto de equipo, únase al dominio mediante cualquier cuenta de usuario deldominio en la consola de administración de VMware Identity Manager.

El comando Unirse al dominio está disponible en la página Conectores; para obtener acceso a ella, haga clicen Administración de acceso e identidad > Configurar > Conectores.

Opción Descripción

Dominio Seleccione o introduzca el dominio de Active Directory quedesee unir. Compruebe que introduce el nombre dedominio completo. Por ejemplo: servidor.ejemplo.com.

Usuario de dominio El nombre de un usuario de Active Directory que tengaderecho para unir sistemas al dominio de Active Directory.

Contraseña de dominio La contraseña del usuario.

Unidad organizativa (OU) (Opcional) La unidad organizativa (OU) del objeto delequipo. Esta opción crea un objeto de equipo en la unidadorganizativa especificada en lugar de la predeterminadadel equipo.Por ejemplo, ou=testou,dc=test,dc=example,dc=com.

Configurar la conexión de Active Directory con el servicioEn la consola de administración, especifique la información necesaria para conectar con Active Directory yseleccionar usuarios y grupos para sincronizar con el directorio de VMware Identity Manager.

Las opciones de conexión de Active Directory son mediante LDAP o mediante la autenticación integrada deWindows de Active Directory. La conexión de Active Directory mediante LDAP es compatible con labúsqueda de ubicación del servicio DNS. Con la autenticación integrada de Windows de Active Directory esnecesario configurar el dominio al que se unirá.

Prerequisitos

n Seleccione los atributos necesarios y agregue atributos adicionales, en caso de que sea necesario, en lapágina Atributos de usuario. Consulte “Seleccionar atributos para sincronizar con el directorio,”página 24.

IMPORTANTE: Si va a sincronizar recursos de XenApp con VMware Identity Manager, debeconvertir distinguishedName en atributo obligatorio. Debe realizar esta selección antes de crear undirectorio, ya que los atributos no se pueden cambiar para que sean obligatorios después de crear eldirectorio.

n Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory.

n Para Active Directory mediante LDAP, la información necesaria incluye DN base, DN de enlace ycontraseña de DN de enlace.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que nocaduque.

n Para la Autenticación de Windows integrada de Active Directory, la información necesaria incluye ladirección UPN del usuario de enlace del dominio y la contraseña.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que nocaduque.

n Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificado deCA raíz del controlador de dominio de Active Directory.

Administración de VMware Identity Manager

26 VMware, Inc.

n Para la Autenticación de Windows integrada de Active Directory, cuando se tiene configurado ActiveDirectory con varios bosques y el grupo local de dominios contiene miembros de dominios dediferentes bosques, asegúrese de que el usuario de enlace se añada al grupo de Administradores deldominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en elgrupo local de dominios.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en Agregar directorio.

3 Introduzca un nombre para este directorio de VMware Identity Manager.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 27

4 Seleccione el tipo de Active Directory de su entorno y configure la información de conexión.

Opción Descripción

Active Directory mediante LDAP a En el campo Conector de sincronización, seleccione el conector que seutilizará para sincronizar con Active Directory.

b En el campo Autenticación, si se utiliza este Active Directory paraautenticar usuarios, haga clic en Sí.

Si se utiliza otro proveedor para autenticar usuarios, haga clic en No.Después de configurar la conexión de Active Directory parasincronizar usuarios y grupos, acceda a la página Administración deacceso e identidad > Administrar > Proveedores de identidades paraagregar el proveedor de identidades externo para la autenticación.

c En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

d Si Active Directory utiliza la búsqueda de ubicaciones de servicio deDNS, seleccione las opciones siguientes.n En la sección Ubicación del servidor, active la casilla Este

directorio admite la ubicación de servicio de DNS.

Se creará un archivo domain_krb.properties rellenadoautomáticamente con una lista de controladores de dominioscuando se cree el directorio. Consulte “Acerca de la selección decontroladores de dominio (archivo domain_krb.properties),”página 19 .

n Si Active Directory requiere el cifrado STARTTLS, active la casillaEste directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".NOTA: Si Active Directory requiere STARTTLS y usted noproporciona el certificado, no podrá crear el directorio.

e Si Active Directory no utiliza la búsqueda de ubicaciones de serviciode DNS, seleccione las opciones siguientes.n En la sección Ubicación del servidor, compruebe que la casilla

Este directorio admite la ubicación de servicio de DNS no estéseleccionada y introduzca el número de puerto y el nombre dehost del servidor de Active Directory.

Para configurar el directorio como un catálogo global, consulte lasección Entorno de varios dominios y un único bosque de ActiveDirectory de “Entornos de Active Directory,” página 17.

n Si Active Directory requiere acceso mediante SSL, active la casillaEste directorio requiere que todas las conexiones usen SSL en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Administración de VMware Identity Manager

28 VMware, Inc.

Opción DescripciónAsegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".NOTA: Si Active Directory requiere SSL y usted no proporcionael certificado, no podrá crear el directorio.

f En el campo DN base, introduzca el DN desde el que deben empezarlas búsquedas en cuentas. Por ejemplo,OU=myUnit,DC=myCorp,DC=com.

g En el campo DN de enlace, introduzca la cuenta que puede buscarusuarios. Por ejemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com.NOTA: Se recomienda utilizar una cuenta de usuario de DN deenlace con una contraseña que no caduque.

h Después de introducir la contraseña de enlace, haga clic en Probarconexión para verificar que el directorio se puede conectar a ActiveDirectory.

Active Directory (Autenticación deWindows integrada)

a En el campo Conector de sincronización, seleccione el conector que seutilizará para sincronizar con Active Directory.

b En el campo Autenticación, si se utiliza este Active Directory paraautenticar usuarios, haga clic en Sí.

Si se utiliza otro proveedor para autenticar usuarios, haga clic en No.Después de configurar la conexión de Active Directory parasincronizar usuarios y grupos, acceda a la página Administración deacceso e identidad > Administrar > Proveedores de identidades paraagregar el proveedor de identidades externo para la autenticación.

c En el campo Atributo de búsqueda de directorios, seleccione elatributo de la cuenta que contiene el nombre de usuario.

d Si Active Directory requiere el cifrado STARTTLS, active la casilla Estedirectorio requiere que todas las conexiones usen STARTTLS en lasección Certificados, copie el certificado de CA raíz de ActiveDirectory y péguelo en el campo Certificado SSL.

Asegúrese de que el certificado esté en formato PEM e incluya laslíneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

Si el directorio tiene varios dominios, agregue los certificados CA raízpara todos los dominios de uno en uno.NOTA: Si Active Directory requiere STARTTLS y usted noproporciona el certificado, no podrá crear el directorio.

e Introduzca el nombre del dominio de Active Directory al que deseaunirse. Introduzca un nombre de usuario y una contraseña que tengalos derechos para unirse al dominio. Consulte “Permisos necesariospara unir un dominio,” página 25 para obtener más información.

f En el campo Dirección UPN de usuario de enlace, escriba el nombreprincipal del usuario que podrá autenticarse en el dominio. Porejemplo [email protected]: Se recomienda utilizar una cuenta de usuario de DN deenlace con una contraseña que no caduque.

g Escriba la contraseña del usuario de enlace.

5 Haga clic en Guardar y Siguiente.

Aparecerá la página con la lista de dominios.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 29

6 En Active Directory mediante LDAP, los dominios aparecen con una marca de verificación.

Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberánasociarse con esta conexión de Active Directory.

NOTA: Si añade un dominio de confianza una vez creado el directorio, el servicio no detectaráautomáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, elconector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conectorvuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

Haga clic en Siguiente.

7 Verifique que los nombres de los atributos del directorio VMware Identity Manager están asignados alos atributos de Active Directory correctos, realice los cambios necesarios y haga clic en Siguiente.

8 Seleccione los grupos que desee sincronizar desde Active Directory al directorio deVMware Identity Manager.

Opción Descripción

Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione losgrupos que aparecen a continuación.a Haga clic en + y especifique el DN de grupo. Por ejemplo,

CN=users,DC=example,DC=company,DC=com.IMPORTANTE: Especifique los DN de grupo que aparecen acontinuación del DN base que introdujo. Si un DN de grupo aparecefuera del DN base, los usuarios de dicho DN se sincronizarán, pero nopodrán iniciar sesión.

b Haga clic en Buscar grupos.

La columna Grupos para sincronizar muestra el número de gruposque se encuentran en el DN.

c Para seleccionar todos los grupos en el DN, haga clic en Seleccionartodo, o bien haga clic en Seleccionar y seleccione los gruposespecíficos que desea sincronizar.

NOTA: Cuando sincroniza un grupo, los usuarios que no tenganUsuarios del dominio como su grupo principal en Active Directory no sesincronizan.

Sincronizar miembros de grupoanidados

La opción Sincronizar miembros de grupo anidados se habilita de formapredeterminada. Cuando se habilita esta opción, todos los usuarios quepertenezcan al grupo que seleccione y los que pertenezcan a gruposanidados dentro de este grupo se sincronizan. Tenga en cuenta que losgrupos anidados no se sincronizan. Solo se sincronizarán los usuarios quepertenezcan a los grupos anidados. En el directorio deVMware Identity Manager, estos usuarios serán miembros del grupo denivel principal que seleccionó para sincronizarse.Si deshabilita la opción Sincronizar miembros de grupo anidados, todoslos usuarios que pertenezcan directamente a ese grupo se sincronizarán enel grupo que especificó. Los usuarios que pertenezcan a grupos anidadosbajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útilpara las grandes configuraciones de Active Directory en las que atravesarun árbol de grupo requiera demasiado tiempo o demasiados recursos. Sideshabilita esta opción, asegúrese de que selecciona todos los gruposcuyos usuarios desee sincronizar.

9 Haga clic en Siguiente.

Administración de VMware Identity Manager

30 VMware, Inc.

10 Especifique los usuarios adicionales que desea sincronizar, si es necesario.

a Haga clic en + e introduzca los DN del usuario. Por ejemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

IMPORTANTE: Especifique los DN de usuario que aparecen a continuación del DN base queintrodujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN sesincronizarán, pero no podrán iniciar sesión.

b (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.

Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.

11 Haga clic en Siguiente.

12 Revise la página para ver cuántos usuarios y grupos se sincronizan en el directorio y la programaciónde sincronización.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en losvínculos Editar.

13 Haga clic en Sincronizar directorio para iniciar la sincronización.

Se establece la conexión con Active Directory y los usuarios y los grupos se sincronizan desde ActiveDirectory al directorio VMware Identity Manager. El usuario de DN de enlace tiene una función deadministrador en VMware Identity Manager de forma predeterminada.

Qué hacer a continuación

n Si se creó un directorio compatible con la ubicación del servicio DNS, se creará un archivodomain_krb.properties que se rellenará con una lista de controladores de dominio. Consulte el archivopara verificar o editar la lista de controladores de dominio. Consulte “Acerca de la selección decontroladores de dominio (archivo domain_krb.properties),” página 19.

n Configure los métodos de autenticación. Una vez sincronizados los usuarios y grupos con el directorio,si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticaciónen este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.

n Revise la política de acceso predeterminada. La política de acceso predeterminada se configura parapermitir que todos los dispositivos de todos los rangos de redes accedan al explorador web, con untiempo de espera de sesión definido en ocho horas, o bien acceder a una aplicación del cliente con untiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de accesopredeterminada. Asimismo, cuando añada aplicaciones web al catálogo, podrá crear otras nuevas.

n Aplique la personalización de marca a la consola de administración, a las páginas del portal de usuarioy a la pantalla de inicio de sesión.

Permitir a los usuarios cambiar las contraseñas de Active DirectoryPuede proporcionar a los usuarios la capacidad de cambiar las contraseñas de Active Directory desde laaplicación o el portal de Workspace ONE cuando lo deseen. Los usuarios también pueden restablecer suscontraseñas de Active Directory desde la página de inicio de sesión de VMware Identity Manager si lacontraseña caducó o si el administrador de Active Directory restableció la contraseña, lo cual obliga alusuario a cambiarla en el siguiente inicio de sesión.

Puede habilitar esta opción por directorios, al seleccionar Permitir el cambio de contraseña en la página deConfiguración del directorio.

Los usuarios puede cambiar sus contraseñas cuando inician sesión en el portal de Workspace ONE al hacerclic en el nombre situado en la esquina superior derecha, seleccionar Cuenta en el menú desplegable y hacerclic en el vínculo Cambiar contraseña. En la aplicación Workspace ONE, los usuarios pueden cambiar lascontraseñas al hacer clic en el icono de menú de barra triple y seleccionar Contraseña.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 31

Las contraseñas caducadas o restablecidas por el administrador en Active Directory se pueden cambiardesde la página de inicio de sesión. Cuando un usuario intenta iniciar sesión con una contraseña caducada,se le solicita que restablezca la contraseña. El usuario debe introducir la contraseña anterior así como lanueva.

La directiva de contraseñas de Active Directory determina los requisitos para la nueva contraseña. Elnúmero de intentos permitidos también depende de la directiva de contraseñas de Active Directory.

Se aplican las siguientes limitaciones.

n Si usa dispositivos virtuales del conector externos y adicionales, tenga en cuenta que la opción Permitirel cambio de contraseña solo está disponible con la versión del conector 2016.11.1 y posteriores.

n Cuando se agrega un directorio a VMware Identity Manager como catálogo global, la opción Permitirel cambio de contraseña no está disponible. Los directorios se pueden agregar como Active Directorymediante LDAP o la autenticación integrada de Windows, a través de los puertos 389 o 636.

n La contraseña de un usuario DN de enlace no puede restablecerse desde VMware Identity Manager,aunque caduque o el administrador de Active Directory la restablezca.

NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que nocaduque.

n Las contraseñas de los usuarios cuyos nombres de inicio de sesión contengan caracteres multibyte(caracteres que no son ASCII) no se pueden restablecer desde VMware Identity Manager.

Prerequisitos

n Para habilitar la opción Permitir el cambio de contraseña, debe utilizar una cuenta de usuario DN deenlace y debe tener permisos de escritura para Active Directory.

n El puerto 464 debe estar abierto en el controlador del dominio.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el directorio.

3 En la sección Permitir el cambio de contraseña, seleccione la casilla de verificación Habilitar el cambiode contraseña.

4 Habilitar la contraseña DN de enlace en la sección Detalles del usuario de enlace y haga clic enGuardar.

Configurar los elementos de protección de la sincronización dedirectorio

Los límites del umbral de los elementos de protección de la sincronización se pueden configurar en eldirectorio para evitar los cambios de la configuración no deseados en los usuarios y los grupos que sesincronizan con el directorio desde Active Directory.

Los umbrales de los elementos de protección de la sincronización establecidos limitan el número de cambiosque se pueden realizar en los usuarios y los grupos cuando el directorio se sincroniza. Si se alcanza unumbral de los elementos de protección del directorio, la sincronización de dicho directorio se detiene yaparece un mensaje en la página Registro de sincronización. Cuando se configura SMTP en la consola deadministración de VMware Identity Manager, recibe un mensaje de correo electrónico cuando se produce unerror en la sincronización debido a una infracción de los elementos de protección.

Si se produce un error en la sincronización, puede dirigirse a la página Configuración de sincronización >Registro de sincronización del directorio para consultar la descripción del tipo de la infracción del elementode protección.

Administración de VMware Identity Manager

32 VMware, Inc.

Para completar correctamente la sincronización, puede aumentar el umbral del porcentaje de los elementosde protección en la página de configuración Sincronizar elementos de protección o puede programar unsimulacro de la sincronización y marcar Ignorar elementos de protección. Si selecciona ignorar el valor delumbral de los elementos de protección, dichos valores no se establecen solo para esta sesión desincronización.

Cuando la sincronización del directorio se ejecuta la primera vez, no se establecen los valores de loselementos de protección de la sincronización.

NOTA: Si no desea utilizar la función de elementos de protección de la sincronización, elimine los valoresdel menú desplegable. Cuando los cuadros de texto del umbral de los elementos de protección están vacíos,estos elementos no se habilitan.

Configurar los elementos de protección de la sincronización de directorioConfigure el umbral de los elementos de protección de la sincronización para limitar el número de cambiosque se pueden realizar en los usuarios y los grupos cuando el directorio se sincroniza.

NOTA: Si no desea utilizar la función de elementos de protección de la sincronización, elimine los valoresdel menú desplegable. Cuando los cuadros de texto del umbral de los elementos de protección están vacíos,estos elementos no se habilitan.

Procedimiento

1 Para modificar la configuración de los elementos de protección, seleccione Administrar > Directorios enla pestaña Administración de acceso e identidad.

2 Seleccione el directorio para establecer los elementos de protección y haga clic en Configuración desincronización.

3 Haga clic en Elementos de protección.

4 Establezca el porcentaje de cambios que generan un error en la sincronización.

5 Haga clic en Guardar.

Ignorar la configuración de los elementos de protección para completar lasincronización del directorio

Si recibe una notificación de que la sincronización no se completó debido a una infracción en los elementosde protección, puede programar un simulacro de sincronización y marcar Ignorar elementos de protecciónpara reemplazar la configuración de dichos elementos y completar la sincronización.

Procedimiento

1 En la pestaña Administración de acceso e identidad, seleccione Administrar > Directorios.

2 Seleccione el directorio que no completó la sincronización y diríjase a la página Registro desincronización.

3 Para ver el tipo de infracción de los elementos de protección, en la columna Detalles de sincronización,haga clic en Error al completar la sincronización. Compruebe los elementos de protección.

4 Haga clic en Aceptar.

5 Para continuar la sincronización sin cambiar la configuración de los elementos de protección, haga clicen Sincronizar ahora.

6 En la página Revisar, seleccione la casilla Ignorar elementos de protección.

7 Haga clic en Sincronizar directorio.

Capítulo 3 Integrar con Active Directory

VMware, Inc. 33

Se ejecuta la sincronización del directorio y la configuración del umbral de los elementos de protección seignora solo durante esta sesión de sincronización.de

Administración de VMware Identity Manager

34 VMware, Inc.

Integrar los directorios LDAP 4Es posible integrar el directorio LDAP de su empresa en VMware Identity Manager para sincronizarusuarios y grupos del directorio LDAP en el servicio VMware Identity Manager.

Consulte también “Conceptos importantes relacionados con la integración de directorios,” página 15.

Este capítulo cubre los siguientes temas:

n “Limitaciones de la integración del directorio LDAP,” página 35

n “Integrar un directorio LDAP en el servicio,” página 36

Limitaciones de la integración del directorio LDAPLas siguientes limitaciones se aplican a la función de integración en el directorio LDAP.

n Solo puede integrar un entorno del directorio LDAP con un dominio único.

Para integrar varios dominios desde un directorio LDAP, necesita crear directorios deVMware Identity Manager adicionales, uno para cada dominio.

n Los siguientes métodos de autenticación no son compatibles para los directorios deVMware Identity Manager de tipo LDAP.

n autenticación de Kerberos

n Autenticación adaptativa de RSA

n ADFS como proveedor de identidades externo

n SecurID

n Autenticación de Radius con el servidor de código de acceso SMS y Vasco

n No puede unirse a un dominio LDAP.

n La integración a los recursos publicados por Citrix o de View no es compatible para los directorios deVMware Identity Manager de tipo LDAP.

n Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, el usuariose sincroniza pero las autorizaciones no están disponibles para dicho usuario.

n Si tiene previsto agregar los directorios LDAP y Active Directory, asegúrese de que no marca ningúnatributo obligatorio en la página Atributo de usuario, excepto userName, que puede ser obligatorio quese marque. Las configuraciones de la página Atributos de usuario se aplican a todos los directorios delservicio. Si un atributo está marcado como obligatorio, los usuarios sin dicho atributo no se sincronizancon el servicio de VMware Identity Manager.

VMware, Inc. 35

n Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombresúnicos para ellos en el servicio de VMware Identity Manager. Puede especificar los nombres cuandoselecciona los grupos que desea sincronizar.

n La opción para permitir a los usuarios restablecer las contraseñas caducadas no está disponible.

n No es compatible el archivo domain_krb.properties.

Integrar un directorio LDAP en el servicioEs posible integrar el directorio LDAP de su empresa en VMware Identity Manager para sincronizarusuarios y grupos del directorio LDAP en el servicio VMware Identity Manager.

Para integrar el directorio LDAP, cree el directorio VMware Identity Manager correspondiente y sincronicelos usuarios y los grupos del directorio LDAP al directorio VMware Identity Manager. Puede programaruna sincronización periódica para las actualizaciones siguientes.

Seleccione también los atributos LDAP que quiera sincronizar para los usuarios y asígnelos a los atributosde VMware Identity Manager.

La configuración del directorio LDAP puede basarse en las programaciones predeterminadas o puede crearprogramaciones personalizadas. También debe definir los atributos personalizados. Para queVMware Identity Manager pueda solicitar el directorio LDAP para obtener los objetos de grupo o usuario,debe proporcionar los nombres de los filtros de búsqueda de LDAP que se apliquen a su directorio LDAP.

En concreto, debe proporcionar la siguiente información.

n Los filtros de búsqueda para obtener los grupos, los usuarios y el usuario de enlace

n Los nombres de atributos LDAP de la pertenencia a grupos, UUID y el nombre distintivo

Se aplican algunas limitaciones a la función de integración en el directorio LDAP. Consulte “Limitaciones dela integración del directorio LDAP,” página 35.

Prerequisitos

n Si usa dispositivos virtuales del conector externos y adicionales, tenga en cuenta que capacidad deintegrar directorios LDAP solo está disponible con la versión del conector 2016.6.1 y posteriores.

n Compruebe los atributos en la página Administración de acceso e identidad > Configurar > Atributosde usuario y agregue los atributos adicionales que quiera sincronizar. Asigne estos atributos deVMware Identity Manager a los atributos del directorio LDAP después de crear el directorio. Estosatributos se sincronizan para los usuarios del directorio.

NOTA: Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan tener enotros directorios del servicio. Si tiene previsto agregar los directorios LDAP y Active Directory,compruebe que ningún atributo obligatorio está marcado excepto userName, que sí debe estarlo. Lasconfiguraciones de la página Atributos de usuario se aplican a todos los directorios del servicio. Si unatributo está marcado como obligatorio, los usuarios sin dicho atributo no se sincronizan con el serviciode VMware Identity Manager.

n Cuenta de usuario DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace conuna contraseña que no caduque.

n En el directorio LDAP, el UUID de los usuarios y los grupos debe aparecer como texto sin formato.

n En el directorio LDAP, debe existir un atributo de dominio para todos los usuarios y los grupos.

Asígnelo al atributo del dominio de VMware Identity Manager cuando cree el directorioVMware Identity Manager.

n Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, el usuariose sincroniza pero las autorizaciones no están disponibles para dicho usuario.

Administración de VMware Identity Manager

36 VMware, Inc.

n Si utiliza la autenticación con certificado, los usuarios deben tener los valores para los atributos de ladirección de correo electrónico y userPrincipalName.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en Agregar directorio y seleccione Agregar directorio LDAP.

3 Introduzca la información solicitada en la página Agregar directorio LDAP.

Opción Descripción

Nombre de directorio Un nombre para el directorio VMware Identity Manager.

Sincronización de directorio yautenticación

a En el campo Conector de sincronización, seleccione el conector quedesee utilizar para sincronizar usuarios y grupos del directorio LDAPcon el directorio de VMware Identity Manager.

De forma predeterminada, un componente del conector estará siempredisponible con el servicio de VMware Identity Manager. Este conectoraparecerá en la lista desplegable. Si instala varios dispositivos deVMware Identity Manager para lograr una alta disponibilidad, elcomponente del conector de cada uno aparecerá en la lista.

No es necesario un conector diferente para un directorio LDAP. Unconector puede ser compatible con varios directorios,independientemente de si cuentan con directorios LDAP o ActiveDirectory.

Para los escenarios en los que necesite conectores adicionales, consultela sección "Instalación de dispositivos de conector adicionales" en laGuía de instalación de VMware Identity Manager.

b En el campo Autenticación, seleccione Sí si desea utilizar el directorioLDAP para autenticar a los usuarios.

Si desea utilizar un proveedor de identidades externo para autenticar alos usuarios, seleccione No. Después de agregar la conexión deldirectorio para sincronizar usuarios y grupos, acceda a la páginaAdministración de acceso e identidad > Administrar > Proveedoresde identidades para agregar el proveedor de identidades externo pararealizar la autenticación.

c En el campo Atributo de búsqueda de directorios, especifique elatributo del directorio LDAP que se utiliza para el nombre de usuario.Si el atributo no aparece en la lista, seleccione Personalizado y escribael nombre del atributo. Por ejemplo, cn.

Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP.En el caso del host del servidor, puede especificar el nombre del dominioplenamente cualificado o la dirección IP. Por ejemplo,myLDAPserver.example.com o 100.00.00.0.Si cuenta con un clúster de servidores bajo un equilibrador de carga,introduzca la información de este último en su lugar.

Capítulo 4 Integrar los directorios LDAP

VMware, Inc. 37

Opción Descripción

Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP queVMware Identity Manager puede utilizar para solicitar su directorioLDAP. Los valores predeterminados se proporcionan según el esquemaprincipal de LDAP.Solicitudes LDAPn Obtener grupos: es el filtro de búsqueda para obtener los objetos de

grupo.

Por ejemplo: (objectClass=group)n Obtener usuario de enlace: es el filtro de búsqueda para obtener el

objeto de usuario de enlace, es decir, al usuario que puede enlazarse aldirectorio.

Por ejemplo: (objectClass=person)n Obtener usuario: es el filtro de búsqueda para obtener los usuarios

para sincronizar.

Por ejemplo:(&(objectClass=user)(objectCategory=person))Atributosn Afiliación: es el atributo que se utiliza en su directorio LDAP para

definir los miembros de un grupo.

Por ejemplo: membern UUID del objeto: es el atributo que se utiliza en su directorio LDAP

para definir el UUID.

Por ejemplo: entryUUIDn Nombre distintivo: es el atributo que se utiliza en su directorio LDAP

para definir el nombre distintivo de un usuario o un grupo.

Por ejemplo: entryDN

Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opciónEste directorio requiere que todas las conexiones usen SSL y copie ypegue el certificado CA SSL raíz del servidor del directorio LDAP.Asegúrese de que el certificado esté en formato PEM e incluya las líneas"BEGIN CERTIFICATE" y "END CERTIFICATE".

Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas.Por ejemplo, cn=users,dc=example,dc=comDN de enlace: introduzca el nombre del usuario que enlaza al directorioLDAP.NOTA: Se recomienda utilizar una cuenta de usuario de DN de enlacecon una contraseña que no caduque.Contraseña DN de enlace: introduzca la contraseña del usuario DN deenlace.

4 Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.

Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga los cambiosnecesarios.

5 Haga clic en Guardar y Siguiente.

6 En la página de los dominios, compruebe que el dominio correcto aparece en la lista, y a continuación,haga clic en Siguiente.

7 En la página Asignar atributos, compruebe que los atributos de VMware Identity Manager se asignarona los atributos LDAP correctos.

IMPORTANTE: Debe especificar una asignación para los atributos de dominio.

Puede agregar atributos a la lista desde la página Atributos de usuario.

8 Haga clic en Siguiente.

Administración de VMware Identity Manager

38 VMware, Inc.

9 En la página de los grupos, haga clic en + para seleccionar los grupos que desee sincronizar desde eldirectorio LDAP al directorio de VMware Identity Manager.

Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombresúnicos para ellos en la página de grupos.

La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando sehabilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan agrupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no sesincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directoriode VMware Identity Manager, estos usuarios aparecerán como los miembros del grupo de nivelsuperior que seleccionó para sincronizarse. De hecho, la jerarquía bajo un grupo seleccionado es plana ylos usuarios de todos los niveles aparecen en VMware Identity Manager como miembros del gruposeleccionado.

Si deshabilita esta opción, todos los usuarios que pertenezcan directamente a ese grupo se sincronizaráncuando especifique un grupo para que se sincronice. Los usuarios que pertenezcan a grupos anidadosbajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandesconfiguraciones del directorio en las que atravesar un árbol de grupo requiera demasiado tiempo odemasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyosusuarios desee sincronizar.

10 Haga clic en Siguiente.

11 Haga clic en + para agregar más usuarios. Por ejemplo, introduzcaCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios. Debe seleccionar el atributode usuario por el que desea filtrar, la regla de consulta y el valor.

Haga clic en Siguiente.

12 Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como laprogramación de la sincronización predeterminada.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en losvínculos Editar.

13 Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

Se establece la conexión al directorio LDAP y los usuarios y los grupos se sincronizan desde el directorioLDAP al directorio VMware Identity Manager. El usuario de DN de enlace tiene una función deadministrador en VMware Identity Manager de forma predeterminada.

Capítulo 4 Integrar los directorios LDAP

VMware, Inc. 39

Administración de VMware Identity Manager

40 VMware, Inc.

Usar directorios locales 5Un directorio local es uno de los tipos de directorios que puede crear en el servicio deVMware Identity Manager. Este directorio le permite aprovisionar a los usuarios locales en el servicio yproporcionales acceso a aplicaciones específicas, sin tener que agregarlos al directorio empresarial. Undirectorio local no está conectado a un directorio de empresa y los usuarios y los grupos no se sincronizandesde ningún directorio de empresa. En su lugar, puede crear usuarios locales directamente en el directoriolocal.

Un directorio local predeterminado, denominado directorio del sistema, está disponible en el servicio.También puede crear varios directorios locales nuevos.

Directorio del sistemaEl directorio del sistema es un directorio local que se crea automáticamente en el servicio cuando seconfigura por primera vez. Este directorio cuenta con el dominio de sistema. No puede cambiar el nombre niel dominio del directorio del sistema, ni agregar nuevos dominios. Tampoco puede eliminar el directorio delsistema ni el dominio del sistema.

El usuario administrador local que se crea cuando configura por primera vez el dispositivo deVMware Identity Manager se genera en el dominio del sistema del directorio del sistema.

Puede agregar otros usuarios al directorio del sistema. El directorio del sistema se suele utilizar paraestablecer que algunos usuarios administradores locales gestionen el servicio. Se recomienda crear un nuevodirectorio local para aprovisionar usuarios finales y administradores adicionales y otorgarles autorizaciónpara las aplicaciones.

Directorios localesPuede crear varios directorios locales. Cada directorio local puede tener uno o varios dominios. Cuando creeun usuario local, especifique el directorio y el dominio de este usuario.

También puede seleccionar atributos para todos los usuarios de un directorio local. Los atributos de losusuarios como userName, lastName y firstName se especifican en el nivel global del servicio deVMware Identity Manager. Está disponible una lista predeterminada de atributos en la que puede agregaratributos personalizados. Los atributos de usuario globales se aplican a todos los directorios del servicio,incluidos los locales. En el nivel del directorio local, puede seleccionar qué atributos son necesarios para eldirectorio. Esto le permite tener un conjunto personalizado de atributos para directorios locales diferentes.Tenga en cuenta que userName, firstName, lastName y email son siempre obligatorios para los directorioslocales.

NOTA: La capacidad de personalizar los atributos de usuario en el nivel del directorio solo está disponiblepara los directorios locales, no para los directorios LDAP ni Active Directory.

VMware, Inc. 41

Crear directorios locales es útil en escenarios como el siguiente.

n Puede crear un directorio local para un tipo específico de usuarios que no sea parte del directorioempresarial. Por ejemplo, puede crear un directorio local para partners, que no suelen ser parte deldirectorio empresarial, y proporcionarles acceso únicamente a las aplicaciones específicas que necesitan.

n Puede crear varios directorios locales si desea asignar diferentes atributos de usuario o métodos deautenticación para diferentes grupos de usuarios. Por ejemplo, puede crear un directorio local paradistribuidores que tengan atributos de usuario como la región o el tamaño del mercado, y otrodirectorio local para proveedores que tengan atributos de usuario como tipo de proveedor y categoríade producto.

Proveedor de identidades del directorio del sistema y de losdirectorios locales

De forma predeterminada, el directorio del sistema se asocia con un proveedor de identidades denominadoProveedor de identidades del sistema. El método Contraseña (directorio en la nube) está habilitado de formapredeterminada en este proveedor de identidades y se aplica a la directiva default_access_policy_set para elrango de red TODOS LOS INTERVALOS y el tipo de dispositivo del navegador web. Puede configurarmétodos de autenticación adicionales y establecer directivas de autenticación.

Cuando cree un directorio local nuevo, no estará asociado con ningún proveedor de identidades. Una vezque haya creado el directorio, cree un nuevo proveedor de identidades del tipo Incrustado y asócielo aldirectorio. Habilite el método de autenticación Contraseña (directorio en la nube) en el proveedor deidentidades. Se pueden asociar varios directorios locales al mismo proveedor de identidades.

El conector de VMware Identity Manager no es necesario para el directorio del sistema ni para losdirectorios locales que cree.

Para obtener más información, consulte "Configurar la autenticación de usuario en VMware IdentityManager" en Administración de VMware Identity Manager.

Administración de contraseñas para los usuarios del directorio localDe forma predeterminada, todos los usuarios de los directorios locales tienen la capacidad de cambiar lacontraseña en la aplicación o el portal de Workspace ONE. Puede establecer una contraseña para losusuarios locales. También puede restablecer las contraseñas de los usuarios locales según sea necesario.

Los usuarios pueden cambiar sus contraseñas cuando inician sesión en el portal de Workspace ONE al hacerclic en el nombre situado en la esquina superior derecha, seleccionar Cuenta en el menú desplegable y hacerclic en el vínculo Cambiar contraseña. En la aplicación Workspace ONE, los usuarios pueden cambiar lascontraseñas al hacer clic en el icono de menú de barra triple y seleccionar Contraseña.

Para obtener más información sobre cómo establecer directivas de contraseñas y restablecer contraseñas deusuarios locales, consulte "Administrar usuarios y grupos" en Administración de VMware Identity Manager.

Este capítulo cubre los siguientes temas:

n “Crear un directorio local,” página 42

n “Cambiar la configuración del directorio local,” página 47

n “Eliminar un directorio local,” página 48

n “Configurar el método de autenticación para los usuarios administradores del sistema,” página 49

Crear un directorio localPara crear un directorio local, especifique los atributos del usuario para dicho directorio, créelo eidentifíquelo con un proveedor de identidades.

Administración de VMware Identity Manager

42 VMware, Inc.

Establecer atributos de usuario a nivel globalAntes de crear un directorio local, revise los atributos de usuario en la página Atributos de usuario y, si esnecesario, agregue atributos personalizados.

Los atributos de usuario, como firstName, lastName, email y domain, son parte del perfil del usuario. En elservicio de VMware Identity Manager, los atributos de usuario se definen a nivel global y se aplican a todoslos directorios del servicio, incluidos los directorios locales. En el nivel del directorio local, puedesobrescribir si desea que un atributo sea obligatorio u opcional para los usuarios en ese directorio, pero nopuede agregar atributos personalizados. Si un atributo es obligatorio, le debe asignar un valor cuando creeun usuario.

No se pueden utilizar las siguientes palabras cuando cree atributos personalizados.

Tabla 5‑1. Palabras que no se pueden usar como nombres de atributos personalizados

active addresses costCenter

department displayName division

emails employeeNumber autorizaciones

externalId grupos id

ims locale manager

meta name nickName

organization contraseña phoneNumber

photos preferredLanguage profileUrl

funciones timezone title

userName userType x509Certificate

NOTA: La capacidad de sobrescribir los atributos de usuario en el nivel del directorio solo se aplica a losdirectorios locales, no a los directorios LDAP ni Active Directory.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 Haga clic en Configuración y, a continuación, en la pestaña Atributos de usuario.

3 Revise la lista de atributos de usuario y, si es necesario, agregue atributos adicionales.

NOTA: Aunque esta página le permite seleccionar los atributos obligatorios, se recomienda que hagala selección para los directorios locales a nivel de estos directorios. Si un atributo se marca comoobligatorio en esta página, se aplica a todos los directorios en el servicio, incluidos los de ActiveDirectory o LDAP.

4 Haga clic en Guardar.

Qué hacer a continuación

Cree el directorio local.

Capítulo 5 Usar directorios locales

VMware, Inc. 43

Crear un directorio localDespués de revisar y establecer los atributos de usuario globales, cree el directorio local.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en la pestaña Directorios.

2 Haga clic en Agregar directorio y seleccione Agregar directorio de usuario local en el menúdesplegable.

3 En la página Agregar directorio, introduzca un nombre de directorio y especifique al menos un nombre

de dominio.

El nombre de los dominios debe ser único en todos los directorios del servicio.

Por ejemplo:

Administración de VMware Identity Manager

44 VMware, Inc.

4 Haga clic en Guardar.

5 En la página Directorios, haga clic en el nuevo directorio.

6 Haga clic en la pestaña Atributos de usuario.

Aparecen todos los atributos de la página Administración de acceso e identidad > Configuración >Atributos de usuario del directorio local. Los atributos que están seleccionados como obligatorio en estapágina también aparecen como obligatorios en la página del directorio local.

7 Personalice los atributos para el directorio local.

Puede especificar los atributos obligatorios y los opcionales. También puede cambiar el orden en el queaparecen los atributos.

IMPORTANTE: Los atributos userName, firstName, lastName y email son siempre obligatorios paralos directorios locales.

n Para que un atributo sea obligatorio, seleccione la casilla de verificación que aparece junto alnombre del atributo.

n Para que un atributo sea opcional, desmarque la casilla de verificación que aparece junto al nombredel atributo.

n Para cambiar el orden de los atributos, haga clic y arrastre el atributo a la nueva posición.

Si un atributo es obligatorio, debe especificar un valor para dicho atributo cuando cree un usuario.

Por ejemplo:

Capítulo 5 Usar directorios locales

VMware, Inc. 45

8 Haga clic en Guardar.

Qué hacer a continuación

Asocie el directorio local al proveedor de identidades que desee usar para autenticar usuarios en eldirectorio.

Asociar el directorio local a un proveedor de identidadesAsocie el directorio local a un proveedor de identidades para que se pueden autenticar los usuarios deldirectorio. Cree un nuevo proveedor de identidades del tipo Incrustado y habilite en él el método deautenticación Contraseña (directorio local).

NOTA: No utilice el proveedor de identidades integrado. No se recomienda habilitar el método deautenticación Contraseña (directorio local) en el proveedor de identidades integrado.

Procedimiento

1 En la pestaña Administración de acceso e identidad, haga clic en la pestaña Proveedores deidentidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP integrado.

3 Escriba la siguiente información.

Opción Descripción

Nombre del proveedor deidentidades

Escriba un nombre para el proveedor de identidades.

Usuarios Seleccione el directorio local que ha creado.

Red Seleccione las redes desde las que se puede acceder a este proveedor deidentidades.

Métodos de autenticación Seleccione Contraseña (directorio local).

Exportación de certificado KDC No es necesario que descargue el certificado, a menos que vaya aconfigurar el SSO móvil para dispositivos iOS gestionados por AirWatch.

Administración de VMware Identity Manager

46 VMware, Inc.

4 Haga clic en Agregar.

El proveedor de identidades se crea y se asocia al directorio local. Podrá configurar otros métodos deautenticación en el proveedor de identidades más adelante. Para obtener más información sobre laautenticación, consulte "Configurar la autenticación de usuario en VMware Identity Manager" enAdministración de VMware Identity Manager.

Puede usar el mismo proveedor de identidades para varios directorios locales.

Qué hacer a continuación

Crear grupos y usuarios locales. Puede crear grupos y usuarios locales en la pestaña Usuarios y grupos dela consola de administración. Consulte "Administrar usuarios y grupos" en Administración de VMwareIdentity Manager para obtener más información.

Cambiar la configuración del directorio localDespués de crear un directorio local, puede modificar su configuración en cualquier momento.

Puede cambiar las siguientes opciones:

n Cambiar el nombre del directorio.

n Agregar, eliminar o cambiar el nombre de los dominios.

n Los nombres de los dominios deben ser únicos en todos los directorios del servicio.

n Cuando cambia un nombre de dominio, los usuarios que estaban asociados al dominio antiguo seasocian al nuevo.

n El directorio debe tener un dominio al menos.

n No puede agregar un dominio al directorio del sistema ni eliminar el dominio del sistema.

n Agregar nuevos atributos de usuarios o establecer un atributo existente como obligatorio u opcional.

n Si el directorio local no cuenta con ningún usuario aún, puede agregar nuevos atributos comoobligatorios u opcionales y cambiar estas categorías en los existentes.

n Si ya creó usuarios en el directorio local, solo puede agregar nuevos atributos como opcionales ycambiar los existentes de obligatorios a opcionales. No puede cambiar un atributo opcional aobligatorio después de crear los usuarios.

Capítulo 5 Usar directorios locales

VMware, Inc. 47

n Los atributos userName, firstName, lastName y email son siempre obligatorios para los directorioslocales.

n Como los atributos de los usuarios se definen en el nivel global del servicio de VMware IdentityManager, los nuevos atributos que agregue aparecerán en todos los directorios del servicio.

n Cambiar el orden en el que aparecen los atributos.

Procedimiento

1 Haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, haga clic en el directorio que desea editar.

3 Edite la configuración del directorio local.

Opción Acción

Cambiar el nombre del directorio a En la pestaña Configuración, edite el nombre del directorio.b Haga clic en Guardar.

Agregar, eliminar o cambiar elnombre de un dominio

a En la pestaña Configuración, edite la lista Dominios.b Para agregar un dominio, haga clic en el icono verde del símbolo más.c Para eliminar un dominio, haga clic en el icono rojo.d Para cambiar el nombre de un dominio, edítelo en el cuadro de texto.

Agregar atributos de usuario en eldirectorio

a Haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en Configuración.

b Haga clic en la pestaña Atributos de usuario.c Agregue los atributos en la lista Agregar otros atributos que desee

utilizar y haga clic en Guardar.

Establecer un atributo comoobligatorio u opcional para eldirectorio

a En la pestaña Administración de acceso e identidad, haga clic enDirectorios.

b Haga clic en el nombre del directorio local y, a continuación, en lapestaña Atributos de usuario.

c Marque la casilla que aparece junto a un atributo para que seaobligatorio o desmárquela para que sea opcional.

d Haga clic en Guardar.

Cambiar el orden de los atributos a En la pestaña Administración de acceso e identidad, haga clic enDirectorios.

b Haga clic en el nombre del directorio local y, a continuación, en lapestaña Atributos de usuario.

c Haga clic y arrastre el atributo a su nueva posición.d Haga clic en Guardar.

Eliminar un directorio localPuede eliminar un directorio local que creó en el servicio de VMware Identity Manager. No puede eliminarel directorio del sistema, que se creó de forma predeterminada cuando configuró por primera vez el servicio.

ADVERTENCIA: Cuando elimina un directorio, todos los usuarios de dicho directorio también seeliminan del servicio.

Procedimiento

1 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestañaDirectorios.

2 Haga clic en el directorio que desea eliminar.

3 En la página de directorios, haga clic en Eliminar directorio.

Administración de VMware Identity Manager

48 VMware, Inc.

Configurar el método de autenticación para los usuariosadministradores del sistema

El método de autenticación predeterminado para que los usuarios administradores inicien sesión desde eldirectorio del sistema es Contraseña (directorio local). La directiva de acceso predeterminada se configuracon Contraseña (directorio local) como método de reserva para que los administradores puedan iniciarsesión en la consola de administración de VMware Identity Manager y el portal de Workspace ONE.

Si crea directivas de acceso para aplicaciones Web y de escritorio específicas para las que losadministradores de sistema estén autorizados, estas directivas deben estar configuradas para incluirContraseña (directorio local) como método de autenticación de reserva. De lo contrario, los administradoresno pueden iniciar sesión en la aplicación.

Capítulo 5 Usar directorios locales

VMware, Inc. 49

Administración de VMware Identity Manager

50 VMware, Inc.

Aprovisionamiento de usuarios Just-in-Time 6

El aprovisionamiento de usuarios Just-in-Time permite crear usuarios en el servicio de VMware IdentityManager dinámicamente en el momento e iniciar la sesión, mediante aserciones de SAML enviadas por unproveedor de identidades externo. El aprovisionamiento de usuarios Just-in-Time solo está disponible paraproveedores de identidades externos. No se encuentra disponible para el conector de VMware IdentityManager.

Este capítulo cubre los siguientes temas:

n “Acerca del aprovisionamiento de usuarios Just-in-Time,” página 51

n “Preparar el aprovisionamiento Just-in-Time,” página 52

n “Configurar el aprovisionamiento de usuarios Just-in-Time,” página 54

n “Requisitos para las aserciones SAML,” página 55

n “Deshabilitación del aprovisionamiento de usuarios Just-in-Time,” página 56

n “Eliminar un directorio Just-in-Time,” página 56

n “Mensajes de error,” página 57

Acerca del aprovisionamiento de usuarios Just-in-TimeEl aprovisionamiento Just-in-Time es otra manera de aprovisionar usuarios en el servicio VMware IdentityManager. En lugar de sincronizar usuarios de una instancia de Active Directory, con el aprovisionamientoJust-in-Time los usuarios se crean y actualizan dinámicamente al iniciar la sesión, de acuerdo con lasaserciones SAML enviadas por el proveedor de identidades.

En este caso, VMware Identity Manager actúa como proveedor del servicio (SP) SAML.

La configuración Just-in-Time solo se puede configurar para otros proveedores de identidades. No estádisponible para el conector.

Con la configuración Just-in-Time no es necesario instalar un conector, ya que todas las tareas de creación yadministración de usuarios se realizan mediante aserciones SAML y la autenticación mediante el otroproveedor de identidades.

Creación y administración de usuariosSi el aprovisionamiento de usuarios Just-in-Time está habilitado, cuando un usuario accede a la página deinicio de sesión del servicio VMware Identity Manager y selecciona un dominio, la página redirige alusuario al proveedor de identidades correcto. El usuario inicia la sesión y el proveedor de identidades leautentica y le redirige de nuevo al servicio VMware Identity Manager con una aserción SAML. Los atributos

VMware, Inc. 51

de la aserción SAML se utilizan para crear al usuario en el servicio. Solo se utilizan los atributos quecoincidan con los atributos de usuario definidos en el servicio; los demás atributos se ignoran. El usuariotambién se agrega a grupos en función de los atributos y recibe las autorizaciones establecidas para esosgrupos.

En inicios de sesión posteriores, si se produce algún cambio en la aserción SAML, se actualizará al usuarioen el servicio.

Los usuarios aprovisionados por Just-in-Time no se pueden eliminar. Para eliminar usuarios, se debeeliminar el directorio Just-in-Time.

Tenga en cuenta que toda la administración de usuarios se realiza mediante aserciones SAML. No se puedencrear ni actualizar estos usuarios directamente desde el servicio. Los usuarios de Just-in-Time no se puedensincronizar desde Active Directory.

Para obtener información sobre los atributos requeridos en la aserción SAML, consulte “Requisitos para lasaserciones SAML,” página 55

Directorio Just-in-TimeEl otro proveedor de identidades debe tener un directorio Just-in-Time asociado a él en el servicio.

Al habilitar el aprovisionamiento Just-in-Time para un proveedor de identidades, se debe crear un nuevodirectorio Just-in-Time y especificar uno o más dominios para este directorio. Los usuarios que pertenecen aestos dominios se aprovisionan al directorio. Si hay varios dominios configurados para el directorio, lasaserciones SAML deben incluir un atributo de dominio. Si solo se configura un dominio para el directorio,no se necesita ningún atributo de dominio en las aserciones SAML, pero si se especifica su valor debecoincidir con el nombre del dominio.

Solo se puede asociar un directorio de tipo Just-in-Time a un proveedor de identidades que tenga habilitadoel aprovisionamiento Just-in-Time.

Preparar el aprovisionamiento Just-in-TimeAntes de configurar el aprovisionamiento de usuarios Just-in-Time, revise los grupos, las autorizaciones degrupos y los valores de los atributos de usuario y realice los cambios que sean necesarios. Identifiquetambién los dominios que desea utilizar para el directorio de Just-in-Time.

Crear grupos localesLos usuarios aprovisionados a través del aprovisionamiento Just-in-Time se agregan a los grupos en funciónde los atributos de usuario. Derivan las autorizaciones de los recursos desde los grupos a los quepertenecen. Antes de configurar el aprovisionamiento Just-in-Time, asegúrese de que tiene grupos locales enel servicio. Cree uno o varios grupos locales en función de sus necesidades. Para cada grupo, establezca lasreglas de la pertenencia a grupos y agregue autorizaciones.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Usuarios y grupos.

2 Haga clic en Crear grupo, proporcione un nombre y una descripción para el grupo, y haga clic enAgregar.

3 En la página Grupos, haga clic en el grupo nuevo.

4 Establezca los usuarios del grupo.

a En el panel izquierdo, seleccione Usuarios de este grupo.

b Haga clic en Modificar los usuarios de este grupo y establezca las reglas para la pertenencia agrupos.

Administración de VMware Identity Manager

52 VMware, Inc.

5 Agregue autorizaciones al grupo.

a En el panel izquierdo, seleccione Autorizaciones.

b Haga clic en la opción de agregar autorizaciones y seleccione las aplicaciones y el método deimplementación de cada aplicación.

c Haga clic en Guardar.

Revisar atributos de usuarioRevise los atributos de usuario configurados para todos los directorios de VMware Identity Manager en lapágina de atributos de usuario y modifíquelos si es necesario. Al aprovisionar un usuario mediante Just-in-Time, la aserción SAML se utiliza para crear el usuario. Solo se utilizan los atributos de la aserción SAMLque coincidan con los atributos indicados en la página de atributos de usuario.

IMPORTANTE: Si un atributo está marcado como obligatorio en la página de atributos de usuario, laaserción SAML debe incluir el atributo o, de lo contrario, no se iniciará la sesión.

Al cambiar los atributos de usuario, considere sus efectos en otros directorios y configuraciones de suarrendatario. La página de atributos de usuario se aplica a todos los directorios del arrendatario.

NOTA: No es necesario marcar el atributo domain obligatorio.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 Haga clic en Configuración y en Atributos de usuario.

3 Revise los atributos y haga los cambios que sean necesarios.

Capítulo 6 Aprovisionamiento de usuarios Just-in-Time

VMware, Inc. 53

Configurar el aprovisionamiento de usuarios Just-in-TimeEl aprovisonamiento de usuarios Just-in-Time para un proveedor de identidades externo se debe configuraral crear o actualizar un proveedor de identidades del servicio VMware Identity Manager.

Cuando habilite el aprovisionamiento Just-in-Time, debe crear un nuevo directorio Just-in-Time yespecificar uno o varios dominios de este directorio. Los usuarios que pertenecen a estos dominios seagregan al directorio.

Debe especificar al menos un dominio. El nombre del dominio debe ser único en todos los directorios delservicio VMware Identity Manager. Si especifica varios dominios, las aserciones SAML deben incluir elatributo del dominio. Si especifica un solo dominio, este se utilizará como dominio de aserciones SAML sinun atributo de dominio. Si se especifica un atributo de dominio, su valor debe coincidir con uno de losdominios. De lo contrario, se producirá un error en el inicio de sesión.

Procedimiento

1 Inicie sesión en la consola de administración del servicio VMware Identity Manager.

2 Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Proveedores deidentidades.

3 Haga clic en Agregar proveedor de identidades o seleccione un proveedor de identidades.

4 En la sección Aprovisionamiento de usuarios Just-in-Time haga clic en Habilitar.

Administración de VMware Identity Manager

54 VMware, Inc.

5 Especifique la siguiente información.

n Un nombre para el nuevo directorio Just-in-Time

n Uno o más dominios

IMPORTANTE: Los nombres de los dominios deben ser únicos en todos los directorios delarrendatario.

Por ejemplo:

6 Complete el resto de la página y haga clic en Agregar o Guardar. Para obtener información, consulte

“Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios,”página 80.

Requisitos para las aserciones SAMLSi el aprovisionamiento de usuarios Just-in-Time está habilitado para un proveedor de identidades externo,los usuarios se crean o actualizan en el servicio VMware Identity Manager durante el inicio de sesiónbasándose en las aserciones SAML. Las aserciones SAML que envíe el proveedor de identidades debencontener ciertos atributos.

n La aserción SAML debe incluir el atributo userName.

n La aserción SAML debe incluir todos los atributos de usuario marcados como requeridos en el servicioVMware Identity Manager.

Para ver o editar los atributos de usuario en la consola de administración, en la pestaña Administraciónde acceso e identidad haga clic en Configuración y, a continuación, en Atributos de usuario.

IMPORTANTE: Asegúrese de que las claves de la aserción SAML coincidan exactamente con losnombres de atributo, incluyendo mayúsculas/minúsculas.

n Si se configuran varios dominios para el directorio de Just-In-Time, la aserción SAML debe incluir elatributo domain. El valor del atributo debe coincidir con uno de los dominios configurados para eldirectorio. Si el valor no coincide o no se especifica un dominio, no se podrá iniciar la sesión.

n Si se configura un solo dominio para el directorio Just-In-Time, la especificación del atributo domain enla aserción SAML es opcional.

Si especifica el atributo domain, asegúrese de que su valor coincida con el dominio configurado para eldirectorio. Si la aserción SAML no contiene ningún atributo de dominio, se asociará al usuario con eldominio configurado para el directorio.

Capítulo 6 Aprovisionamiento de usuarios Just-in-Time

VMware, Inc. 55

n Si desea permitir la actualización de nombres de usuario, incluya el atributo ExternalId en la aserciónSAML. El usuario se identificará mediante ExternalId. Si en inicios de sesión posteriores la aserciónSAML contiene un nombre diferente, se seguirá identificando correctamente al usuario, la sesión seiniciará y el nombre de usuario se actualizará en el servicio Identity Manager.

Los atributos de la aserción SAML se utilizan para crear o actualizar usuario como se indica a continuación.

n Se utilizan los atributos obligatorios u opcionales del servicio Identity Manager (como aparecen en lapágina de atributos de usuario).

n Los atributos que no coinciden con ninguno de los atributos de la página de atributos de usuario seignoran.

n Los atributos sin ningún valor se ignoran.

Deshabilitación del aprovisionamiento de usuarios Just-in-TimePuede deshabilitar el aprovisionamiento de usuarios Just-in-Time. Cuando la opción está deshabilitada, nose crean nuevos usuarios y los existentes no se actualizan durante el inicio de sesión. Los usuarios existentesse siguen autenticando mediante el proveedor de identidades.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad y, acontinuación, en Proveedores de identidades.

2 Haga clic en el proveedor de identidades que desee editar.

3 En la sección Aprovisionamiento de usuarios Just-in-Time, anule la selección de la casilla Habilitar.

Eliminar un directorio Just-in-TimeUn directorio Just-in-Time es el directorio asociado a un proveedor de identidades externo que tienehabilitado el aprovisionamiento de usuarios Just-in-Time. Al eliminar el directorio, todos los usuarios delmismo se eliminarán y la configuración Just-in-time se deshabilitará. Dado que un proveedor de identidadesJust-in-Time solo puede tener un directorio único, al eliminar dicho directorio, el proveedor de identidadesya no se podrá utilizar.

Si desea volver a habilitar la configuración Just-in-Time para el proveedor de identidades, deberá crear unnuevo directorio.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.

2 En la página Directorios, busque el directorio que desea eliminar.

Para identificar los directorios Just-in-Time, busque por tipo de directorio en la columna Tipo.

3 Haga clic en el nombre del directorio.

4 Haga clic en Eliminar directorio.

Administración de VMware Identity Manager

56 VMware, Inc.

Mensajes de errorLos administradores o usuarios finales pueden ver errores relacionados con el aprovisionamiento Just-in-Time. Por ejemplo, si falta un atributo en la aserción de SAML, se produce un error y el usuario no puedeiniciar sesión.

Se pueden mostrar los errores siguientes en la consola de administración:

Mensaje de error Solución

Si el aprovisionamiento de usuario JITestá habilitado, se debe asociar almenos un directorio a este proveedor deidentidades.

No hay ningún directorio asociado con el proveedor de identidades.Un proveedor de identidades con la opción de aprovisionamientoJust-in-Time debe tener un directorio Just-in-Time asociado a él.1 En la pestaña Administración de acceso e identidad de la

consola de administración, haga clic en Proveedores deidentidades y, a continuación, seleccione el que desee.

2 En la sección Aprovisionamiento de usuarios Just-in-Time,especifique un nombre de directorio y uno o más dominios.

3 Haga clic en Guardar.Se creará un directorio Just-in-Time.

Se pueden mostrar los errores siguientes en la página de inicio de sesión:

Mensaje de error Solución

Falta el atributo de usuario: nombre. Falta un atributo de usuario obligatorio en la aserción deSAML enviada por el proveedor de identidades externo.Todos los atributos marcados como obligatorios en lapágina Atributos de usuario se deben incluir en la aserciónde SAML. Modifique la configuración del proveedor deidentidades externo para enviar las aserciones de SAMLcorrectas.

Falta el dominio y no se puede inferir. La aserción de SAML no incluye el atributo de dominio yno se puede determinar el dominio. Se requiere un atributode dominio en los casos siguientes:n Si se han configurado varios dominios para el

directorio Just-in-Time.n Si se ha marcado un dominio como un atributo

obligatorio en la página Atributos de usuario.Si se especifica un atributo de dominio, su valor debecoincidir con uno de los dominios especificados para eldirectorio.Modifique la configuración del proveedor de identidadesexterno para enviar las aserciones de SAML correctas.

Capítulo 6 Aprovisionamiento de usuarios Just-in-Time

VMware, Inc. 57

Mensaje de error Solución

Nombre de atributo: nombre, valor: valor. El atributo de la aserción de SAML no coincide conninguno de los atributos de la página Atributos de usuariodel arrendatario y se ignorará.

Error al crear o actualizar un usuario JIT. No se pudo crear el usuario en el servicio. Entre lasposibles causas se encuentran las siguientes:n Falta un atributo obligatorio en la aserción de SAML.

Revise los atributos de la página Atributos de usuario yasegúrese de que la aserción de SAML incluya todoslos atributos que están marcados como obligatorios.

n No se pudo determinar el dominio del usuario.

Especifique el atributo de dominio en la aserción deSAML y asegúrese de que su valor coincide con uno delos dominios configurados para el directorio Just-in-Time.

Administración de VMware Identity Manager

58 VMware, Inc.

Configurar la autenticación deusuario de VMware Identity Manager 7

VMware Identity Manager es compatible con varios métodos de autenticación. Es posible configurar unmétodo de autenticación único y configurar una autenticación encadenada en dos fases. También es posibleutilizar un método de autenticación externo a los protocolos SAML y RADIUS.

La instancia del proveedor de identidades que utiliza con los servicios de VMware Identity Manager creauna entidad de federación en red que se comunica con el servicio utilizando aserciones de SAML 2.0.

Cuando implementa inicialmente el servicio de VMware Identity Manager, el conector es el proveedor deidentidades inicial del servicio. La infraestructura existente de Active Directory se utiliza para la gestión y laautenticación del usuario.

Se admiten los siguientes métodos de autenticación. Puede configurar estos métodos de autenticación desdela consola de administración.

Métodos deautenticación Descripción

Contraseña(implementación en lasinstalaciones)

Sin ninguna configuración después de haber configurado Active Directory,VMware Identity Manager admite la autenticación con contraseña en Active Directory. Coneste método, los usuarios se autentican directamente en Active Directory.

Kerberos paraescritorios

La autenticación de Kerberos proporciona acceso al portal de aplicaciones a los usuarios dedominio que cuentan con un inicio de sesión único. No es necesario que los usuarios vuelvan ainiciar sesión en el portal de aplicaciones después de hacerlo en la red. Se pueden configurardos métodos de autenticación de Kerberos: la autenticación de Kerberos para escritorios conautenticación de Windows integrada y la autenticación de Kerberos integrado para dispositivosmóviles con iOS 9 cuando se configura una relación de confianza entre Active Directory yAirWatch.

Certificado(implementación en lasinstalaciones)

Se puede configurar la autenticación basada en certificados para permitir que los clientes seautentiquen con certificados desde su escritorio y dispositivos móviles, o bien para utilizar unadaptador de tarjeta inteligente para la autenticación.La autenticación basada en certificados se basa en lo que tiene el usuario y en lo que sabe lapersona. Un certificado X.509 utiliza el estándar de infraestructura de clave pública paracomprobar que una clave pública contenida en el certificado pertenezca al usuario.

RSA SecurID(implementación en lasinstalaciones)

Cuando está configurada la autenticación RSA SecurID, VMware Identity Manager seconfigura como agente de autenticación en el servidor RSA SecurID. La autenticación RSASecurID requiere que los usuarios utilicen un sistema de autenticación basado en tokens. RSASecurID es un método de autenticación para los usuarios que obtienen acceso aVMware Identity Manager desde fuera de la red empresarial.

RADIUS(implementación en lasinstalaciones)

La autenticación RADIUS proporciona opciones de autenticación en dos fases. Se configura elservidor RADIUS que sea accesible para el servicio VMware Identity Manager. Cuando losusuarios inician sesión con su nombre de usuario y código de acceso, se envía una solicitud deacceso al servidor RADIUS para la autenticación.

VMware, Inc. 59

Métodos deautenticación Descripción

Autenticaciónadaptativa de RSA(implementación en lasinstalaciones)

La autenticación RSA proporciona una autenticación multifactor más segura que la que solousa un nombre de usuario y una contraseña en Active Directory. Si se habilita la autenticaciónadaptativa de RSA, los indicadores de riesgo especificados en la directiva de riesgos seconfiguran en la aplicación de administración de directivas de RSA. La configuración delservicio VMware Identity Manager de la autenticación adaptativa se utiliza para determinar laautenticación necesaria.

SSO móvil (para iOS) La autenticación SSO móvil para iOS se utiliza para una autenticación Single Sign-On en losdispositivos iOS administrados por AirWatch. La autenticación SSO móvil (para iOS) utiliza uncentro de distribución de claves (KDC, Key Distribution Center) que es parte del servicio deIdentity Manager. Debe iniciar el servicio KDC en VMware Identity Manager antes de habilitarel método de autenticación.

SSO móvil (paraAndroid)

El SSO móvil para la autenticación de Android se utiliza para la autenticación Single Sign-Onen los dispositivos Android gestionados por AirWatch. Se configura un servicio de proxy entreel servicio de VMware Identity Manager y AirWatch para recuperar el certificado desdeAirWatch para la autenticación.

Contraseña (AirWatchConnector)

AirWatch Cloud Connector puede tener integrado el servicio de VMware Identity Managerpara la autenticación de la contraseña del usuario. Configure el servicio de VMware IdentityManager para sincronizar los usuarios desde el directorio de AirWatch.

VMware Verify VMware Verify se puede utilizar como el segundo método de autenticación cuando seanecesario un método de autenticación en dos fases. El primer método de autenticación es elnombre de usuario y la contraseña y el segundo es un código o una aprobación de solicitud deVMware Verify.VMware Verify utiliza un servicio de terceros en la nube para enviar esta función a losdispositivos de los usuarios. Para ello, la información de los usuarios, como el nombre, elcorreo electrónico y el número de teléfono, se almacenan en el servicio, pero solo se utiliza conel fin de enviar esta función.

Contraseña (directoriolocal)

El método Contraseña (directorio local) se habilita de forma predeterminada en el proveedorde identidades IDP del sistema usado con el directorio del sistema. Se aplica a la directiva deacceso predeterminada.

Después de configurar los métodos de autenticación, crea reglas de directivas de acceso que especifiquen losmétodos de autenticación que se debe utilizar según el tipo de dispositivo. Los usuarios se autenticansiguiendo los métodos de autenticación, la reglas de la directiva de acceso por defecto, los rangos de la red yla instancia del proveedor de identidades de identidad que configura. Consulte “Administrar métodos deautenticación que se apliquen a los usuarios,” página 82.

Este capítulo cubre los siguientes temas:

n “Configurar Kerberos para VMware Identity Manager,” página 61

n “Configurar SecurID para VMware Identity Manager,” página 65

n “Configurar RADIUS para VMware Identity Manager,” página 67

n “Configurar la autenticación adaptativa de RSA en VMware Identity Manager,” página 69

n “Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware IdentityManager,” página 72

n “Configurar VMware para la autenticación en dos fases,” página 75

n “Configurar un proveedor de identidades integrado,” página 77

n “Configurar proveedores de identidades adicionales de Workspace,” página 79

n “Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios,”página 80

n “Administrar métodos de autenticación que se apliquen a los usuarios,” página 82

Administración de VMware Identity Manager

60 VMware, Inc.

Configurar Kerberos para VMware Identity ManagerLa autenticación de Kerberos proporciona acceso al portal de aplicaciones sin solicitudes adicionales decredenciales a los usuarios que iniciaron sesión en su dominio correctamente.

El protocolo de autenticación de Kerberos se puede configurar en el servicio de Identity Manager para losescritorios con autenticación de Windows integrada con el fin de proteger las interacciones entre losnavegadores de los usuarios y el servicio de Identity Manager, así como para el inicio de sesión único con unsolo toque en los dispositivos móviles con iOS 9 administrados en AirWatch. Para obtener más informaciónsobre la autenticación de Kerberos en dispositivos con iOS 9, consulte “Implementar la autenticación SingleSign-On móvil para los dispositivos iOS administrados por AirWatch,” página 135.

Implementación de Kerberos para escritorios con autenticación IWAPara configurar la autenticación de Kerberos para escritorios, tiene que habilitar la autenticación IWA(Integrated Windows Authentication, Autenticación integrada en Windows) para permitir que el protocolode Kerberos proteja las interacciones entre los navegadores de los usuarios y el servicio de Identity Manager.

Cuando se habilita la autenticación de Kerberos para los escritorios, el servicio de Identity Manager validalas credenciales de escritorio del usuario mediante los tickets de Kerberos distribuidos por el centro dedistribución de claves (KDC, Key Distribution Center) implementado como un servicio de dominios enActive Directory. No es necesario configurar Active Directory directamente para que Kerberos funcione conla implementación existente.

Debe configurar los navegadores web para enviar sus credenciales de Kerberos al servicio cuando losusuarios inician la sesión. Consulte “Configurar el navegador para Kerberos,” página 62.

Configurar la autenticación de Kerberos para escritorios con autenticación deWindows integradaPara configurar el servicio VMware Identity Manager para que proporcione autenticación de Kerberos en losescritorios, debe unirse al dominio y habilitar la autenticación de Kerberos en el conector deVMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneConfiguración.

2 En la página Conectores, para el conector que se esté configurando para la autenticación Kerberos, hagaclic en Unirse a dominio.

3 En la página Unirse a dominio, escriba la información del dominio de Active Directory.

Opción Descripción

Dominio Introduzca el nombre de dominio completo de Active Directory. Este nombre de dominio debecoincidir con el dominio de Windows del servidor del conector.

Usuario dedominio

Introduzca el nombre de usuario de una cuenta de Active Directory que tenga permisos para unirsistemas a ese dominio de Active Directory.

Contraseña dedominio

Introduzca la contraseña asociada al nombre de usuario de AD. Esta contraseña no se almacena enVMware Identity Manager.

Haga clic en Guardar.

Se actualiza la página Unirse a dominio y se muestra un mensaje que indica que está unido al dominio.

4 En la columna Trabajo del conector, haga clic en Adaptadores de autenticación.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 61

5 Haga clic en KerberosIdpAdapter.

Se le redirige a la página de inicio de sesión del administrador de identidades.

6 Haga clic en Editar en la fila de KerberosldpAdapter y configure la página de la autenticación Kerberos.

Opción Descripción

Nombre Es necesario un nombre. El nombre predeterminado es KerberosIdpAdapter. Puede cambiarlo.

Atributo deUID dedirectorio

Introduzca el atributo de cuenta que contiene el nombre de usuario.

Habilitarautenticaciónde Windows

Seleccione esta opción para extender las interacciones de autenticación entre los navegadores de losusuarios y VMware Identity Manager.

HabilitarNTLM

Seleccione esta opción para habilitar la autenticación basada en el protocolo NT LAN Manager(NTLM) únicamente si la infraestructura de su entorno de Active Directory emplea la autenticaciónNTLM.

Habilitarredireccionamiento

Seleccione esta opción si DNS de round robin y los equilibradores de carga no son compatibles conKerberos. Las solicitudes de autenticación se redirigen al nombre del host de redireccionamiento. Sise selecciona esta opción, escriba el nombre del host de redireccionamiento en el cuadro de textoNombre del host de redireccionamiento. Suele tratarse del nombre del host del servicio.

7 Haga clic en Guardar.

Qué hacer a continuación

Añada el método de autenticación a la política de acceso predeterminada. Vaya a la página Administraciónde acceso e identidades > Administrar > Políticas y edite las reglas de la política predeterminada para añadirel método de autenticación Kerberos a la regla en el orden de autenticación correcto.

Configurar el navegador para KerberosCuando se habilita Kerberos, debe configurar los navegadores web para enviar sus credenciales de Kerberosal servicio cuando los usuarios inician sesión.

Puede configurar los siguientes navegadores web para enviar sus credenciales de Kerberos al servicio deIdentity Manager en ordenadores con Windows (Firefox, Internet Explorer y Chrome). Todos losnavegadores requieren configuración adicional.

Configurar Internet Explorer para acceder a la interfaz web

Debe configurar Internet Explorer si Kerberos está configurado para la implementación y si desea concedera los usuarios acceso a la interfaz web mediante Internet Explorer.

La autenticación de Kerberos opera conjuntamente con VMware Identity Manager en sistemas operativosWindows.

NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.

Prerequisitos

Configure Internet Explorer para cada usuario o envíe las instrucciones a los usuarios después de configurarKerberos.

Procedimiento

1 Compruebe que ha iniciado sesión en Windows como usuario del dominio.

Administración de VMware Identity Manager

62 VMware, Inc.

2 En Internet Explorer, habilite el inicio de sesión automático.

a Seleccione Herramientas > Opciones de Internet > Seguridad.

b Haga clic en Nivel personalizado.

c Seleccione Inicio de sesión automático solo en la zona Intranet.

d Haga clic en Aceptar.

3 Compruebe que esta instancia del dispositivo virtual del conector forma parte de la zona intranet local.

a Use Internet Explorer para acceder a la URL de inicio de sesión de VMware Identity Manager enhttps://myconnectorhost.domain/authenticate/.

b Busque la zona en la esquina inferior derecha de la barra de estado de la ventana del explorador.

Si la zona es Intranet local, se ha completado la configuración de Internet Explorer.

4 Si la zona no es Intranet local, añada la URL de inicio de sesión de VMware Identity Manager a la zonaintranet.

a Seleccione Herramientas > Opciones de Internet > Seguridad > Intranet local > Sitios.

b Seleccione Detectar redes intranet automáticamente.

Si esta opción no estaba seleccionada, selecciónela para añadir el a la zona intranet.

c (Opcional) Si seleccionó Detectar redes intranet automáticamente, haga clic en Aceptar hasta quese cierren todos los cuadros de diálogo.

d En el cuadro de diálogo Intranet local, haga clic en Opciones avanzadas.

Aparece un segundo cuadro de diálogo denominado Intranet local.

e Escriba la URL de VMware Identity Manager en el cuadro de texto Agregar este sitio web a lazona de.

https://myconnectorhost.domain/authenticate/

f Haga clic en Agregar > Cerrar > Aceptar.

5 Compruebe que Internet Explorer tiene permiso para enviar la autenticación de Windows al sitio deconfianza.

a En el cuadro de diálogo Opciones de Internet, haga clic en la pestaña Opciones avanzadas.

b Seleccione Habilitar autenticación integrada de Windows.

Esta opción solo surtirá efecto tras reiniciar Internet Explorer.

c Haga clic en Aceptar.

6 Inicie sesión en la interfaz web para comprobar el acceso.

Si la autenticación de Kerberos se realizó correctamente, la URL de prueba abre la interfaz web.

El protocolo Kerberos protege todas las interacciones entre esta instancia de Internet Explorer yVMware Identity Manager. Los usuarios ya podrán utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar Firefox para acceder a la interfaz web

Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz webmediante Firefox, deberá configurar el explorador Firefox.

La autenticación de Kerberos opera conjuntamente con VMware Identity Manager en sistemas operativosWindows.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 63

Prerequisitos

Una vez que haya configurado Kerberos, configure el explorador Firefox para cada usuario o bienproporcione las instrucciones correspondientes a los usuarios.

Procedimiento

1 En el cuadro de texto de la dirección URL del explorador Firefox, escriba about:config para acceder a laconfiguración avanzada.

2 Haga clic en ¡Tendré cuidado, lo prometo!

3 Haga doble clic en network.negotiate-auth.trusted-uris en la columna Nombre de la preferencia.

4 Escriba la dirección URL de VMware Identity Manager en el cuadro de texto.

https://hostdemiconector.dominio.com

5 Haga clic en Aceptar.

6 Haga doble clic en network.negotiate-auth.delegation-uris en la columna Nombre de la preferencia.

7 Escriba la dirección URL de VMware Identity Manager en el cuadro de texto.

https://hostdemiconector.dominio.com/authenticate/

8 Haga clic en Aceptar.

9 Utilice el explorador Firefox para iniciar sesión en la dirección URL de inicio de sesión de y comprobarasí la funcionalidad de Kerberos. Por ejemplo, https://hostdemiconector.dominio.com/authenticate/.

Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba accederá a lainterfaz web.

El protocolo Kerberos protege cualquier interacción entre la instancia en cuestión del explorador Firefox yVMware Identity Manager. Los usuarios ya podrán utilizar Single Sign-On para acceder a su portal deWorkspace ONE.

Configurar el navegador Chrome para acceder a la interfaz web

Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz webmediante el explorador Chrome, deberá configurar este explorador.

La autenticación de Kerberos opera conjuntamente con VMware Identity Manager en sistemas operativosWindows.

NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.

Prerequisitos

n Configure Kerberos.

n Dado que Chrome utiliza la configuración de Internet Explorer para habilitar la autenticación deKerberos, deberá configurar Internet Explorer para que permita a Chrome utilizar su configuración.Consulte la documentación de Google para obtener información sobre cómo configurar Chrome para laautenticación de Kerberos.

Procedimiento

1 Utilice el explorador Chrome para comprobar la funcionalidad de Kerberos.

2 Inicie sesión en VMware Identity Manager en la dirección https://mihostdeconector.dominio.com/autenticar/.

Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba se conectará a lainterfaz web.

Administración de VMware Identity Manager

64 VMware, Inc.

Si todas las configuraciones relacionadas con Kerberos son correctas, el protocolo relativo (Kerberos)protegerá todas las interacciones entre esta instancia del explorador Chrome y VMware Identity Manager.Los usuarios pueden utilizar Single Sign-On para acceder a su portal de Workspace ONE.

Configurar SecurID para VMware Identity ManagerCuando se configura el servidor RSA SecurID, debe añadir la información del servicio de deVMware Identity Manager como el agente de autenticación del servidor RSA SecurID y configurar lainformación del servidor de RSA SecurID en el servicio de de VMware Identity Manager.

Cuando configura SecurID para proporcionar seguridad adicional, debe asegurarse de que la red estácorrectamente configurada para la implementación de VMware Identity Manager. En concreto para SecurID,debe asegurarse que que el puerto correcto está abierto para habilitar SecurID para autenticar usuarios fuerade la red.

Tras ejecutar el asistente para la instalación de de VMware Identity Manager y configurar la conexión deActive Directory, dispone de la información necesaria para preparar el servidor RSA SecurID. Tras prepararel servidor RSA SecurID de VMware Identity Manager, habilite SecurID en la consola de administración.

n Preparar el servidor RSA SecurID página 65El servidor RSA SecurID debe configurarse con información acerca del dispositivo del deVMware Identity Manager como el agente de autenticación. La información necesaria es el nombre dehost y las direcciones IP de las interfaces de red.

n Configurar la autenticación de RSA SecurID página 66Después de configurar el dispositivo de de VMware Identity Manager como agente de autenticaciónen el servidor RSA SecurID, debe añadir la información de configuración de RSA SecurID al conector.

Preparar el servidor RSA SecurIDEl servidor RSA SecurID debe configurarse con información acerca del dispositivo del deVMware Identity Manager como el agente de autenticación. La información necesaria es el nombre de host ylas direcciones IP de las interfaces de red.

Prerequisitos

n Compruebe que una de las siguientes versiones del administrador de autenticación RSA esté instaladay en funcionamiento en la red empresarial: RSA AM 6.1.2, 7.1 SP2 y versiones posteriores, y 8.0 yversiones posteriores. El servidor del de VMware Identity Manager utilizaAuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1), que solo admite las versionesanteriores del administrador de autenticación RSA (el servidor RSA SecurID). Para obtener másinformación acerca de la instalación y configuración del administrador de autenticación RSA (servidorRSA SecurID), consulte la documentación de RSA.

Procedimiento

1 En una versión admitida del servidor RSA SecurID, añada el conector de VMware Identity Managercomo agente de autenticación. Escriba la siguiente información.

Opción Descripción

Nombre de host El nombre de host de VMware Identity Manager.

Dirección IP La dirección IP es VMware Identity Manager.

Dirección IP alternativa Si el tráfico del conector pasa a través de un dispositivo de traducción dedirecciones de red (NAT) para alcanzar el servidor RSA SecurID, escriba ladirección IP privada del dispositivo.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 65

2 Descargue el archivo de configuración comprimido y extraiga el archivo sdconf.rec.

Esté preparado para cargar este archivo más tarde cuando configure RSA SecurID deVMware Identity Manager.

Qué hacer a continuación

Vaya a la consola de administración y, en las páginas Configuración de administración de identidad yacceso, seleccione el conector y en la página Adaptadores de autenticación configure SecurID.

Configurar la autenticación de RSA SecurIDDespués de configurar el dispositivo de de VMware Identity Manager como agente de autenticación en elservidor RSA SecurID, debe añadir la información de configuración de RSA SecurID al conector.

Prerequisitos

n Compruebe que el administrador de autenticación RSA (el servidor RSA SecurID) esté instalado yconfigurado de forma correcta.

n Descargue el archivo comprimido del servidor RSA SecurID y extraiga el archivo de configuración delservidor.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneConfiguración.

2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar conRSA SecurID.

3 Haga clic en Adaptadores de autenticación y después en SecurIDldpAdapter.

Se le redirige a la página de inicio de sesión del administrador de identidades.

4 En la página Adaptadores de autenticación, en la fila SecurIDldpAdapter, haga clic en Editar.

5 Configure la página Adaptador de autenticación SecurID.

La información usada y los archivos generados en el servidor RSA SecurID son necesarios cuando seconfigura la página de SecurID.

Opción Acción

Nombre Es necesario un nombre. El nombre predeterminado es SecurIDldpAdapter. Puede cambiarlo.

HabilitarSecurID

Seleccione esta casilla para habilitar la autenticación SecurID.

Número deintentos deautenticaciónpermitidos

Introduzca el número máximo de intentos de inicio de sesión fallidos cuando se usa el token deRSA SecurID. El valor predeterminado es cinco intentos.NOTA: Si más de un directorio está configurado e implementa la autenticación de RSA SecurIDcon directorios adicionales, configure la opción Número de intentos de autenticación permitidoscon el mismo valor para cada configuración de RSA. Si el valor es distinto, se produce un error en laautenticación SecurID.

Dirección deConnector

Introduzca la dirección IP de la instancia de Connector. El valor que introduzca debe coincidir conel que usó cuando agregó el dispositivo de Connector como agente de autenticación al servidorRSA SecurID. Si el servidor RSA SecurID tiene un valor asignado para la solicitud de dirección IPalternativa, introduzca dicho valor como dirección IP de Connector. Si no hay ninguna dirección IPalternativa asignada, introduzca el valor asignado a la solicitud IP.

Dirección IPdel agente

Introduzca el valor asignado a la solicitud Dirección IP en el servidor RSA SecurID.

Administración de VMware Identity Manager

66 VMware, Inc.

Opción Acción

Configuracióndel servidor

Cargue el archivo de configuración del servidor RSA SecurID. En primer lugar, debe descargar elarchivo comprimido dese el servidor RSA SecurID y extraer el archivo de configuración delservidor, que de forma predeterminada se denomina sdconf.rec.

Secreto delnodo

Si deja el campo Secreto del nodo en blanco, dicho secreto se vuelve a generar. Se recomienda queborre el archivo de secreto del nodo en el servidor RSA SecurID y no cargue, de formaintencionada, el archivo de secreto del nodo. Asegúrese de que el archivo de secreto del nodo en elservidor RSA SecurID y en la instancia del conector del servidor siempre coincidan. Si cambia elsecreto del nodo en una ubicación, cámbielo también en la otra.

6 Haga clic en Guardar.

Qué hacer a continuación

Añada el método de autenticación a la política de acceso predeterminada. Vaya a la página Administraciónde acceso e identidad > Administrar > Directivas y edite las reglas de la directiva predeterminada paraagregar el método de autenticación SecurID a la regla. Consulte “Administrar métodos de autenticación quese apliquen a los usuarios,” página 82.

Configurar RADIUS para VMware Identity ManagerPuede configurar VMware Identity Manager para que los usuarios necesiten utilizar la autenticaciónRADIUS (Servicio de autenticación remota telefónica de usuario). La información del servidor RADIUS seconfigura en el servicio de VMware Identity Manager.

El soporte de RADIUS ofrece un amplio rango de opciones de autenticación alternativas en dos fases basadaen tokens. Dado que las soluciones de autenticación de dos fases, como RADIUS, trabajan conadministradores de autenticación instalados en servidores separados, el servidor RADIUS debe ser accesiblepara el servicio del administrador de identidad.

Cuando los usuarios inician sesión en el portal de Workspace ONE y la autenticación RADIUS estáhabilitada, aparece en el navegador un cuadro de diálogo de inicio de sesión especial. Los usuarios escribenel nombre de usuario y código de acceso de autenticación RADIUS en el cuadro de diálogo de inicio desesión. Si el servidor RADIUS emite un desafío de acceso, el servicio del administrador de identidadmuestra un cuadro de diálogo que solicita un segundo código de acceso. Actualmente, el soporte para losdesafíos RADIUS se limita a solicitar la entrada de texto.

Cuando un usuario ha escrito sus credenciales en el cuadro de diálogo, el servidor RADIUS puede enviarleun código a través de un mensaje de correo electrónico, un mensaje de texto SMS o bien algún otromecanismo fuera de banda. El usuario puede escribir este texto y código en el cuadro de diálogo de inicio desesión para completar la autenticación.

Si el servidor RADIUS ofrece la posibilidad de importar usuarios desde Active Directory, puede que a losusuarios finales se les pidan credenciales de Active Directory antes de solicitar un nombre de usuario ycódigo de acceso de autenticación RADIUS.

Preparar el servidor RADIUSInstale el servidor RADIUS y configúrelo para que acepte solicitudes RADIUS del servicioVMware Identity Manager.

Consulte las guías de configuración del proveedor de RADIUS para obtener información sobre laconfiguración del servidor RADIUS. Tenga en cuenta que la información de configuración de RADIUScuando la utilice para configurar RADIUS en el servicio. Para saber qué tipo de información RADIUS serequiere para configurar VMware Identity Manager, consulte “Configurar la autenticación RADIUS enVMware Identity Manager,” página 68.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 67

Puede configurar un servidor de autenticación de Radius secundario para los casos de alta disponibilidad. Siel servidor RADIUS principal no responde en el tiempo de espera del servidor configurado para laautenticación de RADIUS, la solicitud se enruta al servidor secundario. Cuando el servidor principal noresponde, el segundo recibe todas las solicitudes de autenticación que llegan a continuación.

Configurar la autenticación RADIUS en VMware Identity ManagerTanto la habilitación de la autenticación RADIUS como la configuración de RADIUS se realizan en laconsola de administración de VMware Identity Manager.

Prerequisitos

Instale y configure el software de RADIUS en un servidor de administrador de autenticación. Para laautenticación RADIUS, siga las instrucciones en la documentación de configuración del proveedor.

Necesita conocer la siguiente información del servidor RADIUS para configurar RADIUS en el servicio.

n Dirección IP o nombre DNS del servidor RADIUS.

n Números de puertos de autenticación. El puerto de autenticación suele ser el 1812.

n Tipo de autenticación. Entre los tipos de autenticación, se incluyen Protocolo de autenticación decontraseña (Password Authentication Protocol, PAP), Protocolo de autenticación por desafío mutuo(Challenge Handshake Authentication Protocol, CHAP) y Protocolo de autenticación por desafío mutuode Microsoft, versiones 1 y 2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 and2; MSCHAP1 y MSCHAP2).

n Secreto compartido de RADIUS que se usa para el cifrado y descifrado en los mensajes del protocoloRADIUS.

n Valores específicos de tiempo de espera y reintento necesarios para la autenticación RADIUS.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración.

2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar para laautenticación RADIUS.

3 Haga clic en Adaptadores de autenticación y después en RadiusAuthAdapter.

Se le redirige a la página de inicio de sesión del administrador de identidades.

4 Haga clic en Editar para configurar estos campos en la página Adaptador de autenticación.

Opción Acción

Nombre Es necesario un nombre. El nombre predeterminado es RadiusAuthAdapter. Puede cambiarlo.

Habilitaradaptador deRadius

Active esta casilla para habilitar la autenticación RADIUS.

Número deintentos deautenticaciónpermitidos

Escriba el número máximo de intentos de inicio de sesión fallidos cuando se usa RADIUS parainiciar sesión. El valor predeterminado es cinco intentos.

Número deintentos en elservidorRadius

Especifique el número total de reintentos. Si el servidor principal no responde, el servicio espera eltiempo configurado antes de volver a intentarlo.

Administración de VMware Identity Manager

68 VMware, Inc.

Opción Acción

Nombre delhost/direccióndel servidorRadius

Escriba el nombre del host o la dirección IP del servidor RADIUS.

Puerto deautenticación

Escriba el número de puerto para la autenticación RADIUS. Suele ser el 1812.

Puerto decuentas

Escriba 0 como número de puerto. En estos momentos, no se usa el puerto de cuentas.

Tipo deautenticación

Indique el protocolo de autenticación compatible con el servidor RADIUS. Elija PAP, CHAP,MSCHAP1 o MSCHAP2.

Secretocompartido

Escriba el secreto compartido que se usa entre el servidor RADIUS y el servicio de VMware IdentityManager.

Tiempo deespera delservidor ensegundos

Escriba el tiempo de espera del servidor RADIUS en segundos, después del cual se enviará unreintento si el servidor RADIUS no responde.

Prefijo deterritorio

(Opcional) La ubicación de la cuenta de usuario se denomina territorio.Si especifica una cadena de prefijo de territorio, se coloca al principio del nombre de usuariocuando se envía al servidor RADIUS. Por ejemplo, si el nombre de usuario es jdoe y se especifica elprefijo de territorio DOMAIN-A\, se envía el nombre de usuario DOMAIN-A\jdoe al servidorRADIUS. Si no configura estos campos, solamente se envía el nombre de usuario que se indique.

Sufijo deterritorio

(Opcional) Si especifica un sufijo de territorio, la cadena se coloca al final del nombre de usuario.Por ejemplo, si el sufijo es @myco.com, se envía el nombre de usuario [email protected] al servidorRADIUS.

Sugerencia defrase decontraseña depágina deinicio desesión

Escriba la cadena de texto que se mostrará en el mensaje de la página de inicio de sesión de usuarioa los usuarios directos para que escriban el código de acceso de RADIUS correcto. Por ejemplo, sieste campo está configurado con contraseña de AD primero y después el código de acceso SMS, elmensaje de la página de inicio de sesión sería Escriba su contraseña de AD primero y después elcódigo de acceso SMS. La cadena de texto predeterminada es Código de acceso de RADIUS.

5 Puede habilitar un servidor RADIUS secundario para lograr una disponibilidad elevada.

Configure el servidor secundario tal como se describe en el paso 4.

6 Haga clic en Guardar.

Qué hacer a continuación

Añada el método de autenticación RADIUS a la política de acceso predeterminada. Vaya a la páginaAdministración de acceso e identidad > Administrar > Directivas y edite las reglas de la directivapredeterminada para agregar el método de autenticación RADIUS a la regla. Consulte “Administrarmétodos de autenticación que se apliquen a los usuarios,” página 82.

Configurar la autenticación adaptativa de RSA en VMware IdentityManager

La autenticación RSA puede implementarse para proporcionar una autenticación multifactor más seguraque la que solo utiliza un nombre de usuario y una contraseña en Active Directory. La autenticaciónadaptativa supervisa y autentica los intentos de inicio de sesión del usuario según las directivas y los nivelesde riesgo.

Cuando se habilita la autenticación adaptativa, los indicadores de riesgo especificados en las directivas deriesgo se configuran en la aplicación RSA Policy Management y la configuración del servicio VMwareIdentity Manager de la autenticación adaptativa se utiliza para determinar si un usuario se autentica con elnombre de usuario y la contraseña o si se necesita más información para autenticar al usuario.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 69

Métodos de autenticación compatibles de la autenticación adaptativa de RSALos métodos de autenticación seguros de la autenticación adaptativa de RSA compatibles en el servicioVMware Identity Manager son la autenticación fuera de banda por correo electrónico, teléfono o SMS ymediante preguntas de comprobación. En el servicio, debe habilitar los métodos de la autenticaciónadaptativa de RSA que pueden proporcionarse. Las directivas de la autenticación adaptativa de RSAdeterminan qué método de autenticación secundaria se utiliza.

La autenticación fuera de banda es un proceso que requiere que se envíe una verificación adicional junto conel nombre de usuario y la contraseña. Cuando los usuarios se registran en un servidor con autenticaciónadaptativa de RSA, deben proporcionar una dirección de correo electrónico, un número de teléfono, oambos, según la configuración del servidor. Cuando se solicite la verificación adicional, el servidor deautenticación adaptativa de RSA envía un código de acceso de un solo uso a través del canal proporcionado.Los usuarios introducirán ese código junto con su nombre de usuario y su contraseña.

Las preguntas de comprobación requieren que el usuario conteste una serie de preguntas cuando seregistran en el servidor de autenticación adaptativa de RSA. Puede configurar el número de preguntas deregistro y el número de preguntas de comprobación que aparecerán en la página de inicio de sesión.

Registrar usuarios con el servidor de autenticación adaptativa de RSASe debe aprovisionar a los usuarios en la base de datos de autenticación adaptativa de RSA para utilizar laautenticación adaptativa en el proceso de autenticación. Los usuarios se agregan a la base de datos de laautenticación adaptativa de RSA cuando inician sesión por primera vez con su nombre de usuario y sucontraseña. En función de cómo configure la autenticación adaptativa en el servicio, se puede pedir a losusuarios que proporcionen su dirección de correo electrónico, su número de teléfono, su número de serviciode mensajes de texto (SMS) o que establezcan respuestas para las preguntas de comprobación.

NOTA: La autenticación adaptativa de RSA no permite introducir caracteres internacionales en losnombres de usuario. Si su intención es permitir caracteres multibyte en los nombres de usuario, póngase encontacto con el equipo de soporte técnico de RSA para configurar la autenticación de RSA y eladministrador de esta función.

Configurar la autenticación adaptativa de RSA en Identity ManagerPara configurar en el servicio la autenticación adaptativa de RSA, debe habilitarla, seleccionar los métodosde autenticación adaptativa que se van a aplicar y agregar el certificado y la información de la conexión deActive Directory.

Prerequisitos

n Debe configurar correctamente la autenticación adaptativa de RSA con los métodos de autenticaciónque se van a utilizar en la autenticación secundaria.

n Detalles sobre el nombre de usuario SOAP y la dirección del terminal SOAP.

n Debe tener disponible la información de la configuración y el certificado SSL de Active Directory.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración.

2 En la columna Trabajo de la página Conector, seleccione el vínculo del conector que se estáconfigurando.

3 Haga clic en Adaptadores de autenticación y, a continuación, en RSAAAldpAdapter.

Se le redirige a la página del adaptador de autenticación de Identity Manager.

Administración de VMware Identity Manager

70 VMware, Inc.

4 Haga clic en el vínculo Editar situado junto a RSAAAIdpAdapter.

5 Seleccione la configuración adecuada para su entorno.

NOTA: El asterisco indica que el campo es obligatorio. Los otros campos son opcionales.

Opción Descripción

*Nombre Es necesario un nombre. El nombre predeterminado esRSAAAIdpAdapter. Puede cambiarlo.

Habilitar adaptador deautenticación adaptativa de RSA

Active la casilla para habilitar la autenticación adaptativa de RSA.

*Terminal SOAP Introduzca la dirección del terminal SOAP para permitir la integraciónentre el servicio y el adaptador de autenticación adaptativa de RSA.

*Nombre de usuario SOAP Introduzca el nombre de usuario y la contraseña que se utilizó para firmarlos mensajes SOAP.

Dominio de RSA Introduzca la dirección del dominio del servidor de autenticaciónadaptativa.

Habilitar correo electrónico deautenticación fuera de banda

Seleccione esta casilla para habilitar la autenticación fuera de banda queenvía un código de acceso de un solo uso al usuario final a través de uncorreo electrónico.

Habilitar SMS de autenticaciónfuera de banda

Seleccione esta casilla para habilitar la autenticación fuera de banda queenvía un código de acceso de un solo uso al usuario final a través de unSMS.

Habilitar SecurID Seleccione esta casilla para habilitar SecurID. Se pide a los usuarios queintroduzcan el código de acceso y el token de RSA.

Habilitar pregunta secreta Seleccione esta casilla si va a utilizar preguntas de comprobación y deregistro para la autenticación.

*Número de preguntas de registro Introduzca el número de preguntas que el usuario debe configurar cuandose inscriba en el servidor del adaptador de autenticación.

*Número de preguntas decomprobación

Introduzca el número de preguntas de comprobación que los usuariosdeben contestar correctamente para iniciar sesión.

*Número de intentos deautenticación permitidos

Introduzca el número de veces que se muestran las preguntas decomprobación a un usuario que intenta iniciar sesión antes de que seproduzca un error en la autenticación.

Tipo de directorio El único directorio compatible es Active Directory.

Puerto de servidor Introduzca el número de puerto de Active Directory.

Host de servidor Introduzca el nombre de host de Active Directory.

Utilizar SSL Seleccione esta casilla si utiliza SSL en la conexión del directorio. Agregueel certificado SSL de Active Directory en el campo Certificado deldirectorio.

Utilizar la ubicación del servicioDNS

Seleccione esta casilla si se utiliza la ubicación del servicio DNS en laconexión del directorio.

DN base Introduzca el DN desde el que deben empezar las búsquedas en cuentas.Por ejemplo, OU=myUnit,DC=myCorp,DC=com.

DN de enlace Introduzca la cuenta que puede buscar usuarios. Por ejemplo,CN=binduser,OU=myUnit,DC=myCorp,DC=com

Contraseña de enlace Introduzca la contraseña de la cuenta de DN de enlace.

Atributo de búsqueda Introduzca el atributo de cuenta que contiene el nombre de usuario.

Certificado del directorio Para establecer conexiones SSL seguras, agregue el certificado de servidordel directorio en el cuadro de texto. En el caso de varios servidores,agregue el certificado raíz de la autoridad de certificación.

6 Haga clic en Guardar.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 71

Qué hacer a continuación

Habilite el método de autenticación Autenticación adaptativa de RSA en el proveedor de identidadesintegrado en la pestaña Administración de acceso e identidad > Administrar. Consulte “Configurar unproveedor de identidades integrado,” página 77.

Agregue el método de autenticación "autenticación adaptativa de RSA" a la directiva de accesopredeterminada. Acceda a la página Administración de acceso e identidad > Administrar > Directivas yedite las reglas de la directiva para agregar la autenticación adaptativa. Consulte “Administrar métodos deautenticación que se apliquen a los usuarios,” página 82.

Configurar un certificado o adaptador de tarjeta inteligente parautilizarlo con VMware Identity Manager

Puede configurar la autenticación del certificado x509 para que los clientes puedan autenticar concertificados desde su escritorio o dispositivos móviles, o bien para utilizar un adaptador de tarjetainteligente para la autenticación. La autenticación basada en certificados se basa en lo que tiene el usuario (laclave privada o tarjeta inteligente) y en lo que sabe la persona (la contraseña de la clave privada o el PIN dela tarjeta inteligente). Un certificado X.509 utiliza el estándar de infraestructura de clave pública (PKI) paracomprobar que la clave pública que contiene el certificado pertenece al usuario. Gracias a la autenticacióncon tarjeta inteligente, los usuarios se conectan a esta con el equipo y escriben un PIN.

Los certificados de tarjeta inteligente se copian en el almacén de certificados local del equipo del usuario.Los certificados del almacén de certificados local están disponibles en todos los navegadores que se ejecutenen el equipo del usuario, excepto en algunos casos, y por lo tanto están disponibles para una instancia deVMware Identity Manager en el navegador.

NOTA: Cuando se configura la autenticación mediante certificado y el dispositivo del servicio estáconfigurado tras un equilibrador de carga, asegúrese de que VMware Identity Manager Connector estáconfigurado con acceso directo a SSL en el equilibrador de carga y no para finalizar SSL en el equilibradorde carga. Esta configuración garantiza que el protocolo de enlace SSL se encuentre entre el conector y elcliente para pasar el certificado al conector. Cuando el equilibrador de carga está configurado para finalizarSSL en el equilibrador de carga, puede implementar un segundo conector tras otro equilibrador de cargapara admitir la autenticación mediante certificado.

Consulte la guía Instalación y configuración de VMware Identity Manager para obtener información sobrela adición de un segundo conector.

Usar el nombre principal de usuario para la autenticación de certificadoPuede usar la asignación de certificados en Active Directory. Los inicios de sesión con certificado y tarjetainteligente usan el nombre principal de usuario (UPN) de Active Directory para validar las cuentas deusuario. Las cuentas de Active Directory de los usuarios que intentan autenticarse en el servicio deVMware Identity Manager deben poseer un UPN válido que se corresponda con el UPN en el certificado.

Puede configurar el de VMware Identity Manager para que use la dirección de correo electrónico paravalidar la cuenta de usuario si no existe un UPN en el certificado.

También puede habilitar un tipo de UPN alternativo para que se use.

Administración de VMware Identity Manager

72 VMware, Inc.

Entidad de certificación necesaria para la autenticaciónPara habilitar el inicio de sesión mediante la autenticación de certificado, se deben cargar los certificados raíze intermedios en el de VMware Identity Manager.

Los certificados se copian en el almacén de certificados local del equipo del usuario. Los certificados delalmacén de certificados local están disponibles en todos los navegadores que se ejecuten en el equipo delusuario, excepto en algunos casos, y por lo tanto están disponibles para una instancia deVMware Identity Manager en el navegador.

Para la autenticación de tarjeta inteligente, cuando un usuario inicia una conexión con la instancia deVMware Identity Manager, el servicio de VMware Identity Manager envía una lista de entidades decertificación (CA) de confianza al navegador. El navegador compara la lista de CA de confianza con loscertificados de usuario disponibles, selecciona uno adecuado y después solicita al usuario que intoduzca unPIN de tarjeta inteligente. Si se dispone de varios certificados de usuario, el navegador solicita al usuarioque seleccione uno.

Si un usuario no se puede autenticar, es posible que la CA raíz y las intermedias no estén configuradascorrectamente, o bien que el servicio no se haya reiniciado después de que las CA raíces e intermedias secargaran en el servidor. En estos casos, el navegador no puede mostrar los certificados instalados, el usuariono puede seleccionar el correcto y, por tanto, la autenticación de certificado genera un error.

Usar la comprobación de revocación de certificadosPuede configurar la comprobación de revocación de certificados para impedir la autenticación de losusuarios cuyos certificados de usuario se hayan revocado. Los certificados se revocan con frecuencia cuandoun usuario abandona una organización, pierde una tarjeta inteligente o se traslada de un departamento aotro.

Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) y conel Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP). Una CRL es unalista de certificados revocados publicada por la autoridad de certificación que los emitió. OCSP es unprotocolo de validación de certificados que se usa para obtener el estado de revocación de un certificado.

Puede definir tanto CRL como OCSP en la configuración del mismo adaptador de autenticación decertificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casillaUsar CRL en caso de error de OCSP está habilitada, se comprueba antes con OCSP y, si esto no funciona, lacomprobación de revocación de certificados recae en la CRL. La comprobación de revocación no recae enOCSP si falla la CRL.

Iniciar sesión con la comprobación con CRLCuando habilita la revocación de certificados, el servidor del de VMware Identity Manager lee una CRLpara determinar el estado de revocación de un certificado de usuario.

Si el certificado está revocado, la autenticación mediante él genera un error.

Iniciar sesión con la comprobación de certificado con OCSPCuando configura la comprobación de revocación con el protocolo OCSP de estado de certificado, el deVMware Identity Manager envía una solicitud a un respondedor OCSP para determinar el estado derevocación de un certificado de usuario concreto. El servidor del de VMware Identity Manager usa elcertificado de firma de OCSP para comprobar que las respuestas que reciba del respondedor OCSP seangenuinas.

Si el certificado está revocado, la autenticación genera un error.

Puede configurar la autenticación para que recurra a la comprobación con CRL si no recibe respuesta delrespondedor OCSP o si la respuesta no es válida.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 73

Configurar la autenticación de certificado para VMware Identity ManagerLa autenticación de certificado se habilita y configura en la consola de administración deVMware Identity Manager.

Prerequisitos

n Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentadospor sus usuarios.

n (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para laautenticación de certificado.

n Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.

n (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

n Contenido del formulario de consentimiento, si se muestra antes de la autenticación.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneConfiguración.

2 En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar.

3 Haga clic en Adaptadores de autenticación y después en CertificateAuthAdapter.

4 Configure la página Adaptador de autenticación de certificado.

NOTA: El asterisco indica que el campo es obligatorio. Los otros campos son opcionales.

Opción Descripción

*Nombre Es necesario un nombre. El nombre predeterminado esCertificateAuthAdapter. Puede cambiarlo.

Habilitar adaptador de certificado Active esta casilla para habilitar la autenticación de certificado.

*Certificados de CA raíz eintermedios

Seleccione los certificados que desee cargar. Puede seleccionar varioscertificados de CA raíz e intermedios que estén codificados como DER oPEM.

Certificados de CA cargados Los archivos de certificado cargados aparecen en la sección Certificados deCA cargados del formulario.

Usar correo electrónico si no hayUPN en el certificado

Si el nombre principal de usuario (UPN) no existe en el certificado, activeesta casilla para usar el atributo emailAddress como extensión de nombrealternativo del firmante para validar las cuentas de usuarios.

Políticas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en lasextensiones de las políticas de certificados.Escriba los números de ID de objeto (OID) para la política de emisión decertificados. Haga clic en Añadir otro valor para añadir más OID.

Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación decertificados. La comprobación de la revocación impide la autenticación delos usuarios con certificados de usuario revocados.

Usar CRL de certificados Active esta casilla para usar la lista de revocación de certificados (CRL)publicada por la CA que emitió los certificados para validar el estado deun certificado, es decir, si está revocado o no.

Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la que recuperar laCRL.

Habilitar revocación con OCSP Active la casilla para usar el protocolo de validación de certificadosProtocolo de estado de certificados en línea (Online Certificate StatusProtocol, OCSP) para obtener el estado de revocación de un certificado.

Administración de VMware Identity Manager

74 VMware, Inc.

Opción Descripción

Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede activar esta casilla para recurrirde nuevo a la CRL si la comprobación con OCSP no está disponible.

Enviar nonce de OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificadorúnico de la solicitud de OCSP.

URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSPpara la comprobación de la revocación.

Certificado de firma delrespondedor OCSP

Escriba la ruta del certificado OCSP para el respondedor, /path/to/file.cer.

Habilitar formulario deconsentimiento antes deautenticación

Seleccione esta casilla para que aparezca una página de formulario deconsentimiento antes de que los usuarios inicien sesión en su portal deWorkspace ONE mediante la autenticación de certificado.

Contenido del formulario deconsentimiento

Escriba el texto que aparece en el formulario de consentimiento en estecuadro de texto.

5 Haga clic en Guardar.

Qué hacer a continuación

n Añada el método de autenticación de certificado a la política de acceso predeterminada. Acceda a lapágina Administración de acceso e identidad > Administrar > Directivas y edite las reglas de la directivapara agregar Certificado. Consulte “Administrar métodos de autenticación que se apliquen a losusuarios,” página 82.

n Cuando se configura la autenticación de certificado y el dispositivo del servicio esté configurado tras unequilibrador de carga, asegúrese de que el conector de VMware Identity Manager esté configurado conpaso a través SSL en el equilibrador de carga y no para finalizar SSL en el equilibrador de carga. Estaconfiguración garantiza que el protocolo de enlace SSL se encuentre entre el conector y el cliente parapasar el certificado al conector.

Configurar VMware para la autenticación en dos fasesEn la consola de administración de VMware Identity Manager, puede habilitar el servicio de VMware Verifycomo el segundo método de autenticación cuando se refiere una autenticación en dos fases.

Habilite VMware Verify en el proveedor de identidades integrado en la consola de administración y agregueel token de seguridad de VMware Verify que envía el equipo de asistencia de VMware.

Configure una autenticación en dos fases en las reglas de directiva de acceso para solicitar que los usuariosse autentiquen utilizando dos métodos de autenticación.

Los usuarios instalan la aplicación VMware Verify en los dispositivos y proporcionan un número deteléfono para registrar el dispositivo con el servicio de VMware Verify. El número de teléfono y eldispositivo también están registrados en el perfil de usuario que aparece en Usuarios y grupos en la consolade administración.

Los usuarios registran su cuenta una vez cuando inician sesión utilizando la autenticación por contraseña enprimer lugar y, a continuación, introducen el código de acceso de VMware Verify que aparece en eldispositivo. Después de la autenticación inicial, los usuarios pueden autenticarse a través de uno de esostres métodos.

n Envíe la aprobación con una notificación OneTouch. Los usuarios aprueban o rechazan el acceso desdeVMware Identity Manager con un clic. Los usuarios pueden hacer clic en Aprobar o en Denegar en elmensaje que se les envía.

n Código de acceso de contraseñas TOTP (contraseñas de un solo uso). Se genera un código de accesocada 20 segundos. Los usuarios introducen este código de acceso en la pantalla de inicio de sesión.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 75

n Mensaje de texto. Los SMS telefónicos se utilizan para enviar un código de verificación con un plazolimitado en un mensaje de texto para registrar el número de teléfono. Los usuarios introducen estecódigo de verificación en la pantalla de inicio de sesión.

VMware Verify utiliza un servicio de terceros en la nube para enviar esta función a los dispositivos de losusuarios. Para ello, la información de los usuarios, como el nombre, el correo electrónico y el número deteléfono, se almacenan en el servicio, pero solo se utiliza con el fin de enviar esta función.

Habilitar VMware VerifyPara habilitar una autenticación en dos fases con el servicio de VMware Verify, debe agregar un token deseguridad a la página VMware Verify y habilitar este servicio en el proveedor de identidades integrado.

Prerequisitos

Cree una incidencia de soporte técnico con los equipos de asistencia de VMware o AirWatch para recibir eltoken de seguridad que habilita VMware Verify. El equipo de asistencia procesa su solicitud y actualiza laincidencia con instrucciones y un token de seguridad. Agregue este token de seguridad a la página deVMware Verify.

(Opcional) Personalice el logotipo y el icono que aparecen en la aplicación VMware Verify en losdispositivos. Consulte “Personalización de marca para la aplicación VMware Verify,” página 126.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Seleccione el proveedor de identidades con el nombre Integrado.

3 Haga clic en el icono de ruedas dentadas de VMware Verify.

4 Seleccione la casilla Habilitar autenticación multifactor.

5 Copie el token de seguridad que recibió del equipo de asistencia de VMware o AirWatch en el cuadrode texto Token de seguridad.

6 Haga clic en Guardar.

Qué hacer a continuación

Cree una regla en la directiva de acceso predeterminada para agregar en dicha regla el método deautenticación de VMware Verify como el segundo método de autenticación. Consulte “Administrar métodosde autenticación que se apliquen a los usuarios,” página 82.

Aplique la personalización de marca en la página de inicio de sesión de VMware Verify. Consulte “Personalización de marca para la aplicación VMware Verify,” página 126.

Registrar usuarios finales con VMware VerifySi es necesaria la autenticación en VMware Verify para una autenticación en dos fases, los usuarios instalany utilizan la aplicación VMware Verify para registrar el dispositivo.

NOTA: La aplicación VMware Verify se puede descargar desde las tiendas de aplicaciones.

Cuando se habilita la autenticación en dos fases de VMware Verify, la primera vez que los usuarios iniciansesión en la aplicación Workspace ONE, se les solicita que introduzcan el nombre de usuario y la contraseña.Cuando se verifican estos datos, se les solicita que introduzcan su número de teléfono para registrarse enVMware Verify.

Cuando hacen clic en Registrar, se registra el número de teléfono con VMware Verify y, si no descargaron laaplicación VMware Verify, se les solicita que lo hagan.

Administración de VMware Identity Manager

76 VMware, Inc.

Cuando se instala la aplicación, se solicita a los usuarios que introduzcan el mismo número de teléfono queintrodujeron antes y que seleccionen un método de notificación para recibir un código de registro con unplazo determinado. El código de registro se introduce en la página de registro anclada.

Después de registrar el número de teléfono, los usuarios puede utilizar un código de acceso de plazodeterminado que aparece en la aplicación VMware Verify para iniciar sesión en Workspace ONE. El códigode acceso es un número único que se genera en el dispositivo y cambia constantemente.

Los usuarios pueden registrar más de un dispositivo. El código de acceso de VMware Verify se sincronizaautomáticamente al resto de los dispositivos registrados.

Eliminar un número de teléfono registrado del perfil del usuarioPara solucionar los problemas relacionados con el inicio de sesión en Workspace ONE, puede eliminar elnúmero de teléfono en el perfil de usuario desde la consola de administración de VMware Identity Manager.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos.

2 En la página Usuario, seleccione el nombre que desea restablecer.

3 En la pestaña VMware Verify, haga clic en Restablecer VMware Verify.

Los números de teléfono se eliminan del perfil del usuario y la lista Usuario muestra N/A en la columnaNúmero de teléfono de VMware Verify. Se elimina el registro del número de teléfono del servicio VMwareVerify. Cuando el usuario inicia sesión en la aplicación Workspace ONE, se le solicita que introduzca elnúmero de teléfono para registrarse en el servicio de VMware Verify de nuevo.

Configurar un proveedor de identidades integradoUn proveedor de identidades integrado está disponible en la página Administración de acceso e identidad >Proveedores de identidades de la consola de administración. Puede crear proveedores de identidadesintegrados adicionales.

El proveedor de identidades integrado que está disponible se puede configurar para los métodos deautenticación del servicio que no necesiten un conector. Los métodos de autenticación que esténconfigurados en un conector se implementan detrás de DMZ en modo de conexión de solo salida para elservicio de VMware Identity Manager.

Los métodos de autenticación que configure en este proveedor de identidades integrado pueden habilitarseen otros proveedores que agregue. No es necesario configurar los métodos de autenticación en losproveedores de identidades integrados que agregue.

Los siguientes métodos de autenticación no necesitan un conector y se configuran desde el proveedor deidentidades integrado predeterminado.

n SSO móvil de iOS

n Certificado (implementación en la nube)

n Contraseña que utiliza AirWatch Connector

n Comprobación de VMware de autenticación en dos fases

n SSO móvil para Android

n Cumplimiento normativo del dispositivo con AirWatch

n Contraseña (directorio local)

NOTA: El modo de conexión de solo salida no necesita que se abra ningún puerto del firewall.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 77

Cuando se configuren estos métodos de autenticación en el proveedor de identidades integrado, si losusuarios y los grupos se ubican en un directorio empresarial, debe sincronizar los usuarios y los gruposdentro del servicio de VMware Identity Manager, antes de utilizar estos métodos de autenticación.

Después de habilitar los métodos de autenticación, puede crear directivas de acceso que se apliquen a estosmétodos de autenticación.

Configurar el proveedor de identidades integradoConfigure el proveedor de identidades integrado con métodos de autenticación que no necesiten unconector. Los métodos de autenticación que configure aquí se pueden establecer en otros proveedores deidentidades integrados que agregue al entorno.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.

2 Seleccione el proveedor de identidades con la etiqueta Integrado y configure sus detalles.

Opción Descripción

Nombre del proveedor deidentidades

Introduzca el nombre de esta instancia del proveedor de identidadesintegrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en elservicio. Seleccione los rangos de redes para los usuarios en función de lasdirecciones IP que desea dirigir a esta instancia del proveedor deidentidades para la autenticación.

Métodos de autenticación Para configurar un método de autenticación, haga clic en los iconos deruedas dentadas y configure los métodos de autenticación. Cuando integraAirWatch con VMware Identity Manager, puede seleccionar los métodosde autenticación que se deben usar.Para el Cumplimiento normativo del dispositivo (con AirWatch) y laContraseña (AirWatch Connector), asegúrese de que esta opción estáhabilitada en la página de configuración de AirWatch.

3 Después de crear los métodos de autenticación, seleccione las casillas de verificación de los métodos de

autenticación que desee utilizar con este proveedor de identidades integrado.

4 Si se utiliza autenticación integrada Kerberos, descargue el certificado del emisor KDC que se va autilizar en la configuración de AirWatch del perfil de administración de dispositivos iOS.

5 Haga clic en Agregar.

Los métodos de autenticación que configure se pueden habilitar en otros proveedores de identidadesintegrados que agregue, sin necesidad de una configuración adicional.

Configurar un proveedor de identidades integrado cuando el conector seestablece en solo salida

Para las conexiones de solo salida al servicio en la nube de VMware Identity Manager, habilite los métodosde autenticación que configuró en el conector en el proveedor de identidades integrado.

Prerequisitos

n Los usuarios y los grupos que se ubican en un directorio empresarial deben sincronizarse en eldirectorio de VMware Identity Manager.

Administración de VMware Identity Manager

78 VMware, Inc.

n Indica los rangos de redes que se desea dirigir hacia la instancia del proveedor de identidades integradopara la autenticación.

n Para habilitar los métodos de autenticación desde el proveedor de identidades integrado, asegúrese deque los métodos de autenticación están configurados en el conector.

Procedimiento

1 En la pestaña Administración de acceso e identidad, acceda a Administrar > Proveedores deidentidades.

2 Seleccione el proveedor de identidades con la etiqueta Integrado y configure sus detalles.

Opción Descripción

Nombre del proveedor deidentidades

Introduzca el nombre de esta instancia del proveedor de identidadesintegrado.

Usuarios Seleccione qué usuarios se deben autenticar. Los directorios configuradosaparecen en la lista.

Red Incluye una lista de los rangos de redes existentes configurados en elservicio. Seleccione los rangos de redes para los usuarios en función de lasdirecciones IP que desea dirigir a esta instancia del proveedor deidentidades para la autenticación.

Métodos de autenticación Cuando integra AirWatch con VMware Identity Manager, puedeseleccionar los métodos de autenticación que se deben usar. Haga clic en elicono de engranaje para configurar el método de autenticación.Para el Cumplimiento normativo del dispositivo (con AirWatch) y laContraseña (AirWatch Connector), asegúrese de que esta opción estáhabilitada en la página de configuración de AirWatch.

Conector(es) (Opcional) Seleccione el conector que está configurado en modo deconexión de solo salida.

Métodos de autenticación delconector

En esta sección aparecen los métodos de autenticación configurados en elconector. Active esta casilla para habilitar los métodos de autenticación.

3 Si se utiliza autenticación integrada Kerberos, descargue el certificado del emisor KDC que se va a

utilizar en la configuración de AirWatch del perfil de administración de dispositivos iOS.

4 Haga clic en Guardar.

Configurar proveedores de identidades adicionales de WorkspaceCuando el conector de VMware Identity Manager está configurado inicialmente, al habilitar el conector paraautenticar usuarios, se crea un IDP de Workspace como proveedor de identidades y se habilita laautenticación con contraseña.

Se pueden configurar conectores adicionales detrás de distintos equilibradores de carga. Si el entornoincluye más de un equilibrador de carga, se puede configurar un proveedor de identidades de Workspacedistinto para la autenticación en cada configuración con equilibrio de carga. Consulte los temas relativos a lainstalación de dispositivos de conector adicionales en la guía para la instalación y configuración de VMwareIdentity Manager.

Los distintos proveedores de identidades de Workspace se pueden asociar al mismo directorio o, si se hanconfigurado varios, se puede seleccionar el que se desee utilizar.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP de Workspace.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 79

3 Edite los parámetros de la instancia del proveedor de identidades.

Opción Descripción

Nombre del proveedor deidentidades

Escriba un nombre para la instancia del proveedor de identidades deWorkspace.

Usuarios Seleccione el directorio de VMware Identity Manager de los usuarios quepueden autenticarse con este proveedor de identidades de Workspace.

Conector(es) Se indican los conectores que no están asociados al directorio seleccionado.Seleccione el conector que se va a asociar al directorio.

Red Incluye una lista de los rangos de redes existentes configurados en elservicio.Seleccione los rangos de redes para los usuarios en función de susdirecciones IP que desea dirigir a esta instancia de proveedor deidentidades para la autenticación.

4 Haga clic en Agregar.

Configurar una instancia de proveedor de identidades de tercerospara autenticar usuarios

Puede configurar un proveedor de identidades externo que se use para autenticar usuarios en el servicio deVMware Identity Manager.

Complete las siguientes tareas antes de usar la consola de administración para agregar la instancia delproveedor de identidades externo.

n Compruebe que las instancias externas cumplen con SAML 2.0 y que el servicio puede acceder a lainstancia externa.

n Obtenga la información de metadatos externa adecuada para añadir cuando configure el proveedor deidentidades en la consola de administración. La información de metadatos que obtenga de la instanciaexterna será la URL a los metadatos o los metadatos reales.

n Si el aprovisionamiento Just-in-time se habilita para este proveedor de identidades, debe tener encuenta los requisitos de las aserciones SAML. Las aserciones SAML que envíe el proveedor deidentidades deben contener ciertos atributos. Consulte “Requisitos para las aserciones SAML,”página 55.

Agregar y configurar una instancia de proveedor de identidadesAl agregar y configurar instancias de proveedores de identidades para la implementación deVMware Identity Manager, se puede conseguir alta disponibilidad, compatibilidad con métodos deautenticación de usuario adicionales y una mayor flexibilidad en la manera de administrar los procesos deautenticación de usuarios en función de los rangos de direcciones IP.

Prerequisitos

n Configure los rangos de redes que desea dirigir hacia esta instancia del proveedor de identidades parala autenticación. Consulte “Agregar o editar un rango de redes,” página 82.

n Acceda al documento de metadatos de terceros. Puede ser la dirección URL de los metadatos o lospropios metadatos.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Proveedores de identidades.

Administración de VMware Identity Manager

80 VMware, Inc.

2 Haga clic en Agregar proveedor de identidades y seleccione Crear IDP de terceros. Edite losparámetros de la instancia del proveedor de identidades.

3 Edite los parámetros de la instancia del proveedor de identidades.

Elemento delformulario Descripción

Nombre del proveedorde identidades

Escriba un nombre para la instancia del proveedor de identidades.

Metadatos SAML Agregue el documento de metadatos basado en XML de IDP de terceros para estableceruna relación de confianza con el proveedor de identidades.1 Escriba la dirección URL de los Metadatos SAML o bien el contenido xml en el cuadro

de texto.2 Haga clic en Procesar metadatos del IDP. Los formatos de ID de nombre compatibles

con el IDP se extraen de los metadatos y se añaden a la tabla Formato de ID denombre.

3 En la columna de valor de ID de nombre, seleccione el atributo de usuario del serviciopara asignarlo a los formatos de ID que aparecen. Puede añadir formatos de ID denombre personalizados de terceros y asignarlos a los valores de atributos de usuariodel servicio.

4 (Opcional) Seleccione el formato de cadena de identificador de respuestaNameIDPolicy.

AprovisionamientoJust-in-Time

Configure el aprovisionamiento Just-in-Time para crear usuarios dinámicamente en elservicio Identity Manager cuando inicien sesión por primera vez. Se crea un directorio JITy los atributos de la aserción SAML se utilizan para la creación del usuario en el servicio.Consulte Capítulo 6, “Aprovisionamiento de usuarios Just-in-Time,” página 51.

Usuarios Seleccione los directorios de los usuarios que pueden autenticarse con este proveedor deidentidades.

Red Incluye una lista de los rangos de redes existentes configurados en el servicio.Seleccione los rangos de redes para los usuarios en función de sus direcciones IP quedesea dirigir a esta instancia de proveedor de identidades para la autenticación.

Métodos deautenticación

Añada los métodos de autenticación que admite el proveedor de identidades de terceros.Seleccione la clase de contexto de autenticación de SAML compatible con el método deautenticación.

Configuración de cierrede sesión único

Habilite el cierre de sesión único para cerrar la sesión del usuario y de su proveedor deidentidades al mismo tiempo. Si esta opción no está habilitada, la sesión del proveedor deidentidades seguirá activa cuando el usuario cierre sesión.(Opcional) Si el proveedor de identidades es compatible con el perfil de cierre de sesiónúnico SAML, habilítelo y deje el cuadro de texto URL de redireccionamiento en blanco. Siel proveedor de identidades no es compatible con el perfil de cierre de sesión únicoSAML, habilítelo e introduzca la URL de cierre de sesión del proveedor de identidades ala que se redirigen los usuarios al cerrar la sesión en VMware Identity Manager.Si configuró la URL de redireccionamiento y desea volver a enviar a los usuarios a lapágina de inicio de sesión de VMware Identity Manager después de redirigirlos a la URLde cierre de sesión del proveedor de identidades, introduzca el nombre del parámetroutilizado por la URL de redireccionamiento del proveedor de identidades.

Certificado de firmaSAML

Haga clic en Metadatos del proveedor de servicios (SP) para ver la dirección URL de losmetadatos del proveedor de servicios de SAML de VMware Identity Manager. Copie ladirección URL y guárdela. Esta dirección URL se configura al editar la aserción de SAMLen el proveedor de identidades de terceros para asignar usuarios deVMware Identity Manager.

Nombre de host de IdP Si aparece el cuadro de texto Nombre de host, escriba el nombre del host al que seredireccionará el proveedor de identidades para la autenticación. Si utiliza un puerto noestándar distinto del 443, puede definir el nombre del host con el formatoNombredehost:Puerto. Por ejemplo, miemp.ejemplo.com:8443.

4 Haga clic en Agregar.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 81

Qué hacer a continuación

n Añada el método de autenticación del proveedor de identidades a la directiva predeterminada deservicios. Consulte “Aplicar métodos de autenticación a reglas de políticas,” página 84.

n Edite la configuración del proveedor de identidades externo para agregar la URL del certificado defirma SAML que se guardó.

Administrar métodos de autenticación que se apliquen a los usuariosEl servicio de VMware Identity Manager intenta autenticar a los usuarios basándose en los métodos deautenticación, la directiva de acceso predeterminada, los rangos de redes y las instancias de proveedor deidentidades que configure.

Cuando los usuarios tratan de iniciar sesión, el servicio evalúa las reglas de la directiva de accesopredeterminada para seleccionar qué regla aplicar a la directiva. Los métodos de autenticación se aplican enel orden en el que se muestran en la regla. Se selecciona la primera instancia del proveedor de identidadesque reúna los requisitos del método de autenticación y del rango de redes de la regla. La solicitud deautenticación de usuario se reenvía a la instancia del proveedor de identidades para su autenticación. Si seproduce un error en la autenticación, se aplicará el siguiente método de autenticación configurado en laregla.

Puede agregar reglas que especifiquen los métodos de autenticación que se usarán según el tipo dedispositivo, o bien según el tipo de dispositivo y desde un rango de redes específico. Por ejemplo, puedeconfigurar una regla que solicite a los usuarios que inicien sesión desde dispositivos iOS y desde una redespecífica autenticarse con RSA SecurID. A continuación, configure otra regla que solicite a los usuarios queinicien sesión con otro tipo de dispositivo desde una dirección IP de red interna autenticarse con sucontraseña.

Agregar o editar un rango de redesCree rangos de redes para definir las direcciones IP desde las que los usuarios pueden iniciar sesión. Losrangos de redes que cree se añaden a las instancias específicas de proveedor de identidades y a las reglas dedirectivas de acceso.

Se crea un rango de redes denominado ALL RANGES, que pasa a ser el predeterminado. Este rango deredes incluye todas las direcciones IP disponibles en Internet, de 0.0.0.0 a 255.255.255.255. Si suimplementación cuenta con una única instancia del proveedor de identidades, puede cambiar el rango dedirecciones IP y agregar otros rangos para incluir o excluir direcciones IP específicas en el rango de redespredeterminado. Puede crear otros rangos de redes con direcciones IP específicas que podrá aplicar parauna finalidad concreta.

NOTA: El rango de redes predeterminado ALL RANGES y su descripción "a network for all ranges" soneditables. Puede editar el nombre y la descripción, y cambiar el idioma del texto por uno diferente, mediantela función Editar de la página Rangos de redes.

Prerequisitos

n Defina rangos de redes para su implementación de VMware Identity Manager basándose en sutopología de red.

n Si View está habilitado en el servicio, la URL de View se especifica por rango de red. Para agregar unrango de red cuando el módulo View está habilitado, anote la URL de acceso de Horizon Client y elnúmero de puerto del rango de red. Para obtener más información, consulte la documentación de View.

Consulte en Configuración de recursos en VMware Identity Manager el capítulo Proporcionar acceso aaplicaciones y grupos de escritorios de View.

Administración de VMware Identity Manager

82 VMware, Inc.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Rangos de redes.

2 Edite un rango de redes existente o añada uno nuevo.

Opción Descripción

Editar un rango existente Haga clic en el nombre del rango de redes para editarlo.

Añadir un rango Haga clic en Agregar rango de redes para añadir un nuevo rango.

3 Habilite la página Agregar rango de redes.

Elemento delformulario Descripción

Nombre Especifique un nombre para el rango de redes.

Descripción Especifique una descripción para el rango de redes.

Pods de View La opción Pods de View solo aparece cuando está habilitado el módulo Ver.Host de URL de acceso de cliente. Escriba la URL de acceso de Horizon Client para elrango de redes.Puerto de acceso de cliente. Escriba el número de puerto de acceso de Horizon Client parael rango de redes.

Rangos de IP Edite o añada rangos de IP hasta que se hayan incluido todas las direcciones IP deseadas yexcluido las no deseadas.

Qué hacer a continuación

n Asocie cada rango de redes con una instancia de proveedor de identidades.

n Asocie los rangos de redes con la regla de política de acceso según sea necesario. Consulte Capítulo 8,“Administrar políticas de acceso,” página 87.

Aplicar la política de acceso predeterminadaEl servicio de VMware Identity Manager incluye una directiva de acceso predeterminada que controla elacceso del usuario a sus portales de Workspace ONE y sus aplicaciones web. Puede editar la política paracambiar sus reglas en caso necesario.

Al habilitar los métodos de autenticación distintos a la autenticación con contraseña, debe editar la políticapredeterminada para añadir el método de autenticación habilitado a las reglas de la política.

Todas las reglas de la directiva de acceso predeterminada deben cumplir un conjunto de criterios parapermitir que los usuarios accedan al portal de aplicaciones. Puede aplicar un rango de redes, seleccionar eltipo de usuario que puede acceder al contenido y los métodos de autenticación que desee utilizar. Consulte Capítulo 8, “Administrar políticas de acceso,” página 87.

El número de intentos del servicio para iniciar la sesión de un usuario mediante un determinado método deautenticación varía. El servicio solo realiza un intento de autenticación de Kerberos o de certificado. Si elintento de iniciar la sesión de un usuario no se lleva a cabo, se intenta con el siguiente método deautenticación de la regla. De manera predeterminada, está configurado en cinco el máximo número deintentos de inicio de sesión con errores para la contraseña Active Directory y la autenticación RSA SecurID.Cuando un usuario alcanza cinco intentos de inicio de sesión fallidos, el servicio trata de iniciar la sesión delusuario con el método de autenticación que aparece a continuación en la lista. Cuando se hayan agotadotodos los métodos de autenticación, el servicio emitirá un mensaje de error.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 83

Aplicar métodos de autenticación a reglas de políticasEl único método de autenticación configurado en las reglas de la directiva predeterminada es el decontraseña. Debe editar las reglas de la directiva para seleccionar los otros métodos de autenticación queconfiguró y establecer el orden en que se usan para la autenticación.

Puede configurar reglas de directiva de acceso que requieran que los usuarios pasen credenciales mediantedos métodos de autenticación para poder iniciar sesión. Consulte “Establecer la configuración de la directivade acceso,” página 87.

Prerequisitos

Habilite y configure los métodos de autenticación que su organización admita. Consulte Capítulo 7,“Configurar la autenticación de usuario de VMware Identity Manager,” página 59.

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en la política de acceso predeterminada para editarla.

3 En la sección Reglas de la directiva, haga clic en el método de autenticación para editarlo, o bien, sidesea agregar una nueva regla de la directiva, haga clic en el icono +.

a Compruebe que el rango de redes sea el correcto. Si va a agregar una nueva regla, seleccione elrango de redes para esta regla de directiva.

b Seleccione el dispositivo que administrará esta regla en el menú desplegable y el usuario intentaacceder a contenido con....

c Configure el orden de autenticación. En el menú desplegable entonces el usuario debeautenticarse con el siguiente método, seleccione el método de autenticación que se aplicará enprimer lugar.

Para solicitar que los usuarios se autentiquen mediante dos métodos de autenticación, haga clic en+ en el menú desplegable y seleccione el segundo método.

d (Opcional) Para configurar métodos de autenticación de reserva, en el menú desplegable Si elmétodo de autenticación anterior no funciona:, seleccione otro método de autenticaciónhabilitado.

Puede agregar varios métodos de autenticación de reserva a una regla.

e En el menú desplegable Volver a autenticar después de:, seleccione el tiempo de duración de lasesión después del cual los usuarios deben volver a autenticarse.

f (Opcional) Cree un mensaje de error personalizado de acceso denegado que se muestra cuandofalla la autenticación del usuario. Puede usar hasta 4000 caracteres, unas 650 palabras. Si deseaenviar a los usuarios a otra página, introduzca la dirección del vínculo de la URL en el cuadro detexto URL del enlace. En Texto del enlace, introduzca el texto que debe aparecer como vínculo. Sideja este cuadro de texto en blanco, se mostrará la palabra Continuar.

g Haga clic en Guardar.

Administración de VMware Identity Manager

84 VMware, Inc.

4 Haga clic en Guardar.

Capítulo 7 Configurar la autenticación de usuario de VMware Identity Manager

VMware, Inc. 85

Administración de VMware Identity Manager

86 VMware, Inc.

Administrar políticas de acceso 8Para proporcionar un acceso seguro al portal de aplicaciones de los usuarios e iniciar aplicaciones web y deescritorio, es necesario configurar directivas de acceso con reglas que especifiquen los criterios que se debencumplir para iniciar sesión en el portal de aplicaciones y usar los recursos.

Las reglas de directivas asignan la dirección IP que realiza la solicitud a rangos de redes y designan el tipode dispositivos que pueden usar los usuarios para iniciar sesión. Las reglas definen los métodos deautenticación y el número de horas durante las que será válida la autenticación.

El servicio de VMware Identity Manager incluye una directiva predeterminada que controla el acceso alservicio en su totalidad. Esta directiva se configura para permitir el acceso a todos los rangos de redes, desdetodos los tipos de dispositivo, con un tiempo de espera de sesión de ocho horas y con un método deautenticación con contraseña. Puede editar la directiva predeterminada.

NOTA: Las directivas no controlan el tiempo que dura una sesión de aplicación, sino que controlan eltiempo del que disponen los usuarios para iniciar una aplicación.

Este capítulo cubre los siguientes temas:

n “Establecer la configuración de la directiva de acceso,” página 87

n “Administrar las directivas específicas de aplicaciones de escritorio y web,” página 90

n “Agregar una directiva específica de aplicaciones de escritorio y web,” página 91

n “Configurar el mensaje de error personalizado de acceso denegado,” página 92

n “Editar una directiva de acceso,” página 93

n “Habilitación de cookies persistentes en dispositivos móviles,” página 94

Establecer la configuración de la directiva de accesoUna directiva contiene una o más reglas de acceso. Cada regla consta de opciones que puede configurar paraadministrar el acceso de los usuarios a todo el portal de Workspace ONE o a las aplicaciones de escritorio yweb específicas.

Una regla de directiva puede configurarse para realizar acciones como, por ejemplo, bloquear, permitir oconfigurar la autenticación de usuarios locales en función de condiciones tales como la red, el tipo dedispositivo, el estado de compatibilidad y registro de dispositivos de AirWatch o la aplicación a la que se vaa acceder.

VMware, Inc. 87

Rango de redesPara cada regla, determine la base de usuarios especificando un rango de redes. Un rango de redes estácompuesto por uno o varios rangos de IP. Los rangos de redes se crean en la pestaña Administración deacceso e identidades, dentro de la página Configuración > Rangos de redes antes de configurar los grupos dedirectivas de acceso.

Cada instancia del proveedor de identidades de su implementación vincula rangos de redes con métodos deautenticación. Cuando configure una regla de política, asegúrese de que el rango de redes quede cubiertopor una instancia de proveedor de identidades existente.

Puede configurar rangos de redes concretos para restringir desde dónde pueden iniciar sesión los usuarios yacceder a sus aplicaciones.

Tipo de dispositivoSeleccione el tipo de dispositivo que administra la regla. Los tipos de cliente son Navegador web, AplicaciónWorkspace ONE, iOS, Android, Windows 10, Mac OS X y Todos los tipos de dispositivos.

Puede configurar reglas para designar qué tipo de dispositivo puede acceder al contenido y todas lassolicitudes de autenticación que provienen de dicho tipo de dispositivo utilizarán la regla de la directiva.

Métodos de autenticaciónEn la regla de la directiva, debe establecer el orden en el que se aplican los métodos de autenticación. Losmétodos de autenticación se aplican en el orden en que se muestran. Se selecciona la primera instancia delproveedor de identidades que cumple la configuración del rango de red y del método de autenticación de ladirectiva. La solicitud de autenticación del usuario se reenvía a la instancia del proveedor de identidadespara la autenticación. En caso de error de autenticación, se selecciona el siguiente método de autenticaciónde la lista.

Puede configurar reglas de la directiva de acceso que requieran que los usuarios envíen credencialesmediante dos métodos de autenticación para poder iniciar sesión. Si uno o ambos métodos de autenticacióngeneran errores y también se configuraron métodos de reserva, se solicita a los usuarios que proporcionensus credenciales para los siguientes métodos de autenticación que estén configurados. En los dos siguientesescenarios se describe cómo funciona este encadenamiento de autenticación.

n En el primer escenario, se configura la regla de directiva de acceso para que solicite que los usuarios seautentiquen con su contraseña y con la credencial de Kerberos. Se configuró la autenticación de reservade forma que solicite la contraseña y la credencial de RADIUS para la autenticación. Un usuario escribela contraseña correctamente, pero no proporciona la credencial de autenticación Kerberos correcta.Como el usuario escribió la contraseña correcta, la solicitud de autenticación de reserva correspondesolo a la credencial de RADIUS. No es necesario que el usuario vuelva a escribir la contraseña.

n En el segundo escenario, se configura la regla de directiva de acceso para que solicite que los usuariosse autentiquen con su contraseña y con la credencial de Kerberos. Se configuró la autenticación dereserva de forma que solicite RSA SecurID y una credencial de RADIUS para la autenticación. Unusuario escribe la contraseña correctamente, pero no proporciona la credencial de autenticaciónKerberos correcta. La solicitud de autenticación de reserva se utiliza para la credencial de RSA SecurIDcomo para la de RADIUS.

Para configurar que una regla de directiva de acceso solicite la autenticación y la verificación de lacompatibilidad del dispositivo, se debe habilitar Cumplimiento normativo del dispositivo con AirWatch enla página del proveedor de identidades integrado. Consulte “Configurar una regla de directiva de accesopara la comprobación de conformidad,” página 149.

Administración de VMware Identity Manager

88 VMware, Inc.

Duración de la sesión de autenticaciónPara cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valor Volver aautenticar después de: determina el tiempo que los usuarios tienen desde el último evento de autenticaciónpara acceder a su portal o iniciar una aplicación concreta. Por ejemplo, el valor 4 en una regla de aplicaciónweb proporciona a los usuarios cuatro horas para iniciar la aplicación web, a menos que inicien otro eventode autenticación que prolongue la duración.

Mensaje de error personalizado de acceso denegadoCuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas, laconfiguración no es correcta o se produce un error en el sistema, se mostrará un mensaje de accesodenegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se han encontradométodos de autenticación válidos.

Puede crear un mensaje de error personalizado para cada regla de la directiva de acceso para anular elmensaje predeterminado. El mensaje personalizado puede incluir texto y un vínculo de un mensaje dellamada a la acción. Por ejemplo, en la regla de la directiva para dispositivos móviles que desee administrar,puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesión desde undispositivo que no esté registrado. Registre su dispositivo para acceder a los recursos corporativos.Para ello, haga clic en el vínculo que encontrará al final de este mensaje. Si su dispositivo ya

está registrado, póngase en contacto con el equipo de soporte técnico para obtener ayuda.

Ejemplo de directiva predeterminadaLa siguiente directiva es un ejemplo de cómo puede configurar la predeterminada para controlar el acceso alportal de aplicaciones y a las aplicaciones web que no tienen asignada una directiva concreta.

Las reglas de la directiva se evalúan en el orden en el que aparecen en la directiva. Para cambiar el orden deuna regla, arrástrela y colóquela en la sección Reglas de la directiva.

1 n Para la red interna se configurarán dos métodos de autenticación para la regla: Kerberos y laautenticación con contraseña como método de reserva. Para acceder al portal de aplicaciones desdeuna red interna, el servicio intenta autenticar a los usuarios en primer lugar con autenticaciónKerberos, ya que es el primer método de autenticación mostrado en la regla. Si esto produce unerror, se solicita a los usuarios que escriban la contraseña de Active Directory. Los usuarios iniciansesión en un navegador y tienen acceso a su portal de aplicaciones durante una sesión de ochohoras.

n Para el acceso desde la red externa (Todos los rangos), solamente se configura un método deautenticación, RSA SecurID. Para acceder al portal de aplicaciones desde una red externa, esnecesario que los usuarios inicien sesión con SecurID. Los usuarios inician sesión en un navegadory tienen acceso a su portal de aplicaciones durante una sesión de cuatro horas.

Capítulo 8 Administrar políticas de acceso

VMware, Inc. 89

2 Esta directiva predeterminada se aplica a todas las aplicaciones de escritorio y web que no tienen unadirectiva específica de aplicaciones.

Administrar las directivas específicas de aplicaciones de escritorio yweb

Cuando agregue aplicaciones de escritorio y web al catálogo, puede crear directivas de acceso específicas deaplicaciones. Por ejemplo, puede crear una directiva con reglas para una aplicación web que especifique lasdirecciones IP que tienen acceso a la aplicación, los métodos de autenticación que se deben usar y el tiempoque debe pasar hasta que sea necesaria una nueva autenticación.

La siguiente política específica de aplicaciones web proporciona un ejemplo de política que puede crear paracontrolar el acceso a aplicaciones web especificadas.

Ejemplo 1 Política estricta específica de aplicaciones webEn este ejemplo, se crea una nueva directiva y se aplica a una aplicación web confidencial.

1 Para acceder al servicio desde fuera de la red empresarial, es necesario que el usuario inicie sesión conRSA SecurID. Después de iniciar sesión con un navegador, el usuario ya puede acceder al portal deaplicaciones durante una sesión de cuatro horas, el tiempo que permite la regla de accesopredeterminada.

2 Una vez transcurridas las cuatro horas, el usuario intenta iniciar una aplicación web con el conjunto dedirectivas de aplicaciones web aplicadas.

3 El servicio comprueba las reglas de la directiva y la aplica con el rango de redes TODOS LOS RANGOS,ya que la solicitud del usuario procede de un navegador web y de este rango de redes.

El usuario inició la sesión mediante el método de autenticación RSA SecurID, pero la sesión acaba definalizar. Se redirige al usuario para que haya reautenticación. La nueva autenticación proporciona alusuario otra sesión de cuatro horas y la posibilidad de iniciar la aplicación. Durante las próximas cuatrohoras, el usuario puede seguir ejecutando la aplicación sin necesidad de volver a autenticarse.

Administración de VMware Identity Manager

90 VMware, Inc.

Ejemplo 2 Política más estricta específica de aplicaciones webPara aplicar una regla más estricta en aplicaciones extremadamente confidenciales, puede solicitar que sevuelva a realizar la autenticación con SecurId en todos los dispositivos transcurrida una hora. El siguiente esun ejemplo de cómo se implementa este tipo de regla de directiva de acceso.

1 El usuario inicia la sesión desde dentro de la red empresarial mediante el método de autenticaciónKerberos.

El usuario ya puede acceder al portal de aplicaciones durante ocho horas, como se establece en elejemplo 1.

2 El usuario intenta iniciar inmediatamente una aplicación web con la regla de la directiva del Ejemplo 2aplicada, que requiere autenticación RSA SecurID.

3 Se redirige al usuario a la página de inicio de sesión con autenticación RSA SecurID.

4 Después de que el usuario inicia la sesión correctamente, el servicio inicia la aplicación y guarda elevento de autenticación.

El usuario puede seguir ejecutando esta aplicación durante una hora, pero transcurrido este tiempo sele solicita una nueva autenticación, según lo establecido por la regla de la directiva.

Agregar una directiva específica de aplicaciones de escritorio y webSe pueden crear directivas específicas de aplicaciones para administrar el acceso de los usuarios adeterminadas aplicaciones de escritorio y web.

Prerequisitos

n Configure los rangos de redes apropiados para su implementación. Consulte “Agregar o editar unrango de redes,” página 82.

n Configure los métodos de autenticación apropiados para su implementación. Consulte Capítulo 7,“Configurar la autenticación de usuario de VMware Identity Manager,” página 59.

Capítulo 8 Administrar políticas de acceso

VMware, Inc. 91

n Si tiene previsto editar la directiva predeterminada (para controlar el acceso de usuarios al servicio demanera global), configúrela antes de crear la directiva específica de la aplicación.

n Agregue las aplicaciones web y de escritorio al catálogo. Debe aparecer al menos una aplicación en lapágina Catálogo para poder agregar una directiva específica de la aplicación.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en Agregar directiva para agregar una directiva nueva.

3 Añada un nombre y una descripción a la directiva en los cuadros de texto correspondientes.

4 En la sección Se aplica a, haga clic en Seleccionar y, en la página que aparece, seleccione las aplicacionesque se asociarán a esta directiva.

5 En la sección Reglas de la directiva, haga clic en + para añadir una regla.

Aparece la página Agregar una regla de directiva.

a Seleccione el rango de redes que se aplicará a esta regla.

b Seleccione el tipo de dispositivo que podrá acceder a las aplicaciones de esta regla.

c Seleccione los métodos de autenticación que se utilizarán en el orden en que deberán aplicarse.

d Especifique el número de horas que puede permanecer abierta la sesión de la aplicación.

e Haga clic en Guardar.

6 Configure otras reglas según crea conveniente.

7 Haga clic en Guardar.

Configurar el mensaje de error personalizado de acceso denegadoPara cada regla de la directiva, puede creer un mensaje de error personalizado de acceso denegado cuandolos usuarios intentan iniciar sesión y se produce un error porque sus credenciales no son válidas.

El mensaje personalizado puede incluir texto y un vínculo a otra URL para ayudar a los usuarios a resolverlos problemas que encuentren. Puede utilizar hasta 4000 caracteres (aproximadamente 650 palabras).

Procedimiento

1 En la pestaña Administración de acceso e identidades de la consola de administración, seleccioneAdministrar > Políticas.

2 Haga clic en la directiva de acceso para editarla.

3 Para abrir una página de la regla de la directiva, haga clic en el nombre de la autenticación situado en lacolumna Método de autenticación de la regla que va a editar.

4 En el cuadro de texto Mensaje de error personalizado, escriba el mensaje de error.

5 Para agregar un vínculo a una URL, introduzca una descripción del vínculo en el cuadro Texto delenlace e introduzca la URL en el cuadro Url del enlace.

El vínculo se muestra al final del mensaje personalizado. Si no agrega texto en el campo Texto del enlacepero agrega una URL, el texto del vínculo que se mostrará es

Continuar.

6 Haga clic en Guardar.

Administración de VMware Identity Manager

92 VMware, Inc.

Qué hacer a continuación

Cree mensajes de error personalizados para otras reglas de directivas.e

Editar una directiva de accesoPuede editar la directiva de acceso predeterminada para cambiar las reglas de la directiva y también puedeeditar las directivas específicas de las aplicaciones para agregar o eliminar aplicaciones y cambiar las reglasde la directiva.

Puede eliminar en cualquier momento una directiva de acceso específica de aplicación. La directiva deacceso predeterminada es permanente. No es posible eliminar la directiva predeterminada.

Prerequisitos

n Configure los rangos de redes apropiados para su implementación. Consulte “Agregar o editar unrango de redes,” página 82.

n Configure los métodos de autenticación apropiados para su implementación. Capítulo 7, “Configurar laautenticación de usuario de VMware Identity Manager,” página 59.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneAdministrar > Directivas.

2 Haga clic en la directiva que desee editar.

3 Si esta directiva se utiliza con las aplicaciones web o de escritorio, haga clic en Editar aplicaciones paraagregar o eliminar aplicaciones en esta directiva.

4 En la columna Método de autenticación de la sección Reglas de la directiva, seleccione la regla quedesee editar.

Se mostrará la página Editar regla de directivas con la configuración existente.

5 Para configurar el orden de autenticación, en el menú desplegable entonces el usuario debeautenticarse con el siguiente método, seleccione el método de autenticación que se aplicará en primerlugar.

6 (Opcional) Para configurar un método de autenticación de reserva en caso de que el primero nofuncione, seleccione otro método en el siguiente menú desplegable.

Puede agregar varios métodos de autenticación de reserva a una regla.

7 Haga clic en Guardar y de nuevo en Guardar en la página de las directivas.

La regla de directivas editada será efectiva de inmediato.

Qué hacer a continuación

Si la directiva es de acceso específica para las aplicaciones, puede también aplicar esta directiva a lasaplicaciones en la página Catálogo. Consulte “Agregar una directiva específica de aplicaciones de escritorioy web,” página 91

Capítulo 8 Administrar políticas de acceso

VMware, Inc. 93

Habilitación de cookies persistentes en dispositivos móvilesHabilite cookies persistentes para proporcionar inicio de sesión único entre el navegador del sistema y lasaplicaciones nativas e inicio de sesión único entre aplicaciones nativas cuando estas aplicaciones usan elControlador de vistas de Safari en dispositivos con iOS y pestañas personalizadas de Chrome endispositivos con Android.

Las cookies persistentes almacenan detalles de la sesión que ha iniciado el usuario para que no tenga queintroducir de nuevo sus credenciales al obtener acceso a sus recursos administrados medianteVMware Identity Manager. El tiempo de espera de las cookies se puede configurar en las reglas dedirectivas de acceso que configure para dispositivos con iOS y Android.

NOTA: Las cookies son vulnerables y susceptibles de robo y de sufrir ataques por script entre sitios (XSS,cross site script attacks) en navegadores comunes.

Habilitar cookie persistenteLas cookies persistentes almacenan detalles de la sesión que ha iniciado el usuario para que no tenga queintroducir de nuevo sus credenciales al obtener acceso a sus recursos administrados desde dispositivos coniOS o Android.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfigurar > Preferencias.

2 Active Habilitar cookie persistente.

3 Haga clic en Guardar.

Qué hacer a continuación

Para establecer el tiempo de espera de la sesión de cookies persistentes, edite el valor para volver aautenticar en las reglas de directivas de acceso para dispositivos con iOS y Android.

Administración de VMware Identity Manager

94 VMware, Inc.

Administrar usuarios y grupos 9Los usuarios y los grupos del servicio de VMware Identity Manager se importan desde su directorioempresarial o se crean como grupos y usuarios locales en la consola de administración deVMware Identity Manager.

En la consola de administración, las páginas Usuarios y Grupos ofrecen una vista del servicio centrada enlos usuarios y los grupos. Puede administrar autorizaciones de grupos y usuarios, afiliaciones de grupos ynúmeros de teléfonos de VMware Verify. En el caso de usuarios locales, también puede administrardirectivas de contraseñas.

Este capítulo cubre los siguientes temas:

n “Tipos de usuarios y grupos,” página 95

n “Acerca de los nombres de usuario y de grupo,” página 96

n “Administrar usuarios,” página 97

n “Crear grupos y configurar reglas de grupo,” página 98

n “Editar reglas de grupo,” página 101

n “Agregar recursos a grupos,” página 101

n “Crear usuarios locales,” página 102

n “Administrar contraseñas,” página 104

Tipos de usuarios y gruposLos usuarios del servicio de VMware Identity Manager pueden ser usuarios sincronizados desde eldirectorio empresarial,usuarios locales que aprovisiona en la consola de administración o usuarios creadoscon el aprovisionamiento Just-In-Time.

Los grupos del servicio de VMware Identity Manager pueden ser grupos sincronizados del directorioempresarial y grupos locales que se crearon en la consola de administración.

Los usuarios y los grupos importados desde el directorio empresarial se actualizan en el directorio deVMware Identity Manager, de acuerdo con la programación de sincronización del servidor. Puede ver lascuentas de usuarios y grupos desde las páginas Usuarios y grupos. No puede editar ni eliminar estosusuarios y grupos.

Sin embargo, puede crear grupos y usuarios locales. Los usuarios locales se agregan a un directorio local.Puede administrar la asignación de atributos de los usuarios locales y las directivas de contraseñas. Puedecrear grupos locales para administrar las autorizaciones de recursos para los usuarios.

VMware, Inc. 95

Los usuarios creados con el aprovisionamiento Just-In-Time se crean y se actualizan de forma dinámicacuando el usuario inicia sesión, según las aserciones SAML que envía el proveedor de identidades. Toda laadministración de usuarios se realiza mediante aserciones SAML. Para usar el aprovisionamiento Just-In-Time, consulte Capítulo 6, “Aprovisionamiento de usuarios Just-in-Time,” página 51.

Acerca de los nombres de usuario y de grupoEn el servicio VMware Identity Manager, los usuarios y grupos se identifican de manera única mediante sunombre y dominio. Esto permite tener varios usuarios o grupos con el mismo nombre en distintos dominiosde Active Directory. Los nombres de usuarios y grupos deben ser únicos dentro de un dominio.

Nombres de usuarioEl servicio VMware Identity Manager permite tener varios usuarios con el mismo nombre en distintosdominios de Active Directory. Los nombres de usuario deben ser únicos dentro de un dominio. Por ejemplo,puede haber un usuario juan en el dominio ing.ejemplo.com, y otro usuario juan en el dominioventas.ejemplo.com.

Los usuarios se identifican de manera única mediante sus nombres de usuario y sus dominios. EnVMware Identity Manager, el atributo userName se utiliza para nombres de usuario y se asignanormalmente al atributo sAMAccountName en Active Directory. El atributo domain se utiliza paradominios y se asigna normalmente al atributo canonicalName en Active Directory.

Durante la sincronización del directorio, los usuarios con el mismo nombre de usuario pero distintodominio se sincronizarán correctamente. Si existe un conflicto de nombres de usuario dentro de un dominio,se sincronizará el primer usuario y ocurrirá un error con los siguientes usuarios que tengan el mismonombre.

NOTA: Si existe un directorio de VMware Identity Manager en el que falte el dominio del usuario o no seacorrecto, compruebe la configuración del dominio y sincronice de nuevo el directorio. Consulte “Sincronizardirectorio con la correcta información de dominio,” página 97.

En la consola de administración, se puede identificar a los usuarios de manera única mediante sus nombresde usuario y dominios. Por ejemplo:

n En la columna Usuarios y grupos de la pestaña Panel de información, los usuarios aparecen comousuario (dominio). Por ejemplo, juan (ventas.ejemplo.com).

n En la página Usuarios y grupos, la columna DOMINIO indica el dominio al que pertenece el usuario.

n Los informes que muestran información del usuario, como el informe de autorizaciones de recursos,incluyen una columna DOMINIO.

Cuando los usuarios finales inician la sesión en el portal del usuario, seleccionan el dominio al quepertenecen en la página de inicio de sesión. Si hay varios usuarios con el mismo nombre, cada uno de ellospodrá iniciar la sesión correctamente con el dominio correspondiente.

NOTA: Esta información se aplica a los usuarios sincronizados de Active Directory. Si se utiliza unproveedor de identidades externo y se ha configurado el aprovisionamiento de usuarios Just-in-Time,consulte Capítulo 6, “Aprovisionamiento de usuarios Just-in-Time,” página 51 para obtener información. Elaprovisionamiento de usuarios Just-in-Time también es compatible con varios usuarios con el mismonombre en distintos dominios.

Administración de VMware Identity Manager

96 VMware, Inc.

Nombres de grupoEl servicio VMware Identity Manager permite tener varios grupos con el mismo nombre en distintosdominios de Active Directory. Los nombres de grupo deben ser únicos dentro de un dominio. Por ejemplo,puede haber un grupo todoslosusuarios en el dominio ing.ejemplo.com, y otro grupo todoslosusuarios enel dominio ventas.ejemplo.com.

Los grupos se identifican de manera única mediante sus nombres de usuario y sus dominios.

Durante la sincronización del directorio, los grupos con el mismo nombre de usuario pero distinto dominiose sincronizarán correctamente. Si existe un conflicto de nombres de grupo dentro de un dominio, sesincronizará el primer grupo y ocurrirá un error con los siguientes grupos que tengan el mismo nombre.

En la pestaña Usuarios y grupos de la página Grupos de la consola de administración, los grupos de ActiveDirectory se muestran por su nombre de grupo y su dominio. Esto permite distinguir entre grupos con elmismo nombre. Los grupos que se crearon localmente en el servicio VMware Identity Manager se muestranpor el nombre del grupo. El dominio se muestra como usuarios locales.

Sincronizar directorio con la correcta información de dominioSi existe un directorio de VMware Identity Manager en el que falte el dominio del usuario o no sea correcto,debe comprobar la configuración del dominio y sincronizar de nuevo el directorio. Es necesario comprobarla configuración del dominio para que los usuarios y los grupos que tienen el mismo nombre en diferentesdominios de Active Directory se sincronicen correctamente con el directorio de VMware Identity Manager ylos usuarios puedan iniciar sesión.

Procedimiento

1 En la consola de administración, diríjase a la página Administración de acceso e identidad >Directorios.

2 Seleccione el directorio que desee sincronizar y, a continuación, haga clic en Configuración desincronización y en la pestaña Atributos asignados.

3 En la página Atributos asignados, compruebe que el atributo domain de VMware Identity Manager seasignó al nombre de atributo correcto de Active Directory.

El atributo domain se asigna normalmente al atributo canonicalName en Active Directory.

El atributo domain no aparece como obligatorio.

4 Haga clic en Guardar y sincronizar para sincronizar el directorio.

Administrar usuariosLa página Usuarios de la consola de administración muestra la información relativa a cada usuario, en laque se incluye el ID de usuario, el dominio, los grupos de los que es miembro, el número de teléfono deVMware Verify y si el usuario está habilitado en VMware Identity Manager.

Seleccione un nombre de usuario para ver su información detallada. Los detalles que puede revisar incluyenel perfil de usuario, las afiliaciones a grupos, los dispositivos habilitados a través de VMware Verify y lasautorizaciones del usuario.

Perfil de usuarioLa página del perfil de usuario muestra los datos personales asociados al usuario y a la función asignada:usuario o administrador. La información del usuario que se sincroniza desde un directorio externo tambiénpuede incluir el nombre principal, el nombre distintivo y la información del ID externo. La página de perfilde un usuario local muestra los atributos de usuario disponibles para los usuarios del directorio local deusuarios.

Capítulo 9 Administrar usuarios y grupos

VMware, Inc. 97

No se pueden editar los datos de la página de perfil de los usuarios que se sincronizan desde el directorioexterno. Puede cambiar la función del usuario.

En las páginas de perfil del usuario local, puede editar la información del atributo, deshabilitar al usuariopara que no pueda iniciar sesión y eliminarlo.

Afiliaciones de gruposEn la página Grupos aparece una lista de los grupos a los que pertenece el usuario. Puede hacer clic en elnombre de un grupo para mostrar la página de detalles de ese grupo.

Registrado con VMware VerifyLa página de VMware Verify muestra el número de teléfono que registró el usuario con VMware Verify y losdispositivos registrados. También puede ver cuándo se usó la cuenta por última vez.

Puede eliminar el número de teléfono del usuario. Cuando restablezca VMware Verify, los usuarios debenvolver a introducir el número de teléfono para registrarse de nuevo en Verify. Consulte “Eliminar unnúmero de teléfono registrado del perfil del usuario,” página 77.

Autorizaciones de las aplicacionesHaga clic en Agregar autorización para autorizar a un usuario a acceder a los recursos disponibles en sucatálogo. A continuación puede establecer cómo se agrega la aplicación al portal de Workspace ONE.Seleccione la opción Automático de la implementación para que se muestre la aplicación automáticamenteen el portal Workspace ONE. Seleccione Activado por el usuario para que el usuario active la aplicaciónantes de que esta se agregue al portal Workspace ONE desde la colección del catálogo.

En los tipos de recursos que tengan un botón X, puede hacer clic en este botón para eliminar el acceso delusuario a ese recurso.

Crear grupos y configurar reglas de grupoPuede crear grupos, agregar miembros y crear reglas que le permitan rellenar los grupos.

Use los grupos para autorizar varios usuarios en los mismos recursos al mismo tiempo, en lugar deautorizar cada usuario individualmente. Un usuario puede pertenecer a varios grupos. Por ejemplo, si secrea un grupo Ventas y un grupo Dirección, un director de ventas puede pertenecer a ambos grupos.

Puede especificar las opciones de directivas que se aplican a los miembros de un grupo. Los usuarios de losgrupos se definen según las reglas que establece para un atributo de usuario. Si un valor del atributo deusuario cambia del valor definido de la regla de grupo, el usuario se elimina del grupo.

Procedimiento

1 En la consola de administración, dentro de la pestaña Usuarios y grupos, haga clic en Grupos.

2 Haga clic en Agregar grupo.

3 Introduzca un nombre de grupo y una descripción. Haga clic en Siguiente.

4 Para agregar usuarios al grupo, introduzca las letras del nombre de usuario. A continuación, semostrará una lista de nombres que coinciden con el texto que introdujo.

5 Seleccione el nombre de usuario y haga clic en +Agregar usuario.

Continúe para agregar miembros al grupo.

6 Después de agregarlos, haga clic en Siguiente.

Administración de VMware Identity Manager

98 VMware, Inc.

7 En la página Reglas del grupo, seleccione cómo se concede la pertenencia al grupo. En el menúdesplegable, seleccione cualquiera o todo.

Opción Acción

Cualquiera Concede la pertenencia a un grupo cuando se cumple cualquiera de lascondiciones de pertenencia a grupos. Esta acción funciona como unacondición O. Por ejemplo, si selecciona Cualquiera para las reglas GrupoEs Ventas y Grupo Es Marketing, se concederá la pertenencia a este grupoal personal de ventas y marketing.

Todo Concede la pertenencia a un grupo cuando se cumplen todas lascondiciones de pertenencia a grupos. Esta acción funciona como unacondición Y. Por ejemplo, si selecciona Todos los que hay a continuaciónpara las reglas Grupo Es Ventas y Correo electrónico Empieza por'western_region', solo se concederá la pertenencia a este grupo al personalde ventas de la región occidental. La pertenencia no se concederá alpersonal de ventas de otras regiones.

Capítulo 9 Administrar usuarios y grupos

VMware, Inc. 99

8 Configure una o más reglas para el grupo. También puede anidar reglas.

Opción Descripción

Atributo Seleccione uno de estos atributos en el menú desplegable de la primeracolumna. Seleccione Grupo para agregar un grupo existente al que estácreando. Puede agregar otros tipos de atributos para administrar losusuarios de los grupos que son miembros del que creó.

Reglas de atributos Las siguientes reglas están disponibles dependiendo del atributo queseleccionó.n Con es puede seleccionar un grupo o un directorio que se asocie a este

grupo. Escriba un nombre en el cuadro de texto. Al escribir, apareceráuna lista de grupos o directorios disponibles.

n Con no es puede seleccionar el grupo o el directorio que desea excluir.Escriba un nombre en el cuadro de texto. Al escribir, aparecerá unalista de grupos o directorios disponibles.

n Seleccione coincide para conceder la pertenencia a un grupo a lasentradas que coincidan exactamente con los criterios introducidos. Porejemplo, su organización podría contar con un departamento de viajesde empresa que comparte un número de teléfono central. Si deseaconceder acceso a una aplicación de reserva de viajes a todos losempleados que compartan dicho número de teléfono, cree una reglacomo Teléfono coincide (555) 555-1000.

n Seleccione no coincide para conceder la pertenencia a un grupo atodas las entradas de servidor del directorio, excepto las que coincidancon los criterios introducidos. Por ejemplo, si uno de susdepartamentos comparte un número de teléfono central, puede excluirdicho departamento del acceso a una aplicación de red social mediantela creación de una regla como Teléfono no coincide (555) 555-2000. Lasentradas de servidor del directorio con otros números de teléfonotendrán acceso a la aplicación.

n Seleccione empieza por para conceder la pertenencia a un grupo a lasentradas de servidor del directorio que empiecen con los criteriosintroducidos. Por ejemplo, las direcciones de correo electrónico de laorganización podrían empezar por el nombre del departamento, comoen [email protected]. Si desea conceder acceso auna aplicación a todo su personal de ventas, puede crear una regla,como correo electrónico empieza por ventas_.

n Seleccione no empieza por para conceder la pertenencia a un grupo atodas las entradas de servidor del directorio, excepto las que empiecencon los criterios introducidos. Por ejemplo, si las direcciones de correoelectrónico de su departamento de recursos humanos tienen el [email protected], puede configurar una regla paradenegar el acceso a una aplicación como, por ejemplo, correoelectrónico no empieza por rrhh_. Las entradas de servidor deldirectorio con otras direcciones de correo electrónico tendrán acceso ala aplicación.

Usar atributos Cualquiera y Todo (Opcional) Para incluir los atributos Cualquiera y Todo como parte de lasreglas de grupo, agregue esta regla la última.n Seleccione Cualquiera para conceder la pertenencia a un grupo

cuando, para esta regla, se cumple cualquiera de las condiciones depertenencia a grupos. Al utilizar el atributo Cualquiera se anidanreglas. Por ejemplo, puede crear una regla que sea Todos los que hay acontinuación: Grupo Es Ventas; Grupo Es California. Para Grupo EsCalifornia, Cualquiera de los siguientes: Teléfono empieza por 415;Teléfono empieza por 510. El miembro del grupo debe pertenecer alpersonal de ventas de California y tener un número de teléfono queempiece por 415 o 510.

n Seleccione Todo si desea que se cumplan todas las condiciones paraesta regla. Esta es una forma de anidar reglas. Por ejemplo, puede crearuna regla que sea Cualquiera de los siguientes: Grupo EsAdministradores; Grupo Es Atención al cliente. Para Grupo EsAtención al cliente, todos los que se especifican a continuación: Correoelectrónico empieza por ac_; Teléfono empieza por 555. Los miembros

Administración de VMware Identity Manager

100 VMware, Inc.

Opción Descripcióndel grupo pueden ser administradores o representantes del servicio deatención al cliente, pero estos últimos deben tener un correoelectrónico que empiece por ac y un número de teléfono que empiecepor 555.

9 (Opcional) Para excluir usuarios específicos, introduzca un nombre de usuario en la casilla de texto y

haga clic en Excluir usuario.

10 Haga clic en Siguiente y revise la información del grupo. Haga clic en Crear grupo.

Qué hacer a continuación

Agregue los recursos para cuyo uso está autorizado el grupo.

Editar reglas de grupoPuede editar reglas de grupo para cambiar el nombre, agregar y eliminar usuarios y cambiar las reglas degrupo.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos > Grupos.

2 Haga clic en el nombre del grupo para editarlo.

3 Haga clic en Editar usuarios del grupo.

4 Haga clic en las páginas para cambiar el nombre, los usuarios del grupo y las reglas.

5 Haga clic en Guardar.

Agregar recursos a gruposLa forma más efectiva de autorizar a los usuarios para usar los recursos es agregar las autorizaciones a ungrupo. Todos los miembros del grupo pueden acceder a las aplicaciones para las que el grupo tieneautorización.

Prerequisitos

Las aplicaciones se agregan a la página Catálogo.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos > Grupos.

La página muestra una lista de los grupos.

2 Para agregar recursos a un grupo, haga clic en el nombre del grupo.

3 Haga clic en la pestaña Aplicaciones y, a continuación, haga clic en Agregar autorización.

4 Seleccione el tipo de aplicación a la que otorgar la autorización en el menú desplegable.

Los tipos de aplicaciones que aparecen en el menú desplegable se basan en los tipos de aplicacionesagregadas al catálogo.

5 Seleccione las aplicaciones a las que desea autorizar al grupo. Puede buscar una aplicación específica omarcar la casilla que aparece junto a Aplicaciones para seleccionar todas las aplicaciones.

Si el grupo ya tiene autorización para una aplicación, esta no aparece en la lista.

6 Haga clic en Guardar.

Capítulo 9 Administrar usuarios y grupos

VMware, Inc. 101

Las aplicaciones aparecen en la página Aplicaciones y los usuarios del grupo tienen autorización inmediataa los recursos.

Crear usuarios localesPuede crear usuarios locales en el servicio de VMware Identity Manager para agregar y administrarusuarios que no estén aprovisionados en el directorio empresarial. Puede crear diferentes directorios localesy personalizar la asignación de los atributos de cada directorio.

Puede crear un directorio, seleccionar atributos y crear atributos personalizados para dicho directorio local.Los atributos de usuario obligatorios userName, lastName, firstName y email se especifican a nivel globalen la página Administración de acceso e identidad > Atributos de usuario. En la lista de atributos deusuarios del directorio local, puede seleccionar otros atributos obligatorios y crear atributos personalizadospara tener conjuntos de atributos para diferentes directorios locales. Consulte "Usar directorios locales" en laguía Instalar y configurar VMware Identity Manager.

Cree usuarios locales cuando desee proporcionar a los usuarios acceso a las aplicaciones sin agregarlos aldirectorio empresarial.

n Puede crear un directorio local para un tipo específico de usuarios que no sea parte del directorioempresarial. Por ejemplo, puede crear un directorio local para partners, que no suelen ser parte deldirectorio empresarial, y proporcionarles acceso únicamente a las aplicaciones específicas que necesitan.

n Puede crear varios directorios locales si desea asignar diferentes atributos de usuario o métodos deautenticación para diferentes grupos de usuarios. Por ejemplo, puede crear un directorio local para losdistribuidores que tengan atributos de usuario con la etiqueta de la región y el tamaño de mercado.Cree otro directorio local para proveedores que tengan un atributo de usuario con la etiqueta decategoría de producto.

Configure el método de autenticación que usen los usuarios locales para iniciar sesión en el sitio web de suempresa. Se establece una directiva de contraseñas para la contraseña del usuario local. Puede definir lasrestricciones y las reglas de administración de las contraseñas.

Después de aprovisionar un usuario, se envía un mensaje por correo electrónico sobre cómo iniciar sesiónpara habilitar la cuenta. Cuando el usuario inicia sesión, crea una contraseña y se habilita su cuenta.

Agregar usuarios localesPuede crear un usuario cada vez. Cuando agrega al usuario, seleccione un directorio local que estáconfigurado con los atributos del usuario local que se usan y el dominio en el que el usuario inicia sesión.

Además de agregar la información del usuario, seleccione la función del usuario: administrador o usuario.La función de administrador permite al usuario acceder a la consola de administración para gestionar losservicios de VMware Identity Manager.

Prerequisitos

n Directorio local creado

n Dominio identificado para los usuarios locales

n Atributos de usuario que son obligatorios seleccionados en la página Atributos de usuario del directoriolocal

n Directivas de contraseñas configuradas

n Servidor SMTP configurado en la pestaña Configuración de dispositivos para que envíe unanotificación por correo electrónico a los usuarios locales creados recientemente

Procedimiento

1 En la consola de administración, dentro de la pestaña Usuarios y grupos, haga clic en Agregar usuario.

Administración de VMware Identity Manager

102 VMware, Inc.

2 En la página Agregar un usuario, seleccione el directorio local para dicho usuario.

La página se expande para mostrar los atributos de usuario que debe configurar.

3 Seleccione el dominio al que ese usuario está asignado y complete la información de usuario necesaria.

4 Si el usuario tiene la función de administrador, seleccione Administrador en el cuadro de texto Usuario.

5 Haga clic en Agregar.

Se crea el usuario local. Se envía un correo electrónico al usuario solicitándole que inicie sesión parahabilitar la cuenta y crear una contraseña. El vínculo del correo electrónico caduca de acuerdo con el valorestablecido en la página Directiva de contraseñas. El valor predeterminado es siete días. Si el vínculo caduca,puede hacer clic en Restablecer contraseña para volver a enviar la notificación por correo electrónico.

Se agrega un usuario a los grupos existentes según las reglas de los atributos de grupo que esténconfiguradas.

Qué hacer a continuación

Diríjase a la cuenta del usuario local para revisar el perfil, agregar el usuario a los grupos y proporcionarleautorización para usar los recursos.

Si creó un usuario administrador en el directorio del sistema con autorización para recursos administradospor una directiva de acceso específica, asegúrese de que las reglas de la directiva de la aplicación incluyeContraseña (Directorio local) como un método de autenticación de reserva. Si el método Contraseña(Directorio local) no está configurado, el administrador no puede iniciar sesión en la aplicación.

Deshabilitar o habilitar usuarios localesPuede deshabilitar usuarios locales, en lugar de eliminarlos, para que no inicien sesión y no tengan acceso alportal ni a los recursos autorizados.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos.

2 Seleccione al usuario en cuestión en la página Usuarios.

Aparece la página del perfil de usuario.

3 Dependiendo del estado del usuario local, realice la acción correspondiente.

a Para deshabilitar la cuenta, desmarque la casilla Habilitar.

b Para habilitar la cuenta, marque Habilitar.

Los usuarios deshabilitados no pueden iniciar sesión en el portal ni en los recursos para los que tienenautorización. Si están trabajando en un recurso autorizado cuando se deshabilita el usuario local, esteusuario puede acceder al recurso hasta que finalice el tiempo de la sesión.

Eliminar usuarios localesPuede eliminar usuarios locales.

Procedimiento

1 En la consola de administración, haga clic en Usuarios y grupos.

2 Seleccione el usuario que va a eliminar.

Aparece la página del perfil de usuario.

3 Haga clic en Eliminar usuario.

Capítulo 9 Administrar usuarios y grupos

VMware, Inc. 103

4 En el cuadro de confirmación, haga clic en Aceptar.

Se elimina el usuario de la lista Usuarios.

Los usuarios eliminados no pueden iniciar sesión en el portal ni en los recursos para los que tienenautorización.

Administrar contraseñasPuede crear una directiva de contraseñas para administrar las contraseñas de los usuarios locales y estospueden cambiarla según las reglas de la directiva de contraseñas.

Los usuarios locales pueden cambiar la contraseña en el portal de Workspace ONE, en la selección decuentas por nombre del menú desplegable.

Configurar la directiva de contraseñas de los usuarios localesLa directiva de contraseñas de los usuarios locales es un conjunto de reglas y restricciones sobre el formato yla caducidad de las contraseñas del usuario local. La directiva de contraseñas se aplica únicamente a losusuarios locales que creó desde la consola de administración de VMware Identity Manager.

La directiva de contraseñas puede incluir restricciones, la vigencia máxima de una contraseña y, para losrestablecimientos de contraseñas, la vigencia máxima de la contraseña temporal.

La directiva de contraseñas predeterminada necesita seis caracteres. Las restricciones de contraseñas puedenincluir una combinación de letra mayúscula, letra minúscula y caracteres especiales para solicitar que seestablezcan contraseñas seguras.

Procedimiento

1 En la consola de administración, seleccione Usuarios y grupos > Configuración.

2 Haga clic en Directiva de contraseñas para editar los parámetros de restricción de la contraseña.

Opción Descripción

Longitud mínima para lascontraseñas

La longitud mínima son seis caracteres, pero es posible que necesite unacantidad superior. La longitud mínima no debe ser inferior a la cantidadmínima requerida de caracteres alfabéticos, numéricos y especialescombinados.

Caracteres en minúsculas Número mínimo de caracteres en minúscula. a-z en minúscula

Caracteres en mayúscula Número mínimo de caracteres en mayúscula. A-Z en mayúscula

Caracteres numéricos (0-9) Número mínimo de caracteres numéricos. Diez dígitos básicos (0-9)

Caracteres especiales Número mínimo de caracteres no alfanuméricos, por ejemplo, & # % $ !

Caracteres consecutivos idénticos Número máximo de caracteres idénticos adyacentes. Por ejemplo, siintroduce 1, se admite la siguiente contraseña: p@s$word; sin embargo, nose admite esta: p@$$word.

Historial de contraseñas Número de contraseñas anteriores que no pueden seleccionarse. Porejemplo, si un usuario no puede reutilizar ninguna de las últimas seiscontraseñas, escriba 6. Para deshabilitar esta función, configure el valorcomo 0.

Administración de VMware Identity Manager

104 VMware, Inc.

3 En la sección Administración de contraseñas, edite los parámetros de vigencia de la contraseña.

Opción Descripción

Vigencia de la contraseña temporal Número de horas durante el cual es válido el vínculo de contraseñaolvidada o de restablecimiento de contraseña. El valor predeterminado es168 horas

Vigencia de la contraseña Cantidad máxima de días de vigencia de la contraseña, antes de que elusuario deba cambiarla.

Recordatorio de contraseña Número de días en el que se envía una notificación de caducidad antes deque una contraseña caduque.

Frecuencia de notificación delrecordatorio de contraseña

La frecuencia con la que se enviarán los recordatorios después de que seenvíe la notificación por primera vez.

Cada casilla debe tener un valor para configurar la directiva de vigencia de las contraseñas. Para noenviar una opción de directiva, introduzca 0.

4 Haga clic en Guardar.

Capítulo 9 Administrar usuarios y grupos

VMware, Inc. 105

Administración de VMware Identity Manager

106 VMware, Inc.

Administración del catálogo 10El catálogo es el repositorio de todos los recursos que puede autorizar para que los usen los usuarios. Lapestaña Catálogo permite agregar directamente aplicaciones al catálogo. Para ver las aplicaciones agregadasal catálogo, haga clic en la pestaña Catálogo de la consola de administración.

En la página Catálogo, puede realizar las tareas siguientes:

n Agregar recursos nuevos al catálogo.

n Ver los recursos que puede autorizar actualmente para que los usen los usuarios.

n Obtener acceso a información sobre cada recurso del catálogo.

Se pueden agregar aplicaciones web al catálogo directamente desde la página Catálogo.

Otros tipos de recurso requieren realizar acciones fuera de consola de administración. ConsulteConfiguración de recursos en VMware Identity Manager para obtener información sobre la configuración derecursos.

Recurso Cómo ver el recurso en el catálogo

Aplicación web En la página Catálogo de la consola de administración, seleccione el tipo de aplicaciónAplicaciones web.

Aplicación Windowsvirtualizada capturadacomo un paquete deThinApp

Sincronice los paquetes de ThinApp en su catálogo desde la página Aplicaciones en paquetes- ThinApp de la consola de administración. En la página Catálogo de la consola deadministración, seleccione el tipo de aplicación Paquetes de ThinApp.

Grupo de escritorios deView

Sincronice los grupos de View en su catálogo desde la página Grupos de View de la consolade administración. En la página Catálogo de la consola de administración, seleccione el tipode aplicación Grupos de escritorio de View.

Aplicaciones alojadas deView

Sincronice las aplicaciones alojadas de View en su catálogo desde la página Grupos de Viewde la consola de administración. En la página Catálogo de la consola de administración,seleccione el tipo de aplicación Aplicaciones alojadas de View.

Aplicación basada enCitrix

Sincronice las aplicaciones basadas en Citrix en su catálogo desde la página Aplicacionespublicadas - Citrix de la consola de administración. En la página Catálogo de la consola deadministración, seleccione el tipo de aplicación Aplicaciones publicadas de Citrix.

Este capítulo cubre los siguientes temas:

n “Administrar recursos del catálogo,” página 108

n “Agrupar recursos en categorías,” página 111

n “Administración de la configuración de catálogo,” página 113

VMware, Inc. 107

Administrar recursos del catálogoAntes de poder autorizar un recurso determinado a los usuarios, se debe incluir ese recurso en el catálogo.El método a utilizar para ello dependerá del tipo de recurso de que se trate.

Los tipos de recursos que se pueden definir en el catálogo para su autorización y distribución a los usuariosson aplicaciones web, aplicaciones de Windows obtenidas como paquetes de ThinApp de VMware,aplicaciones alojadas de View y grupos de Horizon View o aplicaciones basadas en Citrix.

Para integrar y habilitar grupos de aplicaciones y escritorios de View, recursos publicados de Citrix opaquetes de aplicaciones de ThinApp, se utiliza el menú Administrar aplicaciones de escritorio de lapestaña Catálogo.

Para obtener información sobre los requisitos, la instalación y la configuración de estos recursos, consulteConfiguración de recursos en VMware Identity Manager.

Aplicaciones webEl catálogo se rellena directamente con aplicaciones web desde la página Catálogo de la consola deadministración. Al hacer clic en una aplicación de la página Catálogo, se muestra información sobre esaaplicación. En la página que se muestra se pueden configurar parámetros de la aplicación web e introducirlos atributos SAML adecuados para configurar el inicio de sesión único entre VMware Identity Manager y laaplicación web de destino. Cuando la aplicación web está configurada se pueden autorizar usuarios ygrupos para acceder a ella. Consulte “Agregar aplicaciones web al catálogo,” página 108.

Agregar aplicaciones web al catálogoLas aplicaciones web se pueden agregar directamente al catálogo mediante la página Catálogo de la consolade administración.

Para obtener instrucciones detalladas para agregar una aplicación web al catálogo, consulte la secciónConfiguración de recursos en VMware Identity Manager, en el capítulo Proporcionar acceso a aplicaciones web.

Las instrucciones siguientes describen de forma general los pasos necesarios para agregar este tipo derecursos al catálogo.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Haga clic en + Agregar aplicación.

Administración de VMware Identity Manager

108 VMware, Inc.

3 Elija la opción correspondiente al tipo de recurso y la ubicación de la aplicación.

Nombre del enlaceTipo derecurso Descripción

Aplicación web ...delcatálogo de aplicacionesen la nube

Aplicación web VMware Identity Manager incluye acceso a las aplicaciones webdisponibles en el catálogo de aplicaciones en la nube que se puedenagregar al catálogo como recursos.

Aplicación web ...crearuna nueva

Aplicación web Al completar el formulario correspondiente, se crea un registro deaplicaciones para las aplicaciones web que se desea agregar alcatálogo como recursos.

Aplicaciónweb ...importar unarchivo ZIP o JAR

Aplicación web Se puede importar una aplicación web configurada anteriormente.Este método se puede utilizar para pasar una implementacióndesde la fase de ensayo a la de producción. En este caso, se exportala aplicación web de la implementación de ensayo como un archivoZIP. A continuación, se importa el archivo ZIP a la implementaciónde producción.

4 Siga las indicaciones para acabar de agregar recursos al catálogo.

Agregar aplicaciones web al catálogoAl agregar una aplicación web al catálogo, se crea una entrada que dirige indirectamente a la aplicaciónweb. La entrada se define en el registro de aplicación, que es un formulario que incluye una URL paraacceder a la aplicación web.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Haga clic en Agregar aplicación > Aplicación web ...del catálogo de aplicaciones en la nube.

3 Haga clic en el icono de la aplicación web que desee agregar.

El registro de aplicación se agregará al catálogo y aparecerá la página Detalles con el nombre y el perfilde autenticación ya especificados.

4 (Opcional) Personalice la información de la página Detalles de acuerdo a las necesidades de suorganización.

Los elementos de la página se rellenan con información específica de la aplicación web.

Se pueden editar algunos elementos, en función de la aplicación.

Elemento delformulario Descripción

Nombre El nombre de la aplicación.

Descripción Una descripción de la aplicación que los usuarios pueden leer.

Icono Haga clic en Examinar para cargar un icono para la aplicación. Son compatibles los iconos enarchivos de hasta 4 MB en formato PNG, JPG e ICON.El tamaño de los iconos cargados se ajusta a 80px X 80px.Para evitar distorsiones, se deben cargar iconos en los que el alto y el ancho sean iguales y susdimensiones sean lo más próximas a 80px X 80px.

Categorías Para permitir que una aplicación aparezca en una búsqueda por categoría de recursos delcatálogo, seleccione una categoría en el menú desplegable. La categoría se debe haber creadoanteriormente.

5 Haga clic en Guardar.

Capítulo 10 Administración del catálogo

VMware, Inc. 109

6 Haga clic en Configuración, edite los detalles de configuración del registro de aplicación y haga clic enGuardar.

Algunos elementos de la página se rellenan automáticamente con información específica de laaplicación web. Algunos de los elementos rellenados automáticamente se pueden editar y otros no. Lainformación solicitada varía de una aplicación a otra.

Para algunas aplicaciones, el formulario tiene una sección llamada Parámetros de la aplicación. Si existeesa sección para una aplicación y alguno de sus parámetros no tiene un valor predeterminado, sedeberá indicar un valor para permitir que la aplicación se inicie. Los valores predeterminadosproporcionados se pueden editar.

7 Seleccione las pestañas Autorizaciones, Licencias y Aprovisionamiento y personalice la informacióncomo corresponda.

Pestaña Descripción

Autorizaciones Autorice usuarios y grupos para la aplicación. Puede configurar autorizaciones al configurarinicialmente la aplicación o en cualquier momento posterior.

Directivas de acceso Aplique una directiva de acceso para controlar el acceso de los usuarios a la aplicación.

Licencias Configure el seguimiento de aprobación. Agregue información de licencias para que laaplicación haga un seguimiento del uso de licencias en los informes. Las aprobaciones debenestar habilitadas y configuradas en la página Catálogo > Configuración. También deberegistrar el URI de devolución de llamada del controlador de la solicitud de aprobación.

Aprovisionamiento Aprovisione una aplicación web para recuperar información específica del servicioVMware Identity Manager. Si el aprovisionamiento de una aplicación web está configurado,al autorizar a un usuario a utilizar la aplicación, se aprovisiona a dicho usuario en laaplicación web. Actualmente hay un adaptador de aprovisionamiento para Google Apps yOffice 365. Diríjase a Integraciones de VMware Identity Manager disponible en https://www.vmware.com/support/pubs/vidm_webapp_sso.html para obtener las guías deconfiguración de estas aplicaciones.

Adición de aplicaciones alojadas y de escritorio de ViewEl catálogo se completa con las aplicaciones alojadas y los grupos de escritorios de View; además, hay queintegrar la implementación de VMware Identity Manager con Horizon View.

Al hacer clic en Aplicación View en el menú Catálogo > Administrar aplicaciones de escritorio, se le redirigea la página Grupos de View. Seleccione Habilitar grupos de View para agregar pods de View, realizar unasincronización de directorio de View y configurar el tipo de implementación que usa el servicio paraampliar las autorizaciones de recursos de View a los usuarios.

Después de realizar estas tareas, las aplicaciones alojadas y los escritorios de View para los que haautorizado usuarios con Horizon View estarán disponibles como recursos en su catálogo.

Puede volver a la página en cualquier momento para modificar la configuración de View o para agregar oeliminar pods de View.

Para obtener información detallada sobre la integración de View con VMware Identity Manager, consulte lasección sobre cómo proporcionar acceso a los escritorios de View en la guía de configuración de recursos.

Adición de aplicaciones publicadas de CitrixPuede usar VMware Identity Manager para realizar la integración con implementaciones de Citrix yaexistentes y completar su catálogo con aplicaciones basadas en Citrix.

Al hacer clic en Aplicaciones publicadas de Citrix en el menú Catálogo > Administrar aplicaciones deescritorio, se le redirigirá a la página Aplicaciones publicadas - Citrix. Seleccione Habilitar aplicacionesbasadas en Citrix para establecer la comunicación y programar la frecuencia de sincronización entreVMware Identity Manager y la granja de servidores de Citrix.

Administración de VMware Identity Manager

110 VMware, Inc.

Para obtener información detallada sobre la integración de aplicaciones publicadas de Citrix con VMwareIdentity Manager, consulte el tema sobre cómo proporcionar acceso a recursos publicados de Citrix en laguía de configuración de recursos.

Adición de aplicaciones ThinAppVMware Identity Manager permite distribuir y administrar paquetes de ThinApp de manera centralizada.Debe habilitar VMware Identity Manager para que localice el repositorio que almacena los paquetes deThinApp y sincronice los paquetes con VMware Identity Manager.

Realice las tareas siguientes para completar su catálogo con las aplicaciones de Windows capturadas comopaquetes de ThinApp.

1 Si los paquetes de ThinApp a los que desea proporcionar acceso a los usuarios no existen en esemomento, cree paquetes de ThinApp que sean compatibles con VMware Identity Manager. Consulte ladocumentación de VMware ThinApp.

2 Cree una red compartida y complétela con los paquetes de ThinApp compatibles.

3 Configure VMware Identity Manager para integrarse con los paquetes en la red compartida.

Al hacer clic en Aplicación ThinApp en el menú Catálogo > Administrar aplicaciones de escritorio, se leredirige a la página Aplicaciones en paquetes - ThinApp. Seleccione Habilitar aplicaciones en paquetes.Introduzca la ubicación del repositorio de ThinApp y configure la frecuencia de sincronización.

Después de realizar estas tareas, los paquetes de ThinApp que agregó a la red compartida se encuentranahora disponibles como recursos en su catálogo.

Para obtener información detallada sobre la configuración de VMware Identity Manager para distribuir yadministrar paquetes de ThinApp, consulte la sección sobre la concesión de acceso a paquetes de VMwareThinApp en la guía de configuración de recursos.

Agrupar recursos en categoríasLos recursos se pueden organizar en categorías lógicas para que los usuarios puedan localizar fácilmente elrecurso que necesitan en el espacio de trabajo del portal de Workspace ONE.

Al crear las categorías tenga en cuenta la estructura de la organización, la función de trabajo de los recursosy el tipo de recurso. Se puede asignar más de una categoría a un recurso. Por ejemplo, puede crear unacategoría llamada Editor de texto y otra llamada Recursos recomendados. Asigne Editor de texto a todos losrecursos de editor de texto del catálogo. Asigne también Recursos recomendados al recurso de editor detexto específico que prefiera que utilicen los usuarios.

Crear una categoría de recursoPuede crear una categoría de recurso sin aplicarla inmediatamente o crearla y aplicarla al recurso al mismotiempo.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Para crear categorías y aplicarlas a la vez, seleccione las casillas de las aplicaciones a las que se aplica lanueva categoría.

3 Haga clic en Categorías.

4 Introduzca un nombre de categoría nuevo en el cuadro de texto.

5 Haga clic en Agregar categoría....

Se creará una nueva categoría pero no se aplicará a ningún recurso.

Capítulo 10 Administración del catálogo

VMware, Inc. 111

6 Para aplicar la categoría a los recursos seleccionados, active la casilla del nombre de categoría nuevo.

La categoría se agregará a la aplicación y aparecerá en la columna Categorías.

Qué hacer a continuación

Aplique la categoría a otras aplicaciones. Consulte “Aplicar una categoría a los recursos,” página 112.

Aplicar una categoría a los recursosDespués de crear una categoría, esta se puede aplicar a cualquiera de los recursos del catálogo. Puedeaplicar varias categorías al mismo recurso.

Prerequisitos

Cree una categoría.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Seleccione las casillas de todas las aplicaciones a las que aplicar la categoría.

3 Haga clic en Categorías y seleccione el nombre de la categoría que se va a aplicar.

La categoría se aplicará a las aplicaciones seleccionadas.

Eliminar una categoría de una aplicaciónEs posible disociar una categoría de una aplicación.

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Seleccione las casillas de las aplicaciones para eliminar una categoría.

3 Haga clic en Categorías.

Las categorías aplicadas a las aplicaciones estarán marcadas.

4 Cancele la selección de la categoría que desee eliminar de la aplicación y cierre el cuadro de menú.

La categoría se eliminará de la lista de categorías de la aplicación.

Eliminar una categoríaPuede quitar permanentemente una categoría del catálogo

Procedimiento

1 En la consola de administración, haga clic en la pestaña Catálogo.

2 Haga clic en Categorías.

3 Coloque el puntero en la categoría que quiere eliminar. Aparece una x. Haga clic en la x.

4 Haga clic en Aceptar para quitar la categoría.

La categoría ya no aparece en el menú desplegable Categorías o como una etiqueta de cualquier aplicación ala que ha sido aplicada anteriormente.

Administración de VMware Identity Manager

112 VMware, Inc.

Administración de la configuración de catálogoLa página de configuración del catálogo permite administrar recursos del catálogo, descargar un certificadoSAML, personalizar el portal de usuario y establecer opciones globales.

Descarga de certificados SAML para configurar con aplicaciones de confianzaCuando configure aplicaciones web, debe copiar el certificado de firma SAML de su organización y enviarloa las aplicaciones de confianza para que puedan aceptar inicios de sesión de usuario desde el servicio. Elcertificado SAML permite autenticar los inicios de sesión de usuario desde el servicio a aplicaciones deconfianza, como WebEx o Google Apps.

Debe copiar el certificado de firma SAML y los metadatos del proveedor de servicios SAML desde elservicio y editar la aserción de SAML en el proveedor de identidades externo para asignar usuarios deVMware Identity Manager.

Procedimiento

1 Inicie sesión en la consola de administración.

2 En la pestaña Catálogo, seleccione Configuración > Metadatos SAML.

3 Copie y guarde el certificado de firma SAML que se muestra.

a Copie la información del certificado incluida en la sección Certificado de firma.

b Guarde la información del certificado en un archivo de texto para usarlo más tarde cuandoconfigure la instancia del proveedor de identidades externo.

4 Haga que los metadatos del proveedor de servicios SAML estén disponibles para la instancia delproveedor de identidades externo.

a En la página Descargar certificado de SAML, haga clic en Metadatos del proveedor de servicios.

b Copie y guarde la información mostrada con el método que mejor se adapte a su organización.

Use esta información copiada más tarde cuando configure el proveedor de identidades externo.

5 Determine la asignación de usuarios desde la instancia del proveedor de identidades externo enVMware Identity Manager.

Cuando configure el proveedor de identidades externo, edite la aserción de SAML en el proveedor deidentidades externo para asignar usuarios de VMware Identity Manager.

Formato de NameID Asignación de usuarios

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

El valor de NameID de la aserción de SAML se asigna al atributo dedirección de correo electrónico en VMware Identity Manager.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

El valor de NameID de la aserción de SAML se asigna al atributo denombre de usuario en VMware Identity Manager.

Qué hacer a continuación

Aplique la información copiada en esta tarea para configurar la instancia del proveedor de identidadesexterno.

Deshabilitación de preguntas para la descarga de aplicaciones auxiliaresLos escritorios de View, las aplicaciones publicadas de Citrix y los recursos de ThinApp requieren que lasaplicaciones auxiliares siguientes estén instaladas en los equipos o el dispositivo de los usuarios.

n Los escritorios de View usan Horizon Client.

Capítulo 10 Administración del catálogo

VMware, Inc. 113

n Las aplicaciones publicadas de Citrix requieren Citrix Receiver.

n Los recursos de ThinApp requieren VMware Identity Manager para escritorios.

Se pide a los usuarios que descarguen aplicaciones auxiliares en su escritorio o dispositivo la primera vezque inician aplicaciones desde estos tipos de recursos. Puede deshabilitar completamente la visualización deeste mensaje cada vez que el recurso se inicia desde la página Catálogo > Configuración > Configuraciónglobal.

Deshabilitar la visualización del mensaje es una buena opción cuando se administran equipos o dispositivos,y sabe que las aplicaciones auxiliares se encuentran en la imagen local del usuario.

Procedimiento

1 En la consola de administración, seleccione Catálogo > Configuración.

2 Seleccione Configuración global.

3 Seleccione los sistemas operativos que no deben solicitar el inicio de aplicaciones auxiliares.

4 Haga clic en Guardar.

Crear clientes para habilitar el acceso a aplicaciones remotasEs posible crear un cliente para habilitar que una aplicación única se registre con VMware Identity Managerpara permitir el acceso de los usuarios a una aplicación específica en la página de la consola deadministración Catálogo > Configuración.

SDK utiliza una autenticación basada en OAuth para conectarse a VMware Identity Manager. Debe crear unvalor ID de cliente y un valor clientSecret en la consola de administración.

Crear acceso remoto a un recurso de catálogo únicoEs posible crear un cliente para que una aplicación única pueda registrarse con los servicios deVMware Identity Manager y permitir el acceso de los usuarios a una aplicación específica.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Acceso remoto a laaplicación.

2 En la página de los clientes haga clic en Crear cliente.

3 En la página Crear cliente, introduzca la siguiente información sobre la aplicación.

Etiqueta Descripción

Tipo de acceso Las opciones son las siguientes: Token de acceso de usuario o Token de cliente deservicio.

ID del cliente Introduzca un ID de cliente único para registrar el recurso con VMware IdentityManager.

Aplicación Seleccione Identity Manager.

Ámbito Seleccione el ámbito adecuado. Cuando selecciona NAPPS, también se seleccionaOpenID.

URI de redireccionamiento Introduzca el URI de redireccionamiento registrado.

Sección Avanzada

Administración de VMware Identity Manager

114 VMware, Inc.

Etiqueta Descripción

Secreto compartido Haga clic en Generar secreto compartido para generar un secreto que comparteneste servicio y el servicio de recursos de la aplicación.Copie y guarde el secreto del cliente para configurarlo en la aplicación.El secreto del cliente debe ser confidencial. Si una aplicación implementada nopuede mantener el secreto, dicho secreto no se utilizará. El secreto compartido no seutiliza con aplicaciones basadas en navegadores Web.

Emitir token de actualización Desmarque la casilla.

Tipo de token Seleccione el portador.

Longitud de token Mantenga la configuración predeterminada (32 bytes).

Emitir token de actualización Compruebe el token de actualización.

TTL de token de acceso De forma opcional, cambie la configuración de Tiempo de vida (TTL) de token deacceso.

TTL de token de actualización (Opcional)

Concesión de usuario No seleccione la opción Preguntar al usuario antes de conceder acceso.

4 Haga clic en Agregar.

La configuración del cliente aparece en la página del cliente OAuth2, junto con el secreto compartido que segeneró.

Qué hacer a continuación

Introduzca el ID del cliente y el secreto compartido en las páginas de configuración de los recursos. Consultela documentación de la aplicación.

Crear una plantilla de acceso remotoPuede crear una plantilla para permitir que un grupo de clientes se registre dinámicamente con el serviciode VMware Identity Manager y permitir que el usuario acceda a una aplicación concreta.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Acceso remoto a laaplicación.

2 Haga clic en Plantillas.

3 Haga clic en Crear plantilla.

4 En la página Crear plantilla, introduzca la siguiente información sobre la aplicación.

Etiqueta Descripción

ID de plantilla Introduzca un identificador único para este recurso.

Aplicación Seleccione Identity Manager.

Ámbito Seleccione el ámbito adecuado. Cuando selecciona NAPPS, también se seleccionaOpenID.

URI de redireccionamiento Introduzca el URI de redireccionamiento registrado.

Sección Avanzada

Tipo de token Seleccione el portador.

Longitud de token Mantenga la configuración predeterminada (32 bytes).

Emitir token de actualización Compruebe el token de actualización.

TTL de token de acceso (Opcional)

Capítulo 10 Administración del catálogo

VMware, Inc. 115

Etiqueta Descripción

TTL de token de actualización (Opcional)

Concesión de usuario No seleccione la opción Preguntar al usuario antes de conceder acceso.

5 Haga clic en Agregar.

Qué hacer a continuación

En la aplicación del recurso, establezca la URL del servicio VMware Identity Manager como el sitio queadmite la autenticación integrada.

Edición de las propiedades de ICA en aplicaciones publicadas de CitrixPuede editar la configuración de escritorios y aplicaciones publicados de Citrix en su implementación deVMware Identity Manager desde las páginas Catálogo > Configuración > Aplicaciones publicadas de Citrix.

La página Configuración de ICA está configurada para aplicaciones individuales. Los cuadros de texto delas propiedades de ICA de aplicaciones individuales están vacíos hasta que agregue propiedadesmanualmente. Al editar la configuración de entrega de aplicaciones, las propiedades de ICA, de un recursopublicado de Citrix individual, esta configuración tendrá prioridad sobre la configuración global.

En la página Configuración de NetScaler, puede configurar el servicio con la configuración apropiada paraque cuando los usuarios inicien aplicaciones basadas en Citrix, el tráfico se enrute a través de NetScaler alservidor de XenApp.

Al editar las propiedades de ICA en la pestaña Aplicaciones publicadas de Citrix > Configuración de ICA deNetscaler, la configuración se aplica al tráfico de inicio de aplicaciones que se enruta a través de NetScaler.

Para obtener información sobre la configuración de las propiedades de ICA, consulte en el centro dedocumentación los temas sobre la configuración de NetScaler y la edición de la configuración de entrega deaplicaciones de VMware Identity Manager para un solo recurso publicado de Citrix.

Revisar alertas de ThinAppLas Alertas de la aplicación ThinApp del menú Catálogos, Configuración, redirige a la página Alertas deaplicaciones en paquetes.

Los errores encontrados al sincronizar paquetes de ThinApp con VMware Identity Manager se indican en lapágina.

Habilitar la aprobación de aplicaciones para el uso de los recursosPuede administrar el acceso a las aplicaciones que requieran una aprobación de su empresa antes de que sepuedan usar. Puede habilitar Aprobaciones en la página Catálogo > Configuración y establezca la URL pararecibir la solicitud de aprobación.

Cuando agregue al catálogo aplicaciones que requieran una aprobación, habilite la opción Concesión delicencia. Cuando esta opción esté configurada, los usuarios verán las aplicaciones en el catálogo deWorkspace ONE y solicitarán el uso de la aplicación.

VMware Identity Manager envía el mensaje de solicitud de aprobación a la URL de aprobación configuradapor la empresa. El proceso de flujo de trabajo del revisor comprueba la solicitud y devuelve un mensaje deaprobación o de rechazo. Consulte Administrar aprobaciones de aplicaciones en la guía de VMware IdentityManager para obtener más información sobre los pasos de configuración.

Puede consultar los informes sobre la autorización y el uso de los recursos de VMware Identity Managerpara ver el número de aplicaciones aprobadas que se utilizan.

Administración de VMware Identity Manager

116 VMware, Inc.

Configurar el flujo de trabajo de aprobación y el motor de aprobaciónPuede elegir entre dos tipos de opciones de flujo de trabajo de aprobación. Puede registrar el URI de RESTde llamada para integrar el sistema de administración de aplicaciones con VMware Identity Manager, o bienpuede integrarlo a través del conector de VMware Identity Manager.

Prerequisitos

Cuando configure la REST API, se debe configurar el sistema de administración de aplicaciones y el URIdisponible a través de la REST API que recibe solicitudes desde VMware Identity Manager.

Configure la REST API a través del conector cuando los sistemas de flujo de trabajo de aprobación seencuentren en centros de datos en las instalaciones. El conector puede enrutar los mensajes de solicitud deaprobación del servicio VMware Identity Manager Cloud a una aplicación aprobada en las instalaciones ydevolver el mensaje de respuesta.

Procedimiento

1 En la pestaña Catálogo de la consola de administración, seleccione Configuración > Aprobaciones.

2 Marque Habilitar aprobaciones.

3 En el menú desplegable Motor de aprobación, seleccione el motor de aprobación de la REST API quedesea usar, bien REST API a través del servidor web, o bien REST API a través del conector.

4 Configure los siguientes cuadros de texto.

Opción Descripción

URI Introduzca el URI del controlador de la solicitud de aprobación de la RESTAPI que escucha las solicitudes de las llamadas.

Nombre de usuario (Opcional) Si REST API solicita un nombre de usuario y una contraseñapara acceder, introduzca el nombre aquí. Si no se solicita unaautenticación, puede dejar el nombre de usuario y la contraseña en blanco.

Contraseña De forma opcional, introduzca la contraseña del usuario.

Certificado SSL en formato PEM (Opcional) Si seleccionó la REST API, está utilizando SSL y está en unservidor que no tiene un certificado público de este tipo, pegue aquí elcertificado SSL de la REST API en formato PEM.

Qué hacer a continuación

Diríjase a la página Catálogo y configure la función Concesión de licencia para aquellas aplicaciones quesoliciten una aprobación antes de que el usuario las pueda utilizar.

Capítulo 10 Administración del catálogo

VMware, Inc. 117

Administración de VMware Identity Manager

118 VMware, Inc.

Trabajar en el panel de informaciónde la consola de administración 11

Hay dos paneles de información disponibles en la consola de administración. El panel de información deinteracción del usuario se puede utilizar para supervisar usuarios y uso de recursos. El panel de informaciónde diagnósticos del sistema se puede utilizar para supervisar el estado de funcionamiento del servicioVMware Identity Manager.

Este capítulo cubre los siguientes temas:

n “Supervisar los usuarios y el uso de recursos desde el panel de información,” página 119

n “Supervisar el estado y la información del sistema,” página 120

n “Ver informes,” página 121

Supervisar los usuarios y el uso de recursos desde el panel deinformación

El panel de información de interacción del usuario muestra información sobre usuarios y recursos. Permitever qué usuarios han iniciado la sesión, qué aplicaciones se están utilizando y la frecuencia con que seaccede a las aplicaciones. Se pueden crear informes para hacer un seguimiento de las actividades de gruposy usuarios y el uso de recursos.

El tiempo que se muestra en el panel de información de interacción del usuario se basa en la zona horariaestablecida para el navegador. El panel de información se actualiza cada minuto.

Procedimiento

n El encabezado muestra el número de usuarios únicos que iniciaron la sesión ese día y una línea detiempo que indica el número de eventos de inicio de sesión diarios en un período de siete días. Elnúmero del campo Usuarios que han iniciado sesión hoy está rodeado por un círculo que muestra elporcentaje de usuarios que inició la sesión. El gráfico deslizante de inicios de sesión muestra los eventosde inicio de sesión durante la semana. Señale uno de los puntos del gráfico para ver el número deinicios de sesión del día.

n La sección Usuarios y grupos muestra el número de cuentas de usuario y grupos establecido enVMware Identity Manager. Se muestran primero los usuarios que iniciaron la sesión másrecientemente. Puede hacer clic en Ver informe completo para crear un informe de eventos de auditoríaque muestre los usuarios que iniciaron la sesión en un intervalo de días.

n La sección Popularidad de aplicaciones muestra un gráfico de barras agrupado por tipo de aplicaciónque indica el número de veces que se iniciaron las aplicaciones en un período de siete días. Al señalarun día específico aparece una descripción emergente que muestra el tipo de aplicaciones que seutilizaron y cuántas se iniciaron ese día. La lista debajo del gráfico muestra el número de veces que se

VMware, Inc. 119

iniciaron las aplicaciones específicas. Expanda la flecha a la derecha para ver esta información a lo largode un día, una semana, un mes o 12 semanas. Puede hacer clic en Ver informe completo para crear uninforme de Uso de recursos que muestre la actividad de los usuarios, el tipo de recurso y lasaplicaciones en un intervalo de tiempo.

n La sección Adopción de aplicaciones muestra un gráfico de barras que indica el porcentaje de personasque abrieron las aplicaciones que están autorizados a usar. Al señalar la aplicación aparece unadescripción emergente que muestra el número de adopciones y autorizaciones.

n El gráfico circular Aplicaciones iniciadas muestra el porcentaje del total de recursos que se iniciaron. Alseñalar una sección determinada del gráfico circular se muestra el número real por tipo de recursos.Expanda la flecha a la derecha para ver esta información a lo largo de un día, una semana, un mes o 12semanas.

n La sección de clientes muestra el número de instancias de Identity Manager Desktop que se utiliza.

Supervisar el estado y la información del sistemaEl panel de información de diagnósticos del sistema de VMware Identity Manager muestra una descripcióngeneral detallada del estado de los dispositivos VMware Identity Manager de su entorno e informaciónsobre los servicios. Puede consultar el estado general en todo el servidor de base de datosVMware Identity Manager, las máquinas virtuales y los servicios disponibles en cada una de ellas.

El panel de información de diagnósticos del sistema permite seleccionar la máquina virtual que se deseesupervisar y observar el estado de los servicios de esa máquina virtual, incluyendo la versión instalada deVMware Identity Manager. Si la base de datos de la máquina virtual tiene problemas, la barra deencabezado muestra el estado de la máquina en rojo. Para ver los problemas, puede seleccionar la máquinavirtual que se muestre en rojo.

Procedimiento

n Caducidad de la contraseña de usuario. Se muestran las contraseñas de inicio de sesión remoto yusuario root del dispositivo VMware Identity Manager. Si una contraseña caduca, vaya a la páginaConfiguración y seleccione Configuración del dispositivo virtual. Abra la página Seguridad delsistema para cambiar la contraseña.

n Certificados. Se muestra el emisor del certificado, la fecha de inicio y la fecha de finalización. Paraadministrar el certificado, vaya a la página Configuración y seleccione Configuración del dispositivovirtual. Abra la página Instalar el certificado.

n Configurador - Estado de implementación de las aplicaciones. Se muestra información de los serviciosdel Configurador de dispositivos. La sección de estado del servidor web indica si se está ejecutando elservidor de Tomcat. La sección de estado de la aplicación web muestra si se puede acceder a la páginadel Configurador de dispositivos. La sección de versión de la aplicación muestra la versión deldispositivo VMware Identity Manager instalada.

n Application Manager - Estado de implementación de las aplicaciones. Se muestra el estado de conexióndel dispositivo VMware Identity Manager.

n Conector - Estado de implementación de las aplicaciones. Se muestra el estado de conexión de consolade administración. Si se indica que la conexión es correcta, podrá acceder a las páginas de consola deadministración.

n FQDN de VMware Identity Manager. Muestra el nombre de dominio plenamente cualificado que debenintroducir los usuarios para acceder a su portal de aplicaciones de VMware Identity Manager. Si seutiliza un equilibrador de carga, el FQDN de VMware Identity Manager dirige a ese equilibrador decarga.

n Application Manager - Componentes integrados. Se muestra información de la conexión de la base dedatos de VMware Identity Manager, los servicios de auditoría y los análisis de la conexión.

Administración de VMware Identity Manager

120 VMware, Inc.

n Conector - Componentes integrados. Se muestra información de los servicios que se administran desdelas páginas de Administración de servicios de conector. Se muestra información sobre los recursos deThinApp, View y aplicaciones publicadas de Citrix.

n Módulos. Se muestran los recursos habilitados en VMware Identity Manager. Haga clic en Habilitadopara acceder a la página Administración de servicios de conector de ese recurso.

Ver informesSe pueden crear informes para hacer un seguimiento de las actividades de grupos y usuarios y el uso derecursos. Los informes se pueden consultar en la página Panel de información > Informes de la consola deadministración.

Los informes se pueden exportar en formato de archivo de valores separados por comas (csv).

Tabla 11‑1. Tipos de informes

Informe Descripción

Actividad reciente El informe de actividad reciente incluye las acciones realizadas por los usuarios en elportal Workspace ONE el día, la semana, el mes o las 12 semanas anteriores. Laactividad puede incluir información del usuario como el número de inicios de sesiónde usuario únicos, los inicios de sesión generales y la información de recursos, como elnúmero de recursos iniciados y las autorizaciones de recursos agregadas. Puede hacerclic en Mostrar eventos para consultar la fecha, la hora y los detalles del usuario de laactividad.

Uso de recursos El informe de uso de recursos incluye todos los recursos del catálogo con detalles decada recurso relativos al número de usuarios, los inicios y las licencias. Se puede elegirver las actividades del día, la semana, el mes o las 12 últimas semanas anteriores.

Autorizaciones de recursos El informe de autorizaciones de recursos muestra en cada recurso el número deusuarios autorizados, el número de inicios y el número de licencias utilizadas.

Actividad del recurso El informe de actividad del recurso se puede crear para todos los usuarios o para ungrupo específico. La información de actividad del recurso indica el nombre del usuario,el recurso para el que tiene autorización, la fecha en que se accedió al recurso porúltima vez e información sobre el tipo de dispositivo utilizado para acceder a él.

Pertenencia a grupos El informe de pertenencia a grupos incluye una lista de los miembros del grupo que seespecifique.

Asignación de funciones El informe de asignación de funciones incluye los usuarios que son administradores osolo administradores de API y sus direcciones de correo electrónico.

Usuarios El informe de usuarios incluye todos los usuarios y proporciona detalles sobre cadauno de ellos, como dirección de correo electrónico, función y afiliaciones a grupos.

Usuarios simultáneos El informe de usuarios simultáneos muestra el número de sesiones de usuario que seabrieron a la vez, la fecha y la hora.

Uso del dispositivo El informe de uso del dispositivo se puede crear para todos los usuarios o para ungrupo específico. Se muestra la información del dispositivo por usuario individual eincluye el nombre de usuario y el del dispositivo, información del sistema operativo yfecha de última utilización.

Eventos de auditoría El informe de eventos de auditoría muestra los eventos relacionados con el usuario quese especifique, como los inicios de sesión del usuario en los últimos 30 días. También sepueden ver los detalles del evento de auditoría. Esta función es útil para la resoluciónde problemas. Para ejecutar informes de eventos de auditoría, la auditoría debe estarhabilitada en la página Catálogo > Configuración > Auditoría. Consulte “Generación deun informe de eventos de auditoría,” página 122.

Capítulo 11 Trabajar en el panel de información de la consola de administración

VMware, Inc. 121

Generación de un informe de eventos de auditoríaPuede generar un informe de los eventos de auditoría que especifique.

Los informes de eventos de auditoría pueden resultar útiles como método para la resolución de problemas.

Prerequisitos

La auditoría debe estar habilitada. Para comprobar si se encuentra habilitada, en la consola deadministración, vaya a la página Catálogo > Configuración y seleccione Auditoría.

Procedimiento

1 En la consola de administración, seleccione la opción de Informes > Auditar eventos

2 Seleccione los criterios de los eventos de auditoría.

Criterios deeventos deauditoría Descripción

Administración Este cuadro de texto le permite limitar la búsqueda de los eventos de auditoría generados porun usuario específico.

Tipo Esta lista desplegable le permite limitar la búsqueda de los eventos de auditoría a un tipo deevento de auditoría específico. La lista desplegable no muestra todos los tipos de eventos deauditoría posibles. La lista solo muestra los que se han producido en su implementación. Lostipos de eventos de auditoría que aparecen con todas sus letras en mayúsculas son eventos deacceso, como LOGIN y LAUNCH, que no generan cambios en la base de datos. Otros tipos deevento de auditoría producen cambios en la base de datos.

Acción Esta lista desplegable le permite limitar la búsqueda a acciones específicas. En la lista semuestran los eventos que causan cambios específicos en la base de datos. Si selecciona unevento de acceso en la lista desplegable Tipo, que incluye eventos que no son acciones, noespecifique ninguna acción en la lista desplegable Acción.

Objeto Este cuadro de texto le permite limitar la búsqueda a un objeto específico. Ejemplos de objetosson grupos, usuarios y dispositivos. Los objetos se identifican mediante un nombre o unnúmero de ID.

Rango de fechas Estos cuadros de texto le permite limitar la búsqueda a un rango de fechas con el formato"desde hace ___ días hasta hace ___ días". El rango de fechas máximo es de 30 días. Porejemplo, desde hace 90 días hasta hace 60 días es un rango válido, mientras que desde hace90 días hasta hace 45 días no es un rango válido porque supera el máximo de 30 días.

3 Haga clic en Mostrar.

Los informes de eventos de auditoría se muestran en función de los eventos especificados.

NOTA: En aquellos momentos en que se reinicie el subsistema de auditoría, puede que se muestre unerror en la página Auditar eventos y que no se genere el informe. Si recibe un mensaje de error de estetipo sobre la imposibilidad de generar el informe, espere unos minutos e inténtelo de nuevo.

4 Para obtener más información sobre un evento de auditoría, haga clic en Ver detalles junto a dichoevento de auditoría.

Administración de VMware Identity Manager

122 VMware, Inc.

Personalización de marca en losservicios de VMware IdentityManager 12

Puede personalizar los logotipos, las fuentes y el fondo que aparecen en la consola de administración, laspantallas de inicio de sesión del administrador y el usuario, la vista web del portal de aplicaciones deWorkspace ONE y la vista web de estas aplicaciones en dispositivos móviles.

Puede usar la herramienta de personalización para que coincidan con el estilo, el diseño, los logotipos y loscolores de su empresa.

n La pestaña de direcciones del navegador y las páginas de inicio de sesión se personalizan en las páginasAdministración de acceso e identidad > Configuración > Personalización de marca.

n Agregue un logotipo y personalice las vistas de la tablet y el móvil del portal web del usuario en laspáginas Catálogo > Configuración > Personalización de marca del portal de usuario.

Este capítulo cubre los siguientes temas:

n “Personalizar marcas en VMware Identity Manager,” página 123

n “Personalizar marcas para el portal de usuario,” página 125

n “Personalización de marca para la aplicación VMware Verify,” página 126

Personalizar marcas en VMware Identity ManagerPuede agregar el nombre de la empresa y el nombre del producto en la consola de administración y el portaldel usuario, así como el icono de favoritos en la barra de direcciones para ambos elementos. También puedepersonalizar la página de inicio de sesión para establecer los colores de fondo que se adecuen al diseño dellogotipo y los colores de su compañía.

Para agregar el logotipo de la empresa, vaya a la página Catálogo> Configuración > Personalización demarca del portal de usuario en la consola de administración.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > Personalización de marca.

2 Edite la configuración siguiente de la forma que corresponda.

NOTA: Si alguna configuración no aparece en la tabla, significa que no se utiliza y no se puedepersonalizar.

VMware, Inc. 123

Campo del formulario Descripción

Nombres y logotipos

Nombre de la empresa La opción Nombre de la empresa se aplica tanto a los dispositivos móviles como a los deescritorio. Puede agregar el nombre de la empresa como el título que aparecerá en lapestaña del navegador.Si desea cambiar el nombre de la empresa, introduzca otro nombre sobre el que yaaparece.

Nombre del producto La opción Nombre del producto se aplica tanto a los dispositivos móviles como a los deescritorio. El nombre del producto se muestra tras el nombre de la empresa en la pestañadel navegador.Si desea cambiar el nombre del producto, introduzca otro nombre sobre el que ya aparece.

Icono de favoritos Un icono de favoritos es un icono asociado a una URL que se muestra en la barra dedirecciones del navegador.El tamaño máximo de la imagen del icono de favoritos es 16 x 16 px. El formato puede serJPEG, PNG, GIF o ICO.Haga clic en Cargar para cargar una nueva imagen que sustituya al icono de favoritosactual. Se le pedirá que confirme el cambio. El cambio se realiza inmediatamente.

Pantalla de inicio de sesión

Logotipo Haga clic en Cargar para cargar un nuevo logotipo que sustituya al actual en las pantallasde inicio de sesión. Al hacer clic en Confirmar, el cambio se realiza inmediatamente.El tamaño mínimo de imagen recomendado para cargar es 350x100 px. Si carga imágenescon un tamaño superior a 350 x 100 px, se ajustarán a un tamaño de 350 x 100 px. Elformato puede ser JPEG, PNG o GIF.

Color de fondo Color de fondo que se muestra en la pantalla de inicio de sesión.Para cambiar el color de fondo, introduzca el código de color hexadecimal de seis dígitossobre el que ya aparece.

Color de fondo delcuadro

El color del cuadro de la pantalla de inicio de sesión se puede personalizar.Introduzca el código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo delbotón de inicio desesión

El color del botón de inicio de sesión se puede personalizar.Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Color del texto delbotón de inicio desesión

El color del texto que aparece en el botón de inicio de sesión se puede personalizar.Introduzca un código de color hexadecimal de seis dígitos sobre el que ya aparece.

Cuando personalice la pantalla de inicio de sesión, podrá ver los cambios en el panel Vista previa antesde guardarlos.

3 Haga clic en Guardar.

Las actualizaciones de personalización de marca realizadas en la consola de administración y las páginas deinicio de sesión se aplican en un plazo de cinco minutos después de hacer clic en Guardar.

Qué hacer a continuación

Compruebe el aspecto de los cambios de personalización de marca en las distintas interfaces.

Actualice el aspecto de la vista en el tablet, el móvil y el portal de Workspace ONE de usuario final. Consulte “Personalizar marcas para el portal de usuario,” página 125

Administración de VMware Identity Manager

124 VMware, Inc.

Personalizar marcas para el portal de usuarioPuede agregar un logotipo, cambiar los colores del fondo y agregar imágenes para personalizar el portal deWorkspace ONE.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración > Personalización demarca del portal de usuario.

2 Edite la configuración de la forma oportuna.

Elemento delformulario Descripción

Logotipo Agregue un logotipo de cabecera para que sea el banner en la parte superior de la consolade administración y las páginas web del portal de Workspace ONE.

El tamaño máximo de la imagen es 220 x 40 px. El formato puede ser JPEG, PNG o GIF.

Portal

Color de fondo de lacabecera

Para cambiar el color de fondo de la cabecera, introduzca un código de color hexadecimalde seis dígitos sobre el que ya aparece. Al introducir el nuevo código de color, cambiará elcolor de fondo en la pantalla de vista previa del portal de la aplicación.

Color del texto de lacabecera

Para cambiar el color del texto que aparece en la cabecera, introduzca un código de colorhexadecimal de seis dígitos sobre el que ya aparece.

Color de fondo Color de fondo que se muestra en la pantalla del portal web.Para cambiar el color de fondo, introduzca un nuevo código de color hexadecimal de seisdígitos sobre el que ya aparece. Al introducir el nuevo código de color, cambiará el colorde fondo en la pantalla de vista previa del portal de la aplicación.Seleccione Fondo resaltado para destacar el color de fondo. Si esta opción está habilitada,los navegadores que admiten varias imágenes de fondo muestran la superposición en elprograma de inicio y las páginas del catálogo.Seleccione Trama de fondo para establecer la trama prediseñada del triángulo en el colorde fondo.

Color del nombre y delicono

Puede seleccionar el color del texto de los nombres que aparecen debajo de los iconos enlas páginas del portal de la aplicación.Para cambiar el color de fondo, introduzca un código de color hexadecimal sobre el que yaaparece.

Efecto de las letras Seleccione el tipo de letras que utilizará para el texto en las pantallas del portal deWorkspace ONE.

Imagen (opcional) Para agregar una imagen al fondo en la pantalla del portal de la aplicación en vez de uncolor, cargue una imagen.

3 Haga clic en Guardar.

Las actualizaciones de personalización de marca se realizan cada 24 horas para el portal del usuario. Pararealizar un envío push más rápido de los cambios, abra una nueva pestaña como administrador, introduzcaesta URL y sustituya su nombre de dominio por myco.ejemplo.com. https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true

Qué hacer a continuación

Compruebe el aspecto de los cambios de personalización de marca en las distintas interfaces.

Capítulo 12 Personalización de marca en los servicios de VMware Identity Manager

VMware, Inc. 125

Personalización de marca para la aplicación VMware VerifySi habilita la autenticación en dos fases para VMware Verify, puede personalizar la página de inicio con ellogotipo de su empresa.

Prerequisitos

VMware Verify habilitado.

Procedimiento

1 En pestaña Catálogos de la consola de administración, seleccione Configuración > Personalización demarca del portal de usuario.

2 Edite la sección VMware Verify.

Elemento delformulario Descripción

Logotipo Cargue el logotipo de la empresa que se mostrará en las páginas de solicitud deaprobación.

El tamaño de la imagen es 540x170 px, el formato es PNG y debe ser de 128 kB o menor.

Icono Cargue el icono que se mostrará en el dispositivo cando VMware Verify se inicie.El tamaño de la imagen es 81x81 px, el formato es PNG y debe ser de 128 kB o menor.

3 Haga clic en Guardar.

Administración de VMware Identity Manager

126 VMware, Inc.

Integrar AirWatch con VMwareIdentity Manager 13

AirWatch proporciona administración móvil empresarial para dispositivos y VMware Identity Managerproporciona inicio de sesión único y administración de identidades para usuarios.

Cuando se integran AirWatch y VMware Identity Manager, los usuarios de los dispositivos registrados enAirWatch pueden conectarse de forma segura a las aplicaciones habilitadas sin tener que introducir variascontraseñas.

Cuando AirWatch se integra con VMware Identity Manager, puede configurar las integraciones siguientescon AirWatch.

n Un directorio de AirWatch que sincroniza usuarios y grupos de AirWatch en un directorio del servicioVMware Identity Manager y configura a continuación una autenticación con contraseña medianteAirWatch Cloud Connector.

n Inicio de sesión único en un catálogo unificado que contiene aplicaciones autorizadas de AirWatch yVMware Identity Manager administrado.

n Inicio de sesión único mediante autenticación de Kerberos en dispositivos iOS 9.

n Reglas de directivas de acceso para comprobar que los dispositivos iOS 9 administrados por AirWatchcumplen las reglas de conformidad.

Este capítulo cubre los siguientes temas:

n “Configurar AirWatch para la integración con VMware Identity Manager,” página 128

n “Configurar una instancia de AirWatch en VMware Identity Manager,” página 131

n “Habilitación del catálogo unificado de AirWatch,” página 132

n “Implementación de la autenticación con AirWatch Cloud Connector,” página 133

n “Implementar la autenticación Single Sign-On móvil para los dispositivos iOS administrados porAirWatch,” página 135

n “Implementar la autenticación Single-Sign-On móvil en dispositivos Android,” página 143

n “Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch,”página 149

VMware, Inc. 127

Configurar AirWatch para la integración con VMware Identity ManagerLa configuración para la comunicación con VMware Identity Manager se realiza en la consola deadministración de AirWatch antes de configurar AirWatch en la consola de administración de VMwareIdentity Manager.

Para integrar AirWatch y VMware Identity Manager, son necesarias las siguientes especificaciones.

n El grupo de la organización de AirWatch para el que está configurando VMware Identity Manager esCliente.

n Una clave de administración de la REST API para la comunicación con el servicio de VMware IdentityManager y una clave de API de usuario registrado en REST para la autenticación con contraseña deAirWatch Cloud Connector se crean en el mismo grupo de organización en el que se configura VMwareIdentity Manager.

n La configuración de la cuenta de administrador de API y el certificado de autenticación deadministrador de AirWatch se agregó a la configuración de AirWatch en la consola de administraciónde VMware Identity Manager.

n Las cuentas de usuario de Active Directory se configuran en el mismo grupo de la organización en elque se configura VMware Identity Manager.

n Si los usuarios finales están ubicados en un grupo de la organización secundario desde donde seconfigura VMware Identity Manager después del registro, se debe utilizar la asignación del grupo y elusuario en la configuración del registro de AirWatch para filtrar usuarios y sus respectivos dispositivosen el grupo de la organización apropiado.

En la consola de administración de AirWatch se configura lo siguiente.

n Clave de API de administrador de REST para la comunicación con el servicio VMware IdentityManager

n Cuenta de administrador de API de VMware Identity Manager y el certificado de autenticación deadministrador que se exporta de AirWatch y se agrega a la configuración de AirWatch en VMwareIdentity Manager

n Clave de API de usuario registrado en REST para la autenticación con contraseña de AirWatch CloudConnector

Crear claves de la REST API en AirWatchSe debe habilitar el acceso de los usuarios registrados y de la API del administrador de REST en la consolade administración de AirWatch para integrar VMware Identity Manager con AirWatch. Cuando habilite elacceso de la API, se generará una clave de API.

Procedimiento

1 En la consola de administración de AirWatch, seleccione Global y, a continuación, el grupo de laorganización a nivel de cliente, y acceda a Grupos y ajustes > Todos los ajustes > Sistema > Avanzado >API > REST API.

2 En la pestaña General, haga clic en Agregar para generar la clave de API que se utilizará en el servicioVMware Identity Manager. El tipo de cuenta debe ser Admin.

Proporcione un nombre de servicio único. Agregue una descripción, como AirWatchAPI for IDM.

3 Para generar la clave de API del usuario registrado, vuelva a hacer clic en Agregar.

4 En el menú desplegable Tipo de cuenta, seleccione Usuario de inscripción.

Proporcione un nombre de servicio único. Agregue una descripción, como UserAPI for IDM.

Administración de VMware Identity Manager

128 VMware, Inc.

5 Copie las dos claves de API y guárdelas en un archivo.

Debe agregar estas claves cuando configure AirWatch en la consola de administración de VMwareIdentity Manager.

6 Haga clic en Guardar.

Crear un certificado y una cuenta de administrador en AirWatchDespués de crear la clave de API de administrador, debe agregar una cuenta de administrador y configurarla autenticación con certificado en la consola de administración de AirWatch.

Para la autenticación basada en certificado de REST API, se generará un certificado a nivel de usuario desdela consola de administración de AirWatch. El certificado utilizado es un certificado de AirWatchautofirmado que se generó desde el certificado raíz del administrador de AirWatch.

Prerequisitos

Debe haber creado la clave de API de administrador de REST de AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, seleccione Global y, continuación, el grupo de laorganización a nivel de cliente, y acceda a Cuentas > Administradores > Vista en lista.

2 Haga clic en Agregar > Agregar administrador.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 129

3 En la pestaña Básico, introduzca la contraseña y el nombre del usuario administrador del certificado enlos cuadros de texto obligatorios.

4 Seleccione la pestaña Funciones, elija el grupo de organización actual, haga clic en el segundo cuadro detexto y, a continuación, seleccione Administrador de AirWatch.

5 Seleccione la pestaña API y haga clic en Certificados en el cuadro de texto Autenticación.

6 Introduzca la contraseña del certificado. La contraseña es la misma que introdujo para el administradoren la pestaña Básico.

7 Haga clic en Guardar.

Se crearán el certificado de cliente y la cuenta del administrador nuevos.

8 En la página Vista en lista, seleccione el administrador que creó y vuelva a abrir la pestaña API.

La página de certificados mostrará información sobre el certificado.

9 Introduzca la contraseña que estableció en el cuadro de texto Contraseña del certificado, haga clic enExportar el certificado de cliente y guarde el archivo.

Administración de VMware Identity Manager

130 VMware, Inc.

El certificado de cliente se guardará como un tipo de archivo .p12.

Qué hacer a continuación

Configure las opciones de la URL de AirWatch en la consola de administración de VMware IdentityManager.

Configurar una instancia de AirWatch en VMware Identity ManagerDespués de configurar las opciones en la consola de administración de AirWatch, debe introducir la URL deAirWatch, los valores de la clave de API y el certificado en la página Administración de acceso e identidadde la consola de administración de VMware Identity Manager. Después de configurar las opciones deAirWatch, puede habilitar las opciones de las funciones disponibles con la integración de AirWatch.

Agregar parámetros de AirWatch a VMware Identity ManagerConfigure los parámetros de AirWatch en VMware Identity Manager para integrar AirWatch con VMwareIdentity Manager y habilite las opciones de integración de las funciones de AirWatch. El certificado y laclave de API de AirWatch se agregan para la autorización de VMware Identity Manager con AirWatch.

Prerequisitos

n URL del servidor de AirWatch que utiliza el administrador para iniciar la sesión en la consola deadministración de AirWatch.

n Clave de API de administración de AirWatch que se utiliza para realizar solicitudes de API de VMwareIdentity Manager al servidor de AirWatch para configurar la integración.

n Archivo del certificado de AirWatch que se utiliza para realizar llamadas de API y la contraseña delcertificado. El certificado debe estar en formato de archivo .p12.

n Clave de API del usuario inscrito en AirWatch.

n ID de grupo de AirWatch para el arrendatario, que es el identificador del arrendatario en AirWatch.

Procedimiento

1 En la consola de administración de VMware Identity Manager, pestaña Administración de acceso eidentidades, haga clic en Configurar > AirWatch.

2 Introduzca los parámetros de integración de AirWatch en los campos siguientes.

Campo Descripción

URL de API de AirWatch Introduzca la URL de AirWatch. Por ejemplo,https://myco.airwatch.com

Certificado de API de AirWatch Cargue el certificado utilizado para realizar llamadas de API.

Contraseña del certificado Introduzca la contraseña del certificado.

Clave de API del administrador deAirWatch

Introduzca el valor de la clave de API de administrador. Ejemplo de unvalor de clave de API FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

Clave de API del usuario inscrito enAirWatch

Introduzca el valor de la clave de API del usuario inscrito.

ID de grupo de AirWatch. Introduzca el ID de grupo de AirWatch del grupo de la organización en elque se crearon la clave de API y la cuenta de administrador.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 131

3 Haga clic en Guardar.

Qué hacer a continuación

n Habilite la opción Catálogo unificado para fusionar las aplicaciones configuradas en el catálogo deAirWatch con el catálogo unificado.

n Habilite Comprobación de conformidad para verificar que los dispositivos administrados por AirWatchcumplen sus directivas.

Consulte “Habilitar la comprobación de conformidad para dispositivos administrados por AirWatch,”página 149.

Habilitación del catálogo unificado de AirWatchAl configurar VMware Identity Manager con su instancia de AirWatch, puede habilitar el catálogo unificadopara que los usuarios finales puedan ver todas las aplicaciones para las que tienen autorización en VMwareIdentity Manager y AirWatch.

Cuando AirWatch no está integrado con el catálogo unificado, los usuarios finales solo ven las aplicacionespara las que tienen autorización en el servicio de VMware Identity Manager.

Prerequisitos

AirWatch configurado en VMware Identity Manager.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, haga clic enConfigurar > AirWatch.

2 En la sección Catálogo unificado de esta página, seleccione Habilitar.

3 Haga clic en Guardar.

Administración de VMware Identity Manager

132 VMware, Inc.

Qué hacer a continuación

Notifique a los usuarios finales de AirWatch cómo obtener acceso al catálogo unificado y ver su portal deWorkspace ONE mediante VMware Identity Manager.

Implementación de la autenticación con AirWatch Cloud ConnectorPuede integrar su AirWatch Cloud Connector con el servicio de VMware Identity Manager para laautenticación de contraseñas de usuario. Puede configurar el servicio de VMware Identity Manager parasincronizar usuarios desde el directorio de AirWatch en lugar de implementar un conector de VMwareIdentity Manager.

Para implementar la autenticación de AirWatch Cloud Connector, es necesario habilitar la autenticación concontraseña de AirWatch Cloud Connector en la página del proveedor de identidades integrado de la consolade administración de VMware Identity Manager.

NOTA: AirWatch Cloud Connector debe estar configurado en la versión 8.3 de AirWatch o posterior parapoder realizar la autenticación con VMware Identity Manager.

La autenticación de nombre de usuario y contraseña se integra con la implementación de AirWatch CloudConnector. Para autenticar usuarios con otros métodos de autenticación de VMware Identity Managercompatibles, se debe configurar el conector de VMware Identity Manager.

Administración de la asignación de atributos de usuarioPuede configurar la asignación de atributos de usuario entre el directorio de AirWatch y el directorio deVMware Identity Manager.

La página Atributos de usuario de la consola de administración de VMware Identity Manager(Administración de acceso e identidad > Configurar > Atributos de usuario) enumera los atributos dedirectorio predeterminados que se pueden asignar a los atributos de directorio de AirWatch. Los atributosobligatorios aparecen marcados con un asterisco. Los usuarios a los que les falte algún atributo obligatorioen el perfil no se sincronizan con el servicio de VMware Identity Manager.

Tabla 13‑1. Asignación de atributos de directorio de AirWatch predeterminados

Nombre de atributo de usuario de VMware IdentityManager

Asignación predeterminada a atributos de usuario deAirWatch

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

dominio Dominio

disabled (usuario externo deshabilitado) deshabilitado

phone telephoneNumber

lastName apellido*

firstName nombre*

correo electrónico correo electrónico*

userName nombre de usuario*

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 133

Sincronizar los usuarios y grupos del directorio de AirWatch en el directorio deVMware Identity

Establezca la configuración de VMware Identity Manager en la consola de administración de AirWatch paraestablecer una conexión entre la instancia del grupo de su organización del directorio de AirWatch yVMware Identity Manager. Esta conexión se usa para sincronizar usuarios y grupos de un directorio creadoen le servicio VMware Identity Manager.

El directorio de VMware Identity Manager se puede usar con AirWatch Cloud Connector para autenticar lacontraseña.

Los usuarios y los grupos se sincronizan inicialmente en el directorio de VMware Identity Manager deforma manual. La programación de la sincronización de AirWatch determina cuándo se sincronizan losgrupos y los usuarios con el directorio de VMware Identity Manager.

Cuando se agrega o se elimina un usuario o un grupo en el servidor de AirWatch, el cambio se reflejainmediatamente en el servicio de VMware Identity Manager.

Prerequisitos

n Nombre de administrador local y contraseña de VMware Identity Manager

n Identifique los valores del atributo que desea asignar del directorio de AirWatch. Consulte “Administración de la asignación de atributos de usuario,” página 133.

Procedimiento

1 En la consola de administración de AirWatch, Grupos y ajustes, en la página Todos los ajustes,seleccione Global, acceda al grupo de la organización a nivel de cliente y navegue hasta Sistema >Integración empresarial >VMware Identity Manager.

2 En la sección Servidor, haga clic en Configurar.

NOTA: El botón de configuración solo está disponible cuando el servicio de directorio también estáconfigurado para el mismo grupo de organización. Si el botón Configurar no está visible, no seencuentra en el correcto grupo de organización. Puede cambiar el grupo de organización en el menúdesplegable Global.

3 Introduzca las opciones de VMware Identity Manager.

Opción Descripción

URL Introduzca la URL del arrendatario de VMware. Por ejemplo,https://myco.identitymanager.com.

Nombre de usuario deadministrador

Introduzca el nombre del usuario administrador local de VMware IdentityManager.

Contraseña del administrador Introduzca la contraseña del usuario administrador local de VMwareIdentity Manager.

4 Haga clic en Siguiente.

5 Habilite la asignación personalizada para la asignación de los atributos de usuarios de AirWatch en elservicio VMware Identity Manager.

6 Haga clic en Probar conexión para verificar que las opciones son correctas.

Administración de VMware Identity Manager

134 VMware, Inc.

7 Haga clic en Sincronizar ahora para sincronizar manualmente todos los grupos y usuarios en elservicio VMware Identity Manager.

NOTA: Para controlar la carga del sistema, la sincronización manual solo se puede llevar a cabo cuatrohoras después de una sincronización anterior.

Se crea un directorio de AirWatch en el servicio VMware Identity Manager y los usuarios y grupos sesincronizan en un directorio de VMware Identity Manager.

Qué hacer a continuación

Revise la pestaña Usuarios y grupos en la consola de administración de VMware Identity Manager paracomprobar que se realizó la sincronización de los nombres de grupos y usuarios.

Actualizar VMware Identity Manager después de actualizar AirWatchCuando actualiza AirWatch a una nueva versión, debe actualizar las opciones de configuración Catálogounificado y Autenticación de contraseña de usuario a través de AirWatch en el servicio de VMware IdentityManager.

Cuando guarda estas opciones después de actualizar AirWatch, las opciones de AirWatch en el servicio deVMware Identity Manager se actualiza con la nueva versión de AirWatch.

Procedimiento

1 Después de actualizar AirWatch, inicie sesión en la consola de administración de VMware IdentityManager.

2 En la pestaña Administración de acceso e identidad, haga clic en Configurar > AirWatch.

3 Diríjase a la sección Catálogo unificado y haga clic en Guardar.

4 Diríjase a la sección Autenticación de contraseña de usuario a través de AirWatch y haga clic enGuardar.

Se actualiza la configuración de AirWatch con la nueva versión en el servicio de VMware Identity Manager.

Implementar la autenticación Single Sign-On móvil para losdispositivos iOS administrados por AirWatch

Para la autenticación de los dispositivos iOS, VMware Identity Manager utiliza un proveedor de identidadesque está integrado en el servicio de administración de las identidades para proporcionar acceso a laautenticación de SSO móvil. Este método de autenticación utiliza un centro de distribución de claves (KDC,Key Distribution Center) sin utilizar un conector o un sistema externo. Debe iniciar el servicio del centro dedistribución de claves del proveedor de identidades integrado de VMware Identity Manager para poderhabilitar Kerberos en la consola de administración.

Para implementar la autenticación de SSO móvil para los dispositivos iOS 9 administrados por AirWatch esnecesario completar la siguiente configuración.

NOTA: La autenticación de SSO móvil es compatible con dispositivos iOS que ejecuten iOS 9 y posteriores.

n Inicialice el centro de distribución de claves del dispositivo VMware Identity Manager. Consulte lasección sobre la preparación del uso de la autenticación de Kerberos en dispositivos con iOS de la Guíade instalación.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 135

n Si utiliza los servicios de certificado de Active Directory, configure una plantilla de entidad decertificación para la distribución del certificado de Kerberos en los servicios de certificado de ActiveDirectory. Configure entonces AirWatch para utilizar la autoridad de certificación de Active Directory.Agregue la plantilla del certificado en la consola de administración de AirWatch. Descargue elcertificado expedido para configurar el SSO móvil para iOS.

n Si usa la autoridad de certificación de AirWatch, habilite Certificados en la página de integraciones deVMware Identity Manager. Descargue el certificado expedido para configurar el SSO móvil para iOS.

n Configure el proveedor de identidades integrado y habilite y configure el SSO móvil para laautenticación de iOS en la consola de administración de VMware Identity Manager.

n Configure el perfil de dispositivos con iOS y habilite el inicio de sesión único en la consola deadministración de AirWatch.

Configurar la autoridad de certificación de Active Directory en AirWatchPara configurar el single sign-on único en dispositivos móviles iOS 9 administrados por AirWatch, puedeestablecer una relación de confianza entre Active Directory y AirWatch y habilitar el método deautenticación SSO móvil para iOS en VMware Identity Manager.

Después de configurar la autoridad y la plantilla de certificación para la distribución de certificados deKerberos en los servicios de certificado de Active Directory, se debe habilitar AirWatch para que solicite elcertificado utilizado para la autenticación y agregar la autoridad de certificación a la consola deadministración de AirWatch.

Procedimiento

1 En el menú principal de la consola de administración de AirWatch, vaya a Dispositivos > Certificados >Autoridades de certificación.

2 Haga clic en Agregar.

3 En la página Autoridad de certificación, establezca la siguiente configuración.

NOTA: Asegúrese de que Microsoft AD CS esté seleccionado como tipo de autoridad antes deempezar a completar este formulario.

Opción Descripción

Nombre Introduzca un nombre para la nueva autoridad de certificación.

Tipo de autoridad Asegúrese de que la opción Microsoft ADCS esté seleccionada.

Protocolo Seleccione ADCS como protocolo.

Nombre de host del servidor Introduzca la dirección URL del servidor. Introduzca el nombre de host eneste formato https://{servername.com}/certsrv.adcs/. El sitiopuede usar el protocolo http o https, en función de cómo esté configurado.La URL debe incluir una barra inclinada (/) al final.NOTA: Si la conexión falla al probar la URL, quite http:// o https:// de ladirección y vuelva a probarla.

Nombre de la autoridad Introduzca el nombre de la autoridad de certificación a la que estéconectado el dispositivo de destino de ADCS. Para encontrarlo, puedeiniciar la aplicación Certification Authority en el servidor de la autoridadde certificación.

Autenticación Asegúrese de que la opción Cuenta del servicio esté seleccionada.

Nombre de usuario y contraseña Introduzca el nombre de usuario y la contraseña de una cuenta deadministrador de AD CS con derechos de acceso suficientes para permitirque AirWatch solicite y emita certificados.

4 Haga clic en Guardar.

Administración de VMware Identity Manager

136 VMware, Inc.

Qué hacer a continuación

Configure la plantilla del certificado en AirWatch.

Configurar AirWatch para utilizar la autoridad de certificación de Active DirectoryLa plantilla de la autoridad de certificación debe estar correctamente configurada para la distribución decertificados de Kerberos. En los servicios de certificado de Active Directory (AD CS), se puede duplicar laplantilla de autenticación de Kerberos existente para configurar una nueva plantilla de autoridad decertificación para la autenticación de Kerberos en iOS.

Al duplicar la plantilla de autenticación de Kerberos de AD CS, se debe configurar la información siguienteen el cuadro de diálogo de propiedades de la nueva plantilla.

Figura 13‑1. Cuadro de diálogo de propiedades de la nueva plantilla de los servicios de certificados deActive Directory

n Pestaña General . Introduzca el nombre de la plantilla que se mostrará y el nombre de la plantilla. Porejemplo, iOSKerberos. Este nombre es el que se muestra en el complemento de plantillas de certificado,el complemento de certificados y el complemento de autoridad de certificación.

n Pestaña Nombre del usuario. Seleccione el botón de opción para incluirlo en la solicitud. El nombredel usuario lo proporciona AirWatch al solicitar el certificado.

n Pestaña Extensiones. Defina las directivas de la aplicación.

n Seleccione la opción de directivas de las aplicaciones y haga clic en Editar para agregar una nuevadirectiva de aplicación. Llame a esta directiva Kerberos Client Authentication.

n Agregue el identificador de objeto (OID) como sigue: 1.3.6.1.5.2.3.4. No lo cambie.

n En la lista de descripción de las directivas de aplicaciones, elimine todas las directivas indicadasexcepto la directiva Kerberos Client Authentication y la directiva de autenticación de Smart Card.

n Pestaña Seguridad. Agregue la cuenta de AirWatch a la lista de usuarios que pueden utilizar elcertificado. Establezca los permisos de la cuenta. Elija la opción de control total para permitir que elusuario principal de seguridad pueda modificar todos los atributos de una plantilla de certificado,incluyendo los permisos de la plantilla del certificado. De lo contrario, establezca los permisos deacuerdo a las necesidades de su organización.

Guarde los cambios. Agregue la plantilla a la lista de plantillas utilizadas por la autoridad de certificación deActive Directory.

En AirWatch, configure la autoridad de certificación y agregue la plantilla del certificado.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 137

Agregar una plantilla de certificación en AirWatchSe agrega la plantilla de certificación que asocia la autoridad de certificación utilizada para generar elcertificado del usuario.

Prerequisitos

Configure la autoridad de certificación en AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > Entidades decertificación.

2 Seleccione la pestaña Solicitar plantilla y haga clic en Agregar.

3 Aplique la siguiente configuración en la página de la plantilla de certificación.

Opción Descripción

Nombre Introduzca el nombre de la nueva plantilla de solicitud en AirWatch.

Entidad de certificación En el menú desplegable, seleccione la entidad de certificación que se creó.

Emitir una plantilla Introduzca el nombre de la plantilla de certificación de Microsoft CAexactamente como se creó en AD CS. Por ejemplo, iOSKerberos.

Nombre del usuario Después de CN=, introduzca {EnrollmentUser}, donde el cuadro detexto {} es el valor de búsqueda de AirWatch. El texto introducido aquí esel Usuario del certificado, que se puede utilizar para determinar quiénrecibió el certificado.El texto introducido aquí es el sujeto del certificado

Longitud de la clave privada La longitud de esta clave privada coincide con el valor de la plantilla decertificación que utiliza AD CS. Normalmente es 2048.

Tipo de clave privada Seleccione la casilla para Firma y cifrado.

Tipo de SAN Como nombre alternativo del usuario (SAN), seleccione Nombre principaldel usuario. El valor debe ser {EnrollmentUser}. Si la comprobación deconformidad del dispositivo está configurada con la autenticación deKerberos, debe configurar un segundo tipo SAN para incluir el UDID.Seleccione el tipo de SAN DNS. El valor debe ser UDID={DeviceUid}.

Renovación automática decertificados

Seleccione esta casilla para que los certificados que utilicen esta plantilla serenueven automáticamente antes de sus fechas de caducidad.

Período de renovación automática(días)

Especifique el período de renovación automática en días.

Habilitar revocación de certificados Seleccione esta casilla para que los certificados se revoquenautomáticamente cuando los dispositivos aplicables se borren o se cancelesu inscripción, o bien si se borra el perfil aplicable.

Publicar clave privada Seleccione esta casilla de verificación para publicar la clave privada.

Destino de clave privada Servicio de directorio o servicio web personalizado

Administración de VMware Identity Manager

138 VMware, Inc.

4 Haga clic en Guardar.

Qué hacer a continuación

En la consola de administración del proveedor de identidades, configure el proveedor de identidadesintegrado con el método de autenticación de SSO para dispositivos móviles con iOS.

Configurar el perfil de iOS de Apple en AirWatch mediante la autoridad decertificación de Active Directory y la plantilla de certificadoCree e implemente el perfil del dispositivo iOS de Apple en AirWatch para realizar un envío push de laconfiguración del proveedor de identidades al dispositivo. Este perfil contiene la información necesaria paraque el dispositivo se conecte al proveedor de identidades de VMware y al certificado que utilizó eldispositivo para autenticarse. Habilite el single sign-on para permitir acceso continuo sin solicitar laautenticación en cada aplicación.

Prerequisitos

n Se configura el SSO móvil para iOS en VMware Identity Manager.

n Archivo de la autoridad de certificación de Kerberos para iOS guardado en un equipo al que se puedeacceder desde la consola de administración de AirWatch.

n Su autoridad de certificación y la plantilla de certificado deben estar configuradas correctamente enAirWatch.

n Lista de las URL y los ID del paquete de la aplicación que utilizan el método de autenticación SSOmóvil para iOS integrado en dispositivos iOS.

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursos > Perfil.

2 Seleccione Agregar > Agregar perfily seleccione Apple iOS.

3 Introduzca el nombre iOSKerberos y establezca la configuración General.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 139

4 En el panel de navegación izquierdo, seleccione Credenciales > Configurar para configurar lacredencial.

Opción Descripción

Fuente de credenciales Seleccione Autoridad definida de certificación en el menú desplegable.

Entidad de certificación Seleccione la entidad de certificación en la lista del menú desplegable.

Plantilla de certificado Seleccione la plantilla de la solicitud que menciona a la autoridad decertificación en el menú desplegable. Esta es la plantilla de certificadocreada en la sección Agregar la plantilla de certificado en AirWatch.

5 Vuelva a hacer clic en + en la esquina inferior derecha de la página y cree una segunda credencial.

6 En el menú desplegable Fuente de credenciales, seleccione Cargar.

7 Introduzca un nombre de credencial.

8 Haga clic en Cargar para cargar el certificado raíz del servidor KDC que se descargó de la páginaAdministración de acceso e identidad > Administrar > Proveedores de identidades > Proveedor deidentidades integrado.

9 En el menú de navegación de la izquierda, seleccione Single Sign-On y haga clic en Configurar.

10 Introduzca la información de la conexión.

Opción Descripción

Nombre de la cuenta Introduzca Kerberos.

Nombre principal de Kerberos Haga clic en + y seleccione {EnrollmentUser}.

Territorio Introduzca el nombre de territorio que utilizó cuando inicializó KDC en eldispositivo de VMware Identity Manager. Por ejemplo, EXAMPLE.COM

Certificado de renovación Seleccione la opción del certificado número 1 en el menú desplegable. Estees el certificado CA de Active Directory que se configuró primero concredenciales.

Prefijos de URL Introduzca los prefijos de URL que deben coincidir para utilizar estacuenta para la autenticación de Kerberos a través de HTTP.Introduzca la URL del servidor de VMware Identity Manager comohttps://myco.example.com.

Aplicaciones Introduzca la lista de las identidades de la aplicación que tienen permisopara utilizar este inicio de sesión. Para realizar un single sign-on con elnavegador Safari integrado en iOS, introduzca el primer ID del paquete dela aplicación como com.apple.mobilesafari. Siga introduciendo los IDdel paquete de la aplicación. Las aplicaciones que aparecen deben sercompatibles con la autenticación SAML

11 Haga clic en Guardar y publicar.

Cuando se realice un envío push correctamente del perfil de iOS a los dispositivos de los usuarios, estospodrán iniciar sesión en VMware Identity Manager con el método de autenticación SSO móvil para iOS sinintroducir sus credenciales.

Qué hacer a continuación

Cree otro perfil para configurar cualquier otra función que desee, por ejemplo, iconos de favoritos para creariconos de aplicaciones web que envíe mediante push desde AirWatch al catálogo de aplicaciones o a laspáginas de inicio del dispositivo iOS.

Administración de VMware Identity Manager

140 VMware, Inc.

Utilizar la autoridad de certificación de AirWatch para autenticación deKerberos

Para configurar e inicio de sesión único con la autenticación de Kerberos integrada en dispositivos móvilescon iOS 9 administrados por AirWatch, puede utilizar la autoridad de certificación de AirWatch en lugar dela de Active Directory. Puede habilitar la autoridad de certificación de AirWatch en la consola deadministración de AirWatch y exportar el certificado del emisor de la CA para utilizarlo en el servicioVMware Identity Manager.

La autoridad de certificación de AirWatch se diseñó para seguir el protocolo Simple Certificate EnrollmentProtocol (SCEP) y se utiliza en dispositivos administrados por AirWatch compatibles con SCEP. En laintegración de VMware Identity Manager con AirWatch se utiliza la autoridad de certificación de AirWatchpara emitir certificados a dispositivos móviles con iOS 9 como parte del perfil.

En certificado raíz del emisor de la autoridad de certificación de AirWatch es también el certificado de firmade OCSP.

Habilitación y exportación de la autoridad de certificación de AirWatchCuando VMware Identity Manager está habilitado en AirWatch, puede generar un certificado raíz deentidad emisora AirWatch y exportarlo para usarlo con la autenticación SSO móvil para iOS en dispositivosmóviles iOS 9 administrados.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > VMwareIdentity Manager.

2 Para habilitar la autoridad de certificación de AirWatch, el tipo del grupo de organización debe serCliente.

Tip Para ver o cambiar el tipo de grupo, vaya a Grupos y ajustes, Grupos > Grupos organizativos>Detalles del grupo organizativo.

3 En la sección de CERTIFICADO, haga clic en Habilitar.

La página mostrará los detalles del certificado raíz de la entidad emisora.

4 Haga clic en Exportar y guarde el archivo.

Qué hacer a continuación

En la consola de administración de VMware Identity Manager, configure la autenticación de Kerberos en elproveedor de identidades integrado y agregue el certificado emitido por la autoridad de certificación.

Configurar el perfil de iOS de Apple en AirWatch con la autoridad decertificación de AirWatch

Cree e implemente el perfil del dispositivo iOS de Apple en AirWatch para realizar un envío push de laconfiguración del proveedor de identidades al dispositivo. Este perfil contiene la información necesaria paraque el dispositivo se conecte al proveedor de identidades de VMware y el certificado que utiliza eldispositivo para autenticarse.

Prerequisitos

n Kerberos integrado configurado en Identity Manager.

n Archivo de certificado raíz del servidor KDC de VMware Identity Manager guardado en un equipo alque se pueda acceder desde la consola de administración de AirWatch.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 141

n Certificado habilitado y descargado desde la página Sistema > Integración empresarial > VMwareIdentity Manager de la consola de administración de AirWatch.

n Lista de las URL y los ID del paquete de la aplicación que utilizan la autenticación de Kerberosintegrado en dispositivos iOS.

Procedimiento

1 En la consola de administración de AirWatch, acceda a Dispositivos > Perfiles y recursos > Perfil >Agregar perfil y seleccione Apple iOS.

2 Configure la opción General del perfil e introduzca el nombre del dispositivo como iOSKerberos.

3 En el panel de navegación izquierdo, seleccione SCEP > Configurar para configurar la credencial.

Opción Descripción

Fuente de credenciales Seleccione Entidad de certificación de AirWatch en el menú desplegable.

Entidad de certificación Seleccione Entidad de certificación de AirWatch en el menú desplegable.

Plantilla de certificado Seleccione Inicio de sesión único para establecer el tipo de certificadoemitido por la autoridad de certificación de AirWatch.

4 Haga clic en Credenciales > Configurar y cree un segunda credencial.

5 En el menú desplegable Fuente de credenciales, seleccione Cargar.

6 Introduzca el nombre de la credencial de Kerberos para iOS.

7 Haga clic en Cargar para cargar el certificado raíz del servidor KDC de VMware Identity Manager quese descargó de la página Administración de acceso e identidad > Administrar > Proveedores deidentidades > Proveedor de identidades incorporado.

8 En el menú de navegación de la izquierda, seleccione Single Sign-On.

9 Introduzca la información de la conexión.

Opción Descripción

Nombre de la cuenta Introduzca Kerberos.

Nombre principal de Kerberos Haga clic en + y seleccione {EnrollmentUser}.

Territorio Introduzca el nombre de territorio que utilizó cuando inicializó KDC en eldispositivo de VMware Identity Manager. Por ejemplo, EXAMPLE.COM.

Certificado de renovación En dispositivos con iOS 8 o versiones posteriores, seleccione el certificadousado para volver a autenticar al usuario automáticamente sin necesidadde interactuar con el usuario cuando caduque la sesión Single Sign-On.

Prefijos de URL Introduzca los prefijos de URL que deben coincidir para utilizar estacuenta para la autenticación de Kerberos a través de HTTP.Introduzca la URL del servidor de VMware Identity Manager comohttps://myco.example.com.

Aplicaciones Introduzca la lista de las identidades de la aplicación que tienen permisopara utilizar este inicio de sesión. Para realizar un single sign-on con elnavegador Safari integrado en iOS, introduzca el primer ID del paquete dela aplicación como com.apple.mobilesafari. Siga introduciendo los IDdel paquete de la aplicación. Las aplicaciones que aparecen deben sercompatibles con la autenticación SAML

10 Haga clic en Guardar y publicar.

Cuando se realice un envío push correctamente del perfil de iOS a los dispositivos de los usuarios, estospodrán iniciar sesión en VMware Identity Manager con el método de autenticación de Kerberos integradosin introducir sus credenciales.

Administración de VMware Identity Manager

142 VMware, Inc.

Qué hacer a continuación

Cree otro perfil para configurar cualquier otra función que desee de Kerberos para iOS, por ejemplo, iconosde favoritos para crear iconos de aplicaciones web que envíe mediante push desde AirWatch al catálogo deaplicaciones o a las páginas de inicio del dispositivo iOS.

Implementar la autenticación Single-Sign-On móvil en dispositivosAndroid

El SSO móvil para Android es una implementación del método de autenticación mediante certificado paradispositivos gestionados por AirWatch.

La aplicación para dispositivos móviles AirWatch se instala en el dispositivo Android. El cliente AirWatchTunnel está configurado para acceder al servicio VMware Identity Manager para la autenticación. El clientedel túnel utiliza el certificado del cliente para establecer una sesión SSL autenticada de forma mutua y elservicio de VMware Identity Manager recupera el certificado de dicho cliente para la autenticación.

NOTA: La autenticación SSO móvil para Android es compatible con los dispositivos con Android 4.4 o unaversión posterior.

Single-Sign-On móvil sin acceso a la VPNLa autenticación Single-Sign-on móvil para dispositivos Android se puede configurar de modo que evite elservidor de Tunnel cuando no sea necesario acceder a la VPN. Para implementar la autenticación SSO móvilpara Android sin usar una VPN, hay que utilizar las mismas páginas de configuración que para configurarAirWatch Tunnel, pero como no se va a instalar el servidor de Tunnel, no hay que introducir el nombre dehost ni el puerto del servidor AirWatch Tunnel. Deberá configurar un perfil con el formulario de perfil deAirWatch Tunnel, pero el tráfico no se redirigirá al servidor de Tunnel. El cliente de Tunnel solo se usa parael Single-Sign-On.

En la consola de administración de AirWatch puede configurar los siguientes ajustes.

n El componente del túnel por aplicaciones en AirWatch Tunnel. Esta configuración permite a losdispositivos Android acceder a aplicaciones internas y administradas de forma pública a través delcliente de la aplicación móvil de AirWatch Tunnel.

n Perfil de Tunnel por aplicaciones. Este perfil se utiliza para habilitar las funciones de los túneles poraplicaciones para Android.

n En la página de reglas de tráfico de red, como no se va a configurar el servidor de Tunnel, seleccioneOmitir para que el tráfico se redirija hacia un servidor de Tunnel.

Single-Sign-On móvil con acceso a la VPNCuando la aplicación configurada para Single-Sign-On también se use para acceder a los recursos deintranet tras el firewall, configure el acceso a la VPN y configure el servidor Tunnel. Cuando Single-Sign-Onesté configurado con la VPN, el cliente de Tunnel puede enrutar el tráfico de las aplicaciones y lassolicitudes de inicio de sesión a través del servidor de Tunnel. En lugar la configuración predeterminadautilizada para el cliente de Tunnel en la consola en el modo de Single-Sign-On, la configuración debe dirigiral servidor de Tunnel.

Para implementar el SSO móvil para la autenticación de Android en los dispositivos gestionados porAirWatch, es necesario configurar AirWatchTunnel en la consola de administrador de AirWatch e instalar elservidor de AirWatch Tunnel antes de configurar el SSO móvil de Android en la consola de administradorde VMware Identity Manager. El servicio de AirWatch Tunnel proporciona acceso a la VPN por aplicación alas aplicaciones administradas por AirWatch. AirWatch Tunnel también proporciona la capacidad de derivarel tráfico mediante un servidor proxy desde una aplicación móvil a VMware Identity Manager para Single-Sign-On.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 143

En la consola de administración de AirWatch puede configurar los siguientes ajustes.

n El componente del túnel por aplicaciones en AirWatch Tunnel. Esta configuración permite a losdispositivos Android acceder a aplicaciones internas y administradas de forma pública a través delcliente de la aplicación móvil de AirWatch Tunnel.

Después de configurar los ajustes de AirWatch Tunnel en la consola de administración, descargue elinstalador AirWatch Tunnel y comience la instalación.

n Perfil VPN de Android. Este perfil se utiliza para habilitar las funciones de los túneles por aplicacionespara Android.

n Habilitar la VPN para cada aplicación que utilice la función del túnel de aplicaciones desde la consolade administración.

n Cree reglas del tráfico de dispositivo con una lista de todas las aplicaciones configuradas para la VPNpor aplicación, los detalles del servidor proxy y la URL de VMware Identity Manager.

Para obtener más información sobre cómo instalar y configurar AirWatch Tunnel, consulte la guía deVMware AirWatch Tunnel en el sitio web de recursos de AirWatch.

Configurar Single-Sign-On para dispositivos Android desde la consola deadministración de AirWatch

Single-Sign-On para dispositivos Android permite a los usuarios iniciar sesión de forma segura enaplicaciones empresariales sin tener que introducir su contraseña.

Para configurar Single-Sign-On para dispositivos Android, no es necesario configurar AirWatch Tunnel,pero se utilizan muchos de los mismos campos para configurar Single-Sign-On.

Prerequisitos

n Android 4.4 o versiones posteriores

n Las aplicaciones deben admitir SAML u otro estándar compatible

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > AirWatchTunnel.

2 La primera vez que configure AirWatch Tunnel, seleccione Configurar y siga el asistente paraconfiguración. De lo contrario, seleccione Reemplazar y maque la casilla Habilitar AirWatch Tunnel.Luego haga clic en Configurar.

3 En la página Tipo de configuración, habilite Túnel por cada aplicación (solo Linux). Haga clic enSiguiente.

Mantenga el modo de implementación Básico,

4 En la página Detalles, introduzca un valor ficticio en el cuadro de texto, ya que este campo no esnecesario para configurar Single-Sign-On. Haga clic en Siguiente.

5 En la página SSL, configure el certificado SSL de túnel por cada aplicación. Para utilizar un SSL público,seleccione la casilla Utilizar certificado público de SSL. Haga clic en Siguiente.

El certificado raíz del dispositivo en túnel se genera automáticamente.

NOTA: Los certificados SAN no son compatibles. Asegúrese que su certificado se emitió para elnombre de host del servidor correspondiente o es un certificado comodín válido para el dominiocorrespondiente.

Administración de VMware Identity Manager

144 VMware, Inc.

6 En la página Autenticación, seleccione el tipo de certificado que desea utilizar. Haga clic en Siguiente.

Opción Descripción

Predeterminado Seleccione Predeterminado para utilizar los certificados emitidos porAirWatch.

CA empresarial Aparece un menú desplegable con la lista de la entidad de certificación y laplantilla del certificado que se configuraron. También puede cargar elcertificado raíz de su CA.

Si selecciona CA empresarial, asegúrese de que la plantilla CA contiene siguiente nombre de asuntoCN=UDID. Puede descargar los certificados CA en la página de configuración de AirWatch Tunnel.

7 Haga clic en Siguiente.

8 En la página Asociación de perfil, cree un perfil de VPN para AirWatch Tunnel de Android o asocie unoya existente.

Debe publicar el perfil aunque lo cree en este paso. Consulte la sección sobre cómo configurar el perfilde Android en AirWatch.

9 Revise el resumen de la configuración y haga clic en Guardar.

Accederá a la página de configuración del sistema.

Configurar el acceso a la VPN de AirWatch Tunnel desde la consola deadministración de AirWatch

Habilite el componente del túnel por cada aplicación en la configuración de AirWatch Tunnel paraconfigurar la funcionalidad de túnel para los dispositivos Android. El túnel por cada aplicación permite alas aplicaciones internas y gestionadas de forma pública acceder a sus recursos corporativos por rango deaplicaciones.

La VPN se puede conectar automáticamente cuando inicie una aplicación específica. Para obtenerinstrucciones detalladas sobre cómo configurar AirWatch Tunnel, consulte la guía sobre VMware AirWatchTunnel en el sitio web de recursos de AirWatch.

Procedimiento

1 En la consola de administración de AirWatch, vaya a Sistema > Integración empresarial > AirWatchTunnel.

2 La primera vez que configure AirWatch Tunnel, seleccione Configurar y siga el asistente paraconfiguración. De lo contrario, seleccione Reemplazar y maque la casilla Habilitar AirWatch Tunnel.Luego haga clic en Configurar.

3 En la página Tipo de configuración, habilite Túnel por cada aplicación (solo Linux). Haga clic enSiguiente.

Mantenga el modo de implementación Básico,

4 En la página Detalles, introduzca el puerto y el nombre del host del servidor de AirWatch Tunnel en laconfiguración del túnel por cada aplicación. Por ejemplo, introduzca tunnel.example.com. Haga clic enSiguiente.

5 En la página SSL, configure el certificado SSL de túnel por cada aplicación. Para utilizar un SSL público,seleccione la casilla Utilizar certificado público de SSL. Haga clic en Siguiente.

El certificado raíz del dispositivo en túnel se genera automáticamente.

NOTA: Los certificados SAN no son compatibles. Asegúrese que su certificado se emitió para elnombre de host del servidor correspondiente o es un certificado comodín válido para el dominiocorrespondiente.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 145

6 En la página Autenticación, seleccione el tipo de certificado que desea utilizar. Haga clic en Siguiente.

Opción Descripción

Predeterminado Seleccione Predeterminado para utilizar los certificados emitidos porAirWatch.

CA empresarial Aparece un menú desplegable con la lista de la entidad de certificación y laplantilla del certificado que se configuraron. También puede cargar elcertificado raíz de su CA.

Si selecciona CA empresarial, asegúrese de que la plantilla de CA contenga el nombre de asuntoCN=UDID. Puede descargar los certificados CA en la página de configuración de AirWatch Tunnel.

Si la comprobación de cumplimiento de dispositivo está configurada para Android, asegúrese de que laplantilla de CA contenga el nombre de asunto CN=UDID o establezca un tipo de SAN para incluir elUDID. Seleccione el tipo de SAN DNS. El valor debe ser UDID={DeviceUid}.

7 Haga clic en Siguiente.

8 En la página Asociación de perfil, cree un perfil de VPN para AirWatch Tunnel de Android o asocie unoya existente.

Debe publicar el perfil aunque lo cree en este paso. Consulte la sección sobre cómo configurar el perfilde Android en AirWatch.

9 De forma opcional, en la página Variado, habilite los registros de acceso para los componentes del túnelpor aplicaciones. Haga clic en Siguiente.

Debe habilitar estos registros antes de instalar el servidor AirWatch Tunnel.

10 Revise el resumen de la configuración y haga clic en Guardar.

Accederá a la página de configuración del sistema.

11 Seleccione la pestaña General y descargue el dispositivo virtual de Tunnel.

Puede implementar el servidor de Tunnel con VMware Access Point.

Qué hacer a continuación

Instale el servidor de AirWatch Tunnel. Para obtener más instrucciones, consulte la guía sobre VMwareAirWatch Tunnel en el sitio web de recursos de AirWatch.

Configurar el perfil de túnel por aplicaciones para AndroidDespués de configurar e instalar el componente del túnel por aplicaciones de AirWatch Tunnel, puedeconfigurar el perfil VPN de Android y agregar una versión al perfil.

Procedimiento

1 En la consola de administrador de AirWatch, diríjase a Dispositivos > Perfiles > Agregar perfil yseleccione Android o Android for Work.

2 Consulte que la Configuración general de Android esté preparada.

3 En la columna de la izquierda, seleccione VPN y haga clic en Configurar.

4 Complete la información de conexión de la VPN.

Opción Descripción

Tipo de conexión Seleccione AirWatch Tunnel.

Nombre de la conexión Introduzca un nombre para esta conexión. Por ejemplo,Configuración AndroidSSO.

Administración de VMware Identity Manager

146 VMware, Inc.

Opción Descripción

Servidor La URL del servidor de AirWatch Tunnel se introduce automáticamente.

Reglas de VPN por aplicación Seleccione la casilla Reglas de VPN por aplicación.

5 Haga clic en Agregar versión.

6 Haga clic en Guardar y publicar.

Qué hacer a continuación

Habilite la VPN por aplicaciones para las aplicaciones Android a las que se acceden con el SSO móvil paraAndroid. Consulte “Habilitar la VPN por aplicaciones para las aplicaciones Android,” página 147.

Habilitar la VPN por aplicaciones para las aplicaciones AndroidLa configuración del perfil de la VPN por aplicaciones se habilita para las aplicaciones Android a las que seacceden con el SSO móvil para Android de VMware Identity Manager.

Prerequisitos

n Configurar AirWatch Tunnel con el componente del túnel por aplicaciones instalado.

n Tener creado un perfil VPN de Android.

Procedimiento

1 En la consola de administración de AirWatch, diríjase a Aplicaciones y libros > Aplicaciones > Vista enlista.

2 Seleccione la pestaña Interna.

3 Seleccione Agregar aplicación y agregue una aplicación.

4 Haga clic en Guardar y asignar.

5 En la página Asignación, seleccione Agregar asignación y en la sección Avanzado Perfil de VPN poraplicación seleccione en el menú desplegable el perfil VPN de Android que creó.

6 Haga clic en Guardar y publicar.

Habilite la VPN por aplicaciones para todas las aplicaciones Android a las que se acceden con el SSOmóvil para Android. Para obtener más información sobre agregar y editar aplicaciones, consulte la guíade AirWatch Mobile Application Management en la página web AirWatch Recursos.

Qué hacer a continuación

Cree las reglas de tráfico de red. Consulte “Configurar las reglas del tráfico de red en AirWatch,” página 147.

Configurar las reglas del tráfico de red en AirWatchConfigure las reglas del tráfico de red de tal forma que el cliente de AirWatch enrute el tráfico al proxyHTTPS para los dispositivos Android. Incluya una lista de las aplicaciones Android que estén configuradascon la opción VPN por aplicación en las reglas de tráfico y configure la dirección del servidor proxy y elnombre de host de destination.

Para obtener más información sobre cómo crear reglas de tráfico de red, consulte la guía de VMwareAirWatch Tunnel en la página web AirWatch Recursos.

Prerequisitos

n La opción AirWatch Tunnel configurada con el componente del túnel por aplicaciones instalado.

n Tener creado un perfil VPN de Android.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 147

n Habilitar la VPN por aplicaciones para cada aplicación Android que se agrega a las reglas del tráfico dered.

Procedimiento

1 En la consola de administración de AirWatch, diríjase a Sistema > Integración empresarial > AirWatchTunnel > Reglas de acceso a la red.

2 Configure las reglas del tráfico de red como se describe en la guía de AirWatch Tunnel. En la página dereglas de tráfico de red, configure los siguientes ajustes para los SSO para dispositivos móviles conAndroid.

a En la columna Aplicación, agregue las aplicaciones Android que están configuradas con el perfilVPN por aplicación.

b En la columna Acción, seleccione Proxy y especifique la información sobre el proxy HTTPS.Introduzca el puerto y el nombre de host de VMware Identity Manager. Por ejemplo,login.example.com:5262.

NOTA: Si proporciona acceso externo al host de VMware Identity Manager, el puerto 5262 delfirewall debe estar abierto o el tráfico de dicho puerto debe ser redirigido a través del proxy inversoen el DMZ.

c En la columna Nombre de host de destino, introduzca el nombre de host de destino deVMware Identity Manager. Por ejemplo, myco.example.com. El cliente AirWatch Tunnel enruta eltráfico al proxy HTTPS desde el nombre de host de VMware Identity Manager.

3 Haga clic en Guardar.

Qué hacer a continuación

Publique estas reglas. Después de que se publiquen estas reglas, el dispositivo recibe un perfil VPN deactualización y la aplicación AirWatch Tunnel se configura para habilitar el SSO.

Diríjase a la consola de administración de VMware Identity Manager y configure el SSO móvil para Androiden la página del proveedor de identidades integrado. Consulte GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD#GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD.

Administración de VMware Identity Manager

148 VMware, Inc.

Habilitar la comprobación de conformidad para dispositivosadministrados por AirWatch

Cuando los usuarios registran sus dispositivos en la aplicación AirWatch Agent, los datos de ejemploutilizados para evaluar la conformidad se envían de forma programada. La evaluación de estos datos deejemplo garantiza que el dispositivo cumple las reglas de conformidad que establece el administrador en laconsola de AirWatch. Si el dispositivo no cumple con la conformidad, se llevan a cabo las accionescorrespondientes en la consola de AirWatch.

VMware Identity Manager incluye una opción de directiva de acceso que se puede configurar paracomprobar el estado de conformidad del dispositivo del servidor de AirWatch cuando los usuarios inician lasesión en el dispositivo. Esta comprobación de conformidad garantiza que los usuarios no puedan iniciarsesión en una aplicación ni usar un inicio de sesión único en el portal VMware Identity Manager si eldispositivo deja de cumplir las reglas de conformidad. Cuando el dispositivo vuelve a ser conforme, serestaurará la capacidad de iniciar la sesión.

La aplicación Workspace ONE cierra sesión automáticamente y bloquea el acceso a las aplicaciones si eldispositivo está en peligro. Si el dispositivo se registró a través de una administración adaptativa, uncomando de borrado empresarial emitido por la consola de AirWatch anula el registro del dispositivo yelimina las aplicaciones administradas desde el dispositivo. Las aplicaciones que no están administradas nose eliminan.

Para obtener más información sobre las directivas de conformidad, consulte la guía de AirWatch MobileDevice Management disponible en la página web AirWatch Recursos.

Configurar una regla de directiva de acceso para la comprobación deconformidad

Configure una regla de directiva de acceso que solicite la comprobación de conformidad para permitir aVMware Identity Manager comprobar que los dispositivos gestionados por AirWatch cumplen susdirectivas de conformidad del dispositivo. Habilite Comprobación de conformidad en el proveedor deidentidades integrado. Cuando se habilite Comprobación de conformidad, cree una regla de directiva deacceso que solicite la verificación de conformidad del dispositivo y la autenticación de los dispositivosadministrados por AirWatch.

La regla de directiva de comprobación de conformidad funciona en una cadena de autenticación con el SSOmóvil para iOS, el SSO móvil para Android y la implementación en la nube del certificado. El método deautenticación que se utilice debe ir delante de la opción de conformidad de dispositivos en la configuraciónde las reglas de la directiva.

Prerequisitos

Los métodos de autenticación se configuraron en el proveedor de identidades integrado.

Procedimiento

1 En la pestaña Administración de acceso e identidad de la consola de administración, seleccioneConfiguración > AirWatch.

2 En la sección Comprobación de conformidad de la página AirWatch, seleccione Habilitar.

3 Haga clic en Guardar.

4 En la pestaña Administración de acceso e identidad, acceda a Administrar > Directivas.

5 Seleccione la directiva de acceso que desee editar.

6 En la sección Reglas de la directivas, seleccione la regla de la directiva que desee editar.

Capítulo 13 Integrar AirWatch con VMware Identity Manager

VMware, Inc. 149

7 En el menú desplegable El usuario se debe autenticar con el siguiente método..., haga clic en + yseleccione el método de autenticación que desee utilizar.

8 En el segundo menú desplegable El usuario se debe autenticar con el siguiente método..., seleccioneenCumplimiento normativo del dispositivo (con AirWatch).

9 (Opcional) En el cuadro Texto del mensaje de la sección Personalizar error, cree un mensajepersonalizado que se muestre cuando se produce un error en la autenticación del usuario debido a queel dispositivo no es compatible. En el cuadro de texto Enlace del error personalizado, puede agregar unvínculo al mensaje.

10 Haga clic en Guardar.

Administración de VMware Identity Manager

150 VMware, Inc.

Índice

AAcceso a aplicaciones remotas, cliente 114Active Directory

asignación de atributos 24Autenticación de Windows integrada 15implementación 80integrar 17

Active Directory de un único bosque 17Active Directory mediante LDAP 15, 26actualización de AirWatch, actualizar

servicio 135actualizar AirWatch Cloud Connector 135administrador,autenticación 49afiliaciones de grupos, usuario 97agregar Active Directory 26agregar aplicación web 109agregar grupos 98agregar usuario local 102agregar usuarios locales 102AirWatch

certificado 129comprobación de conformidad del

dispositivo 149configurar perfil de iOS 139, 141cuenta de administrador 129habilitar catálogo unificado 132

AirWatch Tunnel, configurar 145AirWatch, configuración en VMware Identity

Manager 131AirWatch, configurar 128AirWatch, integrar con Identity Manager 127AirWatch, reglas de tráfico de red 147alertas de ThinApp 116almacén de usuarios 80Android, Single-Sign-On 144android, VPN por aplicaciones 147aplicación, categorías 112aplicación auxiliar 113aplicaciones

móviles 108Web 108

aplicaciones móviles, tipo de recurso 108aplicaciones publicadas de Citrix, habilitar 110aplicaciones web 108aprobación de licencia 116, 117

aprobaciones 116aprovisionamiento de usuarios Just-in-Time

aserciones SAML 55atributos de usuario 53descripción general 51deshabilitación 56eliminando directorio 56mensajes de error 57preparar 52

Aprovisionamiento de usuarios Just-in-Timeconfigurar 54grupos locales 52

archivo domain_krb.properties 19, 21, 22archivo runtime-config.properties 21aserciones SAML, Just-in-Time 55atributos

asignar 24predeterminados 24

atributos de usuario, configurar 11atributos de usuario para directorios locales 43atributos de usuario, directorio de AirWatch 133autenticación

RADIUS 67VPN por aplicaciones para las aplicaciones

Android 147Autenticación adaptativa de RSA, registrar

usuarios 69Autenticación adaptativa de RSA, configurar 70autenticación con contraseña de AirWatch

Cloud 78Autenticación de AirWatch Cloud Connector 133autenticación de Android, reglas de tráfico de

red 147autenticación de dos factores 75autenticación de Kerberos para iOS 61autenticación de tarjeta inteligente 72Autenticación de Windows integrada 26autenticación fuera de banda 69autenticación RADIUS 67autenticación, perfil Android 146autenticación, SSO móvil para Android 143autenticación,contraseña de AirWatch 78autenticación; AirWatch Cloud Connector 133autoridad de certificación de Active

Directory 137

VMware, Inc. 151

autoridad de certificación de AirWatch,OCSP 141

autoridad de certificación de AirWatch,habilitar 141

autoridad de certificación para AirWatch,autenticación Kerberos 136

autorizaciones, usuario 97AWCA 141

Bbase de datos, supervisar 120botón Agregar proveedor de identidades 80búsqueda de la ubicación del servicio DNS 19,

21, 22búsqueda de SRV 19, 21, 22

Ccambiar contraseña de Active Directory 31cambiar contraseña de AD 31catálogo

administrar 107agregar aplicación web 109

catálogo global de Active Directory 17catálogo unificado, habilitar para AirWatch 132catálogo, aplicaciones publicadas de Citrix 110catálogo, paquetes de ThinApp 111catálogo, View 110categorías

aplicar 112crear 111eliminar 112quitar 112

Centro de distribución de claves 61Chrome 64cierre de sesión único, proveedor de

identidades 80clave de API 128clave de API de AirWatch 128clavel de REST API 128comprobación de conformidad con

AirWatch 149comprobación de conformidad en AirWatch 149comprobación de revocación, tarjeta

inteligente 73conector 15Conector 59, 80, 82conectores, código de activación 11configuración, catálogo 113configuración de administración de identidad y

acceso 11configuración de catálogo, Aplicaciones

publicadas de Citrix 116

configuración de elementos de protección,ignorar 33

configuración de RADIUS 68configuración de sincronización 24configuración del directorio local 47configuración global, deshabilitar aplicación

auxiliar 113Configurar AirWatch 128configurar la autenticación adaptativa de

RSA 70configurar la integración de AirWatch 131configurar perfil del dispositivo iOS 139conjunto de directivas de acceso,

predeterminadas 91conjuntos de directivas de acceso

crear 91específicas de aplicaciones web 91específico de aplicaciones web 90, 93portal 87, 91predeterminados 83, 87, 93

consola de administración 9contraseña 104contraseña (directorio local), admin 49contraseñas, caducados 31contraseñas de Active Directory caducadas 31cookies persistentes, habilitar 94cookies, persistentes 94

Ddescripción general, Configuración de

administración de identidad yacceso 11

descripciones de la pestaña de administración 9deshabilitar

descarga de Citrix Receiver 113descarga de Horizon Client 113

deshabilitar cuenta 24deshabilitar una cuenta 24deshabilitar usuarios locales 103directiva, editar 93directiva de contraseñas 104directivas de acceso

específicas de aplicaciones web 91específico de aplicaciones web 90, 93Intensidad de autenticación 83red 87, 90Red 83relación con los proveedores de

identidades 87, 91, 93resultado mínimo de la autenticación 87, 90tipo de cliente 83TTL 83, 87, 90

Administración de VMware Identity Manager

152 VMware, Inc.

directorioagregar 15añadir 26elementos de protección de la

sincronización 32elementos de protección de sincronización 33

Directorio de AirWatch, atributos de usuario 133Directorio del sistema 41directorio Just-in-Time 51, 56directorio LDAP 15directorio local

agregar dominio 47asociar a un proveedor de identidades 46atributos de usuario 47cambiar nombre 47cambiar nombre de dominio 47crear 42, 44editar 47eliminar 48eliminar dominio 47

directorio,AirWatch 134directorios, agregar 11directorios LDAP

integrar 35, 36limitaciones 35

directorios locales 41, 42, 46–48dominio 25Dominio del sistema 41

Eelementos de protección, sincronización del

directorio 33elementos de protección de la sincronización,

ignorar 33elementos de protección, umbral 32eliminar usuario local 103encadenamiento de autenticación 87entidad de certificación de tarjeta inteligente 73entidad de certificación, tarjeta inteligente 73estado del dispositivo 120eventos de acceso 122exportar autoridad de certificación de

AirWatch 141

FFirefox 63funciones, usuario 97

Ggrupo

agregar usuarios 98autorizar recursos 98, 101

gruposActive Directory 95

agregar 98informe de pertenencia 121Workspace 98

grupos del servidor de directorio 95

Hhabilitar aprobación de licencia 117habilitar autoridad de certificación de

AirWatch 141habilitar catálogo unificado 131habilitar comprobación de conformidad 149habilitar cookie persistente 94historial de contraseñas, configuración 104

IIDP de Workspace 79imágenes de workspace 108información del sistema 120informe

actividad del recurso 121funciones 121uso del dispositivo 121

informe de actividad del recurso 121informe de asignación de funciones 121informe de autorizaciones de recursos 121informe de eventos de auditoría 122informe de pertenencia a grupos 121informe de uso de recursos 121informe de uso del dispositivo 121informe de usuarios 121informes 121instancias de proveedor de identidades,

selección 82integración del directorio 15Integrar AirWatch 127integrar con Active Directory 17Internet Explorer 62

KKerberos

autenticación de Windows 61comprobación de cumplimiento 149configurar 61configurar AirWatch 137configurar navegadores 62integrado 135

Kerberos, implementación con IWA 61

Llogotipo, agregar 123longitud mínima de contraseñas 104

Índice

VMware, Inc. 153

Mmensaje de acceso denegado, configurar 84mensaje de error de autenticación 92mensaje de error personalizadon 92método de autenticación 80métodos de autenticación

añadir a directiva 84Autenticación adaptativa de RSA 69relación con las directivas de acceso 87, 91,

93

Nnavegadores, compatibles 9navegadores para kerberos 62navegar por la consola de administración 9nombres de grupo 96, 97nombres de usuario 96, 97notificación con un toque 75notificación del recordatorio de contraseña 104

Oorden de método de autenticación 84otro directorio 134

Ppágina Atributos de usuario 24página de inicio de sesión, personalizar 123página del portal, personalizar 125panel de información 119panel de información de diagnósticos del

sistema 120paquetes de ThinApp, habilitar 111Perfil de iOS de Apple en AirWatch 141perfil de túnel por aplicaciones para Android 146perfil de usuario 97personalizar marcas, VMware Verify 126personalizar nombres de atributo, no utilizar 24personalizar página del portal 125plantilla de certificación para AirWatch,

Kerberos 138popularidad de aplicaciones 119portal de usuario, personalizar 123preferencias, cookies persistentes 94preguntas de comprobación 69propiedad siteaware.subnet 21propiedades de ICA 116propiedades personalizadas, configurar 11proteger 11proveedor de identidades

cierre de sesión único 80Conector 59, 82externos 59, 82, 113

integrado 77Workspace 79

Proveedor de identidades del sistema 41proveedor de identidades externo 80proveedor de identidades integrado, habilitar 78proveedor de identidades integrado,

configurar 78proveedores de identidades

externos 80relación con las directivas de acceso 87

prueba de concepto 80público objetivo 7

Rrango de direcciones IP 82rango de red 80, 82rangos de redes, relación con las directivas de

acceso 87, 91, 93recurso, aprobación de licencia 116recursos

autorización 101autorizar a grupos 98categorías 111, 112porcentaje de tipos que se utilizan 119

registrar usuarios en VMware Verify 76regla de directiva, comprobación de

cumplimiento 149reglas 93reglas de directiva, encadenamiento de

autenticación 87resolución de problemas del archivo

domain_krb.properties 23REST API 117restablecer contraseña de Active Directory 31restablecer VMware Verify 77revocación de certificado de tarjeta

inteligente 73

SSAML

certificado 113metadatos 113proveedores de identidades externos 80

SecurID, configurar 66selección de proveedor de identidades,

configurar 80servidor RADIUS 67servidor RSA SecurID 65sincronizar dominio, usuario 97SMS 75SSO móvil de iOS 135SSO móvil para Android, implementar 143supervisar el estado de workspace 120

Administración de VMware Identity Manager

154 VMware, Inc.

Ttarjeta inteligente, configurar 74tiempo para volver a autenticar la sesión,

configurar 84TOTP 75trabajo 15tunnel, AirWatch 144

Uunirse a un dominio, kerberos 61UPN 72userName 96usuario, autorizaciones 97usuario final,Workspace ONE 9usuario local

agregar 102deshabilitar 103eliminar 103

usuariosActive Directory 95atributos de usuario 24

usuarios invitados 95usuarios locales 41usuarios locales, agregar 102usuarios que iniciaron la sesión, cantidad

de 119

Vvarios dominios 17ver información del usuario 97versión 120View, habilitar 110vista para móviles, personalizar 125vista para tablets, personalizar 125VMware Verify

restablecer 97token de seguridad 76

VMware Verify, autenticación en dos fases 75VMware Verify, eliminar del registro 77VMware Verify, habilitar 76VMware Verify,marca 126VMware Verify,registrar usuarios 76

Índice

VMware, Inc. 155

Administración de VMware Identity Manager

156 VMware, Inc.