簡介

VMware Workspace ONE裡有一個各種版本都涵蓋的功能，稱為”Conditional Access”，官網上解釋為”條件式存取”，有時我們會看見又稱為”risk-based conditional access”，到底這是什麼功能？底層又是如何運作的呢？

簡單說，它提供管理者以下幾種管理政策範例，以確保各種裝置可以更安全的存取公司資源：

• 裝置是否已安裝需要的修正程式
• 已於指定期限更改過密碼
• 裝置是否位於某特定的網路涵蓋範圍內
• 裝置種類
• 特定網段
• 是否可以存取特定應用

整合流程

根據VMware官網所提供的Workspace ONE參考架構所示，兩者整合的邏輯架構如下：

這裡介紹一下如果要將Airwatch整合在IDM裡的流程，所需要的大致流程。Workspace ONE基本版會使用到的幾個元件如下圖所示：

首先我們假設我們的IDM是用VMware SaaS的服務，我們要整合的是在公司內部的Active Directory，所以整個的架構圖會是如下的狀況：

1. 如紅色圈圈所示，我們需要安裝公司內部找一台Windows機器，安裝VMware Enterprise Systems Connectors，安裝影片可在Youtube找到。
2. 再來在AirWatch裡設定AD：3. 設定公司AD的位址：

4. 到AirWatch Console設定哪些AD的群組需要整進AirWatch裡 ：

5. 再回到步驟1 裡去設定IDM，輸入IDM SaaS的URL，AirWatch中已經與AD整合的使用者帳號會被同步到IDM系統內：

6.在AirWatch中新增一個用來與IDM一起使用的群組，成員來自於AD：

7.將帳號和AD同步：

8. 確認所有帳號也被同步到了VMware Identity Manager的系統內：

9.在vIDM中確認與Airwatch的相關整合資訊，其中包含未來vIDM要與AirWatch溝通用和要在AirWatch中產生配置訊息的API認證key：

10. 同一畫面還可指定其他設定，例如要不要與AirWatch的App Catalog、Compliance Check等整合：

接下來介紹AirWatch和vIDM如何與裝置上的Mobile SSO驗證機制互相整合：

1. 首先在AirWatch Admin Console啟動證書：

2. 再將證書匯出：

3. 匯入剛剛匯出的證書即可。

4. 下載KDC證書：

5. 修改存取政策：

6. 新增一條與iOS相關的政策：

Mobile SSO一般的作法 :

• iOS : Key Distribution Center (KDC)
• Android : Mobile SSO for Android
• Windows 10 : Cloud Certificate

7. 選擇Certificate，將剛剛下載的KDC證書上傳上去：

8. 檢視一下結果：

9. 設定SCEP

10. 設定SSO：

11. 然後再Publish就完成了。

註冊裝置

接下來iOS的使用者只要到Apple Store下載AirWatch Agent App，按照一般註冊AirWatch裝置的過程即可完成整個流程。過程中要注意的是輸入AirWatch伺服器和Group ID (如下所示，一般管理員會給)，還有使用者的AD帳號和密碼，過程中會將之前設定的Profile推送至裝置裡，即可輕鬆搞定。

使用者在其裝置上打開Safari瀏覽器，登入到IDM的portal (在此範例為https://liulouis4691.vidmpreview.com)，就可看到公司事先發布給他的應用程式，並且可用SSO登入到那些應用程式。

以上希望大家對AirWatch和VMware Identity Manager有一些初步的認識和了解，謝謝！

Note:

畫面擷取自VMware HOL-1857-03，有興趣的讀者請參考這裡。