Adicione o documento de metadados baseado em XML do provedor de identidade de terceiros para estabelecer confiança com o provedor de identidade.

1. Insira a URL de metadados SAML ou o conteúdo xml na caixa de texto. Clique em Metadados IDP de Processo.
2. Selecione como o usuário é identificado. O identificador enviado em uma Asserção SAML de entrada pode ser enviado no elemento de Entidade ou Atributo.
   • Elemento NameID. O identificador de usuário é obtido do elemento NameID do elemento Assunto.
   • Atributo SAML. O identificador de usuário é recuperado de um elemento AttributeStatement ou Atributo específico.
3. Se você selecionar Elemento NameID, os formatos de NameID com suporte pelo provedor de identidade são extraídos dos metadados e adicionados à tabela Formato da ID de Nome exibida.
   • Na coluna Valor da ID de nome, selecione os atributos de usuário que são configurados no serviço do Workspace ONE Access para mapear para os formatos de NameID que são exibidos. Você pode adicionar os formatos de ID do nome de terceiros e mapeá-los para os valores de atributos de usuário no serviço Workspace ONE Access.
   • Selecione o formato de cadeia de caracteres do identificador de resposta da Política da Identificação de Nome na Solicitação SAML a ser usado. Esse formato deve corresponder à configuração de formato de Política da ID de Nome específico do IDP de terceiros usado para estabelecer a confiança com o serviço Workspace ONE Access.
   • (Somente na nuvem) Selecione a opção Enviar Assunto na Solicitação SAML (quando disponível) como uma dica de logon ou como uma dica para autenticação, como MFA. Ao ativar essa opção, você também pode ativar Enviar valor de Assunto com base no mapeamento de formato NameID a fim de mapear a dica de logon fornecida pelo aplicativo de terceiros para o valor NameID.
     Observação: Quando a opção Enviar assunto com base no mapeamento de formato NameID está habilitada, o serviço Workspace ONE Access fica vulnerável a um risco de segurança conhecido como enumeração de usuário. Ative essa opção com cautela.

     Exemplo de uma configuração em que a opção Enviar valor de Assunto com base no mapeamento de formato NameID está ativada

     Configuração de Provedor de Identidade de Terceiros

     • O aplicativo 'X' é federado com o Workspace ONE Access.
     • O provedor de identidade de terceiros mapeou o valor NameID para userPrincipleName.

       Nessa configuração, o e-mail do usuário final não é mapeado para o userPrincipleName dos IDPs de terceiros.

     • A política de acesso do Aplicativo X tem uma regra segundo a qual o provedor de identidade de terceiros é usado para autenticar o usuário.

     Fluxo de Autenticação do Usuário Final

     • O usuário final seleciona o Aplicativo 'X'.
     • O Aplicativo 'X' apresenta uma página de logon para que o usuário digite seu endereço de e-mail.
     • O Aplicativo 'X' envia o e-mail como uma dica de logon de volta para o Workspace ONE Access.
     • Como a opção Enviar valor de Assunto com base no mapeamento de formato NameID está ativada, o Workspace ONE Access aceita o e-mail e localiza o UserPrincipleName desse usuário.
     • O Workspace ONE Access envia a solicitação SAML com o UserPrincipleName correspondente que foi mapeado para o IDP de terceiros responsável pela autenticação do usuário final.
4. Se você selecionar Atributo SAML, inclua o Formato do Atributo e o Nome do Atributo. Selecione o atributo de usuário no serviço Workspace ONE Access para mapear para o Atributo SAML.

Selecione os intervalos de rede dos usuários, com base nos endereços IP deles, que você pretende direcionar para essa instância de provedor de identidade para autenticação.

Na caixa de texto Método de Autenticação, digite o nome do método de autenticação a ser associado a esse provedor de identidade de terceiros. Você pode inserir vários métodos de autenticação para associar ao provedor de identidade de terceiros. Dê a cada método de autenticação um nome amigável que identifique o método de autenticação. Esse é o nome de autenticação configurado na política de acesso. Esse é o nome de autenticação exibido quando os usuários são solicitados a fazer login.

Na caixa de texto Contexto SAML, mapeie o nome do método de autenticação com o contexto de autenticação SAML que é enviado pelo provedor de identidade de terceiros na resposta SAML. No menu suspenso, selecione uma cadeia de caracteres de classe de contexto de autenticação SAML na lista de cadeias de caracteres comumente usadas ou você pode inserir uma cadeia de caracteres personalizada.

Na caixa de texto Descrição, escreva o conteúdo para ajudar o usuário a identificar se ele deve escolher esse método de autenticação. O texto na caixa de texto Descrição é exibido na página de prompt de login Selecionar Autenticação quando esse método de autenticação do provedor de identidade de terceiros é uma opção de escolha de autenticação em uma regra de política de acesso. Consulte Configurar a opção de regras de política de acesso de autenticação.

Este texto não é traduzido automaticamente para os idiomas especificados pelo navegador do usuário final. No entanto, você pode escrever o conteúdo em vários idiomas como uma única entrada na caixa de texto Descrição e a descrição é exibida sob o método de autenticação na página de prompt de login.

Quando os usuários fazem logon no Workspace ONE a partir de um provedor de identidade de terceiros (IDP), duas sessões são abertas, uma no provedor de identidade de terceiros e a segunda no provedor de serviços do Identity Manager para o Workspace ONE. O tempo de vida dessas sessões é gerenciado de forma independente. Quando os usuários fazem logoff do Workspace ONE, a sessão do Workspace ONE é fechada, mas a sessão do IDP de terceiros ainda pode ficar aberta. Com base em suas necessidades de segurança, você pode habilitar a saída única e configurar a saída única para sair de ambas as sessões, ou você pode manter a sessão do IDP de terceiros intacta.

Opção de configuração 1

• Você pode habilitar a saída única ao configurar o provedor de identidade de terceiros. Se o provedor de identidade de terceiros for compatível com protocolo de saída única (SLO) baseado em SAML, os usuários serão desconectados de ambas as sessões quando fizerem logoff do portal do Workspace ONE. A caixa de texto Redirecione a URL não é configurada.
• Se o IDP de terceiros não for compatível com logout único baseado em SAML, habilite a saída única e, na caixa de texto Redirecione a URL, designe um URL de endpoint de único logout de IDP. Você também pode adicionar um parâmetro de redirecionamento para anexar à URL que envia usuários para um endpoint específico. Os usuários são redirecionados para essa URL quando eles fazem logoff do portal do Workspace ONE e são desconectados do IDP também.

Opção de configuração 2

• Outra opção de saída única é desconectar os usuários do portal do Workspace ONE e redirecioná-los para uma URL de endpoint personalizado. Habilite a saída única, designe a URL na caixa de texto Redirecione a URL e o parâmetro de redirecionamento do endpoint personalizado. Quando os usuários fazem logoff do portal do Workspace ONE, eles são direcionados para essa página, que pode exibir uma mensagem personalizada. A sessão do IDP de terceiros ainda pode ficar aberta. A URL é inserida como https://<vidm-access-url>/SAAS/auth/federation/slo.

Se a opção Habilitar Single Sign-out não estiver habilitada, a configuração padrão no serviço do Workspace ONE Access será direcionar os usuários de volta para a página de logon do portal do Workspace ONE quando eles fizerem logoff. A sessão do IDP de terceiros ainda pode ficar aberta.