Ao adicionar e configurar novas instâncias do provedor de identidade para a sua implantação do Workspace ONE Access, você pode oferecer alta disponibilidade, suporte a métodos adicionais de autenticação do usuário e acrescentar flexibilidade à forma como você gerencia o processo de autenticação do usuário com base nos intervalos de endereços IP do usuário.

Pré-requisitos

  • Acesso ao documento de metadados de terceiros. O acesso pode ser feito através da URL para os metadados ou dos metadados reais.

Procedimento

  1. Na guia Gerenciamento de Identidade e Acesso do console do Workspace ONE Access, selecione Provedores de Identidade.
  2. Clique em Adicionar Provedor de Identidade.
  3. Edite as configurações da instância do provedor de identidade.
    Item do formulário Descrição
    Nome do provedor de identidade Insira um nome para esta instância de provedor de identidade.
    Metadados SAML

    Adicione o documento de metadados baseado em XML do provedor de identidade de terceiros para estabelecer confiança com o provedor de identidade.

    1. Insira a URL de metadados SAML ou o conteúdo xml na caixa de texto. Clique em Metadados IdP de Processo.
    2. Selecione como o usuário é identificado. O identificador enviado em uma Asserção SAML de entrada pode ser enviado na instrução de Entidade ou Atributo.
      • Elemento NameID. O elemento NameID é obtido da instrução de Atributo SAML.
      • Atributo SAML.
    3. Se você selecionar Atributo SAML, os formatos suportados de NameID pelo provedor de identidade são extraídos dos metadados e adicionados à tabela Formato de ID do Nome.
      • Na coluna Valor da ID de nome, selecione o atributo de usuário no serviço a mapear para os formatos de IDs exibidos. Você pode adicionar os formatos de ID do nome de terceiros e mapeá-los para os valores de atributos do usuário no serviço.
      • (Opcional) Selecione o formato da cadeia de caracteres do identificador de resposta da Política de NameID.
    Provisionamento Just-in-Time N/D
    Usuários Selecione o Outro Diretório que inclui os usuários que podem se autenticar usando esse provedor de identidade.
    Rede Os intervalos de rede existente configurados no serviço são listados.

    Selecione os intervalos de rede dos usuários, com base nos endereços IP deles, que você pretende direcionar para essa instância de provedor de identidade para autenticação.

    Métodos de autenticação Adicione os métodos de autenticação suportados pelo provedor de identidade de terceiros. Selecione a classe de contexto de autenticação SAML que suporta o método de autenticação.
    Configuração de saída única

    Quando os usuários fazem logon no Workspace ONE a partir de um provedor de identidade de terceiros (IDP), duas sessões são abertas, uma no provedor de identidade de terceiros e a segunda no provedor de serviços do Identity Manager para o Workspace ONE. O tempo de vida dessas sessões é gerenciado de forma independente. Quando os usuários fazem logoff do Workspace ONE, a sessão do Workspace ONE é fechada, mas a sessão do IDP de terceiros ainda pode ficar aberta. Com base em suas necessidades de segurança, você pode habilitar a saída única e configurar a saída única para sair de ambas as sessões, ou você pode manter a sessão do IDP de terceiros intacta.

    Opção de configuração 1

    • Você pode habilitar a saída única ao configurar o provedor de identidade de terceiros. Se o provedor de identidade de terceiros for compatível com protocolo de saída única (SLO) baseado em SAML, os usuários serão desconectados de ambas as sessões quando fizerem logoff do portal do Workspace ONE. A caixa de texto Redirecione a URL não é configurada.
    • Se o IDP de terceiros não for compatível com saída única baseada em SAML, habilite a saída única e, na caixa de texto Redirecione a URL, designe um URL de endpoint de single logoff de IDP. Você também pode adicionar um parâmetro de redirecionamento para anexar à URL que envia usuários para um endpoint específico. Os usuários são redirecionados para essa URL quando eles fazem logoff do portal do Workspace ONE e são desconectados do IDP também.

    Opção de configuração 2

    • Outra opção de saída única é desconectar os usuários do portal do Workspace ONE e redirecioná-los para uma URL de endpoint personalizado. Habilite a saída única, designe a URL na caixa de texto Redirecione a URL e o parâmetro de redirecionamento do endpoint personalizado. Quando os usuários fazem logoff do portal do Workspace ONE, eles são direcionados para essa página, que pode exibir uma mensagem personalizada. A sessão do IDP de terceiros ainda pode ficar aberta. A URL é inserida como https://<vidm-access-url>/SAAS/auth/federation/slo.

    Se a opção Habilitar Single Sign-On não estiver habilitada, a configuração padrão no serviço do Workspace ONE Access será direcionar os usuários de volta para a página de logon do portal do Workspace ONE quando eles fizerem logoff. A sessão do IDP de terceiros ainda pode ficar aberta.

    Certificado de assinatura SAML Clique em Metadados do Provedor de Serviços (SP) para ver a URL para URL dos metadados do provedor de serviços SAML do Workspace ONE Access. Copie e salve a URL. Esta URL é configurada quando você edita a declaração SAML no provedor de identidade de terceiros para mapear os usuários do Workspace ONE Access.
    Nome do host IdP Se a caixa de texto Nome do Host for exibida, insira o nome do host para onde o provedor de identidade é redirecionado para autenticação. Se você estiver usando uma porta não padrão e diferente de 443, poderá definir o nome do host como Nome do Host:Porta. Por exemplo, myco.example.com:8443.
  4. Clique em Adicionar.

O que Fazer Depois

  • Edite a configuração do provedor de identidade de terceiros para adicionar a URL do Certificado de Autenticação SAML que você salvou.