Depois de ativar o VMware Identity Services para o tenant do Workspace ONE, configure a integração com o provedor de identidade baseado no SCIM 2.0.

  1. No assistente de Introdução do VMware Identity Services. clique em Iniciar na etapa 2, Integrar um Provedor de Identidade Baseado no SCIM 2.0.""
  2. Clique em Configurar no cartão de Provedor de Identidade do SCIM 2.0.
    ""
  3. Siga o assistente para configurar a integração com o seu provedor de identidade.

Etapa 1: Criar um diretório

Como a primeira etapa na configuração do provisionamento de usuários e da federação de identidade com o VMware Identity Services, crie um diretório no console do Workspace ONE Cloud para usuários e grupos provisionados por meio de seu provedor de identidade.

Cuidado: Depois de criar um diretório, você não pode alterar a seleção do provedor de identidade. Certifique-se de selecionar o provedor de identidade apropriado antes de prosseguir.

Procedimento

  1. Na etapa 1, Informações gerais, do assistente, digite o nome que você deseja usar para o diretório provisionado no Workspace ONE.
    O nome pode ter um comprimento máximo de 128 caracteres. Somente os seguintes caracteres são permitidos: letras (a-z ou equivalente em outros idiomas), dígitos (0-9), espaço, hífen (-) e sublinhado (_).
    Importante: Não é possível alterar o nome do diretório depois que ele é criado.
  2. Para Nome do Domínio, digite o nome do domínio primário de seu diretório de origem, incluindo a extensão, como .com ou .net.
    Atualmente, o VMware Identity Services oferece suporte a apenas um domínio. Os usuários e grupos provisionados estão associados a esse domínio nos serviços do Workspace ONE.

    O nome de domínio pode ter um comprimento máximo de 100 caracteres. Somente os seguintes caracteres são permitidos: letras (a-z ou equivalente em outras línguas), dígitos (0-9), espaço, hífen (-), sublinhado (_) e ponto (.).

    Por exemplo:

    Neste exemplo, o nome do diretório é Demo e o nome do domínio é exemplo.com.
  3. Clique em Salvar e confirme a seleção.

O que Fazer Depois

Configure o provisionamento de usuários e grupos.

Etapa 2: configurar o provisionamento de usuários e grupos

Antes de criar um diretório no VMware Identity Services, configure o provisionamento de usuários e grupos. Você inicia o processo no VMware Identity Services gerando as credenciais do administrador necessárias para o provisionamento e, em seguida, configura o provisionamento no provedor de identidade usando essas credenciais.

Observação: Essas informações se aplicam a qualquer provedor de identidade baseado no SCIM 2.0 que não seja o Microsoft Entra ID e o Okta. Para integrar o VMware Identity Services ao Microsoft Entra ID, consulte Integrando o VMware Identity Services ao Microsoft Entra ID. Para integração do VMware Identity Services ao Okta, consulte Integrar o VMware Identity Services ao Okta.
Observação: Este tópico fornece informações de alto nível sobre como configurar um provedor de identidade de terceiros. As etapas e os locais exatos para as tarefas variam de acordo com o seu provedor de identidade. Consulte a documentação do seu provedor de identidade para obter informações específicas.

Pré-requisitos

Você tem uma conta de administrador no provedor de identidade com os privilégios necessários para configurar o provisionamento de usuários.

Procedimento

  1. No console do Workspace ONE Cloud, na etapa 2, Configurar Provedor de Identidade, do assistente do VMware Identity Services, selecione o tipo de credenciais necessárias para configurar o provisionamento de usuário em seu provedor de identidade.
    Escolha entre:
    • ID e segredo do cliente
    • URL e token do tenant

    Como os tokens expiram e precisam ser atualizados manualmente, ID e segredo do cliente é preferível. Como prática recomendada de segurança, altere a ID do cliente e o segredo do cliente a cada seis meses.

    Quando você clica em Avançar, o VMware Identity Services gera as credenciais.
  2. Se você tiver selecionado ID e segredo do cliente, copie os valores de ID do cliente e Segredo do Cliente.
    Importante: Copie o segredo antes de clicar em Avançar. Depois que você clicar em Avançar, o segredo não estará mais visível, e você terá que gerar um novo segredo. Lembre-se de que, sempre que você regenerar o segredo, o segredo anterior se tornará inválido e o provisionamento falhará. Copie e cole o novo segredo no aplicativo do provedor de identidade.

    Por exemplo:

    Os valores de ID do Cliente e Segredo do Cliente aparecem com um ícone de cópia ao lado deles.
  3. Se você tiver selecionado URL e Token do Tenant, examine e copie os valores gerados.
    • URL do Tenant: o endpoint do SCIM 2.0 do tenant do VMware Identity Services. Copie o valor.
    • Vida útil do token: o período pelo qual o token secreto é válido

      Por padrão, o VMware Identity Services gera o token com um tempo de vida útil padrão de seis meses. Para alterar a vida útil do token, clique na seta para baixo, selecione outra opção e clique em Gerar novamente para gerar novamente o token com o novo valor.

      Importante: Sempre que você atualiza o tempo de vida útil do token, o token anterior se torna inválido e o provisionamento de usuários e grupos do provedor de identidade falha. Você deve gerar novamente um novo token e copiar e colá-lo no provedor de identidade.
    • Token secreto: o token exigido pelo provedor de identidade para provisionar usuários para o Workspace ONE. Copie o valor.
      Importante: Copie o token antes de clicar em Avançar. Depois que você clicar em Avançar, o token não estará mais visível, e você terá que gerar um novo token. Lembre-se de que, sempre que você regenerar o token, o token anterior se tornará inválido e o provisionamento falhará. Copie e cole o novo token no provedor de identidade.

    Por exemplo:

    Os valores para URL do Tenant e Token Secreto são exibidos. O tempo de vida útil do token é de seis meses.
    Quando o token estiver prestes a expirar, uma notificação de banner aparecerá no console do Workspace ONE Cloud. Se você também quiser receber notificações por e-mail, certifique-se de que a caixa de seleção E-mail esteja marcada para a configuração Expirações do Token Secreto do Workspace ONE Access e Identity Services. Você pode encontrar a configuração na página Configurações de Notificações no console do Workspace ONE Cloud.
  4. No seu provedor de identidade, configure o provisionamento de usuários e grupos para Workspace ONE.
    1. Faça login no console do provedor de identidade como administrador.
    2. Configure o provisionamento do SCIM 2.0.
      Quando solicitado, insira as credenciais que você gerou no console do Workspace ONE Cloud.
    3. Ative o provisionamento.

O que Fazer Depois

Retorne ao console do Workspace ONE Cloud para continuar com o assistente do VMware Identity Services.

Etapa 3: mapear atributos de usuário do SCIM

Mapeie os atributos de usuário para sincronizar do seu provedor de identidade para os serviços do Workspace ONE. No console do provedor de identidade, adicione os atributos de usuário do SCIM necessários e mapeie-os para os atributos do provedor de identidade. No mínimo, sincronize os atributos que o VMware Identity Services e os serviços do Workspace ONE exigem.

O VMware Identity Services e os serviços do Workspace ONE exigem os seguintes atributos de usuário do SCIM:

  • userName
  • e-mails
  • name.givenName
  • name.familyName
  • externalId
  • ativo

Para obter mais informações sobre esses atributos e seu mapeamento para atributos do Workspace ONE, consulte Mapeamento de atributos do usuário para o VMware Identity Services.

Além dos atributos necessários, você pode sincronizar atributos opcionais e atributos personalizados. Para obter a lista de atributos opcionais e personalizados com suporte, consulte Mapeamento de atributos do usuário para o VMware Identity Services.

Procedimento

  1. No console do Workspace ONE Cloud, na etapa 3, Mapear Atributos de Usuário do SCIM, do assistente do VMware Identity Services, examine a lista de atributos aos quais o VMware Identity Services oferece suporte.
  2. No console de administração do provedor de identidade, navegue até a configuração de provisionamento para o Workspace ONE.
  3. Navegue até a página de mapeamento de atributos.
  4. Mapeie os atributos de usuário do SCIM necessários para os atributos do provedor de identidade.
  5. Adicione e mapeie atributos de usuário do SCIM opcionais e personalizados, conforme necessário.

O que Fazer Depois

Retorne ao console do Workspace ONE Cloud para continuar com o assistente do VMware Identity Services.

Etapa 4: Selecionar o protocolo de autenticação

Selecione o protocolo a ser usado para autenticação federada. O VMware Identity Services oferece suporte aos protocolos OpenID Connect e SAML.

Cuidado: Faça sua escolha com cuidado. Depois de selecionar o protocolo e configurar a autenticação, você não poderá alterar o tipo de protocolo sem excluir o diretório.

Procedimento

  1. Na etapa 4, Selecionar Protocolo de Autenticação, do assistente, selecione OpenID Connect ou SAML.
  2. Clique em Avançar.
    A próxima etapa do assistente aparece com os valores necessários para configurar o protocolo selecionado.

O que Fazer Depois

Configure o VMware Identity Services e o provedor de identidade para autenticação federada.

Etapa 5: Configurar a autenticação (provedor de identidade do SCIM genérico)

Para configurar a autenticação federada com seu provedor de identidade, defina um aplicativo OpenID Connect ou SAML no provedor de identidade usando os metadados do provedor de serviços do VMware Identity Services e configure o VMware Identity Services com os valores do aplicativo.

Observação: Este tópico fornece informações de alto nível sobre como configurar um provedor de identidade de terceiros. As etapas exatas para as tarefas variam de acordo com o seu provedor de identidade. Consulte a documentação do seu provedor de identidade para obter informações específicas.

OpenID Connect

Se você tiver selecionado OpenID Connect como o protocolo de autenticação, siga estas etapas.

  1. Na etapa 5, Configurar o OpenID Connect, do assistente do VMware Identity Services, copie o valor URI de Redirecionamento.

    Você precisará desse valor para a próxima etapa ao criar um aplicativo OpenID Connect no seu provedor de identidade.

    ""

  2. No console de administração do provedor de identidade, crie um aplicativo OpenID Connect.
  3. Localize a seção URI de Redirecionamento no aplicativo e copie e cole o valor URI de Redirecionamento que você copiou do assistente do VMware Identity Services.
  4. Crie um segredo de cliente para o aplicativo e copie-o.

    Você inserirá o segredo no assistente do VMware Identity Services na próxima etapa.

  5. Retorne ao assistente do VMware Identity Services no console do Workspace ONE Cloud e conclua a configuração na seção Configurar o OpenID Connect.
    ID do Cliente Copie e cole o valor da ID do cliente do aplicativo do provedor de identidade.
    Segredo do Cliente Copie e cole o segredo do cliente do aplicativo do provedor de identidade.
    URL de Configuração Copie e cole a URL de configuração conhecida do OpenID Connect do aplicativo do provedor de identidade. Por exemplo: https://example.com/.well-known/openid-configuration
    Atributo de Identificador de Usuário do OIDC Especifique o atributo do OpenID Connect para mapear para o atributo Workspace ONE para pesquisas de usuário.
    Atributo do identificador do usuário do Workspace ONE Especifique o atributo do Workspace ONE para mapear para o atributo OpenID Connect para pesquisas de usuário.
  6. No assistente do VMware Identity Services, clique em Concluir para concluir a configuração da integração entre o VMware Identity Services e seu provedor de identidade.

SAML

Se você tiver selecionado SAML como o protocolo de autenticação, siga estas etapas.

  1. Obtenha os metadados do provedor de serviços no console do Workspace ONE Cloud.

    Na etapa 5, Configurar Logon Único de SAML, do assistente do VMware Identity Services, copie ou baixe os metadados do provedor de serviço SAML.


    ""
  2. No console de administração do provedor de identidade, navegue até a página de configuração do Single Sign-On.
  3. Configure o Logon Único usando valores do assistente do VMware Identity Services.

    As etapas de configuração típicas incluem uma das seguintes, com base no que o provedor de identidade oferece suporte:

    • Localize a opção Metadados do Provedor de Serviços e carregue ou copie e cole os Metadados do provedor de serviço SAML do assistente do VMware Identity Services.
    • Se o provedor de identidade não tiver uma opção para carregar o arquivo de metadados ou se você preferir definir as configurações individualmente, copie e cole os seguintes valores da etapa 5 do assistente do VMware Identity Services para os campos correspondentes no console do provedor de identidade:

      Valor de ID da entidade: por exemplo, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Valor de URL de logon único: por exemplo, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

      Certificado de Assinatura

      Certificado de criptografia (em Opções avançadas): necessário se você planeja ativar a criptografia SAML no provedor de identidade.

  4. Localize e copie os metadados SAML do Provedor de Identidade do console do provedor de identidade.
  5. No console do Workspace ONE Cloud, na etapa 5, Configurar Logon Único de SAML, do assistente do VMware Identity Services, cole os metadados do Provedor de Identidade na caixa de texto Metadados do provedor de identidade.
    ""
  6. Configure o restante das opções na seção Configurar Logon Único de SAML, conforme necessário.
    • Protocolo de associação: selecione o protocolo de associação SAML, HTTP POST ou Redirecionamento HTTP.
    • Formato da ID de nome: use as configurações de Formato da ID de nome e Valor da ID de nome para mapear usuários entre o seu provedor de identidade e o VMware Identity Services. Para o Formato da ID de nome, especifique o formato da ID de nome usado na resposta SAML.
    • Valor da ID de nome: selecione o atributo de usuário do VMware Identity Services para o qual mapear o valor de ID de nome recebido na resposta SAML.
    • Contexto SAML: selecione o contexto de autenticação SAML. Você pode selecionar um dos valores mostrados no menu suspenso ou digitar um valor personalizado. O valor padrão é urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified.

      O contexto de autenticação indica como os usuários são autenticados no provedor de identidade. O provedor de identidade inclui o contexto de autenticação em uma asserção a pedido de um provedor de serviços ou com base na configuração no provedor de identidade.

    • Enviar Assunto na solicitação SAML (quando disponível): selecione essa opção se quiser enviar o assunto ao provedor de identidade como uma dica de login para melhorar a experiência de login do usuário, quando disponível.
    • Usar mapeamento de formato de ID de nome para o Assunto: selecione essa opção se quiser aplicar o mapeamento de Formato da ID de nome e Valor da ID de nome ao assunto na solicitação SAML. Essa opção é usada com a opção Enviar assunto na solicitação SAML (quando disponível).
      Cuidado: Ativar essa opção pode aumentar o risco de uma vulnerabilidade de segurança conhecida como enumeração do usuário.
    • Usar logout único SAML: selecione essa opção se quiser desconectar os usuários da sessão do provedor de identidade depois que eles fizerem logout dos serviços do Workspace ONE.
    • URL de logout único do provedor de identidade: se o seu provedor de identidade não oferecer suporte ao logout único SAML, você poderá usar essa opção para especificar a URL para a qual redirecionar os usuários depois que eles fizerem logout dos serviços do Workspace ONE. Se você usar essa opção, marque também a caixa de seleção Usar logout único SAML.

      Se você deixar essa opção em branco, os usuários serão redirecionados para o provedor de identidade usando logout único SAML.

  7. Clique em Concluir no assistente para concluir a configuração da integração entre o VMware Identity Services e seu provedor de identidade.

Resultados

A integração entre o VMware Identity Services e seu provedor de identidade está concluída.

O diretório é criado no VMware Identity Services e será preenchido quando você enviar usuários e grupos do aplicativo de provisionamento no provedor de identidade. Os usuários e grupos provisionados aparecerão automaticamente nos serviços do Workspace ONE que você escolher para integração ao provedor de identidade, como o Workspace ONE Access e o Workspace ONE UEM.

Não é possível editar o diretório nos consoles do Workspace ONE Access e do Workspace ONE UEM. Diretório, usuários, grupos de usuários, atributos de usuário e páginas do provedor de identidade são somente leitura.

Próximo passo

Em seguida, selecione os serviços de Workspace ONE aos quais você deseja provisionar usuários e grupos.

Em seguida, envie usuários e grupos do seu provedor de identidade. Consulte Provisionar usuários para o Workspace ONE.