Depois de ativar o VMware Identity Services para o tenant do Workspace ONE, configure a integração ao Microsoft Entra ID.

  1. No assistente de Introdução do VMware Identity Services. clique em Iniciar na etapa 2, Integrar um Provedor de Identidade Baseado no SCIM 2.0.""
  2. Clique em Configurar no cartão do Microsoft Entra ID.
    ""
  3. Siga o assistente para configurar a integração ao Microsoft Entra ID.

Etapa 1: criar um diretório

Como a primeira etapa na configuração do provisionamento de usuários e da federação de identidade com o VMware Identity Services, crie um diretório no console do Workspace ONE Cloud para usuários e grupos provisionados por meio de seu provedor de identidade.

Cuidado: Depois de criar um diretório, você não pode alterar a seleção do provedor de identidade. Certifique-se de selecionar o provedor de identidade apropriado antes de prosseguir.

Procedimento

  1. Na etapa 1, Informações gerais, do assistente, digite o nome que você deseja usar para o diretório provisionado no Workspace ONE.
    O nome pode ter um comprimento máximo de 128 caracteres. Somente os seguintes caracteres são permitidos: letras (a-z ou equivalente em outros idiomas), dígitos (0-9), espaço, hífen (-) e sublinhado (_).
    Importante: Não é possível alterar o nome do diretório depois que ele é criado.
  2. Para Nome do Domínio, digite o nome do domínio primário de seu diretório de origem, incluindo a extensão, como .com ou .net.
    Atualmente, o VMware Identity Services oferece suporte a apenas um domínio. Os usuários e grupos provisionados estão associados a esse domínio nos serviços do Workspace ONE.

    O nome de domínio pode ter um comprimento máximo de 100 caracteres. Somente os seguintes caracteres são permitidos: letras (a-z ou equivalente em outras línguas), dígitos (0-9), espaço, hífen (-), sublinhado (_) e ponto (.).

    Por exemplo:

    Neste exemplo, o nome do diretório é Demo e o nome do domínio é exemplo.com.
  3. Clique em Salvar e confirme a seleção.

O que Fazer Depois

Configure o provisionamento de usuários e grupos.

Etapa 2: Configurar o provisionamento de usuários e grupos

Antes de criar um diretório no VMware Identity Services, configure o provisionamento de usuários e grupos. Você inicia o processo no VMware Identity Services gerando as credenciais do administrador necessárias para o provisionamento e, em seguida, cria um aplicativo de provisionamento no Microsoft Entra ID para provisionar usuários e grupos para o Workspace ONE.

Pré-requisitos

Você tem uma conta de administrador no Microsoft Entra ID com os privilégios necessários para configurar o provisionamento.

Procedimento

  1. No console do Workspace ONE Cloud, depois de criar um diretório, examine e copie os valores gerados na etapa 2, Configurar o aplicativo empresarial Microsoft Entra, do assistente.
    Você precisa desses valores para configurar o aplicativo de provisionamento no Microsoft Entra ID.
    • URL do Tenant: o endpoint do SCIM 2.0 do tenant do VMware Identity Services. Copie o valor.
    • Vida Útil do Token: o período pelo qual o token secreto é válido.

      Por padrão, o VMware Identity Services gera o token com um tempo de vida útil de seis meses. Para alterar a vida útil do token, clique na seta para baixo, selecione outra opção e clique em Gerar novamente para gerar novamente o token com o novo valor.

      Importante: Sempre que você atualiza a vida útil do token, o token anterior se torna inválido e o provisionamento de usuários e grupos do Microsoft Entra ID falha. Você deve gerar novamente um novo token e copiar e colar o novo token no aplicativo Microsoft Entra ID.
    • Token secreto: o token exigido pelo Microsoft Entra ID para provisionar os usuários para o Workspace ONE. Copie o valor clicando no ícone de cópia.
      Importante: Copie o token antes de clicar em Avançar. Depois que você clicar em Avançar, o token não estará mais visível, e você terá que gerar um novo token. Se você regenerar o token, o token anterior se tornará inválido e o provisionamento falhará. Certifique-se de copiar e colar o novo token no aplicativo Microsoft Entra ID.

    Por exemplo:

    A etapa 2 exibe uma URL de tenant, uma vida útil de token de seis meses e um token secreto.
    Quando o token estiver prestes a expirar, uma notificação de banner aparecerá no console do Workspace ONE Cloud. Se você também quiser receber notificações por e-mail, certifique-se de que a caixa de seleção E-mail esteja marcada para a configuração Expirações do Token Secreto do Workspace ONE Access e Identity Services. Você pode encontrar a configuração na página Configurações de Notificações no console do Workspace ONE Cloud.
  2. Crie o aplicativo de provisionamento no Microsoft Entra ID.
    1. Faça login no centro de administração do Microsoft Entra.
    2. No painel de navegação esquerdo, selecione Aplicativos empresariais.
    3. Na página Aplicativos empresariais > Todos os aplicativos, clique em + Novo aplicativo.
      ""
    4. Na página Procurar Galeria do Microsoft Entra, digite VMware Identity Service na caixa de pesquisa e selecione o aplicativo VMware Identity Service nos resultados da pesquisa.
      ""
    5. No painel exibido, insira um nome para o aplicativo de provisionamento, e clique em Criar.
      Por exemplo:
      Este exemplo cria um novo aplicativo chamado VMware Identity Service - Demo.
      Depois que o aplicativo é criado, a página Visão Geral do aplicativo é exibida.
    6. No menu Gerenciar, selecione Provisionamento e clique em Iniciar.
      ""
    7. Na página Provisionamento, defina o Modo de Provisionamento, como Automático.
      A opções do Modo de Provisionamento são Manual e Automático. Selecione Automático.
    8. Em Credenciais do Administrador, digite a URL do tenant e o token secreto que você copiou da etapa Configurar aplicativo empresarial Microsoft Entra do assistente do Workspace ONE VMware Identity Services.
      Por exemplo:
      o Modo de provisionamento é Automático. As caixas de texto URL do Tenant e Token Secreto têm os valores copiados do Workspace ONE.
    9. Clique em Testar Conexão.
    10. Verifique se a seguinte mensagem é exibida: 
      As credenciais fornecidas são autorizadas para ativar o provisionamento.

      Se você receber um erro:

      • Verifique se você copiou e colou corretamente a URL do tenant do assistente do VMware Identity Services.
      • Gere novamente o token secreto no assistente do VMware Identity Services e copie-o e cole-o no aplicativo novamente.

      Em seguida, clique em Testar Conexão novamente.

    11. Clique em Salvar para salvar o aplicativo.

O que Fazer Depois

Retorne ao console do Workspace ONE Cloud para continuar com o assistente do VMware Identity Services.

Etapa 3: mapear atributos de usuário do SCIM

Mapeie os atributos do usuário para sincronizar do Microsoft Entra ID com os serviços do Workspace ONE. No centro de administração do Microsoft Entra, adicione os atributos de usuário do SCIM e mapeie-os para atributos do Microsoft Entra ID. No mínimo, sincronize os atributos que o VMware Identity Services e os serviços do Workspace ONE exigem.

O VMware Identity Services e os serviços do Workspace ONE exigem os seguintes atributos de usuário do SCIM:

Atributo do Microsoft Entra ID Atributo de Usuário do SCIM (Obrigatório)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") ativo
Observação: A tabela mostra o mapeamento típico entre os atributos do SCIM necessários e os atributos do Microsoft Entra ID. Você pode mapear os atributos do SCIM para atributos do Microsoft Entra ID diferentes daqueles listados aqui. No entanto, se você estiver integrando o Workspace ONE UEM ao Microsoft Entra ID por meio do VMware Identity Services, deverá mapear externalId para objectId.

Para obter mais informações sobre esses atributos e como eles são mapeados para atributos do Workspace ONE, consulte Mapeamento de atributos do usuário para o VMware Identity Services.

Além dos atributos necessários, você pode sincronizar atributos opcionais e atributos personalizados. Para obter a lista de atributos opcionais e personalizados com suporte, consulte Mapeamento de atributos do usuário para o VMware Identity Services.

Procedimento

  1. No console do Workspace ONE Cloud, na etapa 3, Mapear Atributos de Usuário do SCIM, do assistente, examine a lista de atributos aos quais o VMware Identity Services oferece suporte.
  2. No centro de administração do Microsoft Entra, navegue até o aplicativo de provisionamento que você criou para o provisionamento de usuários para o VMware Identity Services.
  3. No menu Gerenciar, selecione Provisionamento.
  4. Em Gerenciar Provisionamento, clique em Editar mapeamentos de atributo.

    ""
  5. Na página Provisionamento, na seção Mapeamentos faça as seleções a seguir.
    • Defina Provisionar Grupos do Azure Active Directory como Sim.
    • Defina Provisionar Usuários do Azure Active Directory como Sim.
    • Defina Status de Provisionamento como Ativado.

    ""
  6. Clique no link Provisionar Usuários do Azure Active Directory.
  7. Na página Mapeamento de Atributos, especifique os mapeamentos de atributos necessários entre atributos do Microsoft Entra ID e atributos do SCIM (atributos do VMware Identity Services).
    Por padrão, os atributos necessários estão incluídos na tabela Mapeamentos de Atributos. Examine e atualize os mapeamentos, se necessário.
    Importante: Se você estiver integrando o Workspace ONE UEM ao Microsoft Entra ID por meio do VMware Identity Services, deverá mapear externalId para objectId.

    Para atualizar os mapeamentos:

    1. Clique no atributo na tabela Mapeamentos de Atributos.
    2. Edite o mapeamento. Para o atributo Origem, selecione o atributo do Microsoft Entra ID e, para o atributo Destino, selecione o atributo do SCIM (atributo do VMware Identity Services).

      Por exemplo:


      objectId é selecionado como o atributo de origem, e externalId é selecionado como o atributo de destino.
  8. Mapeie atributos de usuário opcionais compatíveis com o VMware Identity Services e os serviços do Workspace ONE, se necessário.
    • Alguns dos atributos opcionais já aparecem na tabela Mapeamento de Atributos. Se o atributo aparecer na tabela, clique nele para editá-lo. Caso contrário, clique em Adicionar Novo Mapeamento e especifique o mapeamento. Para o atributo Origem, selecione o atributo do Microsoft Entra ID e, para o atributo Destino, selecione o atributo do SCIM.
      Por exemplo:
      o atributo Origem é departamento. O atributo Destino é urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division.
    • Para adicionar atributos que fazem parte da extensão de esquema VMware Identity Services (atributos que têm urn:ietf:params:scim:schemas:extension:ws1b: em seu caminho), clique em Adicionar Novo Mapeamento e especifique o mapeamento para o atributo. Para o atributo Origem, selecione o atributo do Microsoft Entra ID e, para o atributo Destino, selecione o atributo do SCIM.
    Consulte a lista de atributos do SCIM opcionais compatíveis com o VMware Identity Services e como eles são mapeados para atributos do Workspace ONE em Mapeamento de Atributos do Usuário para o VMware Identity Services.
  9. Mapeie atributos de usuário personalizados compatíveis com o VMware Identity Services e os serviços do Workspace ONE, se necessário.
    1. Na página Mapeamento de Atributos, clique em Adicionar Novo Mapeamento.
    2. Especifique o mapeamento. Para o atributo Origem, selecione o atributo do Microsoft Entra ID e, para o atributo Destino, selecione um atributo personalizado do VMware Identity Services. Atributos personalizados do VMware Identity Services são nomeados como urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. O VMware Identity Services oferece suporte a até cinco atributos personalizados.
      Por exemplo:
      O atributo Origem é employeeHireDate, e o atributo Destino é VMware Identity Services customAttribute1.
    Consulte a lista de atributos do SCIM personalizados compatíveis com o VMware Identity Services e como eles são mapeados para atributos do Workspace ONE em Mapeamento de Atributos do Usuário para o VMware Identity Services.

O que Fazer Depois

Retorne ao console do Workspace ONE Cloud para continuar com o assistente do VMware Identity Services.

Etapa 4: selecione o protocolo de autenticação

No console do Workspace ONE Cloud, selecione o protocolo a ser usado para autenticação federada. O VMware Identity Services oferece suporte aos protocolos OpenID Connect e SAML.

Cuidado: Faça sua escolha com cuidado. Depois de selecionar o protocolo e configurar a autenticação, você não poderá alterar o tipo de protocolo sem excluir o diretório.

Procedimento

  1. Na etapa 4, Selecionar Protocolo de Autenticação, do assistente do VMware Identity Services, selecione OpenID Connect ou SAML.
  2. Clique em Avançar.
    A próxima etapa do assistente aparece com os valores necessários para configurar o protocolo selecionado.

O que Fazer Depois

Configure o VMware Identity Services e o provedor de identidade para autenticação federada.

Etapa 5: configurar a autenticação

Para configurar a autenticação federada com o Microsoft Entra ID, configure um aplicativo OpenID Connect ou SAML no Microsoft Entra ID usando os metadados do provedor de serviços do VMware Identity Services e configure o VMware Identity Services com os valores do aplicativo.

OpenID Connect

Se você tiver selecionado OpenID Connect como o protocolo de autenticação, siga estas etapas.

  1. Na etapa 5, Configurar o OpenID Connect, do assistente do VMware Identity Services, copie o valor URI de Redirecionamento.

    Você precisará desse valor para a próxima etapa ao criar um aplicativo OpenID Connect no centro de administração do Microsoft Entra.


    O valor de URI de Redirecionamento tem um ícone de cópia ao lado dele.
  2. No centro de administração do Microsoft Entra, navegue até Aplicativos empresariais > Registros de aplicativos.
    ""
  3. Clique em Novo Registro.
  4. Na página Registrar um aplicativo, digite um nome para o aplicativo.
  5. Para URI de Redirecionamento, selecione Web e copie e cole o valor de URI de Redirecionamento copiado da seção Configurar o OpenID Connect do assistente do VMware Identity Services.

    Por exemplo:


    ""
  6. Clique em Registrar.

    É exibida uma mensagem O aplicativo name foi criado com êxito.

  7. Crie um segredo de cliente para o aplicativo.
    1. Clique no link Credenciais do Cliente: adicionar um certificado ou segredo.
    2. Clique em + Novo segredo do cliente.
    3. No painel Adicionar um segredo do cliente, digite uma descrição e o período de expiração do segredo.
    4. Clique em Adicionar.

      O segredo é gerado e exibido na guia Segredos do cliente.

    5. Copie o valor secreto clicando no ícone de cópia ao lado dele.

      Se você sair da página sem copiar o segredo, terá que gerar um novo segredo.

      Você digitará o segredo no assistente do VMware Identity Services em uma etapa posterior.


      A página Certificados e segredos exibe o segredo na guia Segredos do cliente.
  8. Conceda permissões para que o aplicativo chame as APIs do VMware Identity Services.
    1. Em Gerenciar, selecione Permissões de API.
    2. Clique em Dar ao administrador consentimento para a organização e clique em Sim na caixa de confirmação.
  9. Copie o ID do cliente.
    1. No painel esquerdo na página do aplicativo, selecione Visão geral.
    2. Copie o valor de ID do aplicativo (cliente).

      Você digitará o ID do cliente no assistente do VMware Identity Services em uma etapa posterior.


      O valor de ID do Aplicativo (cliente) está na seção Fundamentos e tem um ícone de cópia ao lado dele.
  10. Copie o valor do documento de metadados do OpenID Connect.
    1. Na página Visão geral do aplicativo, clique em Endpoints.
    2. No painel Endpoints, copie o valor de Documento de metadados do OpenID Connect.
      ""

    Você digitará o ID do cliente no assistente do VMware Identity Services na próxima etapa.

  11. Retorne ao assistente do VMware Identity Services no console do Workspace ONE Cloud e conclua a configuração na seção Configurar o OpenID Connect.
    ID do aplicativo (cliente) Cole o valor da ID do aplicativo (cliente) que você copiou do aplicativo Microsoft Entra ID OpenID Connect.
    Segredo do Cliente Cole o segredo do cliente que você copiou do aplicativo Microsoft Entra ID OpenID Connect.
    URL de Configuração Cole o valor do documento de metadados do OpenID Connect que você copiou do aplicativo Microsoft Entra ID OpenID Connect.
    Atributo de Identificador de Usuário do OIDC O atributo de e-mail é mapeado para o atributo Workspace ONE para pesquisas de usuários.
    Atributo do identificador do usuário do Workspace ONE Especifique o atributo do Workspace ONE para mapear para o atributo OpenID Connect para pesquisas de usuário.
  12. Clique em Concluir para concluir a configuração da integração entre o VMware Identity Services e o Microsoft Entra ID.

SAML

Se você tiver selecionado SAML como o protocolo de autenticação, siga estas etapas.

  1. Obtenha os metadados do provedor de serviços no console do Workspace ONE Cloud.

    Na etapa 5, Configurar Logon Único de SAML, do assistente do VMware Identity Services, copie ou baixe os metadados do provedor de serviço SAML.


    ""
    Observação: Ao usar o arquivo de metadados, você não precisa copiar e colar os valores de ID de Entidade, URL de Logon Único e Certificado de Assinatura individualmente.
  2. Configure o aplicativo no Microsoft Entra ID.
    1. No centro de administração do Microsoft Entra, selecione Aplicativos empresariais no painel esquerdo.
    2. Procure e selecione o aplicativo de provisionamento que você criou em Etapa 2: Configurar o provisionamento de usuários e grupos.
    3. No menu Gerenciar, selecione Logon único.
    4. Selecione SAML como o método de logon único.
      ""
    5. Clique em Carregar arquivo de metadados, selecione o arquivo de metadados que você copiou do console do Workspace ONE Cloud e clique em Adicionar.
      A opção Carregar arquivo de metadados está na parte superior da página Configurar Logon Único com SAML.
    6. No painel Configuração de SAML Básico, verifique os seguintes valores:
      • O valor de Identificador (ID da Entidade) deve corresponder ao ID da Entidade exibido na etapa 5 do assistente do VMware Identity Services.

        Por exemplo: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • O valor de URL de Resposta (URL do Serviço do Consumidor de Declaração) deve corresponder ao valor de URL de Logon Único exibido na etapa 5 do assistente do VMware Identity Services.

        Por exemplo: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Obtenha os metadados de federação do Microsoft Entra ID.
    1. No aplicativo SAML no Microsoft Entra ID, role até a seção Certificados SAML.
    2. Clique no link XML de Metadados de Federação Download para baixar os metadados.
      ""
  4. No console do Workspace ONE Cloud, copie e cole os metadados de federação do arquivo que você baixou do Microsoft Entra ID para a caixa de texto Metadados do provedor de identidade na etapa 5 do assistente do VMware Identity Services.
    Na etapa 5 do assistente, a caixa de texto Metadados do provedor de identidade exibe o XML de metadados de federação.
  5. Configure o restante das opções na seção Configurar Logon Único de SAML.
    • Protocolo de associação: selecione o protocolo de associação SAML, HTTP POST ou Redirecionamento HTTP.
    • Formato da ID de nome: use as configurações de Formato da ID de nome e Valor da ID de nome para mapear usuários entre o Microsoft Entra ID e o VMware Identity Services. Para o Formato da ID de nome, especifique o formato da ID de nome usado na resposta SAML.
    • Valor da ID de nome: selecione o atributo de usuário do VMware Identity Services para o qual mapear o valor de ID de nome recebido na resposta SAML.
    • Opções avançadas > Usar logout único SAML: selecione essa opção se quiser desconectar os usuários da sessão do provedor de identidade depois que eles fizerem logout dos serviços do Workspace ONE.
  6. Clique em Concluir para concluir a configuração da integração entre o VMware Identity Services e o Microsoft Entra ID.

Resultados

A integração entre o VMware Identity Services e o Microsoft Entra ID foi concluída.

O diretório é criado no VMware Identity Services e será preenchido quando você enviar usuários e grupos do aplicativo de provisionamento no Microsoft Entra ID. Usuários e grupos provisionados aparecerão automaticamente nos serviços do Workspace ONE que você escolher para integrar ao Microsoft Entra ID, como o Workspace ONE Access e o Workspace ONE UEM.

Não é possível editar o diretório nos consoles do Workspace ONE Access e do Workspace ONE UEM. Diretório, usuários, grupos de usuários, atributos de usuário e páginas do provedor de identidade são somente leitura.

Próximo passo

Em seguida, selecione os serviços de Workspace ONE aos quais você deseja provisionar usuários e grupos.

Se Workspace ONE UEM for um dos serviços selecionados, defina configurações adicionais no console do Workspace ONE UEM.

Em seguida, envie usuários e grupos do aplicativo de provisionamento do Microsoft Entra ID. Consulte Provisionar usuários para o Workspace ONE.