在此步骤中,您将设置与基于 SAML 的企业身份提供程序的联合,并在为企业创建的 Workspace ONE Access tenant 上配置 IdP 设置。

您可以使用任何符合 SAML 2.0 的第三方 IdP 来通过 VMware Cloud services 设置企业联合。自助服务联合工作流提供了以下提供程序的简单设置: OktaPingIdentityMicrosoft Active Directory Federation Services (ADFS)OneLoginAzure Active Directory
注: 如果要配置 Azure Active Directory 用于使用 VMware Cloud Services 进行企业联合,则必须已为其他组声明选择 sAMAccountName。激活联合设置后,需要提取组详细信息。

要配置不包含在此列表中的符合 SAML 2.0 的其他第三方 IdP,请选择其他

对于此示例,ACME 企业使用的是 Okta。作为设置 ACME 联合的 企业管理员,您需要配置 Okta
注: 如果您的身份提供程序支持在 SAML 响应中发送组信息,则可以在联合设置中包含组属性。

前提条件

在此步骤中,您必须设置用户标识首选项 - 在从 Cloud Services 发现页面访问 VMware Cloud Services 时企业用户将如何标识自身。可用选项包括电子邮件、用户主体名称 (UPN) 和 User@Domain。如果您考虑将 User@Domain 设置为企业的用户标识首选项,则必须注意以下限制。
限制: 为身份提供程序配置 User@Domain 标识首选项后,将无法返回 步骤 1:验证域并在设置期间添加更多域。必须在开始自助服务联合流程的这一步之前添加要联合的所有域。如果要在完成此步骤后添加其他域,必须提交支持请求。

过程

  1. 设置企业联合页面的配置身份提供程序部分中,单击启动
    此时将显示 选择身份提供程序部分。默认情况下选择 基于 SAML 的身份提供程序选项。
  2. 从可用的第三方 SAML 身份提供程序列表中,单击 Okta
  3. 单击下一步
    此时将展开 在身份提供程序中设置 SAML 部分。
  4. 单击查看 SAML 服务提供程序元数据链接并下载元数据文件。
    如果身份提供程序支持 URL 格式,也可以复制 元数据 URL。可以使用元数据文件或 URL 配置身份提供程序,以与 Workspace ONE Access tenant建立信任关系。
  5. 复制单点登录 URL 和受众 URI 路径。
  6. 打开 IdP 的管理控制台。
    1. 粘贴在上一步中复制的单点登录 URL 和受众 URI。
    2. 上载在此任务的步骤 4 中下载的元数据文件。
    3. 复制在 IdP 上配置的名称 ID,并保留以供进一步引用。
    4. 下载 IdP 的元数据文件。
  7. 准备好 IdP 的配置后,返回自助服务联合工作流,展开在身份提供程序中设置 SAML 部分,然后单击下一步
    此时将展开工作流的 配置身份提供程序部分。
  8. 要在 Workspace ONE Access tenant上配置 IdP,请提供以下内容:
    1. 在“IdP 显示名称”文本框中,输入 IdP 的用户友好名称。
      VMware Cloud services 的用户在登录和注销时会看到此名称。
    2. 在“元数据”文本框中,输入 IdP 元数据 URL,或者选择 XML 并粘贴身份提供程序元数据 XML 文件。
      元数据验证将自动启动。验证完成后,绿色复选框图标表示文件已成功读取和解析。如果验证返回错误,请检查您输入的 URL 是否正确。确保 IdP 元数据 XML 文件中没有额外的空格或字符。
    3. 从下拉菜单中选择名称 ID 格式。
      名称 ID 格式是 SAML 响应中的值,用于标识经过身份验证的用户。
    4. 从下拉菜单中选择适用于您的身份提供程序的名称 ID 格式名称 ID 值
      将自动填充身份验证方法。
    5. 从“SAML 上下文”下拉菜单中,选择 IdP 上的用户身份验证类型。
    6. 单击下一步
      用户属性部分将展开,显示可在身份提供程序的 SAML 响应中查找的必需和非必需用户属性列表。
  9. (可选)要添加列表中未列出的自定义用户属性,请单击添加用户属性,然后在 IdP 上输入与其名称完全匹配的值。
  10. 单击下一步
    如果指示设置使用在 SAML 响应中支持组属性的身份提供程序,则工作流的 组属性部分将展开,您可以在其中添加要在 SAML 请求中调用的组属性和组名称。
  11. (可选)从下拉菜单中,选择组属性和组名称。
  12. 设置用户标识首选项部分中,选择在从 Cloud Services 发现页面访问 VMware Cloud Services 时企业用户将如何标识自身。
    用户标识不同于用户通过您的企业身份提供程序进行身份验证的方式。
    重要说明: 如果您选择 Username@Domain 作为标识首选项,则用户登录到 VMware Cloud services 时, 属性必须存在于 SAML 响应中。
  13. 单击配置

结果

在此步骤中,您向 Workspace ONE Access 租户配置添加了身份提供程序,在 IdP 上将 Workspace ONE Access 租户配置为了服务提供程序,选择了用于在 SAML 响应中标识用户的值,并指定了用于在身份提供程序上对用户进行身份验证的身份验证方法。

下一步做什么

验证 IdP 登录并激活联合。