在此步骤中,您将为联合设置企业身份提供程序,并在为企业创建的 Workspace ONE Access tenant 上配置 IdP 设置。
您可以使用任何符合 SAML 2.0 的第三方 IdP 来通过 VMware Cloud services 设置企业联合。自助服务联合工作流提供了以下提供程序的简单设置:Okta、PingIdentity、Microsoft Active Directory Federation Services (ADFS)、OneLogin 和 Azure Active Directory。
要配置不包含在此列表中的符合 SAML 2.0 的其他第三方 IdP,请选择其他。
对于此示例,ACME 企业使用的是 Okta。作为设置 ACME 联合的企业管理员,您需要配置 Okta。
过程
- 在设置企业联合页面的配置身份提供程序部分中,单击启动。
此时将显示
选择身份提供程序部分。
- 从可用的第三方身份提供程序列表中,单击 Okta。
- 单击下一步。
此时将展开
在身份提供程序中设置 SAML 部分。
- 单击查看 SAML 服务提供程序元数据链接并下载元数据文件。
如果身份提供程序支持 URL 格式,也可以复制
元数据 URL。可以使用元数据文件或 URL 配置身份提供程序,以与
Workspace ONE Access tenant建立信任关系。
- 复制单点登录 URL 和受众 URI 路径。
- 打开 IdP 的管理控制台。
- 粘贴在上一步中复制的单点登录 URL 和受众 URI。
- 上载在此任务的步骤 4 中下载的元数据文件。
- 复制在 IdP 上配置的名称 ID,并保留以供进一步引用。
- 下载 IdP 的元数据文件。
- 准备好 IdP 的配置后,返回自助服务联合工作流,展开在身份提供程序中设置 SAML 部分,然后单击下一步。
此时将展开工作流的
配置身份提供程序部分。
- 要在 Workspace ONE Access tenant上配置 IdP,请提供以下内容:
- 在“IdP 显示名称”文本框中,输入 IdP 的用户友好名称。
VMware Cloud services 的用户在登录和注销时会看到此名称。
- 在“元数据”文本框中,输入 IdP 元数据 URL,或者选择 XML 并粘贴身份提供程序元数据 XML 文件。
元数据验证将自动启动。验证完成后,绿色复选框图标表示文件已成功读取和解析。如果验证返回错误,请检查您输入的 URL 是否正确。确保 IdP 元数据 XML 文件中没有额外的空格或字符。
- 从下拉菜单中选择名称 ID 格式。
名称 ID 格式是 SAML 响应中的值,用于标识经过身份验证的用户。
- 从下拉菜单中选择适用于您的身份提供程序的名称 ID 格式和名称 ID 值。
将自动填充身份验证方法。
- 从“SAML 上下文”下拉菜单中,选择 IdP 上的用户身份验证类型。
- 单击下一步。
用户属性部分将展开,显示可在身份提供程序的 SAML 响应中查找的必需和非必需用户属性列表。
- (可选)要添加列表中未列出的自定义用户属性,请单击添加用户属性,然后在 IdP 上输入与其名称完全匹配的值。
- 单击下一步。
如果指示设置使用在 SAML 响应中支持组属性的身份提供程序,则工作流的
组属性部分将展开,您可以在其中添加要在 SAML 请求中调用的组属性和组名称。
- (可选)从下拉菜单中,选择组属性和组名称。
- 在设置用户标识首选项部分中,选择在从 Cloud Services 发现页面访问 VMware Cloud Services 时企业用户将如何标识自身。
用户标识不同于用户通过您的企业身份提供程序进行身份验证的方式。
- 单击配置。
结果
在此步骤中,您向 Workspace ONE Access 租户配置添加了身份提供程序,在 IdP 上将 Workspace ONE Access 租户配置为了服务提供程序,选择了用于在 SAML 响应中标识用户的值,并指定了用于在身份提供程序上对用户进行身份验证的身份验证方法。
