为企业域设置企业联合是一个自助服务过程,涉及多个步骤、用户和角色。
- 步骤 1:验证域
-
在此步骤中,将验证要联合的域的所有权。验证过程包括添加域的 DNS TXT 记录。开始前,请确认您可以修改企业域的 DNS 记录。
在此步骤中添加的域是企业员工用于访问 VMware Cloud services 的顶级公共域。这些域不是内部 Active Directory 域。您可以在联合设置的步骤 3中添加内部 Active Directory 域中的用户和组。添加以进行同步的内部 Active Directory 域在外部不可见,无法从 VMware Cloud services 进行访问。
注: 验证不会自动执行。提交 TXT 记录后,可能需要长达 72 小时更改才能生效。 - 步骤 2:安装 Workspace ONE Access Connector
-
在此步骤中,您将下载 Workspace ONE Access Connector 可执行文件,并安装到有权访问企业目录的 Windows 计算机上。
注: 由于您的企业不使用基于 SAML 2.0 的身份提供程序,因此将使用 Workspace ONE Access Connector 支持的身份验证方法对用户进行身份验证。这在自助服务联合工作流的步骤 4 中进行配置。Workspace ONE Access Connector 是 Workspace ONE Access(以前称为 VMware Identity Manager)的一个内部部署组件,与内部部署基础架构(如 Active Directory、RADIUS 和 RSA SecurID)集成。在联合设置中,连接器用于将企业管理员配置的用户和组与为企业实体创建的托管 Workspace ONE Access 租户持续同步,以实现企业联合。
- 步骤 3:同步组和用户
-
在此步骤中,将绑定到企业 Active Directory。如有必要,请上载安全证书,以建立从 Workspace ONE Access Connector 到 Active Directory 的 SSL/TLS 通信。然后,将在企业目录中搜索用户和组,以便将其与 Workspace ONE Access 租户同步。联合设置完成后,可以继续同步其他组和用户。
- 步骤 4:配置身份提供程序
-
在此步骤中,您配置 Workspace ONE Access Connector 作为身份提供程序,并激活直接通过 Active Directory 验证用户的身份。将激活 Kerberos 身份验证方法,以实现用户浏览器与 Workspace ONE Access 服务之间的安全交互。
有关 Kerberos 身份验证的详细信息,请参见在 Workspace ONE Access 中配置 Kerberos 身份验证。
小心: 激活联合设置后,无法更改在此步骤中配置的身份提供程序。如果稍后必须更改身份提供程序,请提交支持请求。 - 步骤 5:完成设置
-
这是联合设置的最后一步,在此步骤中,必须执行一系列操作。
- 验证企业用户是否可以使用企业 IdP 登录到 VMware Cloud services。
- 通知在步骤 1 中所指定域的企业用户必须通过使用企业凭据登录到 VMware Cloud services。
- 确认更改并为企业激活联合。
完成联合设置后,将无法再使用自助服务工作流进行更改。企业管理员可以从企业联合仪表板修改初始设置。
重要说明: 激活企业联合后,联合域的用户只能使用其企业帐户访问 VMware Cloud services。他们无法再使用其 My VMware 帐户登录到 VMware Cloud services。 - 步骤 6:链接您的 VMware ID 帐户
-
这是工作流的最后一步,在此步骤中,需要将联合帐户链接到您的 VMware ID 帐户。对于以下角色,必须完成此步骤:
- 参与自助服务联合设置的企业管理员和组织所有者用户。
- 需要访问计费信息的组织所有者和组织成员用户。
- 希望能够提交支持请求的组织所有者和组织成员用户。
