为企业域设置企业联合是一个自助服务过程,涉及多个步骤、用户和角色。

以下列表简要概述了联合设置工作流中的步骤。要查看联合企业域的每个步骤的示例场景,请单击步骤链接。
步骤 1:验证域

在此步骤中,将验证要联合的域的所有权。验证过程包括添加域的 DNS TXT 记录。开始前,请确认您可以修改企业域的 DNS 记录。

在此步骤中添加的域是企业员工用于访问 VMware Cloud services 的顶级公共域。这些域不是内部 Active Directory 域。您可以在联合设置的步骤 3中添加内部 Active Directory 域中的用户和组。添加以进行同步的内部 Active Directory 域在外部不可见,无法从 VMware Cloud services 进行访问。

注: 验证不会自动执行。提交 TXT 记录后,可能需要长达 72 小时更改才能生效。
步骤 2:安装 Workspace ONE Access Connector

在此步骤中,您将下载 Workspace ONE Access Connector 可执行文件,并安装到有权访问企业目录的 Windows 计算机上。

注: 如果您的企业不使用基于 SAML 2.0 的身份提供程序,则可使用 Workspace ONE Access Connector 支持的身份验证方法对用户进行身份验证。

Workspace ONE Access Connector 是 Workspace ONE Access(以前称为 VMware Identity Manager)的一个内部部署组件,与内部部署基础架构(如 Active Directory、RADIUS 和 RSA SecurID)集成。在联合设置中,连接器用于将企业管理员配置的用户和组与为企业实体创建的托管 Workspace ONE Access 租户持续同步,以实现企业联合。

步骤 3:同步组和用户

在此步骤中,将绑定到企业 Active Directory。如有必要,请上载安全证书,以建立从 Workspace ONE Access Connector 到 Active Directory 的 SSL/TLS 通信。然后,将在企业目录中搜索用户和组,以便将其与 Workspace ONE Access 租户同步。联合设置完成后,可以继续同步其他组和用户。

步骤 4:配置身份提供程序

在此步骤中,您需要配置身份提供程序。可以为使用任何基于 SAML 2.0 的第三方身份提供程序的企业启用联合。自助服务联合设置过程为以下 IdP 提供了引导式配置支持:OktaPingIdentityMicrosoft Active Directory Federation ServicesOneLoginAzure Active Directory。要为企业联合配置第三方 IdP,您必须有权访问身份提供程序控制台和 IdP 的元数据 URL。

如果您没有第三方 IdP,可以使用 Workspace ONE Access Connector 直接通过 Active Directory 验证用户的身份。
小心: 设置联合后,无法更改在此步骤中配置的身份提供程序。如果稍后必须更改身份提供程序,请提交支持请求。
步骤 5:完成设置
这是联合设置的最后一步,在此步骤中,必须执行一系列操作。
  • 验证企业用户是否可以使用企业 IdP 登录到 VMware Cloud services
  • 通知在步骤 1 中所指定域的企业用户必须通过使用企业凭据登录到 VMware Cloud services
  • 确认更改并为企业启用联合。

完成联合设置后,将无法再使用自助服务工作流进行更改。企业管理员可以从企业联合仪表板修改初始设置。

重要事项: 启用企业联合后,联合域的用户只能使用其企业帐户访问 VMware Cloud services。他们无法再使用其 My VMware 帐户登录到 VMware Cloud services
步骤 6:链接您的 VMware ID 帐户
这是工作流的最后一步,在此步骤中,需要将联合帐户链接到您的 VMware ID 帐户。对于以下角色,必须完成此步骤:
  • 参与自助服务联合设置的企业管理员和组织所有者。
  • 需要访问计费信息的组织所有者和成员。
  • 希望能够提交支持请求的组织所有者和成员。