作为企业管理员,您可以从在启动期间为您的企业创建的联合组织访问自助服务联合工作流。在启动联合的组织所有者或邀请您加入的另一位企业管理员向您发送的邀请电子邮件中,您会找到指向联合组织的访问链接。

前提条件

自助服务联合设置工作流包含多个步骤,多位企业管理员可以在一段时间内执行这些步骤。在开始之前,请确保您已阅读并了解设置企业联合的必备条件和要求。

  • 通过自助服务工作流设置联合需要企业管理员访问权限。
  • 确认您可以访问和修改联合域的 DNS 记录以进行域验证。
  • 要安装 Workspace ONE Access Connector,您必须:
    • 确认您的主机已安装 MS Windows Server 2012 R2 或更高版本,并且您可以访问企业目录。
    • 主机必须具有静态 IP 地址和 DNS 可解析的 FQDN。
    • 连接器必须能够在端口 389/636 上通过网络访问 Active Directory。
    • 确认将您的企业防火墙配置为建立从 Workspace ONE Access Connector 到端口 443 的出站连接,以与托管的租户服务交互。
    • 如果要将域添加到允许列表中,您必须将 *.workspaceoneaccess.com(Workspace ONE Access 生产租户 URL)域添加到允许的域列表中。

    主机 Windows Server 计算机或虚拟机可以在内部部署、在 VMware Cloud on AWS 上部署,也可以为 Elastic Compute Cloud 实例。安装了 Workspace ONE Access Connector 的主机必须能够通过 LDAP/LDAPS 访问您的企业目录。

    有关安装 Workspace ONE Access Connector 的其他信息,请查看总体 Workspace ONE Access Connector 20.01 系统要求

  • 确认您具有在 Active Directory 上具有读取权限的用户或服务帐户以及 AD 绑定用户 DN/名称的未过期密码,以同步组和用户。服务帐户必须具有以下属性:名字、姓氏、显示名称和电子邮件地址。服务帐户的电子邮件地址可以是虚拟值。
    注: 如果您使用密码即将过期的服务帐户策略,而密码在续订之前过期,则必须重新建立 Active Directory 与 Workspace ONE Access Connector 之间的连接,否则无法同步组和用户。
  • 同步用户以访问 VMware Cloud services 所需的属性为名字、姓氏、电子邮件地址、用户名和域。如果您的企业使用用户主体名称 (UPN) 进行身份验证,则必须以个人资料属性的形式提供。
    重要事项: 永远不会同步用户密码。
  • 如果使用第三方身份提供程序 (IdP),请确认您可以访问该身份提供程序控制台和 IdP 元数据 URL。
  • 要在浏览器中正确显示工作流的所有步骤,您必须启用第三方 Cookie。
    注: 使用联合设置工作流时,请确保不使用浏览器的无痕浏览模式。