您可以将 Web 应用程序添加到 VMware Identity Manager 目录,并将它们分配给用户和组,以便向用户提供从 Workspace ONE 门户或应用程序访问这些应用程序的权限。通过使用 SAML 2.0 之类的联合协议配置应用程序,可启用应用程序单点登录 (Single Sign-On, SSO)。
可以将访问策略应用于应用程序,以便基于用户的网络范围或设备类型等条件来控制用户访问。您可以为目录中的单个应用程序、一组应用程序或所有应用程序创建访问策略。在将应用程序添加到目录后,可选择要使用的访问策略。
您还可以设置审批流程,以便用户必须先请求应用程序的访问权限且该请求必须获得批准,然后他们才能使用应用程序。
可以向目录中添加以下类型的 Web 应用程序:
- SAML 2.0 应用程序
- SAML 1.1 应用程序
SAML 1.1 是旧版的 SAML 身份验证标准。为了提高安全性,请实施 SAML 2.0。
- WS-Federation 1.2 (仅受 Office 365 支持)
- OpenID Connect 应用程序
- 不使用联合协议的应用程序
- 与 Okta、Ping 和 ADFS 等第三方身份提供程序关联的应用程序。
要添加这些应用程序,必须先将第三方身份提供程序配置为 VMware Identity Manager 中的应用程序源。请参阅
在 Workspace ONE 中提供对第三方管理的应用程序的访问权限,以了解相关信息。
在目录中设置 Web 应用程序之前,请考虑以下事项。
- 如果将 Web 应用程序配置为使用联合协议,请使用受支持的协议。将 Web 应用程序配置为使用联合协议并不作为一项要求。
- 您计划授权其访问 Web 应用程序的用户必须是该应用程序的注册用户,或者您计划为该应用程序配置置备适配器(如果可用),以在该应用程序中置备 VMware Identity Manager 用户。
- 如果 Web 应用程序为多租户应用程序,服务将指向您的应用程序实例。
管理 Web 应用程序的角色要求
以下角色可以管理 Web 应用程序:
- 超级管理员
-
具有以下配置的自定义管理员角色:
服务:目录
操作:管理 Web 应用程序,管理应用程序源,管理第三方应用程序(视情况而定)
资源:所有资源或特定资源(视情况而定)
要将应用程序分配给用户和组,角色必须包含“管理授权”操作。
有关角色的详细信息,请参阅《VMware Identity Manager 管理》中的“管理管理员角色”。