通过为 VMware Identity Manager 部署添加和配置身份提供程序实例,可以提供高可用性、支持其他用户身份验证方法,以及灵活地根据用户 IP 地址范围管理用户身份验证过程。

开始之前

  • 配置要定向到此身份提供程序实例进行身份验证的网络范围。请参阅添加或编辑网络范围

  • 有权访问第三方元数据文档。这可以是指向元数据的 URL 或实际元数据。

过程

  1. 在管理控制台的“身份和访问管理”选项卡中,选择管理 > 身份提供程序
  2. 单击添加身份提供程序并选择创建第三方 IDP。编辑身份提供程序实例的设置。
  3. 编辑身份提供程序实例的设置。

    表单项目

    描述

    身份提供程序名称

    输入此身份提供程序实例的名称。

    SAML 元数据

    添加第三方 IdP 基于 XML 的元数据文档,以便与身份提供程序建立信任关系。

    1. 在文本框中输入 SAML 元数据 URL 或 xml 内容。

    2. 单击处理 IdP 元数据。将从元数据中提取 IdP 支持的 NameID 格式,并将其添加到“名称 ID 格式”表中。

    3. 在“名称 ID 值”列中,在该服务中选择用户属性以映射到显示的 ID 格式。您可以添加自定义第三方名称 ID 格式并将其映射到服务中的用户属性值。

    4. (可选)选择 NameIDPolicy 响应标识符字符串格式。

    Just-in-Time 置备

    配置 Just-in-Time 置备,以便在用户首次登录时在 Identity Manager 服务中动态创建用户。系统会创建 JIT 目录,并使用 SAML 断言中的属性在服务中创建用户。请参阅Just-in-Time 用户置备

    用户

    选择可使用此身份提供程序进行身份验证的用户的目录。

    网络

    此处列出了在服务中配置的现有网络范围。

    根据用户 IP 地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围。

    身份验证方法

    添加受第三方身份提供程序支持的身份验证方法。选择支持身份验证方法的 SAML 身份验证上下文类。

    单点注销配置

    启用单点注销后,当用户注销时,也会使用户注销其身份提供程序会话。如果未启用单点注销,则当用户注销后,其身份提供程序会话仍将处于活动状态。

    (可选)如果身份提供程序支持 SAML 单点注销配置文件,请启用单点注销,并将重定向 URL 文本框保留为空。如果身份提供程序不支持 SAML 单点注销配置文件,请启用单点注销,并输入身份提供程序的注销 URL,用户从 VMware Identity Manager 注销后会被重定向到该 URL。

    如果您配置了重定向 URL,并希望在将用户重定向到身份提供程序注销 URL 后,将其返回 VMware Identity Manager 登录页面,请输入身份提供程序重定向 URL 使用的参数名称。

    SAML 签名证书

    单击服务提供程序 (SP) 元数据以查看 VMware Identity Manager SAML 服务提供程序元数据 URL。复制并保存该 URL。在第三方身份提供程序中编辑 SAML 断言以映射 VMware Identity Manager 用户时,将配置该 URL。

    IdP 主机名

    如果显示“主机名”文本框,请输入为进行身份验证而将身份提供程序重定向到的主机名。如果使用 443 以外的非标准端口,则可以将主机名设置为“主机名:端口”。例如,myco.example.com:8443。

  4. 单击添加

下一步做什么

  • 向服务默认策略中添加身份提供程序的身份验证方法。请参阅将身份验证方法应用于策略规则

  • 编辑第三方身份提供程序的配置以添加保存的 SAML 签名证书 URL。