通过为 VMware Identity Manager 部署添加和配置身份提供程序实例,可以提供高可用性、支持其他用户身份验证方法,以及灵活地根据用户 IP 地址范围管理用户身份验证过程。
过程
- 在管理控制台的“身份和访问管理”选项卡中,选择。
- 单击添加身份提供程序并选择创建第三方 IDP。编辑身份提供程序实例的设置。
- 编辑身份提供程序实例的设置。
表单项目 |
描述 |
身份提供程序名称 |
输入此身份提供程序实例的名称。 |
SAML 元数据 |
添加第三方 IdP 基于 XML 的元数据文档,以便与身份提供程序建立信任关系。
在文本框中输入 SAML 元数据 URL 或 xml 内容。 单击处理 IdP 元数据。将从元数据中提取 IdP 支持的 NameID 格式,并将其添加到“名称 ID 格式”表中。 在“名称 ID 值”列中,在该服务中选择用户属性以映射到显示的 ID 格式。您可以添加自定义第三方名称 ID 格式并将其映射到服务中的用户属性值。 (可选)选择 NameIDPolicy 响应标识符字符串格式。 |
Just-in-Time 置备 |
配置 Just-in-Time 置备,以便在用户首次登录时在 Identity Manager 服务中动态创建用户。系统会创建 JIT 目录,并使用 SAML 断言中的属性在服务中创建用户。请参阅Just-in-Time 用户置备。 |
用户 |
选择可使用此身份提供程序进行身份验证的用户的目录。 |
网络 |
此处列出了在服务中配置的现有网络范围。 根据用户 IP 地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围。 |
身份验证方法 |
添加受第三方身份提供程序支持的身份验证方法。选择支持身份验证方法的 SAML 身份验证上下文类。 |
单点注销配置 |
启用单点注销后,当用户注销时,也会使用户注销其身份提供程序会话。如果未启用单点注销,则当用户注销后,其身份提供程序会话仍将处于活动状态。 (可选)如果身份提供程序支持 SAML 单点注销配置文件,请启用单点注销,并将重定向 URL 文本框保留为空。如果身份提供程序不支持 SAML 单点注销配置文件,请启用单点注销,并输入身份提供程序的注销 URL,用户从 VMware Identity Manager 注销后会被重定向到该 URL。 如果您配置了重定向 URL,并希望在将用户重定向到身份提供程序注销 URL 后,将其返回 VMware Identity Manager 登录页面,请输入身份提供程序重定向 URL 使用的参数名称。 |
SAML 签名证书 |
单击服务提供程序 (SP) 元数据以查看 VMware Identity Manager SAML 服务提供程序元数据 URL。复制并保存该 URL。在第三方身份提供程序中编辑 SAML 断言以映射 VMware Identity Manager 用户时,将配置该 URL。 |
IdP 主机名 |
如果显示“主机名”文本框,请输入为进行身份验证而将身份提供程序重定向到的主机名。如果使用 443 以外的非标准端口,则可以将主机名设置为“主机名:端口”。例如,myco.example.com:8443。 |
- 单击添加。
