您可以将 Web 应用程序添加到VMware Identity Manager目录,并将它们分配给用户和组,以便向用户提供从 Workspace ONE 门户或应用程序访问这些应用程序的权限。通过使用 SAML 2.0 之类的联合协议配置应用程序,可启用应用程序单点登录 (Single Sign-On, SSO)。

可以将访问策略应用于应用程序,以便基于用户的网络范围或设备类型等条件来控制用户访问。您可以为目录中的单个应用程序、一组应用程序或所有应用程序创建访问策略。在将应用程序添加到目录后,可选择要使用的访问策略。

您还可以设置审批流程,以便用户必须先请求应用程序的访问权限且该请求必须获得批准,然后他们才能使用应用程序。

可以向目录中添加以下类型的 Web 应用程序:

  • SAML 2.0 应用程序

  • SAML 1.1 应用程序

    SAML 1.1 是旧版的 SAML 身份验证标准。为了提高安全性,请实施 SAML 2.0。

  • WS-Federation 1.2 应用程序

  • OpenID Connect 应用程序

  • 不使用联合协议的应用程序

  • 与 Okta、Ping 和 ADFS 等第三方身份提供程序关联的应用程序。

    要添加这些应用程序,必须先将第三方身份提供程序配置为 VMware Identity Manager 中的应用程序源。请参阅

    在 Workspace ONE 中提供对第三方管理的应用程序的访问权限,以了解相关信息。

在目录中设置 Web 应用程序之前,请考虑以下事项。

  • 如果您将 Web 应用程序配置为使用联合协议,请使用 SAML 2.0、SAML 1.1、WS-Federation 1.2 或 OpenID Connect。将 Web 应用程序配置为使用联合协议并不作为一项要求。

  • 您计划授权其访问 Web 应用程序的用户必须是该应用程序的注册用户,或者您计划为该应用程序配置置备适配器(如果可用),以在该应用程序中置备 VMware Identity Manager用户。

  • 如果 Web 应用程序为多租户应用程序,服务将指向您的应用程序实例。

管理 Web 应用程序的角色要求

以下角色可以管理 Web 应用程序:

  • 超级管理员

  • 具有以下配置的自定义管理员角色:

    服务:目录

    操作:管理 Web 应用程序,管理应用程序源,管理第三方应用程序(视情况而定)

    资源:所有资源或特定资源(视情况而定)

要将应用程序分配给用户和组,角色必须包含“管理授权”操作。

有关角色的详细信息,请参阅《VMware Identity Manager 管理》中的“管理管理员角色”。