可在 Okta 中创建身份提供程序记录。

有关 Okta 如何处理外部身份提供程序的其他信息,请参阅身份提供程序上的 Okta 文档。

过程

  1. 使用管理员特权或任何有权添加身份提供程序的角色登录到 Okta 管理控制台。
  2. 导航到安全 > 身份提供程序
  3. 单击添加身份提供程序,然后选择添加 SAML 2.0 IdP
  4. 为身份提供程序输入一个名称。例如,Workspace ONE。
  5. 输入以下信息:
    选项 描述
    IdP 用户名 idpuser.subjectNameId

    如果您打算在自定义 SAML 属性中发送该用户名,请定义相应的表达式。有关信息,请参阅https://developer.okta.com/reference/okta_expression_language
    筛选器 取消选中该框。
    配置依据 Okta 用户名

    针对您所在的环境和您打算发送的值,根据需要调整所做选择。

    如果未找到匹配项 重定向到 Okta 登录页面
    IdP 颁发者 URI 输入 entityID。

    这是从 Workspace ONE 中的身份提供程序元数据文件获取的值。例如:

    https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

    IdP 单点登录 URL 输入 SingleSignOnService 位置 URL。

    这是从 Workspace ONE 中的身份提供程序元数据文件获取的值。例如:

    https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

    IdP Signature Certificate 浏览并选择您从 Workspace ONE 中下载的签名证书文件。
    提示: 您可能需要更改文件扩展名或默认的浏览器筛选器,以查找 *.crt 和 *.pem 文件。

    在 Okta 中添加 IDP

  6. 单击显示高级设置,滚动到请求身份验证上下文选项,然后选择设备信任
    此设置可指定身份验证请求的上下文。

    高级设置中的设备信任选项

  7. 单击添加身份提供程序
  8. 确认显示了以下信息:
    • SAML 元数据
    • 断言使用者服务 URL
    • 受众 URI
    例如:

    在 Okta 中添加 IDP

  9. 下载并保存元数据文件。
    1. 单击下载元数据链接。
    2. 将元数据文件保存在本地。
    3. 打开元数据文件并复制其内容。
      当您在 Workspace ONE Access 中配置 Okta 应用程序源时,将使用此元数据。

下一步做什么

配置 Okta 应用程序源。配置 Okta 应用程序源是强制性操作。