在为 Workspace ONE Access 部署添加和配置新的 SAML 身份提供程序实例时,您可以提供高可用性,支持额外的用户身份验证方法,以及灵活地根据用户 IP 地址范围管理用户身份验证过程。

前提条件

在添加第三方身份提供程序实例之前,请完成以下任务。

  • 确认第三方实例符合 SAML 2.0 标准,并且 Workspace ONE Access 服务可以访问第三方实例。
  • 协调与第三方身份提供程序的集成。根据身份提供程序,您可能需要统一配置两者的设置。
  • 获取相应的第三方元数据信息,以便在 Workspace ONE Access 控制台中配置身份提供程序时添加该信息。您从第三方实例获取的元数据信息可以是元数据的 URL 或实际的元数据。

过程

  1. Workspace ONE Access 控制台的集成 > 身份提供程序页面中,单击添加,然后选择 SAML IDP
  2. 配置以下设置。
    表单项目 描述
    身份提供程序名称 输入此身份提供程序实例的名称。
    SAML 元数据

    添加第三方身份提供程序基于 XML 的元数据文档,以便与身份提供程序建立信任关系。

    1. 在文本框中输入 SAML 元数据 URL 或 xml 内容。单击处理 IDP 元数据
    2. 选择如何标识用户。可以在主体或属性元素中发送在入站 SAML 断言中发送的标识符。
      • NameID 元素。将从主体元素的 NameID 元素中检索用户标识符。
      • SAML 属性。将从特定属性或 AttributeStatement 元素中检索用户标识符。
    3. 如果选择 NameID 元素,将从元数据中提取身份提供程序支持的 NameID 格式,并将其添加到显示的“名称 ID 格式”表中。
      • 名称 ID 值列中,选择在 Workspace ONE Access 服务中配置的用户属性以映射到显示的 NameID 格式。您可以添加自定义第三方名称 ID 格式并将其映射到 Workspace ONE Access 服务中的用户属性值。
      • 选择要使用的 SAML 请求中的名称 ID 策略响应标识符字符串格式。此格式必须与用于与 Workspace ONE Access 服务建立信任的第三方 IDP 的特定名称 ID 策略格式配置相匹配。
      • (仅限云)选择在 SAML 请求中发送主体 (如果可用) 选项作为登录提示或作为身份验证(如 MFA)的提示。启用此选项后,您还可以启用基于 NameID 格式映射发送主体值,以将第三方应用程序提供的登录提示映射到 NameID 值。
        注: 启用 基于 NameID 格式映射发送主体值后,Workspace ONE Access 服务容易遭受称为用户枚举的安全风险。因此,请谨慎启用此选项。

        已启用“基于 NameID 格式映射发送主体值”选项的配置示例

        第三方身份提供程序配置

        • 将应用程序“X”与 Workspace ONE Access 联合。
        • 第三方身份提供程序已将 NameID 值映射到 userPrincipleName。

          在此配置中,未将最终用户的电子邮件映射到第三方 IDP 的 userPrincipleName。

        • 应用程序“X”访问策略具有一条规则,规定使用第三方身份提供程序对用户进行身份验证。

        最终用户身份验证流程

        • 最终用户选择应用程序“X”。
        • 应用程序“X”向最终用户显示登录页面以输入其电子邮件地址。
        • 应用程序“X”将电子邮件作为登录提示发送回 Workspace ONE Access。
        • 由于已启用基于 NameID 格式映射发送主体值,因此 Workspace ONE Access 会接受该电子邮件并查找该用户的 UserPrincipleName。
        • Workspace ONE Access 发送 SAML 请求,其中将包含映射到负责对最终用户进行身份验证的第三方 IDP 的对应 UserPrincipleName。
    4. 如果选择 SAML 属性,请包含“属性格式”和“属性名称”。在 Workspace ONE Access 服务中选择要映射到 SAML 属性的用户属性。
    即时用户置备 即时置备用户会在他们登录时根据身份提供程序发送的 SAML 断言进行动态创建和更新。请参阅即时用户置备在 Workspace Access 中的工作方式。如果启用 JIT,请输入 JIT 目录的目录名称和域名。
    用户 选择包含可使用此身份提供程序进行身份验证的用户的目录。
    网络 此处列出了在服务中配置的现有网络范围。

    根据用户 IP 地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围。

    身份验证方法

    身份验证方法文本框中,输入要与此第三方身份提供程序关联的身份验证方法名称。您可以输入多种身份验证方法以与第三方身份提供程序相关联。为每种身份验证方法提供一个标识身份验证方法的友好名称。这是在访问策略中配置的身份验证名称。这是提示用户登录时显示的身份验证名称。

    SAML 上下文文本框中,将身份验证方法名称映射到第三方身份提供程序在 SAML 响应中发送的 SAML 身份验证上下文。在下拉菜单中,从常用字符串列表中选择 SAML 身份验证上下文类字符串,也可以输入自定义字符串。

    描述文本框中,编写相应的内容来帮助用户确定是否应选择此身份验证方法。当此第三方身份提供程序身份验证方法是访问策略规则中的身份验证选项时,将在“选择身份验证”登录提示页面中显示描述文本框中的文本。请参阅设置身份验证访问策略规则选项

    此文本不会自动翻译为最终用户浏览器指定的语言。但是,您可以在“描述”文本框中将多种语言的内容组合为一个条目,描述将显示在登录提示页面上的身份验证方法下。

    第三方身份验证方法的“名称”和“描述”配置
    单点注销配置

    用户从第三方身份提供程序 (Identity Provider, IDP) 登录 Workspace ONE 时,会打开两个会话,一个会话关于第三方身份提供程序,第二个会话关于 Workspace ONE 的 Identity Manager 服务提供程序。这两个会话的生命周期是单独管理的。用户注销 Workspace ONE 时,Workspace ONE 会话会关闭,但第三方 IDP 会话可能仍打开。根据您的安全要求,您可以启用单点注销,并将单点注销配置为注销这两个会话,或者也可以保持第三方 IDP 会话不变。

    配置选项 1

    • 您可以在配置第三方身份提供程序时启用单点注销。如果第三方身份提供程序支持基于 SAML 的单点注销协议 (SLO),从 Workspace ONE 门户中注销用户时,将从这两个会话中注销用户。不配置“重定向 URL”文本框。
    • 如果第三方 IDP 不支持基于 SAML 的单点注销,则启用单点注销,并在“重定向 URL”文本框中指定 IDP 单点注销端点 URL。您还可以在将用户发送到特定端点的 URL 之后添加重定向参数。用户从 Workspace ONE 门户注销,同时从 IDP 注销时,会被重定向到此 URL。

    配置选项 2

    • 另一个单点注销选项是将用户从其 Workspace ONE 门户注销,并将他们重定向到自定义的端点 URL。您需要启用单点注销,在“重定向 URL”文本框中指定此 URL,以及自定义端点的重定向参数。用户从 Workspace ONE 门户注销时,会被重定向到此页面,此页面中可以显示自定义消息。第三方 IDP 会话可能仍处于打开状态。此 URL 以 https://<vidm-access-url>/SAAS/auth/federation/slo 格式输入。

    如果未启用“启用单点注销”,Workspace ONE Access 服务中的默认配置是当用户注销时,将用户定向回 Workspace ONE 门户登录页面。第三方 IDP 会话可能仍处于打开状态。

    SAML 签名证书 单击服务提供程序 (SP) 元数据以查看 Workspace ONE Access SAML 服务提供程序元数据 URL。复制并保存该 URL。在第三方身份提供程序中编辑 SAML 断言以映射 Workspace ONE Access 用户时,将配置该 URL。
    IdP 主机名 如果显示“主机名”文本框,请输入为进行身份验证而将身份提供程序重定向到的主机名。如果使用 443 以外的非标准端口,则可以将主机名设置为“主机名:端口”。例如,myco.example.com:8443。
  3. 单击添加

下一步做什么

  • 在控制台中,转到“资源”>“策略”页面,然后编辑默认访问策略以添加策略规则,从而选择 SAML 身份验证方法名称作为要使用的身份验证方法。请参阅在 Workspace ONE Access 服务中管理访问策略
  • 编辑第三方身份提供程序的配置以添加保存的 SAML 签名证书 URL。