通过选择第三方身份提供程序来配置应用程序源。设置应用程序源后,可以创建关联的应用程序并为用户授权。

过程

  1. 导航到资源 > 应用 > SaaS ,然后选择设置
  2. 选择应用程序源
  3. 选择第三方身份提供程序。系统将显示第三方身份提供程序的应用程序源向导。
  4. 为应用程序源输入描述性名称,然后单击下一步
  5. 身份验证类型默认为 SAML 2.0 且为只读。
  6. 修改应用程序源配置
    表 1. 配置设置 - URL/XML
    设置 说明
    配置 URL/XML 是 SaaS 应用程序的默认选项,不属于 Workspace ONE 目录的一部分。
    URL/XML 如果 XML 元数据可在 Internet 上访问,则输入 URL。

    如果元数据不可在 Internet 上访问,而您拥有元数据,请在文本框中粘贴 XML。

    如果您没有 XML 元数据,请采用手动配置。

    中继状态 URL 输入您希望 SaaS 应用程序用户在 identity provider-initiated (IDP) 场景中单点登录后到达的 URL。
    表 2. 配置设置 - 手动
    设置 说明
    配置 手动是从目录添加的 SaaS 应用程序的默认选项。
    单点登录 URL 输入断言使用者服务 (ACS) URL。

    Workspace ONE 将该 URL 发送给您的服务提供程序用于单点登录。

    接收者 URL 输入带有服务提供程序所要求的特定值的 URL,该值用于说明 SAML 断言项目中的域。

    如果您的服务提供程序未要求此 URL 的特定值,请输入与单点登录 URL 相同的 URL。

    应用程序 ID 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 将 SAML 断言发送给 ID。

    有些服务提供程序使用单点登录 URL

    用户名格式 选择适用于 SAML 项目格式的服务提供程序所要求的格式。
    用户名值 输入 Workspace ONE 在 SAML 断言的主题声明中发送的名称 ID 值。

    该值是应用程序服务提供程序中用户名的默认配置文件字段值。

    中继状态 URL 输入您希望 SaaS 应用程序用户在 identity provider-initiated (IDP) 场景中单点登录后到达的 URL。
  7. 修改高级属性
    设置 说明
    签署响应 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
    签署断言 输入断言使用者服务 (ACS) URL。

    Workspace ONE 将该 URL 发送给您的服务提供程序用于单点登录。

    对断言进行加密 输入带有服务提供程序所要求的特定值的 URL,该值用于说明 SAML 断言项目中的域。

    如果您的服务提供程序未要求此 URL 的特定值,请输入与单点登录 URL 相同的 URL。

    包括断言签名 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 将 SAML 断言发送给 ID。

    有些服务提供程序使用单点登录 URL

    签名算法 选择具有 RSA 的 SHA256 作为安全加密哈希算法。
    摘要算法 选择 SHA256。
    断言时间 输入 SAML 断言时间,以秒为单位。
    请求签名 如果您想要服务提供程序签署其发送到 Workspace ONE 的请求,请输入公共签名证书。
    加密证书 如果希望签署从应用程序服务提供程序到 Workspace ONE 的 SAML 请求,请输入公共加密证书。
    应用程序登录 URL 输入服务提供程序登录页面的 URL。此选项可触发服务提供程序启动到 Workspace ONE 的登录。有些服务提供程序需要身份验证才能从登录页面启动。
    代理计数 输入在服务提供程序和正在验证的身份提供程序之间允许的代理层。
    API 访问 允许 API 访问该应用程序。
  8. 配置自定义属性映射。如果您的服务提供程序允许自定义属性而不是适用于单点登录的属性,请添加。
  9. 如果您要在 VMware Browser 中打开该应用程序,请选择在 VMware Browser 中打开。但是,它要求 Workspace ONE 在 VMware Browser 中打开应用程序。如果您使用的是 VMware Browser,在其中打开 SaaS 应用程序可增加安全性。该操作可让访问保持在内部资源中。
  10. 单击下一步
  11. 要确保安全登录到应用程序资源,请选择访问策略。单击下一步以查看摘要页面。
  12. 单击保存
    如果在配置应用程序源时选择 保存并分配,则将应用程序源的授权设置为 所有用户。但是,您可以更改默认设置,并管理用户授权和添加用户或用户组。

后续步骤

  1. 将身份提供程序配置为应用程序源后,您可以为每个第三方身份提供程序创建关联的应用程序。完成定义标签页上的选项后,您可以从配置标签页的身份验证类型下拉菜单中选择 OKTA
  2. 您可以将应用程序源的授权设置为所有用户或添加用户/用户组。默认情况下,如果在配置应用程序源时选择保存并分配,则将应用程序源的授权设置为所有用户