您可以在Workspace ONE UEM console中添加 SaaS 应用程序。找到已添加到 Workspace ONE 目录中的应用程序或添加新应用程序。您还可以在 Workspace ONE 环境中创建副本或导出 SaaS 应用程序。

过程

  1. 导航到资源 > 应用 > SaaS ,然后选择新建
  2. 完成定义标签页上的选项。
    设置 说明
    搜索 您可以通过从全局目录中进行复制来创建应用程序。输入 SaaS 应用程序的名称并在全局目录中搜索应用程序。

    您可以在全局目录中浏览应用程序。

    名称 输入 SaaS 应用程序的名称。
    说明 (可选)提供应用程序的说明。
    图标 (可选)单击“浏览”并上传应用程序的图标。

    SaaS 应用程序使用 PNG、JPG 和 ICON 文件格式的图标。

    您上传的应用程序图标的像素必须至少为 180 x 180。

    如果图标太小,将不会显示。在这种情况下,系统将显示默认图标。

    类别 分配类别以帮助用户对 Workspace ONE 目录中的应用程序进行排序和筛选。

    在 Workspace ONE Access 中配置类别,以便其显示在类别列表中。

  3. 完成配置标签页上的选项。
    1. 选择适用于 SaaS 应用程序的身份验证类型。可用选项因所选类型而异。身份验证类型决定用户界面上的可用设置。有几个排列。
      • SAML 2.0 - 选择此选项可为使用 SAML 2.0 身份验证的应用程序提供单点登录。
        表 1. SAML 2.0 身份验证设置 - URL/XML
        设置 说明
        配置 URL/XML 是 SaaS 应用程序的默认选项,不属于 Workspace ONE 目录的一部分。
        URL/XML 如果 XML 元数据可在 Internet 上访问,则输入 URL。

        如果元数据不可在 Internet 上访问,而您拥有元数据,请在文本框中粘贴 XML。

        如果您没有 XML 元数据,请采用手动配置。T

        中继状态 URL 输入您希望 SaaS 应用程序用户在 identity provider-initiated (IDP) 场景中单点登录后到达的 URL。
        表 2. SAML 2.0 身份验证设置 - 手动
        设置 说明
        配置 手动是从目录添加的 SaaS 应用程序的默认选项。
        单点登录 URL 输入断言使用者服务 (ACS) URL。

        Workspace ONE 将该 URL 发送给您的服务提供程序用于单点登录。

        接收者 URL 输入带有服务提供程序所要求的特定值的 URL,该值用于说明 SAML 断言项目中的域。

        如果您的服务提供程序未要求此 URL 的特定值,请输入与单点登录 URL 相同的 URL。

        应用程序 ID 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 将 SAML 断言发送给 ID。

        有些服务提供程序使用单点登录 URL

        用户名格式 选择适用于 SAML 主题格式的服务提供程序所要求的格式。
        用户名值 输入 Workspace ONE 在 SAML 断言的主题声明中发送的名称 ID 值。

        该值是应用程序服务提供程序中用户名的默认配置文件文本框值。

        中继状态 URL 输入您希望 SaaS 应用程序用户在 identity provider-initiated (IDP) 场景中单点登录后到达的 URL。
      • SAML 1.1 - SAML 1.1 是较低版本的 SAML 身份验证配置文件。为了实现更高的安全性,请实施 SAML 2.0。
        设置 说明
        目标 URL 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
        单点登录 URL 输入断言使用者服务 (ACS) URL。

        Workspace ONE 将该 URL 发送给您的服务提供程序用于单点登录。

        接收者 URL 输入带有服务提供程序所要求的特定值的 URL,该值用于说明 SAML 断言项目中的域。如果您的服务提供程序未要求此 URL 的特定值,请输入与单点登录 URL 相同的 URL。
        应用程序 ID 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 将 SAML 断言发送给 ID。

        有些服务提供程序使用单点登录 URL

      • WSFed 1.2 - 选择此选项可为使用 WS 联合身份验证的应用程序提供单点登录。
        设置 说明
        目标 URL 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
        单点登录 URL 输入断言使用者服务 (ACS) URL。

        Workspace ONE 将该 URL 发送给您的服务提供程序用于单点登录。

        应用程序 ID 将确定服务提供程序租户身份的 ID 输入 Workspace ONE。Workspace ONE 将 SAML 断言发送给 ID。

        有些服务提供程序使用单点登录 URL

        用户名格式 选择适用于 SAML 主题格式的服务提供程序所要求的格式。
        用户名值 输入 Workspace ONE 在 SAML 断言的主题声明中发送的名称 ID 值。

        该值是应用程序服务提供程序中用户名的默认配置文件文本框值。

      • Web 应用程序链接 - 如果应用程序不使用任何联合协议,请选择此选项。输入应用程序的目标 URL。
        设置 说明
        目标 URL 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
      • OpenID 连接 - 选择此选项可为使用 OAuth 2.0 协议的应用程序提供单点登录。
        设置 说明
        目标 URL 输入 URL,将用户定向到 Internet 中的 SaaS 应用。
        重定向 URL 输入接收授权代码的客户端的 URL,然后访问令牌。
        客户端 ID 为客户端输入唯一字符串。
        客户端密钥 输入用于授权客户端的密钥。
    2. 为高级参数添加值,以允许应用程序在应用程序参数中启动。此选项并不适用于所有应用程序。
    3. 如果您希望使用 Workspace ONE 在单点登录进程中更好地控制消息传递,请在高级属性中添加可选参数。身份验证类型决定用户界面上的可用设置。有几个排列。转到 SaaS 应用程序的身份验证类型。
      表 3. 高级属性 - SAML 2.0
      设置 说明
      签署响应 要求 Workspace ONE 签署对服务提供程序的响应消息。此签名确认 Workspace ONE 已创建消息。
      签署断言 要求 Workspace ONE 在发送给服务提供程序的响应消息中签署断言。

      有些服务提供程序要求这一选项。

      对断言进行加密 对系统发送到应用程序服务提供程序的 SAML 断言进行加密。
      包括断言签名 要求 Workspace ONE 在发送给服务提供程序的响应消息中包括其签名证书。

      有些服务提供程序要求这一选项。

      签名算法 选择与摘要算法匹配的签名算法。

      如果您的服务提供程序支持 SHA256,请选择此算法。

      摘要算法 选择与签名算法匹配的摘要算法。

      如果您的服务提供程序支持 SHA256,请选择此算法。

      断言时间 输入 Workspace ONE 发送到服务提供程序以进行身份验证的断言的有效时间(以秒为单位)。
      请求签名 如果您想要服务提供程序签署其发送到 Workspace ONE 的 SAML 请求,请输入公共签名证书。
      加密证书 输入签署从应用程序服务提供程序到 Workspace ONE 的 SAML 请求的公共加密证书。
      应用程序登录 URL 输入服务提供程序登录页面的 URL。

      此选项可触发服务提供程序启动到 Workspace ONE 的登录。有些服务提供程序需要身份验证才能从登录页面启动。

      代理计数 输入在服务提供程序和正在验证的身份提供程序之间允许的代理层。
      API 访问 启用对 SaaS 应用程序的 API 访问。
      自定义属性映射 如果您的服务提供程序允许自定义属性而不是适用于单点登录的属性,请添加。
      在 VMware Browser 中打开

      Android 和 iOS

      要求 Workspace ONE 在 VMware Browser 中打开应用程序。

      如果您使用的是 VMware Browser,在其中打开 SaaS 应用程序可增加安全性。该操作可让访问保持在内部资源中。

      表 4. 高级属性 - SAML 1.1
      设置 说明
      签名算法 选择与摘要算法匹配的签名算法。

      如果您的服务提供程序支持 SHA256,请选择此算法。

      摘要算法 选择与签名算法匹配的摘要算法。

      如果您的服务提供程序支持 SHA256,请选择此算法。

      断言时间 输入 Workspace ONE 发送到服务提供程序以进行身份验证的断言的有效时间(以秒为单位)。
      自定义属性映射 如果您的服务提供程序允许自定义属性而不是适用于单点登录的属性,请添加。
      在 VMware Browser 中打开

      Android 和 iOS

      要求 Workspace ONE 在 VMware Browser 中打开应用程序。

      如果您使用的是 VMware Browser,在其中打开 SaaS 应用程序可增加安全性。该操作可让访问保持在内部资源中。

      表 5. 高级属性 - WSFed 1.2
      设置 说明
      凭证验证 选择凭证验证的方法。
      签名算法 选择与摘要算法匹配的签名算法。

      如果您的服务提供程序支持 SHA256,请选择此算法。

      摘要算法 选择与签名算法匹配的摘要算法。

      如果您的服务提供程序支持 SHA256,请选择此算法。

      断言时间 输入 Workspace ONE 发送到服务提供程序以进行身份验证的断言的有效时间(以秒为单位)。
      自定义属性映射 如果您的服务提供程序允许自定义属性而不是适用于单点登录的属性,请添加。
      在 VMware Browser 中打开

      Android 和 iOS

      要求 Workspace ONE 在 VMware Browser 中打开应用程序。

      如果您使用的是 VMware Browser,在其中打开 SaaS 应用程序可增加安全性。该操作可让访问保持在内部资源中。

    4. 分配策略以使用访问策略安全登录到应用程序资源。
      设置 说明
      访问策略 为 Workspace ONE 选择一个策略以用于控制用户身份验证和访问。

      如果您不具有自定义访问策略,则默认访问策略可用。

      您可以在 UEM Console 中配置这些策略。

      需要许可证审批 要显示此选项,请在 SaaS 应用程序的设置部分中启用相应的审批

      在应用程序安装并激活许可证之前,需要审批。

      • 许可证定价 - 选择定价模型以购买 SaaS 应用程序的许可证。
      • 许可证类型 - 选择许可证的用户模型:指定用户或并发用户。
      • 每个许可证的成本 - 输入每个许可证的价格。
      • 许可证数量 - 输入为 SaaS 应用程序购买的许可证数量。
  4. 查看 SaaS 应用程序的摘要并进入分配流程。

后续步骤

  1. 创建 SaaS 应用程序的副本并将它们分配给不同的用户和组。如果您的部署具有使用相同应用程序的不同业务单位,则使用应用程序的副本非常有用。您可以选择该应用程序,然后单击复制以创建 SaaS 应用程序的副本。
  2. 将 SaaS 应用程序分配给在 Workspace ONE UEM 中配置的用户和组。请参阅分配 SaaS 应用程序
  3. 导出要在转储区域中测试或要在没有 Workspace ONE 系统的本地计算机上使用的 SaaS 应用程序。您可以选择该应用程序,然后单击导出以导出 SaaS 应用程序,系统会将 JSON 应用程序包的 ZIP 文件保存到本地计算机。