安全声明标记语言 (SAML) 2.0 身份验证提供单点登录支持和联合身份验证。Workspace ONE UEM永远不会接收任何企业凭证。

如果组织拥有一台 SAML 身份提供商服务器,请使用 SAML 2.0 集成。请确保身份提供程序返回 objectGUID 属性作为 SAML 响应的一部分。

优点

  • 提供单点登录功能。
  • 使用现有企业凭证进行身份验证。
  • Workspace ONE UEM永远不会接收纯文本格式的企业凭证。
  • 与 SAML 目录用户配对时可用于 Workspace ONE 直接注册。
  • 只为管理员支持多域环境。

缺点

  • 需要有企业 SAML 标识提供商基础架构。
  • 与 SAML 基本用户配对时不可用于 Workspace ONE 直接注册。
  • SaaS 应用对使用 Workspace ONE Access 进行身份验证的 SAML 管理员不可用。有关详细信息,请参见下文。

此图显示 Workspace ONE SaaS 服务器通过 Internet 从设备接收输入并穿越防火墙访问 SAML 身份提供程序。

  1. 设备与Workspace ONE UEM连接来进行注册。然后,UEM 服务器会将设备重定向到客户端指定的身份提供程序。
  2. 设备通过 HTTPS 安全连接到客户端提供的身份提供程序,然后用户输入凭证。
    • 凭证在设备和 SAML 端点之间直接传输时得到加密保护。
  3. 对照目录服务验证凭证。
  4. 身份提供程序返回已签字的 SAML 回复及通过身份验证的用户名。
  5. 设备回应Workspace ONE UEM服务器并出示已签字的 SAML 消息。用户通过身份验证。

    有关详细信息,请参阅《VMware AirWatch SAML Integration Guide》

适用于 SAML 管理员的 SaaS 应用功能

如果您是使用 Workspace ONE Access 进行身份验证的 SAML 管理员,则将无法使用 SaaS 应用程序以及其他 Workspace ONE Access 策略和功能。导航到“SaaS 应用”页面时,您将看到以下错误消息。

检查您的管理员帐户是否存在于 UEM 和 IDM 系统中,以及 Workspace ONE UEM 中的域是否与 VMware Identity Manager 中相同帐户的域完全匹配。

要还原 SaaS 应用可访问性,您必须使用基本身份验证登录 Workspace ONE UEM,并且还必须在组织组启用 Workspace ONE Access