用于通用身份提供程序集成的 SAML 身份验证上下文

如果您将通用 SAML 2.0 身份提供程序与 VMware Identity Services 集成在一起，并选择 SAML 以作为身份验证协议，您现在可以在以下身份验证上下文类型之间进行选择：未指定、PasswordProtectedTransport 或自定义值。

身份验证上下文指示如何在身份提供程序中对用户进行身份验证。根据服务提供程序请求或身份提供程序中的配置，身份提供程序将身份验证上下文包含在断言中。

能够从控制台停用 VMware Identity Services

现在，您可以从 Workspace ONE Cloud 控制台停用 VMware Identity Services。停用 VMware Identity Services 后，您可以直接从 Workspace ONE UEM 和 Workspace ONE Access 设置目录置备和联合身份验证。在以下场景中，您可能需要停用 VMware Identity Services：

• VMware Identity Services 不支持您的用例。

• 您希望直接从 Active Directory 同步用户和组。

• 您希望在 Workspace ONE UEM 或 Workspace ONE Access 中配置目录服务和身份联合，而不是通过 Workspace ONE Cloud 服务来配置。

以下是操作步骤：停用 VMware Identity Services

将 Okta 与 Workspace ONE 集成的新流程

我们很高兴地宣布，Workspace ONE Cloud 控制台中现在推出了一个新的 Okta 流程，以支持与 Okta 的集成！通过此流程，您可以更轻松地将用户和组从 Okta 置备到 Workspace ONE 服务，并使用 Okta 对用户进行身份验证。在此版本之前，Okta 已针对通用 SCIM 2.0 标识提供者流程进行了测试并记录在文档中。

请阅读 VMware Identity Services 文档中的使用 Okta 集成 VMware Identity Services，以熟悉此新流程。

与置备到 Workspace ONE 服务相关的审核事件

适用于 Workspace ONE 的 VMware Identity Services 引入了审核事件，以跟踪将数据从 Workspace ONE 推送到下游服务（如 Workspace ONE UEM 和 Workspace ONE Access）时的成功和失败情况。管理员可以使用审核的信息来确定、跟踪和调试基于置备的问题。审核事件支持根据对象名称、对象类型、下游服务和错误进行筛选。审核事件的详细视图提供了错误状态。

有关更多信息，请参阅查看 VMware Identity Services 的审核事件。

用于 Azure Active Directory 集成的新置备应用程序

我们很高兴地宣布，在 Azure AD 应用程序库中推出了一个新的配置应用程序，即 VMware Identity Service 应用程序！该应用程序通过包含预配置的设置，简化了从 Azure AD 到 VMware Identity Services 的用户配置过程。

要开始使用置备应用程序，请在 Azure AD 应用程序库中搜索“VMware Identity Service”，然后选择该应用程序。

有关如何将 VMware Identity Services 与 Azure AD 集成的更多信息，请阅读文档。

我们将推出一项新服务，使 VMware Workspace ONE®Access™ 和 VMware Workspace ONE® UEM 的新客户能够更轻松的访问“用户置备和身份联合”！现在，您可以利用 VMware Identity Services 在 Workspace ONE 控制台中基于 SCIM 2.0 配置用户和组的已置备目录。然后，VMware Identity Services 会自动将用户和组以及身份验证设置置备到 Workspace ONE UEM 和 Workspace ONE Access 管理控制台。

与第三方身份提供程序集成时，请确认要同步到 VMware Identity Services 的用户属性。 

请查看一些用例：

• 使用跨域身份管理系统 (SCIM) 2.0 协议创建并配置用户和组的已置备目录。

• 管理身份提供程序配置，以便对 Workspace ONE 服务进行联合身份验证。

• 在 Workspace ONE 产品中利用集中式用户管理和身份验证。

目前，VMware Identity Services 支持通过 Workspace ONE UEM 和 Workspace ONE Access 从 Workspace ONE 控制台针对新创建的环境进行集中式用户管理和身份验证。

支持的身份提供程序和目录源：

• Azure Active Directory (Azure AD)，Microsoft Azure 中的一项云端身份服务

• 通用 SCIM 2.0 标识源（已针对 Okta 进行测试）

要开始使用 VMware Identity Services，请登录到组织的 Workspace ONE 门户，然后选择帐户 > 最终用户管理。

单击开始，然后使用此向导设置与身份提供程序的集成。

• 不支持的功能

  启用 VMware Identity Services 后，某些功能在 Workspace ONE Access、Workspace ONE UEM、Hub 服务以及 VMware Workspace ONE® Intelligent Hub 和门户中不受支持。有关更多信息，请参阅使用 VMware Identity Services 配置用户置备和身份联合。

• 在选择要与 VMware Identity Services 一起使用的服务（例如 Workspace ONE Access 或 Workspace ONE UEM）并保存所做的选择后，无法取消选择。

  解决方案：请联系 VMware 技术支持团队以重置选择。

• 在 Azure AD 中删除用户不会从 VMware Identity Services 中删除该用户

  在 Azure AD 中删除用户时，该帐户将在删除之前挂起一段特定时间。在该时间段内，用户也会在 VMware Identity Services 中停用。在 Azure AD 中，已删除用户的用户名也会被修改，这些更改会反映在 VMware Identity Services 中。有关更多信息，请参阅如何删除 Azure AD 用户。

• 在 Azure AD 中删除用户和组属性值不会删除 VMware Identity Services 中的值

  在 Azure AD 中，当您删除已同步到 VMware Identity Services 的用户或组属性值时，不会在 VMware Identity Services 和 Workspace ONE 服务中删除该值。Azure AD 不会传播空值。

  解决方案：输入空格字符，而不是完全清除值。

• Okta 集成需要两个应用程序

  将 VMware Identity Services 与 Okta 集成时，您必须在 Okta 管理控制台中创建单独的应用程序，以便进行用户置备和身份提供程序配置。您不能使用同一个应用程序进行用户置备和身份验证。

• Login_hint 功能无法正常工作

  使用 OpenID Connect 协议将第三方身份提供程序与 VMware Identity Services 集成时，login_hint 功能无法正常工作。如果依赖方发送 login_hint，VMware Identity Services 不会将其传递到身份提供程序。

• 删除 Azure AD 或 Okta 中的属性映射不会从 VMware Identity Services 中的用户移除该属性

  从 Azure AD 或 Okta 中的置备应用程序删除属性映射时，更改不会传播到 VMware Identity Services。不会删除 VMware Identity Services 和 Workspace ONE 服务中用户的属性。

请参阅 Workspace ONE 文档中心中的使用 VMware Identity Services 配置用户置备和身份联合。

VMware Identity Services 提供以下语言版本：

要以首选语言查看文档，请单击页面右上角的
图标，然后选择相应语言。

如果您需要 VMware Identity Services 环境方面的帮助，请联系 VMware 技术支持团队。您可以使用 VMware Customer Connect 帐户或通过电话联机向 VMware 技术支持团队提交支持请求。

知识库文章 2151511（如何联系 VMware Workspace ONE 支持团队）介绍了如何联系 Workspace ONE 支持团队。