将 VMware Identity Services 与通用身份提供程序集成

为 Workspace ONE 租户启用 VMware Identity Services 后，可设置与基于 SCIM 2.0 的身份提供程序的集成。

在 VMware Identity Services“入门”向导中，单击步骤 2 集成基于 SCIM 2.0 的身份提供程序中的开始按钮。
单击 SCIM 2.0 身份提供程序卡上的设置。
按照向导设置与身份提供程序的集成。

步骤 1：创建目录

使用 VMware Identity Services 设置用户置备和身份联合的第一步是，在 Workspace ONE 控制台中为通过身份提供程序置备的用户和组创建一个目录。

小心：创建目录后，无法更改身份提供程序选择。在继续操作之前，请确保选择适当的身份提供程序。

过程

在向导的步骤 1 常规信息中，输入要用于 Workspace ONE 中已置备目录的名称。
名称的最大长度为 128 个字符。仅允许使用以下字符：字母（a-z 或其他语言中的等效字符）、数字 (0-9)、空格、连字符 (-) 和下划线 (_)。
重要说明：创建目录后，无法更改该目录的名称。
对于域名，请输入源目录的主域名，包括扩展名，如 .com 或 .net。
VMware Identity Services 当前仅支持一个域。置备的用户和组将与 Workspace ONE 服务中的这个域相关联。
域名的最大长度为 100 个字符。仅允许使用以下字符：字母（a-z 或其他语言中的等效字符）、数字 (0-9)、空格、连字符 (-)、下划线 (_) 和句点 (.)。

例如：
单击保存并确认您的选择。

下一步做什么

设置用户和组置备。

步骤 2：设置用户和组置备

在 VMware Identity Services 中创建目录后，可设置用户和组置备。您可以在 VMware Identity Services 中通过生成置备所需的管理员凭据来开始该过程，然后使用这些凭据在身份提供程序中配置置备。

注：本主题适用于与 Azure AD 以外的 SCIM 2.0 身份提供程序的集成。有关与 Azure AD 的集成，请参阅步骤 2：设置用户和组置备。

注：本主题概要介绍了有关配置第三方身份提供程序的信息。任务的确切步骤和位置会因身份提供程序而有所不同。关于具体信息，请参阅相关身份提供程序文档。

前提条件

您在身份提供程序中拥有一个管理员帐户，且该帐户具有设置用户置备所需的权限。

过程

在 Workspace ONE 控制台中，在 VMware Identity Services 向导的步骤 2 配置身份提供程序中，选择在身份提供程序中设置用户置备所需的凭据类型。
从以下选项中进行选择：
- 客户端 ID 和密钥
- 租户 URL 和令牌
由于令牌过期并且必须手动更新，因此首选客户端 ID 和密钥。安全性最佳做法是，每六个月轮换一次客户端 ID 和客户端密钥。
单击下一步时，VMware Identity Services 会生成凭据。
如果选择了客户端 ID 和密钥，请复制客户端 ID 和客户端密钥值。

重要说明：请确保先复制密钥，然后再单击下一步。单击下一步后，该密钥将不再可见，您必须生成新的密钥。请注意，每当重新生成密钥时，以前的密钥都将无效，并且置备将失败。确保将新密钥复制并粘贴到身份提供程序应用程序。

例如：
如果选择了租户 URL 和令牌，请查看并复制生成的值。
- 租户 URL：VMware Identity Services 租户的 SCIM 2.0 端点。复制值。
- 令牌使用期限：密钥令牌的有效期限
  默认情况下，VMware Identity Services 将生成默认使用期限为 6 个月的令牌。要更改令牌使用期限，请单击向下箭头，选择其他选项，然后单击重新生成以使用新值重新生成令牌。
  
  重要说明：每当更新令牌使用期限时，以前的令牌将变为无效，并且从身份提供程序置备用户和组将失败。您必须重新生成新令牌，然后将新令牌复制并粘贴到身份提供程序中。
- 密钥令牌：身份提供程序将用户置备到 Workspace ONE 所需的令牌。复制值。
  重要说明：请确保先复制令牌，然后再单击下一步。单击下一步后，令牌将不再可见，您必须生成新的令牌。请注意，每当重新生成令牌时，以前的令牌都将无效，并且置备将失败。确保将新令牌复制并粘贴到身份提供程序。
例如：
在身份提供程序中，将用户和组置备设置为 Workspace ONE。
1. 以管理员身份登录到身份提供程序控制台。
2. 设置 SCIM 2.0 置备。
  出现提示时，输入您在 Workspace ONE 控制台中生成的凭据。
3. 激活置备。

下一步做什么

返回到 Workspace ONE 控制台以继续执行 VMware Identity Services 向导。

步骤 3：映射 SCIM 用户属性

将身份提供程序中要同步的用户属性映射到 Workspace ONE 服务。在身份提供程序控制台中，添加所需的 SCIM 用户属性，并将其映射到身份提供程序属性。至少，同步 VMware Identity Services 和 Workspace ONE 服务所需的属性。

VMware Identity Services 和 Workspace ONE 服务需要以下 SCIM 用户属性：

userName
emails
name.givenName
name.familyName
externalId
active

有关这些属性以及将其映射到 Workspace ONE 属性的更多信息，请参阅VMware Identity Services 的用户属性映射。

除了必需属性外，您还可以同步可选属性和自定义属性。有关支持的可选属性和自定义属性列表，请参阅 VMware Identity Services 的用户属性映射。

注：您无法在 Okta 中指定要同步到 VMware Identity Services 的组属性映射。您只能映射用户属性。

过程

在 Workspace ONE 控制台中，在 VMware Identity Services 向导的步骤 3 映射 SCIM 用户属性中，查看 VMware Identity Services 支持的属性列表。
在身份提供程序管理控制台中，导航到 Workspace ONE 的置备配置。
导航到属性映射页面。
将所需的 SCIM 用户属性映射到身份提供程序属性。
根据需要添加并映射可选和自定义 SCIM 用户属性。

下一步做什么

返回到 Workspace ONE 控制台以继续执行 VMware Identity Services 向导。

步骤 4：选择身份验证协议

选择要用于联合身份验证的协议。VMware Identity Services 支持 OpenID Connect 和 SAML 协议。

过程

在向导的步骤 4 选择身份验证协议中，选择 OpenID Connect 或 SAML。
单击下一步。
此时将显示向导的下一步，其中包含用于配置所选协议所需的值。

下一步做什么

配置 VMware Identity Services 和身份提供程序以进行联合身份验证。

步骤 5：配置身份验证（通用 SCIM 身份提供程序）

要使用身份提供程序配置联合身份验证，请使用 VMware Identity Services 中的服务提供程序元数据在身份提供程序中设置 OpenID Connect 或 SAML 应用程序，并使用应用程序中的相应值配置 VMware Identity Services。

重要说明：如果要将 VMware Identity Services 与 Okta 集成，则必须在 Okta 管理控制台中为用户置备和身份提供程序配置创建单独的应用程序。您不能使用同一个应用程序进行用户置备和身份验证。

注：本主题概要介绍了有关配置第三方身份提供程序的信息。任务的确切步骤因所用身份提供程序而异。有关详细信息，请参阅相关身份提供程序文档。

OpenID Connect

如果选择 OpenID Connect 作为身份验证协议，请执行以下步骤。

从 VMware Identity Services 向导的步骤 5 配置 OpenID Connect，复制重定向 URI 值。
下一步在身份提供程序中创建 OpenID Connect 应用程序时，您将需要此值。
在身份提供程序管理控制台中，创建 OpenID Connect 应用程序。
在该应用程序中找到“重定向 URI”部分，然后复制并粘贴从 VMware Identity Services 向导复制的重定向 URI 值。
为该应用程序创建一个客户端密钥，并复制该密钥。
您将在 VMware Identity Services 向导的下一步中输入该密钥。

在 Workspace ONE 控制台中返回到 VMware Identity Services 向导，然后完成配置 OpenID Connect 部分中的配置。

客户端 ID	复制并粘贴身份提供程序应用程序中的客户端 ID 值。
客户端密钥	复制并粘贴身份提供程序应用程序中的客户端密钥。
配置 URL	复制并粘贴身份提供程序应用程序的 OpenID Connect 已知配置 URL。例如：https://example.com/.well-known/openid-configuration
OIDC 用户标识符属性	指定要映射到 Workspace ONE 属性的 OpenID Connect 属性以进行用户查找。
Workspace ONE 用户标识符属性	指定要映射到 OpenID Connect 属性的 Workspace ONE 属性以进行用户查找。

单击 VMware Identity Services 向导中的完成，以完成设置 VMware Identity Services 与身份提供程序之间的集成。

SAML

如果选择 SAML 作为身份验证协议，请执行以下步骤。

从 Workspace ONE 控制台获取服务提供程序元数据。
在 VMware Identity Services 向导的步骤 5 配置 SAML 单点登录中，复制或者查看并下载 SAML 服务提供程序元数据。
在身份提供程序管理控制台中，导航到单点登录配置页面。
重要说明：如果要将 VMware Identity Services 与 Okta 集成，则必须在 Okta 中创建一个单独的 SAML 应用程序以进行身份验证。您不能使用同一个应用程序进行用户置备和身份验证。
使用 VMware Identity Services 向导中的相应值配置单点登录。
典型配置步骤包含以下步骤之一，具体取决于身份提供程序支持的选项：
- 找到“服务提供程序元数据”选项，然后上载或者复制并粘贴 VMware Identity Services 向导中的 SAML 服务提供程序元数据。
- 如果身份提供程序没有用于上载元数据的选项，请在身份提供程序控制台中将以下值从 VMware Identity Services SAML 服务提供程序元数据复制并粘贴到相应字段中：
  entityID 值：例如 https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml。
  AssertionConsumerService HTTP-POST Location 值：例如 https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response。
从身份提供程序控制台中找到并复制身份提供程序 SAML 元数据。
在 Workspace ONE 控制台中，在 VMware Identity Services 向导的步骤 5 配置 SAML 单点登录中，将身份提供程序元数据粘贴到身份提供程序元数据文本框中。
在配置 SAML 单点登录部分中，配置其余选项。
- 单点注销：如果您希望用户在注销 Workspace ONE Intelligent Hub 后注销其身份提供程序会话，请选择此选项。
- 绑定协议：选择 SAML 绑定协议（HTTP POST 或 HTTP 重定向）。
- 名称 ID 格式：指定要用于在身份提供程序和 Workspace ONE 服务之间映射用户的名称 ID 格式。
- 名称 ID 值：为 Workspace ONE 中的用户选择用户属性。
- 在 SAML 请求中发送主体 (如果可用)：如果您希望身份提供程序将主体作为登录提示发送到 VMware Identity Services（如果可用），请选择此选项。如果选择此选项，您还可以选择使用主体的名称 ID 格式映射。
- 使用主体的名称 ID 格式映射：如果选择此选项，可使用名称 ID 格式将身份提供程序提供的登录提示映射到名称 ID 值。
  小心：启用此选项可能会增加发生用户枚举安全漏洞的风险。
在向导中单击完成，以完成设置 VMware Identity Services 与身份提供程序之间的集成。

结果

VMware Identity Services 与身份提供程序之间的集成设置已完成。

将在 VMware Identity Services 中创建目录，当您从身份提供程序中的置备应用程序推送用户和组时，将填充该目录。已置备的用户和组将自动显示在您选择与身份提供程序集成的 Workspace ONE 服务中，例如 Workspace ONE Access 和 Workspace ONE UEM。

您无法在 Workspace ONE Access 控制台和 Workspace ONE UEM Console 中编辑目录。目录、用户、用户组、用户属性和身份提供程序页面为只读。

步骤 1：创建目录

过程

下一步做什么

步骤 2：设置用户和组置备

前提条件

过程

下一步做什么

步骤 3：映射 SCIM 用户属性

过程

下一步做什么

步骤 4：选择身份验证协议

过程

下一步做什么

步骤 5：配置身份验证（通用 SCIM 身份提供程序）

OpenID Connect

SAML

结果

后续步骤