为 Workspace ONE 租户启用 VMware Identity Services 后,可设置与 Azure AD 的集成。

  1. VMware Identity Services“入门”向导中,单击步骤 2 集成基于 SCIM 2.0 的身份提供程序中的开始按钮。""
  2. 单击 Microsoft Azure Active Directory 卡上的设置
    ""
  3. 按照向导设置与 Azure AD 的集成。

步骤 1:创建目录

使用 VMware Identity Services 设置用户置备和身份联合的第一步是,在 Workspace ONE 控制台中为通过身份提供程序置备的用户和组创建一个目录。

小心: 创建目录后,无法更改身份提供程序选择。在继续操作之前,请确保选择适当的身份提供程序。

过程

  1. 在向导的步骤 1 常规信息中,输入要用于 Workspace ONE 中已置备目录的名称。
    名称的最大长度为 128 个字符。仅允许使用以下字符:字母(a-z 或其他语言中的等效字符)、数字 (0-9)、空格、连字符 (-) 和下划线 (_)。
    重要说明: 创建目录后,无法更改该目录的名称。
  2. 对于域名,请输入源目录的主域名,包括扩展名,如 .com.net
    VMware Identity Services 当前仅支持一个域。置备的用户和组将与 Workspace ONE 服务中的这个域相关联。

    域名的最大长度为 100 个字符。仅允许使用以下字符:字母(a-z 或其他语言中的等效字符)、数字 (0-9)、空格、连字符 (-)、下划线 (_) 和句点 (.)。

    例如:

    在此示例中,目录名称为 Demo,域名为 example.com。
  3. 单击保存并确认您的选择。

下一步做什么

设置用户和组置备。

步骤 2:设置用户和组置备

VMware Identity Services 中创建目录后,可设置用户和组置备。您可以在 VMware Identity Services 中通过生成置备所需的管理员凭据来开始该过程,然后在 Azure AD 中创建置备应用程序以将用户和组置备到 Workspace ONE。

重要说明: Azure AD 应用程序库中的 VMware Identity Services 库应用当前正在测试,尚不受支持。创建新的企业应用程序。

前提条件

您在 Azure AD 中拥有一个管理员帐户,且该帐户具有设置置备所需的权限。

过程

  1. 在 Workspace ONE 控制台中,创建目录后,查看并复制向导的步骤 2 配置 Azure Enterprise 应用程序中生成的值。
    您需要这些值才能在 Azure AD 中配置置备应用程序。
    • 租户 URLVMware Identity Services 租户的 SCIM 2.0 端点。复制值。
    • 令牌使用期限:密钥令牌的有效期限。

      默认情况下,VMware Identity Services 将生成使用期限为六个月的令牌。要更改令牌使用期限,请单击向下箭头,选择其他选项,然后单击重新生成以使用新值重新生成令牌。

      重要说明: 每当更新令牌使用期限时,以前的令牌将变为无效,并且从 Azure AD 置备用户和组将失败。您必须重新生成新令牌,然后将新令牌复制并粘贴到 Azure AD 应用程序。
    • 密钥令牌:Azure AD 将用户置备到 Workspace ONE 所需的令牌。单击复制图标以复制值。
      重要说明: 请确保先复制令牌,然后再单击 下一步。单击 下一步后,令牌将不再可见,您必须生成新的令牌。如果重新生成令牌,以前的令牌都将无效,并且置备将失败。确保将新令牌复制并粘贴到 Azure AD 应用程序。

    例如:

    步骤 2 将显示一个租户 URL、一个 6 个月的令牌使用期限和一个密钥令牌。
  2. 在 Azure AD 中创建置备应用程序。
    1. 登录到 Azure Active Directory 管理中心。
    2. 在左侧导航窗格中选择企业应用程序
    3. 在“企业应用程序”页面上,单击 + 新建应用程序
      ""
    4. 在“浏览 Azure AD 库”页面上,单击 + 创建您自己的应用程序
      重要说明: VMware Identity Services 库应用程序当前正在测试,尚不受支持。创建新的企业应用程序。
    5. 创建您自己的应用程序窗格中,选择集成在库中找不到的任何其他应用程序 (非库),输入应用程序的名称,然后单击创建
      应用程序名称文本框具有示例值 scim-demo-app2。
    6. 创建应用程序后,从管理菜单中选择置备,然后单击开始
    7. 在“置备”页面上,对于置备模式,请选择自动
    8. 管理员凭据下,输入从 Workspace ONE 向导的配置 Azure Enterprise 应用程序步骤复制的令牌 URL 和密钥令牌。
      例如:
      置备模式为“自动”。“租户 URL”和“密钥令牌”文本框包含从 Workspace ONE 复制的值。
    9. 单击测试连接
    10. 确保显示以下消息: 
      已启用提供的凭据以授权置备。

      如果出现错误,请在 VMware Identity Services 向导中重新生成密钥令牌,然后将其复制并粘贴到 Azure 应用程序中。然后,再次单击测试连接

    11. 单击保存以保存应用程序。

下一步做什么

返回到 Workspace ONE 控制台以继续执行 VMware Identity Services 向导。

步骤 3:映射 SCIM 用户属性

将要从 Azure AD 同步的用户属性映射到 Workspace ONE 服务。在 Azure Active Directory 管理中心中,添加 SCIM 用户属性并将其映射到 Azure AD 属性。至少,同步 VMware Identity Services 和 Workspace ONE 服务所需的属性。

VMware Identity Services 和 Workspace ONE 服务需要以下 SCIM 用户属性:

Azure Active Directory 属性 SCIM 用户属性(必需)
userPrincipalName userName
mail emails
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
注: 下表显示了所需的 SCIM 属性与 Azure AD 属性之间的典型映射。但是,您可以将 SCIM 属性映射到与此处列出的 Azure AD 属性不同的属性。

有关这些属性以及如何将其映射到 Workspace ONE 属性的详细信息,请参阅VMware Identity Services 的用户属性映射

除了必需属性外,您还可以同步可选属性和自定义属性。有关支持的可选属性和自定义属性列表,请参阅 VMware Identity Services 的用户属性映射

过程

  1. 在 Workspace ONE 控制台中,在向导的步骤 3 映射 SCIM 用户属性中,查看 VMware Identity Services 支持的属性列表。
  2. 在 Azure Active Directory 管理中心,导航到您创建的置备应用程序,以将用户置备到 VMware Identity Services
  3. 管理菜单中,选择置备
  4. 管理置备下,单击编辑属性映射

    ""
  5. 在“置备”页面上的映射部分中,进行以下选择。
    • 置备 Azure Active Directory 组设置为
    • 置备 Azure Active Directory 用户设置为
    • 置备状态设置为打开

    ""
  6. 单击置备 Azure Active Directory 用户链接。
  7. 在“属性映射”页面上,指定 Azure AD 属性和 SCIM 属性(customappsso 属性)之间的必需属性映射。
    默认情况下,必需属性包含在“属性映射”表中。根据需要查看并更新映射。
    1. 单击“属性映射”表中的属性。
    2. 编辑映射。对于源属性,请选择 Azure AD 属性,对于目标属性,请选择 SCIM 属性。

      例如:


      选择 objectId 作为源属性,并选择 externalId 作为目标属性。
    提示: 在新的 Azure AD SCIM 置备应用程序中,SCIM externalId 属性的默认映射为 mailNickname。建议将映射从 mailNickname 更改为 objectId。
  8. 如果需要,请映射 VMware Identity Services 和 Workspace ONE 服务支持的可选用户属性。
    • 许多可选属性已显示在 Azure AD 应用程序中。如果该属性显示在“属性映射”表中,请单击该属性以编辑映射。否则,请单击添加新映射并指定映射。对于源属性,请选择 Azure AD 属性,对于目标属性,请选择 SCIM 属性。
    • 要添加属于 VMware Identity Services 架构扩展的属性(其路径中包含 urn:ietf:params:scim:schemas:extension:ws1b: 的属性),请执行以下操作:
      1. 在“属性映射”页面上,选中页面底部的显示高级选项复选框,然后单击编辑 customappsso 的属性列表。添加 SCIM 属性,然后单击保存

        确保使用完整的 SCIM 属性路径,例如 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:userPrincipalName。

      2. 在“属性映射”页面上,单击添加新映射,然后指定新属性的映射。对于源属性,请选择 Azure AD 属性,对于目标属性,请选择 SCIM 属性。
    请参阅 VMware Identity Services 的用户属性映射VMware Identity Services 支持的可选 SCIM 属性列表,以及如何将其映射到 Workspace ONE 属性。
  9. 如果需要,请映射 VMware Identity Services 和 Workspace ONE 服务支持的自定义用户属性。
    1. 在“属性映射”页面上,选择页面底部的显示高级选项复选框,单击编辑 customappsso 的属性列表,在属性列表底部添加自定义 SCIM 属性,然后单击保存

      确保使用完整的 SCIM 属性路径,例如 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3。


      将添加自定义属性 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3。
    2. 在“属性映射”页面上,单击添加新映射,然后指定自定义 SCIM 属性的映射。对于源属性,请选择 Azure AD 属性,对于目标属性,请选择您添加的自定义 SCIM 属性。
    请参阅 VMware Identity Services 的用户属性映射VMware Identity Services 支持的自定义 SCIM 属性列表,以及如何将它们映射到 Workspace ONE 属性。

下一步做什么

返回到 Workspace ONE 控制台以继续执行 VMware Identity Services 向导。

步骤 4:选择身份验证协议

选择要用于联合身份验证的协议。VMware Identity Services 支持 OpenID Connect 和 SAML 协议。

过程

  1. 在向导的步骤 4 选择身份验证协议中,选择 OpenID ConnectSAML
  2. 单击下一步
    此时将显示向导的下一步,其中包含用于配置所选协议所需的值。

下一步做什么

配置 VMware Identity Services 和身份提供程序以进行联合身份验证。

步骤 5:配置身份验证

要使用 Azure AD 配置联合身份验证,请使用 VMware Identity Services 中的服务提供程序元数据在 Azure AD 中设置 OpenID Connect 或 SAML 应用程序,并使用应用程序中的值配置 VMware Identity Services

OpenID Connect

如果选择 OpenID Connect 作为身份验证协议,请执行以下步骤。

  1. VMware Identity Services 向导的步骤 5 配置 OpenID Connect,复制重定向 URI 值。

    在 Azure AD 管理中心中创建 OpenID Connect 应用程序后,您需要在下一步中使用此值。


    “重定向 URI”值旁边有一个复制图标。
  2. 在 Azure Active Directory 管理中心内,导航到企业应用程序 > 应用程序注册
  3. 单击新建注册
  4. 注册应用程序页面中,输入应用程序的名称。
  5. 对于重定向 URI,请选择 Web,然后复制并粘贴从 VMware Identity Services 向导的配置 OpenID Connect 部分复制的重定向 URI 值。

    例如:


    ""
  6. 单击注册

    此时将显示已成功创建应用程序 name

  7. 为应用程序创建客户端密钥。
    1. 单击客户端凭据: 添加证书或密钥链接。
    2. 单击 + 新建客户端密钥
    3. 添加客户端密钥窗格中,输入密钥的描述和到期时间。
    4. 单击添加

      此时会生成密钥,并且该密钥将显示在客户端密钥选项卡上。

    5. 单击密钥值旁边的复制图标以复制该值。

      如果在没有复制密钥的情况下离开页面,则必须生成新的密钥。

      您将在 VMware Identity Services 向导的后续步骤中输入密钥。


      “证书和密钥”页面将密钥显示在“客户端密钥”选项卡中。
  8. 授予应用程序调用 VMware Identity Services API 的权限。
    1. 管理下,选择 API 权限
    2. 单击organization 授予管理员同意,然后单击确认框中的
  9. 复制客户端 ID。
    1. 从应用程序页面的左侧窗格中,选择概览
    2. 复制应用程序 (客户端) ID 值。

      您将在 VMware Identity Services 向导的后续步骤中输入该客户端 ID。


      “应用程序 (客户端) ID”值位于“概要”部分中,旁边有一个复制图标。
  10. 复制 OpenID Connect 元数据文档值。
    1. 在应用程序“概览”页面上,单击端点
    2. 端点窗格中,复制 OpenID Connect 元数据文档值。
      ""

    您将在 VMware Identity Services 向导的下一步中输入该客户端 ID。

  11. 在 Workspace ONE 控制台中返回到 VMware Identity Services 向导,然后完成配置 OpenID Connect 部分中的配置。
    应用程序 (客户端) ID 粘贴从 Azure AD OpenID Connect 应用程序复制的应用程序(客户端)ID 值。
    客户端密钥 粘贴从 Azure AD OpenID Connect 应用程序复制的客户端密码。
    配置 URL 粘贴您从 Azure AD OpenID Connect 应用程序复制的 OpenID Connect 元数据文档值。
    OIDC 用户标识符属性 将电子邮件属性映射到 Workspace ONE 属性以进行用户查找。
    Workspace ONE 用户标识符属性 指定要映射到 OpenID Connect 属性的 Workspace ONE 属性以进行用户查找。
  12. 单击完成以完成设置 VMware Identity Services 与 Azure AD 之间的集成。

SAML

如果选择 SAML 作为身份验证协议,请执行以下步骤。

  1. 从 Workspace ONE 控制台获取服务提供程序元数据。

    VMware Identity Services 向导的步骤 5 配置 SAML 单点登录中,复制 SAML 服务提供程序元数据


    ""
  2. 在 Azure AD 中配置 应用程序。
    1. 在 Azure Active Directory 管理中心内,选择左侧窗格中的企业应用程序
    2. 搜索并选择您在 步骤 2:设置用户和组置备 中创建的置备应用程序。
    3. 管理菜单中,选择单点登录
    4. 选择 SAML 作为单点登录方法。
      ""
    5. 单击上载元数据文件,选择从 Workspace ONE 控制台复制的元数据文件,然后单击添加
      “上载元数据文件”选项位于“使用 SAML 设置单点登录”页面的顶部。
    6. 基本 SAML 配置窗格中,验证以下值:
      • 标识符 (实体 ID) 值应为 Workspace ONE 元数据文件中的 entityID 值。

        例如:https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • 回复 URL (断言使用者服务 URL) 值应为 Workspace ONE 元数据文件中的 AssertionConsumerService HTTP-POST Location 值。

        例如:https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

    7. SAML 证书部分中,单击联合元数据 XML 下载链接以下载元数据。
      ""
  3. 在 Workspace ONE 控制台中,将联合元数据 XML 从 Azure AD 下载的文件复制并粘贴到 VMware Identity Services 向导步骤 5 中的身份提供程序元数据文本框中。
    在向导的步骤 5 中,“身份提供程序元数据”文本框显示联合元数据 XML。
  4. 配置 SAML 单点登录部分中,配置其余选项。
    • 单点注销:如果您希望用户在注销 Workspace ONE Intelligent Hub 后注销其身份提供程序会话,请选择此选项。
    • 绑定协议:选择 SAML 绑定协议(HTTP POSTHTTP 重定向)。
    • 名称 ID 格式:指定要用于在 Azure AD 和 Workspace ONE 服务之间映射用户的名称 ID 格式。
    • 名称 ID 值:为 Workspace ONE 中的用户选择用户属性。
  5. 单击完成以完成设置 VMware Identity Services 与 Azure AD 之间的集成。

结果

已完成 VMware Identity Services 与 Azure AD 之间的集成。

将在 VMware Identity Services 中创建目录,当您从 Azure AD 中的置备应用程序推送用户和组时,将填充该目录。已置备的用户和组将自动显示在您选择与 Azure AD 集成的 Workspace ONE 服务中,例如 Workspace ONE Access 和 Workspace ONE UEM

您无法在 Workspace ONE Access 控制台和 Workspace ONE UEM Console 中编辑目录。目录、用户、用户组、用户属性和身份提供程序页面为只读。

后续步骤

接下来,选择要将用户和组置备到的 Workspace ONE 服务。

然后,从 Azure AD 置备应用程序推送用户和组。请参阅将用户置备到 Workspace ONE