为 Workspace ONE 租户启用 VMware Identity Services 后,可设置与 Microsoft Entra ID 的集成。

  1. VMware Identity Services“入门”向导中,单击步骤 2 集成基于 SCIM 2.0 的身份提供程序中的开始按钮。""
  2. 单击 Microsoft Entra ID 卡上的设置
    ""
  3. 按照向导设置与 Microsoft Entra ID 的集成。

步骤 1:创建目录

使用 VMware Identity Services 设置用户置备和身份联合的第一步是,在 Workspace ONE Cloud 控制台中为通过身份提供程序置备的用户和组创建一个目录。

小心: 创建目录后,无法更改身份提供程序选择。在继续操作之前,请确保选择适当的身份提供程序。

过程

  1. 在向导的步骤 1 常规信息中,输入要用于 Workspace ONE 中已置备目录的名称。
    名称的最大长度为 128 个字符。仅允许使用以下字符:字母(a-z 或其他语言中的等效字符)、数字 (0-9)、空格、连字符 (-) 和下划线 (_)。
    重要说明: 创建目录后,无法更改该目录的名称。
  2. 对于域名,请输入源目录的主域名,包括扩展名,如 .com.net
    VMware Identity Services 当前仅支持一个域。置备的用户和组将与 Workspace ONE 服务中的这个域相关联。

    域名的最大长度为 100 个字符。仅允许使用以下字符:字母(a-z 或其他语言中的等效字符)、数字 (0-9)、空格、连字符 (-)、下划线 (_) 和句点 (.)。

    例如:

    在此示例中,目录名称为 Demo,域名为 example.com。
  3. 单击保存并确认您的选择。

下一步做什么

设置用户和组置备。

步骤 2:设置用户和组置备

VMware Identity Services 中创建目录后,可设置用户和组置备。您可以在 VMware Identity Services 中通过生成置备所需的管理员凭据来开始该过程,然后在 Microsoft Entra ID 中创建置备应用程序以将用户和组置备到 Workspace ONE。

前提条件

您在 Microsoft Entra ID 中拥有一个管理员帐户,且该帐户具有设置置备所需的权限。

过程

  1. 在 Workspace ONE Cloud 控制台中,创建目录后,查看并复制向导的步骤 2 配置 Microsoft Entra Enterprise 应用程序中生成的值。
    您需要这些值才能在 Microsoft Entra ID 中配置置备应用程序。
    • 租户 URLVMware Identity Services 租户的 SCIM 2.0 端点。复制值。
    • 令牌使用期限:密钥令牌的有效期限。

      默认情况下,VMware Identity Services 将生成使用期限为六个月的令牌。要更改令牌使用期限,请单击向下箭头,选择其他选项,然后单击重新生成以使用新值重新生成令牌。

      重要说明: 每当更新令牌使用期限时,以前的令牌将变为无效,并且从 Microsoft Entra ID 置备用户和组会失败。您必须重新生成新令牌,然后将新令牌复制并粘贴到 Microsoft Entra ID 应用程序。
    • 密钥令牌Microsoft Entra ID 将用户置备到 Workspace ONE 所需的令牌。单击复制图标以复制值。
      重要说明: 请确保先复制令牌,然后再单击 下一步。单击 下一步后,令牌将不再可见,您必须生成新的令牌。如果重新生成令牌,以前的令牌都将无效,并且置备将失败。确保将新令牌复制并粘贴到 Microsoft Entra ID 应用程序。

    例如:

    步骤 2 将显示一个租户 URL、一个 6 个月的令牌使用期限和一个密钥令牌。
    令牌即将过期时,Workspace ONE Cloud 控制台中将显示横幅通知。如果您还希望收到电子邮件通知,请确保为 Workspace ONE Access 和 Identity Services 的 密钥令牌过期设置选中 电子邮件复选框。您可以在 Workspace ONE Cloud 控制台的“通知设置”页面上找到此设置。
  2. Microsoft Entra ID 中创建置备应用程序。
    1. 登录到 Microsoft Entra 管理中心。
    2. 在左侧导航窗格中选择企业应用程序
    3. 在“企业应用程序”>“所有应用程序”页面上,单击 + 新建应用程序
      ""
    4. 在“浏览 Microsoft Entra 库”页面上的搜索框中输入 VMware Identity Service,然后从搜索结果中选择 VMware Identity Service 应用程序。
      ""
    5. 在显示的窗格中,输入置备应用程序的名称,然后单击创建
      例如:
      此示例会创建一个名为“VMware Identity Service - Demo”的新应用程序。
      创建应用程序后,将显示应用程序的“概览”页面。
    6. 管理菜单中选择置备,然后单击开始
      ""
    7. 在“置备”页面上,将置备模式设置为自动
      “置备模式”选项包含“手动”和“自动”。选择“自动”
    8. 管理员凭据下,输入从 Workspace ONE VMware Identity Services 向导的配置 Microsoft Entra Enterprise 应用程序步骤复制的令牌 URL 和密钥令牌。
      例如:
      置备模式为“自动”。“租户 URL”和“密钥令牌”文本框包含从 Workspace ONE 复制的值。
    9. 单击测试连接
    10. 确保显示以下消息: 
      提供的凭据已被授权启用置备。

      如果收到错误:

      • 确认您从 VMware Identity Services 向导中正确复制并粘贴了租户 URL。
      • VMware Identity Services 向导中重新生成密钥令牌,然后重新将其复制并粘贴到应用程序中。

      然后,再次单击测试连接

    11. 单击保存以保存应用程序。

下一步做什么

返回到 Workspace ONE Cloud 控制台以继续执行 VMware Identity Services 向导。

步骤 3:映射 SCIM 用户属性

将要从 Microsoft Entra ID 同步的用户属性映射到 Workspace ONE 服务。在 Microsoft Entra 管理中心,添加 SCIM 用户属性并将其映射到 Microsoft Entra ID 属性。至少,同步 VMware Identity Services 和 Workspace ONE 服务所需的属性。

VMware Identity Services 和 Workspace ONE 服务需要以下 SCIM 用户属性:

Microsoft Entra ID 属性 SCIM 用户属性(必需)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
注: 该表显示了所需的 SCIM 属性与 Microsoft Entra ID 属性之间的典型映射。您可以将 SCIM 属性映射到与此处列出的 Microsoft Entra ID 属性不同的属性。但是,如果要通过 VMware Identity ServicesWorkspace ONE UEMMicrosoft Entra ID 集成,则必须将 externalId 映射到 objectId。

有关这些属性以及如何将其映射到 Workspace ONE 属性的详细信息,请参阅VMware Identity Services 的用户属性映射

除了必需属性外,您还可以同步可选属性和自定义属性。有关支持的可选属性和自定义属性列表,请参阅 VMware Identity Services 的用户属性映射

过程

  1. 在 Workspace ONE Cloud 控制台中,在向导的步骤 3 映射 SCIM 用户属性中,查看 VMware Identity Services 支持的属性列表。
  2. 在 Microsoft Entra 管理中心,导航到您创建的置备应用程序,以将用户置备到 VMware Identity Services
  3. 管理菜单中,选择置备
  4. 管理置备下,单击编辑属性映射

    ""
  5. 在“置备”页面上的映射部分中,进行以下选择。
    • 置备 Azure Active Directory 组设置为
    • 置备 Azure Active Directory 用户设置为
    • 置备状态设置为打开

    ""
  6. 单击置备 Azure Active Directory 用户链接。
  7. 在“属性映射”页面上,指定 Microsoft Entra ID 属性与 SCIM 属性(VMware Identity Services 属性)之间的必需属性映射。
    默认情况下,必需属性包含在“属性映射”表中。根据需要查看并更新映射。
    重要说明: 如果要通过 VMware Identity ServicesWorkspace ONE UEMMicrosoft Entra ID 集成,则必须将 externalId 映射到 objectId。

    要更新映射,请执行以下操作:

    1. 单击属性映射表中的属性。
    2. 编辑映射。对于源属性,请选择 Microsoft Entra ID 属性;对于目标属性,请选择 SCIM 属性(VMware Identity Services 属性)。

      例如:


      选择 objectId 作为源属性,并选择 externalId 作为目标属性。
  8. 如果需要,请映射 VMware Identity Services 和 Workspace ONE 服务支持的可选用户属性。
    • 部分可选属性已显示在“属性映射”表中。如果属性显示在表中,请单击该属性以编辑映射。否则,请单击添加新映射并指定映射。对于源属性,请选择 Microsoft Entra ID 属性;对于目标属性,请选择 SCIM 属性。
      例如:
      “源属性”是 department。“目标属性”是 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division。
    • 要添加属于 VMware Identity Services 架构扩展的属性(路径中包含 urn:ietf:params:scim:schemas:extension:ws1b: 的属性),请单击添加新映射,然后指定该属性的映射。对于源属性,请选择 Microsoft Entra ID 属性;对于目标属性,请选择 SCIM 属性。
    请参阅 VMware Identity Services 的用户属性映射VMware Identity Services 支持的可选 SCIM 属性列表,以及如何将其映射到 Workspace ONE 属性。
  9. 如果需要,请映射 VMware Identity Services 和 Workspace ONE 服务支持的自定义用户属性。
    1. 在“属性映射”页面上,单击添加新映射
    2. 指定映射。对于源属性,请选择 Microsoft Entra ID 属性;对于目标属性,请选择 VMware Identity Services 自定义属性。VMware Identity Services 自定义属性名为 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#VMware Identity Services 最多支持五个自定义属性。
      例如:
      “源属性”是 employeeHireDate,“目标属性”是 VMware Identity Services customAttribute1。
    请参阅 VMware Identity Services 的用户属性映射VMware Identity Services 支持的自定义 SCIM 属性列表,以及如何将它们映射到 Workspace ONE 属性。

下一步做什么

返回到 Workspace ONE Cloud 控制台以继续执行 VMware Identity Services 向导。

步骤 4:选择身份验证协议

Workspace ONE Cloud 控制台中,选择要用于联合身份验证的协议。VMware Identity Services 支持 OpenID Connect 和 SAML 协议。

小心: 请谨慎做出选择。选择协议并配置身份验证后,如果不删除目录,则无法更改协议类型。

过程

  1. VMware Identity Services 向导的步骤 4 选择身份验证协议中,选择 OpenID ConnectSAML
  2. 单击下一步
    此时将显示向导的下一步,其中包含用于配置所选协议所需的值。

下一步做什么

配置 VMware Identity Services 和身份提供程序以进行联合身份验证。

步骤 5:配置身份验证

要使用 Microsoft Entra ID 配置联合身份验证,请使用 VMware Identity Services 中的服务提供程序元数据在 Microsoft Entra ID 中设置 OpenID Connect 或 SAML 应用程序,并使用应用程序中的值配置 VMware Identity Services

OpenID Connect

如果选择 OpenID Connect 作为身份验证协议,请执行以下步骤。

  1. VMware Identity Services 向导的步骤 5 配置 OpenID Connect,复制重定向 URI 值。

    您在下一步,也就是在 Microsoft Entra 管理中心创建 OpenID Connect 应用程序时需要使用此值。


    “重定向 URI”值旁边有一个复制图标。
  2. 在 Microsoft Entra 管理中心,导航到企业应用程序 > 应用程序注册
    ""
  3. 单击新建注册
  4. 注册应用程序页面中,输入应用程序的名称。
  5. 对于重定向 URI,请选择 Web,然后复制并粘贴从 VMware Identity Services 向导的配置 OpenID Connect 部分复制的重定向 URI 值。

    例如:


    ""
  6. 单击注册

    此时将显示已成功创建应用程序 name

  7. 为应用程序创建客户端密钥。
    1. 单击客户端凭据: 添加证书或密钥链接。
    2. 单击 + 新建客户端密钥
    3. 添加客户端密钥窗格中,输入密钥的描述和到期时间。
    4. 单击添加

      此时会生成密钥,并且该密钥将显示在客户端密钥选项卡上。

    5. 单击密钥值旁边的复制图标以复制该值。

      如果在没有复制密钥的情况下离开页面,则必须生成新的密钥。

      您将在 VMware Identity Services 向导的后续步骤中输入密钥。


      “证书和密钥”页面将密钥显示在“客户端密钥”选项卡中。
  8. 授予应用程序调用 VMware Identity Services API 的权限。
    1. 管理下,选择 API 权限
    2. 单击organization 授予管理员同意,然后单击确认框中的
  9. 复制客户端 ID。
    1. 从应用程序页面的左侧窗格中,选择概览
    2. 复制应用程序 (客户端) ID 值。

      您将在 VMware Identity Services 向导的后续步骤中输入该客户端 ID。


      “应用程序 (客户端) ID”值位于“概要”部分中,旁边有一个复制图标。
  10. 复制 OpenID Connect 元数据文档值。
    1. 在应用程序“概览”页面上,单击端点
    2. 端点窗格中,复制 OpenID Connect 元数据文档值。
      ""

    您将在 VMware Identity Services 向导的下一步中输入该客户端 ID。

  11. 在 Workspace ONE Cloud 控制台中返回到 VMware Identity Services 向导,然后完成配置 OpenID Connect 部分中的配置。
    应用程序 (客户端) ID 粘贴从 Microsoft Entra ID OpenID Connect 应用程序复制的应用程序(客户端)ID 值。
    客户端密钥 粘贴从 Microsoft Entra ID OpenID Connect 应用程序复制的客户端密码。
    配置 URL 粘贴从 Microsoft Entra ID OpenID Connect 应用程序复制的 OpenID Connect 元数据文档值。
    OIDC 用户标识符属性 将电子邮件属性映射到 Workspace ONE 属性以进行用户查找。
    Workspace ONE 用户标识符属性 指定要映射到 OpenID Connect 属性的 Workspace ONE 属性以进行用户查找。
  12. 单击完成以完成 VMware Identity ServicesMicrosoft Entra ID 之间的集成设置。

SAML

如果选择 SAML 作为身份验证协议,请执行以下步骤。

  1. 从 Workspace ONE Cloud 控制台获取服务提供程序元数据。

    VMware Identity Services 向导的步骤 5 配置 SAML 单点登录中,复制或者下载 SAML 服务提供程序元数据


    ""
    注: 使用元数据文件时,无需分别复制并粘贴 实体 ID单点登录 URL签名证书值。
  2. Microsoft Entra ID 中配置应用程序。
    1. 在 Microsoft Entra 管理中心,选择左侧窗格中的企业应用程序
    2. 搜索并选择您在 步骤 2:设置用户和组置备 中创建的置备应用程序。
    3. 管理菜单中,选择单点登录
    4. 选择 SAML 作为单点登录方法。
      ""
    5. 单击上载元数据文件,选择从 Workspace ONE Cloud 控制台复制的元数据文件,然后单击添加
      “上载元数据文件”选项位于“使用 SAML 设置单点登录”页面的顶部。
    6. 基本 SAML 配置窗格中,验证以下值:
      • 标识符 (实体 ID) 值应与 VMware Identity Services 向导的步骤 5 中显示的实体 ID 值相匹配。

        例如:https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • 回复 URL (断言使用者服务 URL) 值应与 VMware Identity Services 向导的步骤 5 中显示的单点登录 URL 值相匹配。

        例如:https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Microsoft Entra ID 获取联合元数据。
    1. Microsoft Entra ID 内的 SAML 应用程序中,滚动到 SAML 证书部分。
    2. 单击联合元数据 XML 下载链接以下载元数据。
      ""
  4. 在 Workspace ONE Cloud 控制台中,将联合元数据从 Microsoft Entra ID 下载的文件复制并粘贴到 VMware Identity Services 向导步骤 5 的身份提供程序元数据文本框中。
    在向导的步骤 5 中,“身份提供程序元数据”文本框显示联合元数据 XML。
  5. 配置 SAML 单点登录部分中,配置其余选项。
    • 绑定协议:选择 SAML 绑定协议(HTTP POSTHTTP 重定向)。
    • 名称 ID 格式:使用名称 ID 格式名称 ID 值设置在 Microsoft Entra ID 与 VMware Identity Services 之间映射用户。对于名称 ID 格式,请指定 SAML 响应中使用的名称 ID 格式。
    • 名称 ID 值:选择要将 SAML 响应中收到的名称 ID 值映射到的 VMware Identity Services 用户属性。
    • 高级选项 > 使用 SAML 单点注销:如果您想要在用户注销 Workspace ONE 服务后注销其身份提供程序会话,请选择此选项。
  6. 单击完成以完成 VMware Identity ServicesMicrosoft Entra ID 之间的集成设置。

结果

已完成 VMware Identity ServicesMicrosoft Entra ID 之间的集成。

VMware Identity Services 中创建了目录,当您从 Microsoft Entra ID 中的置备应用程序推送用户和组时,将填充该目录。已置备的用户和组将自动显示在您选择与 Microsoft Entra ID 集成的 Workspace ONE 服务中,例如 Workspace ONE Access 和 Workspace ONE UEM

您无法在 Workspace ONE Access 控制台和 Workspace ONE UEM Console 中编辑目录。目录、用户、用户组、用户属性和身份提供程序页面为只读。

后续步骤

接下来,选择要将用户和组置备到的 Workspace ONE 服务

如果 Workspace ONE UEM 是您选择的服务之一,请在 Workspace ONE UEM Console 中配置其他设置

然后,从 Microsoft Entra ID 置备应用程序推送用户和组。请参阅将用户置备到 Workspace ONE