为 Workspace ONE 租户启用 VMware Identity Services 后,可设置与 Okta 的集成。

  1. VMware Identity Services“入门”向导中,单击步骤 2 集成基于 SCIM 2.0 的身份提供程序中的开始按钮。""
  2. 单击 Okta 卡上的设置

    ""

  3. 按照向导设置与 Okta 的集成。

步骤 1:创建目录

使用 VMware Identity Services 设置用户置备和身份联合的第一步是,在 Workspace ONE Cloud 控制台中为通过 Okta 置备的用户和组创建一个目录。

小心: 创建目录后,无法更改身份提供程序选择。在继续操作之前,请确保选择适当的身份提供程序。

过程

  1. 在向导的步骤 1 常规信息中,输入要用于 Workspace ONE 中已置备目录的名称。
    名称的最大长度为 128 个字符。仅允许使用以下字符:字母(a-z 或其他语言中的等效字符)、数字 (0-9)、空格、连字符 (-) 和下划线 (_)。
    重要说明: 创建目录后,无法更改该目录的名称。
  2. 对于域名,请输入源目录的主域名,包括扩展名,如 .com.net
    VMware Identity Services 当前仅支持一个域。置备的用户和组将与 Workspace ONE 服务中的这个域相关联。

    域名的最大长度为 100 个字符。仅允许使用以下字符:字母(a-z 或其他语言中的等效字符)、数字 (0-9)、空格、连字符 (-)、下划线 (_) 和句点 (.)。

    例如:

    在此示例中,目录名称为 Demo,域名为 example.com。
  3. 单击保存并确认您的选择。

下一步做什么

设置用户和组置备。

设置用户和组置备 (Okta)

VMware Identity Services 中创建目录后,可设置用户和组置备。您可以在 VMware Identity Services 中通过生成置备所需的管理员凭据来开始该过程,然后在 Okta 中创建置备应用程序以将用户和组置备到 Workspace ONE。

前提条件

您在 Okta 中拥有一个管理员帐户,且该帐户具有设置置备所需的权限。

过程

  1. 在 Workspace ONE Cloud 控制台中,创建目录后,查看并复制向导的步骤 2 配置 Okta 应用程序中生成的值。
    您需要这些值才能在 Okta 中配置置备应用程序。
    • 租户 URLVMware Identity Services 租户的 SCIM 2.0 端点。复制值。
    • 令牌使用期限:密钥令牌的有效期限。

      默认情况下,VMware Identity Services 将生成使用期限为六个月的令牌。要更改令牌使用期限,请单击向下箭头,选择其他选项,然后单击重新生成以使用新值重新生成令牌。

      重要说明: 每当更新令牌使用期限时,以前的令牌将变为无效,并且从 Okta 置备用户和组会失败。您必须重新生成新令牌,然后将新令牌复制并粘贴到 Okta 应用程序。
    • 密钥令牌:Okta 将用户置备到 Workspace ONE 所需的令牌。单击复制图标以复制值。
      重要说明: 请确保先复制令牌,然后再单击 下一步。单击 下一步后,令牌将不再可见,您必须生成新的令牌。如果重新生成令牌,以前的令牌都将无效,并且置备将失败。确保将新令牌复制并粘贴到 Okta 应用程序。

    例如:

    租户 URL 采用 https://FQDN/usergroup/scim/v2 形式,令牌使用期限为 12 个月。

    令牌即将过期时,Workspace ONE Cloud 控制台中将显示横幅通知。如果您还希望收到电子邮件通知,请确保为 Workspace ONE Access 和 Identity Services 的 密钥令牌过期设置选中 电子邮件复选框。您可以在 Workspace ONE Cloud 控制台的“通知设置”页面上找到此设置。
  2. 在 Okta 中创建置备应用程序。
    1. 登录到 Okta 管理控制台。
    2. 在左侧导航窗格中,选择应用程序 > 应用程序
    3. 单击浏览应用程序目录
    4. 搜索 SCIM 2.0 测试应用 (OAuth 持有者令牌)
    5. 在应用程序页面中,单击添加集成
    6. 添加 SCIM 2.0 测试应用 (OAuth 持有者令牌) 页面的常规设置选项卡中,在应用程序标签文本框中输入应用程序的名称。例如,VMware Identity Services - SCIM
      示例应用程序命名为 VMware Identity Services - SCIM。
    7. 单击下一步
    8. 登录选项选项卡中,单击页面底部的完成
      此时会显示应用程序页面。
    9. 在应用程序页面中,选择置备选项卡。
    10. 单击配置 API 集成
      ""
    11. 选中启用 API 集成复选框。
    12. 通过从 VMware Identity Services 向导中复制并粘贴信息来完成“集成”部分。
      1. 从 VMware Identity Services 向导复制租户 URL 值,并将其粘贴到 Okta 管理控制台的 SCIM 2.0 基本 URL 文本框中。
      2. 从 VMware Identity Services 向导复制密钥令牌值,并将其粘贴到 Okta 管理控制台的 OAuth 持有者令牌文本框中。
      3. 单击测试 API 凭据按钮以测试连接。
        ""
      4. 确保您看到已成功验证 SCIM 2.0 测试应用 (OAuth 持有者令牌)! 消息,然后再继续。
      5. 单击保存

        此时将显示“置备到应用程序”页面。

    13. 在“置备到应用程序”页面中,单击编辑,然后为以下选项选择启用
      • 创建用户
      • 更新用户属性
      • 取消激活用户
      ""
    14. 单击保存

下一步做什么

返回到 Workspace ONE Cloud 控制台以继续执行 VMware Identity Services 向导。

步骤 3:映射 SCIM 用户属性

将要从 Okta 同步的用户属性映射到 Workspace ONE 服务。在 Okta 管理控制台中,添加所需的 SCIM 用户属性,并将其映射到您的 Okta 属性。至少,同步 VMware Identity Services 和 Workspace ONE 服务所需的属性。

VMware Identity Services 和 Workspace ONE 服务需要以下 SCIM 用户属性:

Okta 属性 SCIM 用户属性(必需)
userName userName
user.email emails[type eq "work"].value
user.firstName name.givenName
user.lastName name.familyName
externalId externalId
active active
注: 下表显示了所需的 SCIM 属性与 Okta 属性之间的典型映射。您可以将 SCIM 属性映射到与此处列出的 Okta 属性不同的属性。

有关这些属性以及将其映射到 Workspace ONE 属性的更多信息,请参阅VMware Identity Services 的用户属性映射

除了必需属性外,您还可以同步可选属性和自定义属性。有关支持的可选属性和自定义属性列表,请参阅 VMware Identity Services 的用户属性映射

重要说明: 您无法在 Okta 中指定要同步到 VMware Identity Services 的组属性映射。您只能映射用户属性。

过程

  1. 在 Workspace ONE Cloud 控制台中,在 VMware Identity Services 向导的步骤 3 映射 SCIM 用户属性中,查看 VMware Identity Services 支持的属性列表。
  2. 在 Okta 管理控制台,导航到您创建的置备应用程序,以将用户置备到 VMware Identity Services
  3. 选择置备选项卡。
  4. 滚动到 AppName 属性映射部分,然后单击转到配置文件编辑器
  5. 在“配置文件编辑器”页面中的属性下,单击映射
    ""
  6. 选择 Okta 用户到 AppName 选项卡。
    ""
  7. 将所需的 SCIM 用户属性映射到 Okta 属性,然后单击保存映射
    注: 将隐式设置 externalId 属性。
  8. 根据需要添加并映射可选和自定义 SCIM 用户属性。
    要添加自定义属性,请执行以下操作:
    1. VMware Identity Services 向导的步骤 3:映射 SCIM 用户属性中,单击显示更多属性链接。
      自定义属性部分列出了您可以在 Okta 中添加为自定义属性的 SCIM 属性。 VMware Identity Services 自定义属性名为 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#VMware Identity Services 最多支持五个自定义属性。
      ""
    2. 在 Okta 管理控制台的“配置文件编辑器”页面上,单击 + 添加属性
      ""
    3. 添加属性窗口中,输入以下信息:
      显示名称:输入属性的显示名称。例如, customAttribute3

      变量名称:输入 VMware Identity Services 向导中属性名称。例如,customAttribute3

      外部名称:输入 VMware Identity Services 向导中属性名称。例如,customAttribute3

      外部命名空间:输入 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User。您也可以从 VMware Identity Services 向导中列出的任何自定义 SCIM 属性中复制此值。复制不带 :customAttribute# 后缀的 SCIM 属性名称。


      ""

      例如:


      ""
    4. 单击保存
      新的自定义属性将显示在 属性表中。
    5. 单击映射,然后选择 Okta 用户到 AppName 选项卡。
    6. 在右侧列中找到新的自定义属性,然后选择要将其映射到的属性。
      例如:
      将 customAttribute3 映射到 user.title。
    7. 单击保存映射
    8. 单击立即应用更新

下一步做什么

返回到 Workspace ONE Cloud 控制台以继续执行 VMware Identity Services 向导。

步骤 4:选择身份验证协议

选择要用于联合身份验证的协议。VMware Identity Services 支持 OpenID Connect 和 SAML 协议。

小心: 请谨慎做出选择。选择协议并配置身份验证后,如果不删除目录,则无法更改协议类型。

过程

  1. 在向导的步骤 4 选择身份验证协议中,选择 OpenID ConnectSAML
  2. 单击下一步
    此时将显示向导的下一步,其中包含用于配置所选协议所需的值。

下一步做什么

配置 VMware Identity Services 和 Okta 以进行联合身份验证。

步骤 5:配置身份验证 (Okta)

要使用 Okta 配置联合身份验证,请使用 VMware Identity Services 中的服务提供程序元数据在 Okta 中设置 OpenID Connect 或 SAML 应用程序,并使用应用程序中的值配置 VMware Identity Services

重要说明: 确保在 Okta 管理控制台中为用户置备和身份提供程序配置创建单独的应用程序。您不能使用同一个应用程序进行用户置备和身份验证。

OpenID Connect

如果选择 OpenID Connect 作为身份验证协议,请执行以下步骤。
注: 另请参阅 Okta 文档 创建 OIDC 应用程序集成,以了解其他信息和参考最新的用户界面。
  1. VMware Identity Services 向导的步骤 5 配置 OpenID Connect,复制重定向 URI 值。

    在 Okta 管理控制台中创建 OpenID Connect 应用程序后,您需要在下一步中使用此值。

    ""
  2. 在 Okta 中创建 OpenID Connect 应用程序。
    1. 在 Okta 管理控制台中,选择左侧窗格中的应用程序 > 应用程序,然后单击创建应用程序集成
    2. 创建新应用程序集成窗口中,选择 OIDC - OpenID Connect
    3. 对于应用程序类型,请选择 Web 应用程序,然后单击下一步
    4. 在“新建 Web 应用程序集成”页面中,指定以下值。

      应用程序集成名称:输入应用程序的名称。

      授权类型:选择授权代码

      登录重定向 URI:复制并粘贴从 VMware Identity Services 向导的步骤 5 中复制的重定向 URI 值。

      分配 - 受控访问:您可以选择立即将应用程序分配给组,也可以稍后进行分配。

      例如:

      ""
    5. 单击保存
  3. 查找 Okta OpenID Connect 应用程序的客户端 ID 和客户端密钥。
    1. 选择常规选项卡。
    2. 查找客户端 ID客户端密钥值。
      ""

    您将在下一步中使用这些值。

  4. 在 Workspace ONE Cloud 控制台中返回到 VMware Identity Services 向导,然后完成配置 OpenID Connect 部分中的配置。
    客户端 ID 复制并粘贴 Okta OpenID Connect 应用程序中的客户端 ID 值。
    客户端密钥 复制并粘贴 Okta OpenID Connect 应用程序中的客户端密钥值。
    配置 URL 复制并粘贴 Okta 应用程序的 OpenID Connect 已知配置 URL。例如:https://yourOktaOrg/.well-known/openid-configuration
    OIDC 用户标识符属性 指定要映射到 Workspace ONE 属性的 OpenID Connect 属性以进行用户查找。
    Workspace ONE 用户标识符属性 指定要映射到 OpenID Connect 属性的 Workspace ONE 属性以进行用户查找。
    ""
  5. 单击完成以完成设置 VMware Identity Services 与 Okta 之间的集成。

SAML

如果选择 SAML 作为身份验证协议,请执行以下步骤。

重要说明: 确保为身份提供程序配置创建新应用程序。您不能使用同一个应用程序进行用户置备和身份验证。
  1. 在 Okta 中创建 SAML 应用程序。
    1. 在 Okta 管理控制台中,选择应用程序 > 应用程序,然后单击创建应用程序集成
      ""
    2. 创建新应用程序集成窗口中,选择 SAML 2.0,然后单击下一步
    3. 创建 SAML 集成窗口的常规设置选项卡中,在应用程序名称文本框中输入 SAML 应用程序的名称,然后单击下一步
    4. 在新应用程序的配置 SAML 选项卡中,复制并粘贴 VMware Identity Services 中的值。
      • 复制 VMware Identity Services 向导步骤 5 中的单点登录 URL 值,并将其粘贴到 SAML 设置下的单点登录 URL 文本框中。
      • 复制 VMware Identity Services 向导步骤 5 中的实体 ID 值,并将其粘贴到受众 URI (SP 实体 ID) 文本框中。
      图 1. VMware Identity Services 步骤 5
      ""
      图 2. Okta SAML 应用程序
      ""
    5. 名称 ID 格式选择一个值。
    6. 单击显示高级设置,对于签名证书选项,请上载 VMware Identity Services 向导步骤 5 中的签名证书
    7. 单击下一步,完成应用程序设置。
  2. 从 Okta 获取联合元数据。
    1. 创建应用程序后,在登录选项卡上,单击右侧窗格中的查看 SAML 设置说明
    2. 可选部分下,复制步骤 1: 向 SP 提供程序提供以下 IDP 元数据文本框中的元数据。
      ""
  3. 在 Workspace ONE Cloud 控制台中,在 VMware Identity Services 向导的步骤 5 中,将元数据粘贴到身份提供程序元数据文本框中。
    ""
  4. 配置 SAML 单点登录部分中,根据需要配置其余选项。
    • 绑定协议:选择 SAML 绑定协议(HTTP POSTHTTP 重定向)。
    • 名称 ID 格式:使用名称 ID 格式名称 ID 值设置在身份提供程序与 VMware Identity Services 之间映射用户。对于名称 ID 格式,请指定 SAML 响应中使用的名称 ID 格式。
    • 名称 ID 值:选择要将 SAML 响应中收到的名称 ID 值映射到的 VMware Identity Services 用户属性。
    • 在 SAML 请求中发送主体 (如果可用):如果要将主体作为登录提示发送到身份提供程序以改善用户登录体验(如果可用),请选择此选项。
    • 将名称 ID 格式映射用于主体:如果要将名称 ID 格式名称 ID 值映射应用于 SAML 请求中的主体,请选择此选项。此选项与在 SAML 请求中发送主体 (如果可用) 选项一起使用。
      小心: 启用此选项可能会增加发生用户枚举安全漏洞的风险。
    • 使用 SAML 单点注销:如果您想要在用户注销 Workspace ONE 服务后注销其身份提供程序会话,请选择此选项。
    • 身份提供程序单点注销 URL:如果您的身份提供程序不支持 SAML 单点注销,则可以使用此选项指定用户注销 Workspace ONE 服务后要将其重定向到的 URL。如果使用此选项,还要选中使用 SAML 单点注销复选框。

      如果将此选项留空,则将使用 SAML 单点注销将用户重定向到身份提供程序。

    • 加密证书:如果您计划在 Okta 中启用 SAML 加密,请将此证书上载到 Okta SAML 应用程序。
  5. 单击完成以完成设置 VMware Identity Services 与 Okta 之间的集成。

结果

已完成 VMware Identity Services 与 Okta 之间的集成。

将在 VMware Identity Services 中创建目录,当您从 Okta 中的置备应用程序推送用户和组时,将填充该目录。已置备的用户和组将自动显示在您选择与 VMware Identity Services 一起使用的 Workspace ONE 服务中,例如 Workspace ONE AccessWorkspace ONE UEM

您无法在 Workspace ONE Access 控制台和 Workspace ONE UEM Console 中编辑目录。目录、用户、用户组、用户属性和身份提供程序页面为只读。

后续步骤

接下来,选择要将用户和组置备到的 Workspace ONE 服务。

然后,从 Okta 推送用户和组。请参阅将用户置备到 Workspace ONE