In diesem Schritt richten Sie einen Verbund mit dem Unternehmensidentitätsanbieter ein und konfigurieren die Identitätsanbietereinstellungen auf dem für Ihr Unternehmen erstellten Workspace ONE Access tenant en.

Sie können einen beliebigen SAML 2.0-konformen externen Identitätsanbieter verwenden, um einen Unternehmensverbund mit VMware Cloud services einzurichten. Die einfache Einrichtung ist im Rahmen des Self-Service-Verbund-Workflows für die folgenden Anbieter verfügbar: Okta, PingIdentity, Microsoft Active Directory Federation Services (ADFS), OneLogin und Azure Active Directory.
Hinweis: Wenn Sie Azure Active Directory für den Unternehmensverbund mit VMware Cloud Services konfigurieren möchten, müssen Sie den sAMAccountName für die zusätzliche Gruppenbeanspruchung ausgewählt haben. Nach der Aktivierung der Verbundeinrichtung müssen Gruppendetails abgerufen werden.

Um einen anderen nicht in dieser Liste enthaltenen SAML 2.0-kompatiblen externen Identitätsanbieter zu konfigurieren, wählen Sie Andere.

In diesem Beispiel verwendet ACME Enterprise Okta. Als Unternehmensadministrator, der den Verbund für ACME einrichtet, sind Sie für die Konfiguration von Okta zuständig
Hinweis: Wenn Ihr Identitätsanbieter das Senden von Gruppeninformationen in der SAML-Antwort unterstützt, können Sie Gruppenattribute zu Ihrer Verbundeinrichtung hinzufügen.

Voraussetzungen

In diesem Schritt müssen Sie die Benutzeridentifikationseinstellung festlegen – wie sich Benutzer des Unternehmens identifizieren sollen, wenn sie über die Cloud Services-Erkennungsseite auf VMware Cloud Services zugreifen. Die verfügbaren Optionen sind E-Mail, Benutzerprinzipalname (User Principal Name, UPN) und User@Domain. Wenn Sie User@Domain als Benutzeridentifikationseinstellung für Ihr Unternehmen festlegen möchten, müssen Sie die folgende Einschränkung beachten.
Einschränkung: Sobald der Identitätsanbieter mit der Identifikationseinstellung User@Domain konfiguriert ist, können Sie nicht mehr zu Schritt 1: Domänen überprüfen zurückkehren und während der Einrichtung weitere Domänen hinzufügen. Sie müssen alle Domänen hinzufügen, aus denen Sie einen Verbund bilden möchten, bevor Sie diesen Schritt des Workflows „Self-Service-Verbund“ starten. Wenn Sie nach Abschluss dieses Schritts eine weitere Domäne hinzufügen möchten, müssen Sie ein Support-Ticket einreichen.

Prozedur

  1. Klicken Sie im Bereich Identitätsanbieter konfigurieren der Seite Unternehmensverbund einrichten auf Starten.
    Daraufhin wird der Bereich Identitätsanbieter auswählen angezeigt.
  2. Klicken Sie in der Liste der verfügbaren externen Identitätsanbieter auf Okta.
  3. Klicken Sie auf Weiter.
    Der Bereich SAML innerhalb Ihres Identitätsanbieters einrichten wird erweitert.
  4. Klicken Sie auf den Link Metadaten des SAML-Dienstanbieters anzeigen und laden Sie die Metadatendatei herunter.
    Wenn der Identitätsanbieter ein URL-Format unterstützt, können Sie auch die Metadaten-URL kopieren. Sie verwenden die Metadatendatei oder URL, um den Identitätsanbieter für die Einrichtung einer Vertrauensstellung mit dem Workspace ONE Access tenanten zu konfigurieren.
  5. Kopieren Sie die Single Sign-On-URL und den Pfad des Zielgruppen-URI.
  6. Öffnen Sie die Administratorkonsole des Identitätsanbieters.
    1. Fügen Sie die Single Sign-On-URL und den Zielgruppen-URI ein, die bzw. den Sie im vorherigen Schritt kopiert haben.
    2. Laden Sie die in Schritt 4 heruntergeladene Metadatendatei hoch.
    3. Kopieren Sie die für den Identitätsanbieter konfigurierte Namens-ID und bewahren Sie sie zur späteren Bezugnahme auf.
    4. Laden Sie die Metadatendatei des Identitätsanbieters herunter.
  7. Wenn Sie mit der Konfiguration des Identitätsanbieters fertig sind, kehren Sie zum Self-Service-Verbund-Workflow zurück, erweitern den Bereich SAML innerhalb Ihres Identitätsanbieters einrichten und klicken auf Weiter.
    Daraufhin wird der Bereich Identitätsanbieter konfigurieren des Workflows erweitert.
  8. Um den Identitätsanbieter auf dem Workspace ONE Access tenanten zu konfigurieren, geben Sie Folgendes an:
    1. Geben Sie in das Textfeld „Anzeigename des Identitätsanbieters“ einen benutzerfreundlichen Namen für den Identitätsanbieter ein.
      Dieser Name wird den Benutzern von VMware Cloud services beim An- und Abmelden angezeigt.
    2. Geben Sie in das Textfeld „Metadaten“ die Metadaten-URL des Identitätsanbieters ein, oder wählen Sie XML aus und fügen Sie die XML-Datei mit den Metadaten des Identitätsanbieters ein.
      Die Validierung der Metadaten wird automatisch gestartet. Wenn die Validierung abgeschlossen ist, zeigt ein grünes Kontrollkästchensymbol an, dass die Datei erfolgreich gelesen und analysiert wurde. Wenn bei der Validierung ein Fehler zurückgegeben wird, überprüfen Sie, ob die eingegebene URL korrekt ist. Stellen Sie sicher, dass in der Metadaten-XML-Datei für den Identitätsanbieter keine zusätzlichen Leerstellen oder Zeichen enthalten sind.
    3. Wählen Sie im Dropdown-Menü das Format der Namens-ID aus.
      Das Format der Namens-ID ist der Wert in der SAML-Antwort, mit dem der Benutzer authentifiziert wird.
    4. Wählen Sie im Dropdown-Menü die Option Format der Namens-ID bzw. Wert der Namens-ID aus, je nachdem, was auf den Identitätsanbieter zutrifft.
      Die Authentifizierungsmethode wird automatisch ausgefüllt.
    5. Wählen Sie im Dropdown-Menü „SAML-Kontext“ den Typ der Benutzerauthentifizierung für den Identitätsanbieter aus.
    6. Klicken Sie auf Weiter.
      Der Abschnitt Benutzerattribute wird erweitert, um eine Liste der obligatorischen und nicht obligatorischen Benutzerattribute anzuzeigen, nach denen Sie in der SAML-Antwort Ihres Identitätsanbieters suchen können.
  9. (Optional) Um ein benutzerdefiniertes Benutzerattribut hinzuzufügen, das nicht in der Liste enthalten ist, klicken Sie auf Benutzerattribut hinzufügen und geben Sie einen Wert ein, der genau seinem Namen auf Ihrem Identitätsanbieter entspricht.
  10. Klicken Sie auf Weiter. Abschnitt Gruppenattribute des Workflows.
    Wenn Sie Ihre Einrichtung mit einem Identitätsanbieter angegeben haben, der Gruppenattribute in der SAML-Antwort unterstützt, wird der Abschnitt Gruppenattribute des Workflows erweitert, wo Sie ein Gruppenattribut und Gruppennamen hinzufügen, die in der SAML-Anforderung aufgerufen werden sollen.
  11. (Optional) Wählen Sie im Dropdown-Menü ein Gruppenattribut und Gruppennamen aus.
  12. Wählen Sie im Bereich Benutzeridentifikationseinstellung festlegen aus, wie sich Benutzer des Unternehmens identifizieren sollen, wenn sie über die Cloud Services-Erkennungsseite auf VMware Cloud Services zugreifen.
    Die Benutzeridentifikation unterscheidet sich von der Authentifizierung des Benutzers beim Unternehmensidentitätsanbieter.
    Wichtig: Wenn Sie Username@Domain als Identifikationseinstellungsoption auswählen, muss das Attribut Domain in der SAML-Antwort vorhanden sein, wenn er sich bei VMware Cloud services anmeldet.
  13. Klicken Sie auf Konfigurieren.

Ergebnisse

In diesem Schritt haben Sie der Konfiguration des Workspace ONE Access-Mandanten den Identitätsanbieter hinzugefügt, den Workspace ONE Access-Mandanten als Dienstanbieter für den Identitätsanbieter konfiguriert, den Wert zur Identifizierung des Benutzers in der SAML-Antwort ausgewählt und die Authentifizierungsmethode zur Authentifizierung des Benutzers beim Identitätsanbieter festgelegt.

Nächste Maßnahme

Validieren Sie die Anmeldung beim Identitätsanbieter und aktivieren Sie den Verbund.