Durch Hinzufügen und Konfigurieren von Identitätsanbieter-Instanzen für Ihre VMware Identity Manager-Bereitstellung können Sie Hochverfügbarkeit bereitstellen, zusätzliche Benutzerauthentifizierungsmethoden unterstützen und höhere Flexibilität bei der Verwaltung des Benutzerauthentifizierungsvorgangs auf der Basis von Benutzer-IP-Adressbereichen erlangen.

Voraussetzungen

  • Konfigurieren Sie die Netzwerkbereiche, an die Sie diese Identitätsanbieter-Instanz zur Authentifizierung weiterleiten möchten. Siehe Hinzufügen oder Bearbeiten eines Netzwerkbereichs.

  • Zugriff auf das externe Metadatendokument. Es kann sich dabei um die URL zu den Metadaten oder die eigentlichen Metadaten handeln.

Prozedur

  1. Wählen Sie in der Verwaltungskonsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ Verwalten > Identitätsanbieter.
  2. Klicken Sie auf Identitätsanbieter hinzufügen und wählen Sie Dritt-Identitätsanbieter erstellen aus. Bearbeiten Sie die Einstellungen für die Identitätsanbieter-Instanz.
  3. Bearbeiten Sie die Einstellungen für die Identitätsanbieter-Instanz.

    Formularelement

    Beschreibung

    Name des Identitätsanbieters

    Geben Sie einen Namen für diese Identitätsanbieter-Instanz ein.

    SAML-Metadaten

    Fügen Sie das IdPs XML-basierte Metadatendokument Dritter hinzu, um Vertrauen zum Identitätsanbieter aufzubauen.

    1. Geben Sie die SAML-Metadaten-URL oder den xml-Inhalt in das Textfeld ein.

    2. Klicken Sie auf Metadaten für Identitätsanbieter verarbeiten. Die von IdP unterstützten Formate der Namens-ID werden aus den Metadaten extrahiert und der Tabelle mit den Formaten der Namens-ID hinzugefügt.

    3. Wählen Sie in der Spalte mit dem Wert der Namens-ID das Benutzerattribut des Dienstes aus, das den angezeigten ID-Formaten zugeordnet werden soll. Sie können benutzerdefinierte externe Namens-ID-Formate hinzufügen und den Benutzerattributwerten im Dienst zuordnen.

    4. (Optional) Wählen Sie das Zeichenfolgenformat für den NameIDPolicy-Antwortbezeichner aus.

    Just-in-Time-Bereitstellung

    Konfigurieren Sie die Just-in-Time-Bereitstellung für eine dynamische Erstellung von Benutzern im Identity Manager-Dienst bei der ersten Anmeldung. Es wird dann ein JIT-Verzeichnis erstellt und der Benutzer mit den Attributen der SAML-Assertion im Dienst angelegt. Siehe Just-in-Time-Benutzerbereitstellung.

    Benutzer

    Wählen Sie die Verzeichnisse der Benutzer aus, die sich mit diesem Identitätsanbieter authentifizieren können.

    Netzwerk

    Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt.

    Wählen Sie die Netzwerkbereiche der Benutzer anhand ihrer IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.

    Authentifizierungsmethoden

    Fügen Sie die Authentifizierungsmethoden hinzu, die vom externen Identitätsanbieter unterstützt werden. Wählen Sie die SAML-Authentifizierungskontextklasse aus, welche die Authentifizierungsmethode unterstützt.

    Konfiguration der einmaligen Abmeldung

    Aktivieren Sie die einmalige Abmeldung für das Abmelden von Benutzern von ihren Identitätsanbietersitzungen, wenn sie sich abmelden. Ist die einmalige Abmeldung nicht aktiviert, ist nach dem Abmelden von Benutzern die Identitätsanbietersitzung weiterhin aktiviert.

    (Optional) Wenn der Identitätsanbieter das SAML-Profil für die einmalige Abmeldung unterstützt, aktivieren Sie die einmalige Abmeldung und lassen Sie das Textfeld Umleitungs-URL leer. Wenn der Identitätsanbieter das SAML-Profil für die einmalige Abmeldung nicht unterstützt, aktivieren Sie die einmalige Abmeldung und geben Sie die Abmeldungs-URL des Identitätsanbieters ein, zu der Benutzer nach der Abmeldung von VMware Identity Manager weitergeleitet werden.

    Wenn Sie die Umleitungs-URL konfiguriert haben und Sie Benutzer nach der Weiterleitung zur Abmeldungs-URL des Identitätsanbieters zurück zur Anmeldungsseite von VMware Identity Manager umleiten möchten, geben Sie den Parameternamen der Weiterleitungs-URL des Identitätsanbieters ein.

    SAML-Signaturzertifikat

    Klicken Sie auf Metadaten des Dienstanbieters, um die URL zur Metadaten-URL des VMware Identity Manager SAML-Dienstanbieters anzuzeigen. Kopieren und speichern Sie die URL. Diese URL wird konfiguriert, wenn Sie die SAML-Assertion im Identitätsanbieter Dritter so bearbeiten, dass VMware Identity Manager-Benutzer zugeordnet werden können.

    IdP-Hostname

    Wenn das Textfeld „Hostname“ angezeigt wird, geben Sie den Hostnamen ein, an den der Identitätsanbieter für die Authentifizierung umgeleitet wird. Wenn Sie einen anderen Nicht-Standardport als 443 verwenden, können Sie den Hostnamen als „Hostname:Port“ einstellen. Beispiel: myco.example.com:8443.

  4. Klicken Sie auf Hinzufügen.

Nächste Maßnahme