Durch Hinzufügen und Konfigurieren von neuen Identitätsanbieter-Instanzen für Ihre VMware Identity Manager-Bereitstellung können Sie Hochverfügbarkeit bereitstellen, zusätzliche Benutzerauthentifizierungsmethoden unterstützen und höhere Flexibilität bei der Verwaltung des Benutzerauthentifizierungsvorgangs auf der Basis von Benutzer-IP-Adressbereichen erlangen.

Voraussetzungen

  • Zugriff auf das externe Metadatendokument. Es kann sich dabei um die URL zu den Metadaten oder die eigentlichen Metadaten handeln.

Prozedur

  1. Wählen Sie in der VMware Identity Manager-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ die Option Identitätsanbieter aus.
  2. Klicken Sie auf Identitätsanbieter hinzufügen.
  3. Bearbeiten Sie die Einstellungen für die Identitätsanbieter-Instanz.
    Formularelement Beschreibung
    Name des Identitätsanbieters Geben Sie einen Namen für diese Identitätsanbieter-Instanz ein.
    SAML-Metadaten

    Fügen Sie das XML-basierte Metadatendokument des externen Identitätsanbieters hinzu, um eine Vertrauensstellung zum Identitätsanbieter aufzubauen.

    1. Geben Sie die SAML-Metadaten-URL oder den xml-Inhalt in das Textfeld ein. Klicken Sie auf Metadaten für Identitätsanbieter verarbeiten.
    2. Wählen Sie aus, wie der Benutzer identifiziert werden soll. Der in einer eingehenden SAML-Assertion gesendete Bezeichner kann entweder in der Subjekt- oder in der Attributanweisung gesendet werden.
      • NameID-Element. Das NameID-Element wird über die SAML-Attribut-Anweisung abgerufen.
      • SAML-Attribut.
    3. Wenn Sie „SAML-Attribut“ auswählen, werden die vom Identitätsanbieter unterstützten NameID-Formate aus den Metadaten extrahiert und der Tabelle „Namens-ID-Format“ hinzugefügt.
      • Wählen Sie in der Spalte Namens-ID-Wert das Benutzerattribut des Dienstes aus, das den angezeigten ID-Formaten zugeordnet werden soll. Sie können benutzerdefinierte externe Namens-ID-Formate hinzufügen und den Benutzerattributwerten im Dienst zuordnen.
      • (Optional) Wählen Sie das Zeichenfolgenformat für den NameID Policy-Antwortbezeichner aus.
    Just-in-Time-Bereitstellung N.V.
    Benutzer Wählen Sie das Andere Verzeichnis aus, das die Benutzer enthält, die sich mit diesem Identitätsanbieter authentifizieren können.
    Netzwerk Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt.

    Wählen Sie die Netzwerkbereiche der Benutzer anhand ihrer IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.

    Authentifizierungsmethoden Fügen Sie die Authentifizierungsmethoden hinzu, die vom externen Identitätsanbieter unterstützt werden. Wählen Sie die SAML-Authentifizierungskontextklasse aus, welche die Authentifizierungsmethode unterstützt.
    Konfiguration der einmaligen Abmeldung

    Wenn sich Benutzer bei Workspace ONE über einen externen Identitätsanbieter (IDP) anmelden, werden zwei Sitzungen geöffnet, eine über den externen Identitätsanbieter und die zweite über den Identity Manager-Dienstanbieter für Workspace ONE. Die Lebensdauer dieser Sitzungen wird unabhängig verwaltet. Wenn Benutzer sich bei Workspace ONE abmelden, wird die Workspace ONE-Sitzung geschlossen, aber die Sitzung eines externen Identitätsanbieters ist möglicherweise immer noch geöffnet. Je nach Ihren Sicherheitsanforderungen können Sie die einmalige Abmeldung aktivieren und sie für die Abmeldung von beiden Sitzungen konfigurieren, oder Sie können die Sitzung eines externen Identitätsanbieters beibehalten.

    Konfigurationsoption 1

    • Sie können die einmalige Abmeldung aktivieren, wenn Sie den externen Identitätsanbieter konfigurieren. Wenn der externe Identitätsanbieter das SAML-basierte Single Log Out (SLO)-Protokoll unterstützt, werden Benutzer von beiden Sitzungen abgemeldet, wenn sie sich vom Workspace ONE-Portal abmelden. Das Textfeld „Umleitungs-URL“ ist nicht konfiguriert.
    • Wenn der externe Identitätsanbieter kein SAML-basiertes SLO unterstützt, aktivieren Sie SLO und legen im Textfeld „Umleitungs-URL“ eine Endpoint-URL für das SLO des externen Identitätsanbieters fest. Sie können auch einen Umleitungsparameter an die URL anhängen, die Benutzer an einen bestimmten Endpoint sendet. Benutzer werden zu dieser URL umgeleitet, wenn sie sich vom Workspace ONE-Portal abmelden und auch vom externen Identitätsanbieter abgemeldet werden.

    Konfigurationsoption 2

    • Eine weitere SLO-Option besteht darin, Benutzer von ihrem Workspace ONE-Portal abzumelden und sie auf eine angepasste Endpoint-URL umzuleiten. Sie aktivieren SLO, bestimmen die URL im Textfeld „Umleitungs-URL“ und den Umleitungsparameter des angepassten Endpoint. Wenn sich Benutzer vom Workspace ONE-Portal abmelden, werden sie auf diese Seite geleitet, die eine angepasste Meldung anzeigen kann. Die Sitzung des externen Identitätsanbieters ist möglicherweise weiterhin geöffnet. Die URL wird als https://<vidm-access-url>/SAAS/auth/federation/slo eingegeben.

    Wenn „SLO aktivieren“ nicht aktiviert ist, wird die Standardkonfiguration im VMware Identity Manager-Dienst auf die Anmeldeseite des Portals Workspace ONE zurückgeleitet, wenn sich die Benutzer abmelden. Die Sitzung des externen Identitätsanbieters ist möglicherweise weiterhin geöffnet.

    SAML-Signaturzertifikat Klicken Sie auf Metadaten des Dienstanbieters, um die URL zur Metadaten-URL des VMware Identity Manager SAML-Dienstanbieters anzuzeigen. Kopieren und speichern Sie die URL. Diese URL wird konfiguriert, wenn Sie die SAML-Assertion im Identitätsanbieter Dritter so bearbeiten, dass VMware Identity Manager-Benutzer zugeordnet werden können.
    IdP-Hostname Wenn das Textfeld „Hostname“ angezeigt wird, geben Sie den Hostnamen ein, an den der Identitätsanbieter für die Authentifizierung umgeleitet wird. Wenn Sie einen anderen Nicht-Standardport als 443 verwenden, können Sie den Hostnamen als „Hostname:Port“ einstellen. Beispiel: myco.example.com:8443.
  4. Klicken Sie auf Hinzufügen.

Nächste Maßnahme

  • Bearbeiten Sie die Identitätsanbieterkonfiguration Dritter so, dass die von Ihnen gespeicherte URL des SAML-Signaturzertifikats hinzugefügt wird.