Fügen Sie das XML-basierte Metadatendokument des externen Identitätsanbieters hinzu, um eine Vertrauensstellung zum Identitätsanbieter aufzubauen.

1. Geben Sie die SAML-Metadaten-URL oder den xml-Inhalt in das Textfeld ein. Klicken Sie auf Metadaten für Identitätsanbieter verarbeiten.
2. Wählen Sie aus, wie der Benutzer identifiziert werden soll. Der in einer eingehenden SAML-Assertion gesendete Bezeichner kann entweder im Subjekt- oder im Attributelement gesendet werden.
   • NameID-Element. Die Benutzer-ID wird aus dem NameID-Element des Bezeichner-Elements abgerufen.
   • SAML-Attribut. Die Benutzer-ID wird aus einem bestimmten Attribut oder einem AttributeStatement-Element abgerufen.
3. Wenn Sie NameID-Element auswählen, werden die vom Identitätsanbieter unterstützten NameID-Formate aus den Metadaten extrahiert und der angezeigten Tabelle „Namens-ID-Format“ hinzugefügt.
   • Wählen Sie in der Spalte Namens-ID-Wert die Benutzerattribute aus, die im Workspace ONE Access-Dienst für die Zuordnung zu den angezeigten NameID-Formaten konfiguriert sind. Sie können benutzerdefinierte externe Namens-ID-Formate hinzufügen und den Benutzerattributwerten im Workspace ONE Access-Dienst zuordnen.
   • Wählen Sie die zu verwendende Namens-ID-Richtlinie in SAML-Anforderung-Antwort im zu verwendenden ID-Zeichenfolgenformat aus. Dieses Format muss mit der spezifischen Konfiguration des Namens-ID-Richtlinienformats des externen Identitätsanbieters übereinstimmen, das zum Einrichten einer Vertrauensstellung mit dem Workspace ONE Access-Dienst verwendet wird.
   • (Nur Cloud) Wählen Sie die Option Betreff in SAML-Anforderung senden (falls verfügbar) als Anmeldehinweis oder als Hinweis für die Authentifizierung wie MFA. Wenn Sie diese Option aktivieren, können Sie auch die Option Betreffwert basierend auf NameID-Formatzuordnung senden aktivieren, um den von der Drittanbieter-App bereitgestellten Anmeldehinweis dem NameID-Wert zuzuordnen.
     Hinweis: Wenn das Senden von Betreffwerten basierend auf der Zuordnung des NameID-Formats aktiviert ist, ist der Workspace ONE Access-Dienst anfällig für ein Sicherheitsrisiko, das als Benutzer-Enumeration bekannt ist. Aktivieren Sie diese Option mit Vorsicht.

     Beispiel für eine Konfiguration, bei der die Option zum Senden des Betreffwerts basierend auf der Zuordnung des NameID-Formats aktiviert ist

     Konfiguration des Identitätsanbieters eines Drittanbieters

     • App „X“ ist im Verbund mit Workspace ONE Access.
     • Der Identitätsanbieter des Drittanbieters hat den Wert NameID dem userPrincipleName zugeordnet.

       In dieser Konfiguration wird die E-Mail des Endbenutzers nicht dem userPrincipleName des externen Identitätsanbieters zugeordnet.

     • Die Zugriffsrichtlinie für App „X“ enthält eine Regel, nach der der externe Identitätsanbieter zur Authentifizierung des Benutzers verwendet wird.

     Ablauf der Endbenutzerauthentifizierung

     • Der Endbenutzer wählt die App „X“ aus.
     • App „X“ zeigt dem Endbenutzer eine Anmeldeseite zur Eingabe seiner E-Mail-Adresse an.
     • App „X“ sendet die E-Mail als Anmeldehinweis zurück an Workspace ONE Access.
     • Da Betreffwert basierend auf NameID-Formatzuordnung senden aktiviert ist, nimmt Workspace ONE Access die E-Mail an und findet den UserPrincipleName für diesen Benutzer.
     • Workspace ONE Access sendet die SAML-Anforderung mit dem entsprechenden UserPrincipleName, der dem externen Identitätsanbieter zugeordnet wurde, der für die Authentifizierung des Endbenutzers verantwortlich ist.
4. Wenn Sie SAML-Attribut auswählen, fügen Sie das Attributformat und den Attributnamen ein. Wählen Sie das Benutzerattribut im Workspace ONE Access-Dienst aus, um es dem SAML-Attribut zuzuordnen.

Wählen Sie die Netzwerkbereiche der Benutzer anhand ihrer IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.

Geben Sie den Namen der Authentifizierungsmethode ein, die diesem Identitätsanbieter eines Drittanbieters zugeordnet werden soll. Sie können mehrere Authentifizierungsmethoden eingeben, um sie dem Identitätsanbieter eines Drittanbieters zuzuordnen. Geben Sie jeder Authentifizierungsmethode einen Anzeigenamen, der die Authentifizierungsmethode identifiziert. Sie wählen den Namen der Authentifizierungsmethode in der Zugriffsrichtlinie aus, um die Regeln für die Drittanbieter-IDP-Authentifizierungsmethode zu konfigurieren.

Ordnen Sie den Namen der Authentifizierungsmethode dem SAML-Authentifizierungskontext zu, der vom Identitätsanbieter eines Drittanbieters in der SAML-Antwort gesendet wird. Wählen Sie im Dropdown-Menü eine Zeichenfolge für die SAML-Authentifizierungskontextklasse aus der Liste der häufig verwendeten Zeichenfolgen aus oder geben Sie eine benutzerdefinierte Zeichenfolge ein.

Wenn sich Benutzer bei Workspace ONE über einen externen Identitätsanbieter (IDP) anmelden, werden zwei Sitzungen geöffnet, eine über den externen Identitätsanbieter und die zweite über den Identity Manager-Dienstanbieter für Workspace ONE. Die Lebensdauer dieser Sitzungen wird unabhängig verwaltet. Wenn Benutzer sich bei Workspace ONE abmelden, wird die Workspace ONE-Sitzung geschlossen, aber die Sitzung eines externen Identitätsanbieters ist möglicherweise immer noch geöffnet. Je nach Ihren Sicherheitsanforderungen können Sie die einmalige Abmeldung aktivieren und sie für die Abmeldung von beiden Sitzungen konfigurieren, oder Sie können die Sitzung eines externen Identitätsanbieters beibehalten.

Konfigurationsoption 1

• Sie können die einmalige Abmeldung aktivieren, wenn Sie den externen Identitätsanbieter konfigurieren. Wenn der externe Identitätsanbieter das SAML-basierte Single Log Out (SLO)-Protokoll unterstützt, werden Benutzer von beiden Sitzungen abgemeldet, wenn sie sich vom Workspace ONE-Portal abmelden. Das Textfeld „Umleitungs-URL“ ist nicht konfiguriert.
• Wenn der externe Identitätsanbieter kein SAML-basiertes SLO unterstützt, aktivieren Sie SLO und legen im Textfeld „Umleitungs-URL“ eine Endpoint-URL für das SLO des externen Identitätsanbieters fest. Sie können auch einen Umleitungsparameter an die URL anhängen, die Benutzer an einen bestimmten Endpoint sendet. Benutzer werden zu dieser URL umgeleitet, wenn sie sich vom Workspace ONE-Portal abmelden und auch vom externen Identitätsanbieter abgemeldet werden.

Konfigurationsoption 2

• Eine weitere SLO-Option besteht darin, Benutzer von ihrem Workspace ONE-Portal abzumelden und sie auf eine angepasste Endpoint-URL umzuleiten. Sie aktivieren SLO, bestimmen die URL im Textfeld „Umleitungs-URL“ und den Umleitungsparameter des angepassten Endpoint. Wenn sich Benutzer vom Workspace ONE-Portal abmelden, werden sie auf diese Seite geleitet, die eine angepasste Meldung anzeigen kann. Die Sitzung des externen Identitätsanbieters ist möglicherweise weiterhin geöffnet. Die URL wird als https://<vidm-access-url>/SAAS/auth/federation/slo eingegeben.

Wenn „SLO aktivieren“ nicht aktiviert ist, besteht die Standardkonfiguration im Workspace ONE Access-Dienst darin, die Benutzer an die Anmeldeseite des Workspace ONE-Portals zurückzuleiten, sobald sie sich abmelden. Die Sitzung des externen Identitätsanbieters ist möglicherweise weiterhin geöffnet.