Durch Hinzufügen und Konfigurieren von neuen SAML-Identitätsanbieter-Instanzen für Ihre Workspace ONE Access-Bereitstellung können Sie Hochverfügbarkeit bereitstellen, zusätzliche Benutzerauthentifizierungsmethoden unterstützen und höhere Flexibilität bei der Verwaltung des Benutzerauthentifizierungsvorgangs auf der Basis von Benutzer-IP-Adressbereichen erlangen.

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie die externe Identitätsanbieter-Instanz hinzufügen.

  • Vergewissern Sie sich, dass die externen Instanzen SAML 2.0-konform sind und dass der Workspace ONE Access-Dienst die externe Instanz erreichen kann.
  • Koordinieren Sie die Integration mit dem externen Identitätsanbieter. Je nach Identitätsanbieter müssen Sie möglicherweise beide Einstellungen gemeinsam konfigurieren.
  • Beziehen Sie die geeigneten Metadateninformationen für die externe Instanz, die Sie beim Konfigurieren des Identitätsanbieters in der Workspace ONE Access-Konsole hinzufügen müssen. Die Metadateninformationen, die Sie von der externen Instanz erhalten, sind entweder die URL zu den Metadaten oder die Metadaten selbst.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ die Option Identitätsanbieter aus.
  2. Klicken Sie auf Identitätsanbieter hinzufügen und wählen Sie SAML-Identitätsanbieter erstellen aus.
  3. Konfigurieren Sie die Einstellungen für den SAML-Identitätsanbieter.
    Formularelement Beschreibung
    Name des Identitätsanbieters Geben Sie einen Namen für diese Identitätsanbieter-Instanz ein.
    SAML-Metadaten

    Fügen Sie das XML-basierte Metadatendokument des externen Identitätsanbieters hinzu, um eine Vertrauensstellung zum Identitätsanbieter aufzubauen.

    1. Geben Sie die SAML-Metadaten-URL oder den xml-Inhalt in das Textfeld ein. Klicken Sie auf Metadaten für Identitätsanbieter verarbeiten.
    2. Wählen Sie aus, wie der Benutzer identifiziert werden soll. Der in einer eingehenden SAML-Assertion gesendete Bezeichner kann entweder im Subjekt- oder im Attributelement gesendet werden.
      • NameID-Element. Die Benutzer-ID wird aus dem NameID-Element des Bezeichner-Elements abgerufen.
      • SAML-Attribut. Die Benutzer-ID wird aus einem bestimmten Attribut oder einem AttributeStatement-Element abgerufen.
    3. Wenn Sie NameID-Element auswählen, werden die vom Identitätsanbieter unterstützten NameID-Formate aus den Metadaten extrahiert und der angezeigten Tabelle „Namens-ID-Format“ hinzugefügt.
      • Wählen Sie in der Spalte Namens-ID-Wert die Benutzerattribute aus, die im Workspace ONE Access-Dienst für die Zuordnung zu den angezeigten NameID-Formaten konfiguriert sind. Sie können benutzerdefinierte externe Namens-ID-Formate hinzufügen und den Benutzerattributwerten im Workspace ONE Access-Dienst zuordnen.
      • Wählen Sie die zu verwendende Namens-ID-Richtlinie in SAML-Anforderung-Antwort im zu verwendenden ID-Zeichenfolgenformat aus. Dieses Format muss mit der spezifischen Konfiguration des Namens-ID-Richtlinienformats des externen Identitätsanbieters übereinstimmen, das zum Einrichten einer Vertrauensstellung mit dem Workspace ONE Access-Dienst verwendet wird.
      • Wählen Sie die Option zum Senden von Betreffinformationen in der SAML-Anforderung aus, wenn die Informationen verfügbar sind.
    4. Wenn Sie SAML-Attribut auswählen, fügen Sie das Attributformat und den Attributnamen ein. Wählen Sie das Benutzerattribut im Workspace ONE Access-Dienst aus, um es dem SAML-Attribut zuzuordnen.
    Just-in-Time-Bereitstellung Mit der Just-in-Time-Bereitstellung erstellte Benutzer werden erstellt und dynamisch aktualisiert, wenn sich der Benutzer auf der Basis von SAML-Assertionen, die durch den Identitätsanbieter gesendet werden, anmeldet. Siehe Funktionsweise der Just-in-Time-Benutzerbereitstellung in Workspace Access. Wenn Sie JIT aktivieren, geben Sie das Verzeichnis und den Domänennamen für das JIT-Verzeichnis ein.
    Benutzer Wählen Sie die Verzeichnisse mit den Benutzern aus, die sich mit diesem Identitätsanbieter authentifizieren können.
    Netzwerk Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt.

    Wählen Sie die Netzwerkbereiche der Benutzer anhand ihrer IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.

    Authentifizierungsmethoden Fügen Sie die Authentifizierungsmethoden hinzu, die vom externen Identitätsanbieter unterstützt werden. Wählen Sie die SAML-Authentifizierungskontextklasse aus, welche die Authentifizierungsmethode unterstützt.
    Konfiguration der einmaligen Abmeldung

    Wenn sich Benutzer bei Workspace ONE über einen externen Identitätsanbieter (IDP) anmelden, werden zwei Sitzungen geöffnet, eine über den externen Identitätsanbieter und die zweite über den Identity Manager-Dienstanbieter für Workspace ONE. Die Lebensdauer dieser Sitzungen wird unabhängig verwaltet. Wenn Benutzer sich bei Workspace ONE abmelden, wird die Workspace ONE-Sitzung geschlossen, aber die Sitzung eines externen Identitätsanbieters ist möglicherweise immer noch geöffnet. Je nach Ihren Sicherheitsanforderungen können Sie die einmalige Abmeldung aktivieren und sie für die Abmeldung von beiden Sitzungen konfigurieren, oder Sie können die Sitzung eines externen Identitätsanbieters beibehalten.

    Konfigurationsoption 1

    • Sie können die einmalige Abmeldung aktivieren, wenn Sie den externen Identitätsanbieter konfigurieren. Wenn der externe Identitätsanbieter das SAML-basierte Single Log Out (SLO)-Protokoll unterstützt, werden Benutzer von beiden Sitzungen abgemeldet, wenn sie sich vom Workspace ONE-Portal abmelden. Das Textfeld „Umleitungs-URL“ ist nicht konfiguriert.
    • Wenn der externe Identitätsanbieter kein SAML-basiertes SLO unterstützt, aktivieren Sie SLO und legen im Textfeld „Umleitungs-URL“ eine Endpoint-URL für das SLO des externen Identitätsanbieters fest. Sie können auch einen Umleitungsparameter an die URL anhängen, die Benutzer an einen bestimmten Endpoint sendet. Benutzer werden zu dieser URL umgeleitet, wenn sie sich vom Workspace ONE-Portal abmelden und auch vom externen Identitätsanbieter abgemeldet werden.

    Konfigurationsoption 2

    • Eine weitere SLO-Option besteht darin, Benutzer von ihrem Workspace ONE-Portal abzumelden und sie auf eine angepasste Endpoint-URL umzuleiten. Sie aktivieren SLO, bestimmen die URL im Textfeld „Umleitungs-URL“ und den Umleitungsparameter des angepassten Endpoint. Wenn sich Benutzer vom Workspace ONE-Portal abmelden, werden sie auf diese Seite geleitet, die eine angepasste Meldung anzeigen kann. Die Sitzung des externen Identitätsanbieters ist möglicherweise weiterhin geöffnet. Die URL wird als https://<vidm-access-url>/SAAS/auth/federation/slo eingegeben.

    Wenn „SLO aktivieren“ nicht aktiviert ist, besteht die Standardkonfiguration im Workspace ONE Access-Dienst darin, die Benutzer an die Anmeldeseite des Workspace ONE-Portals zurückzuleiten, sobald sie sich abmelden. Die Sitzung des externen Identitätsanbieters ist möglicherweise weiterhin geöffnet.

    SAML-Signaturzertifikat Klicken Sie auf Metadaten des Dienstanbieters, um die URL zur Metadaten-URL des Workspace ONE Access SAML-Dienstanbieters anzuzeigen. Kopieren und speichern Sie die URL. Diese URL wird konfiguriert, wenn Sie die SAML-Assertion im Identitätsanbieter Dritter so bearbeiten, dass Workspace ONE Access-Benutzer zugeordnet werden können.
    IdP-Hostname Wenn das Textfeld „Hostname“ angezeigt wird, geben Sie den Hostnamen ein, an den der Identitätsanbieter für die Authentifizierung umgeleitet wird. Wenn Sie einen anderen Nicht-Standardport als 443 verwenden, können Sie den Hostnamen als „Hostname:Port“ einstellen. Beispiel: myco.example.com:8443.
  4. Klicken Sie auf Hinzufügen.

Nächste Maßnahme