Nachdem Sie VMware Identity Services für Ihren Workspace ONE-Mandanten aktiviert haben, richten Sie die Integration in Ihren SCIM 2.0-basierten Identitätsanbieter ein.

  1. Klicken Sie im VMware Identity Services-Assistenten „Erste Schritte“ in Schritt 2 Integrieren Sie einen SCIM 2.0-basierten Identitätsanbieter auf Start.""
  2. Klicken Sie auf der Karte SCIM 2.0-Identitätsanbieter auf Einrichten.
    ""
  3. Folgen Sie den Anweisungen des Assistenten, um die Integration in Ihren Identitätsanbieter einzurichten.

Schritt 1: Verzeichnis erstellen

Als ersten Schritt beim Einrichten der Benutzerbereitstellung und des Identitätsverbunds mit VMware Identity Services erstellen Sie in der Workspace ONE Cloud-Konsole ein Verzeichnis für Benutzer und Gruppen, die von Ihrem Identitätsanbieter bereitgestellt wurden.

Vorsicht: Nachdem Sie ein Verzeichnis erstellt haben, können Sie die Auswahl Ihres Identitätsanbieters nicht mehr ändern. Vergewissern Sie sich, dass Sie den richtigen Identitätsanbieter ausgewählt haben, bevor Sie fortfahren.

Prozedur

  1. Geben Sie in Schritt 1 Allgemeine Informationen des Assistenten den Namen ein, den Sie für das bereitgestellte Verzeichnis in Workspace ONE verwenden möchten.
    Der Name darf maximal 128 Zeichen lang sein. Es sind nur die folgenden Zeichen zulässig: Buchstaben (a-z oder entsprechende Zeichen in anderen Sprachen), Ziffern (0-9), Leerzeichen, Bindestrich (-) und Unterstrich (_).
    Wichtig: Sie können den Namen des Verzeichnisses nach dem Erstellen nicht mehr ändern.
  2. Geben Sie für Domänenname den primären Domänennamen Ihres Quellverzeichnisses ein, einschließlich der Erweiterung wie .com oder .net.
    VMware Identity Services unterstützt derzeit nur eine Domäne. Bereitgestellte Benutzer und Gruppen werden in den Workspace ONE-Diensten mit dieser Domäne verknüpft.

    Der Domänenname darf maximal 100 Zeichen lang sein. Es sind nur die folgenden Zeichen zulässig: Buchstaben (a-z oder entsprechende Zeichen in anderen Sprachen), Ziffern (0-9), Leerzeichen, Bindestrich (-), Unterstrich (_) und Punkt (.).

    Beispiel:

    In diesem Beispiel lautet der Verzeichnisname „Demo“ und der Domänenname ist example.com.
  3. Klicken Sie auf Speichern und bestätigen Sie Ihre Auswahl.

Nächste Maßnahme

Richten Sie die Bereitstellung von Benutzern und Gruppen ein.

Schritt 2: Benutzer- und Gruppenbereitstellung einrichten

Nachdem Sie ein Verzeichnis in VMware Identity Services erstellt haben, richten Sie die Benutzer- und Gruppenbereitstellung ein. Sie starten den Vorgang in VMware Identity Services, indem Sie die für die Bereitstellung erforderlichen Admin-Anmeldedaten generieren und dann die Bereitstellung im Identitätsanbieter mit diesen Anmeldedaten konfigurieren.

Hinweis: Diese Informationen gelten für alle SCIM 2.0-basierten Identitätsanbieter mit Ausnahme von Microsoft Entra ID und Okta. Informationen zum Integrieren von VMware Identity Services in Microsoft Entra ID finden Sie unter Integrieren von VMware Identity Services in Microsoft Entra ID. Informationen zur Integration von VMware Identity Services in Okta finden Sie unter Integrieren von VMware Identity Services in Okta.
Hinweis: Dieses Thema enthält allgemeine Informationen zum Konfigurieren eines externen Identitätsanbieters. Die genauen Schritte und Speicherorte für die Aufgaben variieren je nach Identitätsanbieter. Spezifische Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

Voraussetzungen

Sie verfügen über ein Administratorkonto im Identitätsanbieter mit den erforderlichen Berechtigungen, um die Benutzerbereitstellung einzurichten.

Prozedur

  1. Wählen Sie in der Workspace ONE Cloud-Konsole in Schritt 2 Identitätsanbieter konfigurieren des VMware Identity Services-Assistenten den Typ der Anmeldedaten aus, die zum Einrichten der Benutzerbereitstellung in Ihrem Identitätsanbieter erforderlich sind.
    Wählen Sie zwischen:
    • Client-ID und geheimer Schlüssel
    • Mandanten-URL und Token

    Da Token ablaufen und manuell aktualisiert werden müssen, sind Client-ID und geheimer Schlüssel vorzuziehen. Als Best Practice für die Sicherheit sollten Sie die Client-ID und den geheimen Client-Schlüssel alle sechs Monate erneuern.

    Wenn Sie auf Weiter klicken, generiert VMware Identity Services die Anmeldedaten.
  2. Wenn Sie Client-ID und geheimer Schlüssel ausgewählt haben, kopieren Sie die Werte für die Client-ID und den geheimen Client-Schlüssel.
    Wichtig: Stellen Sie sicher, dass Sie den geheimen Schlüssel kopieren, bevor Sie auf Weiter klicken. Nachdem Sie auf Weiter geklickt haben, wird der geheime Schlüssel nicht mehr angezeigt und Sie müssen einen neuen geheimen Schlüssel generieren. Immer dann, wenn Sie den geheimen Schlüssel neu generieren, wird der vorherige geheime Schlüssel ungültig und die Bereitstellung schlägt fehl. Stellen Sie sicher, dass Sie den neuen geheimen Schlüssel kopieren und in die Identitätsanbieter-App einfügen.

    Beispiel:

    Die Werte für die Client-ID und den geheimen Client-Schlüssel werden mit einem Kopiersymbol neben ihnen angezeigt.
  3. Wenn Sie Mandanten-URL und Token ausgewählt haben, überprüfen und kopieren Sie die generierten Werte.
    • Mandanten-URL: Der SCIM 2.0 Endpoint Ihres VMware Identity Services-Mandanten. Kopieren Sie den Wert.
    • Token-Lebensdauer: Der Zeitraum, für den das geheime Token gültig ist.

      Standardmäßig generiert VMware Identity Services das Token mit einer Standardlebensdauer von 6 Monaten. Um die Lebensdauer des Tokens zu ändern, klicken Sie auf den Pfeil nach unten, wählen Sie eine andere Option aus und klicken Sie auf Neu generieren, um das Token mit dem neuen Wert neu zu generieren.

      Wichtig: Wenn Sie die Token-Lebensdauer aktualisieren, wird das vorherige Token ungültig und die Bereitstellung von Benutzern und Gruppen über den Identitätsanbieter schlägt fehl. Sie müssen ein neues Token neu generieren und das neue Token kopieren und in den Identitätsanbieter einfügen.
    • Geheimes Token: Das Token, das vom Identitätsanbieter für die Bereitstellung von Benutzern für Workspace ONE benötigt wird. Kopieren Sie den Wert.
      Wichtig: Stellen Sie sicher, dass Sie das Token kopieren, bevor Sie auf Weiter klicken. Nachdem Sie auf Weiter geklickt haben, wird das Token nicht mehr angezeigt und Sie müssen ein neues Token generieren. Beachten Sie, dass jedes Mal, wenn Sie das Token neu generieren, das vorherige Token ungültig wird und die Bereitstellung fehlschlägt. Stellen Sie sicher, dass Sie das neue Token kopieren und in den Identitätsanbieter einfügen.

    Beispiel:

    Werte für Mandanten-URL und geheimes Token werden angezeigt. Die Lebensdauer des Tokens beträgt 6 Monate.
    Wenn das Token in Kürze abläuft, wird eine Bannerbenachrichtigung in der Workspace ONE Cloud-Konsole angezeigt. Wenn Sie auch E-Mail-Benachrichtigungen erhalten möchten, stellen Sie sicher, dass das Kontrollkästchen E-Mail für die Einstellung Ablauf geheimer Tokens in Workspace ONE Access und Identitätsdienste aktiviert ist. Sie finden die Einstellung auf der Seite "Benachrichtigungseinstellungen" in der Workspace ONE Cloud-Konsole.
  4. Richten Sie in Ihrem Identitätsanbieter die Benutzer- und Gruppenbereitstellung für Workspace ONE ein.
    1. Melden Sie sich bei der Identitätsanbieter-Konsole als Administrator an.
    2. Richten Sie die SCIM 2.0-Bereitstellung ein.
      Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldedaten ein, die Sie in der Workspace ONE Cloud-Konsole generiert haben.
    3. Aktivieren Sie die Bereitstellung.

Nächste Maßnahme

Kehren Sie zur Workspace ONE Cloud-Konsole zurück, um mit dem VMware Identity Services-Assistenten fortzufahren.

Schritt 3: SCIM-Benutzerattribute zuordnen

Ordnen Sie die Benutzerattribute zu, die von Ihrem Identitätsanbieter mit Workspace ONE-Diensten synchronisiert werden sollen. Fügen Sie in Ihrer Identitätsanbieterkonsole die erforderlichen SCIM-Benutzerattribute hinzu und ordnen Sie sie Ihren Identitätsanbieterattributen zu. Synchronisieren Sie mindestens die Attribute, die für VMware Identity Services und Workspace ONE-Dienste erforderlich sind.

VMware Identity Services und Workspace ONE-Dienste erfordern die folgenden SCIM-Benutzerattribute:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Weitere Informationen zu diesen Attributen und deren Zuordnung zu Workspace ONE-Attributen finden Sie unter Benutzerattributzuordnung für VMware Identity Services.

Zusätzlich zu den erforderlichen Attributen können Sie optionale und benutzerdefinierte Attribute synchronisieren. Eine Liste der unterstützten optionalen und benutzerdefinierten Attribute finden Sie unter Benutzerattributzuordnung für VMware Identity Services.

Prozedur

  1. Überprüfen Sie in der Workspace ONE Cloud-Konsole in Schritt 3, SCIM-Benutzerattribute zuordnen des VMware Identity Services-Assistenten die Liste der von VMware Identity Services unterstützten Attribute.
  2. Navigieren Sie in der Verwaltungskonsole Ihres Identitätsanbieters zur Bereitstellungskonfiguration für Workspace ONE.
  3. Navigieren Sie zur Seite für die Attributzuordnung.
  4. Ordnen Sie die erforderlichen SCIM-Benutzerattribute den Attributen Ihres Identitätsanbieters zu.
  5. Fügen Sie bei Bedarf optionale und benutzerdefinierte SCIM-Benutzerattribute hinzu und ordnen Sie sie zu.

Nächste Maßnahme

Kehren Sie zur Workspace ONE Cloud-Konsole zurück, um mit dem VMware Identity Services-Assistenten fortzufahren.

Schritt 4: Authentifizierungsprotokoll auswählen

Wählen Sie das Protokoll aus, das für die Verbundauthentifizierung verwendet werden soll. VMware Identity Services unterstützt die OpenID Connect- und SAML-Protokolle.

Vorsicht: Treffen Sie Ihre Auswahl sorgfältig. Nachdem Sie das Protokoll ausgewählt und die Authentifizierung konfiguriert haben, können Sie den Protokolltyp nicht ändern, ohne das Verzeichnis zu löschen.

Prozedur

  1. Wählen Sie in Schritt 4 Authentifizierungsprotokoll auswählen des Assistenten OpenID Connect oder SAML aus.
  2. Klicken Sie auf Weiter.
    Der nächste Schritt des Assistenten wird mit den Werten angezeigt, die für die Konfiguration des ausgewählten Protokolls erforderlich sind.

Nächste Maßnahme

Konfigurieren Sie VMware Identity Services und den Identitätsanbieter für die Verbundauthentifizierung.

Schritt 5: Authentifizierung konfigurieren (generischer SCIM-Identitätsanbieter)

Um die Verbundauthentifizierung mit Ihrem Identitätsanbieter zu konfigurieren, richten Sie eine OpenID Connect- oder SAML-App im Identitätsanbieter ein, indem Sie die Dienstanbietermetadaten aus VMware Identity Services verwenden, und konfigurieren VMware Identity Services mit den Werten aus der App.

Hinweis: Dieses Thema enthält allgemeine Informationen zum Konfigurieren eines externen Identitätsanbieters. Die genauen Schritte für die Aufgaben variieren je nach Identitätsanbieter. Spezifische Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

OpenID Connect

Wenn Sie OpenID Connect als Authentifizierungsprotokoll ausgewählt haben, führen Sie die folgenden Schritte aus.

  1. Kopieren Sie in Schritt 5 OpenID Connect konfigurieren des VMware Identity Services-Assistenten den Wert Umleitungs-URI.

    Sie benötigen diesen Wert für den nächsten Schritt, wenn Sie eine OpenID Connect-App in Ihrem Identitätsanbieter erstellen.

    ""

  2. Erstellen Sie in der Verwaltungskonsole des Identitätsanbieters eine OpenID Connect-App.
  3. Suchen Sie den Abschnitt „Umleitungs-URI“ in der App, und kopieren Sie den Wert für den Umleitungs-URI, den Sie aus dem VMware Identity Services-Assistenten kopiert haben, und fügen Sie ihn ein.
  4. Erstellen Sie einen geheimen Client-Schlüssel für die App und kopieren Sie ihn.

    Den geheimen Schlüssel geben Sie im nächsten Schritt in den VMware Identity Services-Assistenten ein.

  5. Kehren Sie zum VMware Identity Services-Assistenten in der Workspace ONE Cloud-Konsole zurück und schließen Sie die Konfiguration im Abschnitt OpenID Connect konfigurieren ab.
    Client-ID Kopieren Sie den Wert der Client-ID aus der Identitätsanbieter-App und fügen Sie ihn ein.
    Geheimer Client-Schlüssel Kopieren Sie den geheimen Client-Schlüssel aus der Identitätsanbieter-App und fügen Sie ihn ein.
    Konfigurations-URL Kopieren Sie die bekannte OpenID Connect-Konfigurations-URL der Identitätsanbieter-App und fügen Sie sie ein. Zum Beispiel: https://example.com/.well-known/openid-configuration
    OIDC-Benutzerbezeichnerattribut Geben Sie das OpenID Connect-Attribut an, das dem Workspace ONE-Attribut für die Benutzersuche zugeordnet werden soll.
    Workspace ONE-Benutzerbezeichnerattribut Geben Sie das Workspace ONE-Attribut an, das dem OpenID Connect-Attribut für die Benutzersuche zugeordnet werden soll.
  6. Klicken Sie im VMware Identity Services-Assistenten auf Fertigstellen, um die Integration zwischen VMware Identity Services und Ihrem Identitätsanbieter einzurichten.

SAML

Wenn Sie SAML als Authentifizierungsprotokoll ausgewählt haben, führen Sie die folgenden Schritte aus.

  1. Rufen Sie die Metadaten des Dienstanbieters von der Workspace ONE Cloud-Konsole ab.

    Kopieren Sie ab Schritt 5, SAML-Single Sign-On konfigurieren, des VMware Identity Services-Assistenten die Metadaten des SAML-Dienstanbieters oder laden Sie sie herunter.


    ""
  2. Navigieren Sie in der Verwaltungskonsole des Identitätsanbieters zur Single Sign-On-Konfigurationsseite.
  3. Konfigurieren Sie Single Sign-On mithilfe von Werten aus dem VMware Identity Services-Assistenten.

    Typische Konfigurationsschritte umfassen einen der folgenden Schritte, je nachdem, was der Identitätsanbieter unterstützt:

    • Suchen Sie die Option Metadaten des Dienstanbieters und laden Sie die Metadaten des SAML-Dienstanbieters aus dem VMware Identity Services-Assistenten hoch oder kopieren Sie sie und fügen Sie sie ein.
    • Wenn der Identitätsanbieter über keine Option zum Hochladen der Metadatendatei verfügt oder wenn Sie es vorziehen, die Einstellungen individuell zu konfigurieren, kopieren Sie die folgenden Werte aus Schritt 5 des VMware Identity Services-Assistenten und fügen Sie sie in die entsprechenden Felder in der Konsole des Identitätsanbieters ein:

      Entitäts-ID-Wert: Zum Beispiel https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Single Sign-On-URL-Wert: Zum Beispiel: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

      Signierungszertifikat

      Verschlüsselungszertifikat (unter Erweiterte Optionen): Erforderlich, wenn Sie die SAML-Verschlüsselung im Identitätsanbieter aktivieren möchten.

  4. Suchen und kopieren Sie die SAML-Metadaten des Identitätsanbieters aus der Identitätsanbieterkonsole.
  5. Fügen Sie in der Workspace ONE Cloud-Konsole in Schritt 5 SAML-Single Sign-On konfigurieren des VMware Identity Services-Assistenten die Identitätsanbieter-Metadaten in das Textfeld Identitätsanbieter-Metadaten ein.
    ""
  6. Konfigurieren Sie bei Bedarf die restlichen Optionen im Abschnitt SAML-SAML-Single Sign-On konfigurieren.
    • Bindungsprotokoll: Wählen Sie das SAML-Bindungsprotokoll HTTP POST oder HTTP-Umleitung aus.
    • Namens-ID-Format: Verwenden Sie die Einstellungen für das Namens-ID-Format und den Namens-ID-Wert, um Benutzer zwischen Ihrem Identitätsanbieter und VMware Identity Services zuzuordnen. Geben Sie für das Namens-ID-Format das Namens-ID-Format an, das in der SAML-Antwort verwendet wird.
    • Namens-ID-Wert: Wählen Sie das VMware Identity Services-Benutzerattribut aus, dem der in der SAML-Antwort empfangene Namens-ID-Wert zugeordnet werden soll.
    • SAML-Kontext: Wählen Sie den SAML-Authentifizierungskontext aus. Sie können einen der im Dropdown-Menü angezeigten Werte auswählen oder einen benutzerdefinierten Wert eingeben. Der Standardwert lautet urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified.

      Der Authentifizierungskontext gibt an, wie Benutzer beim Identitätsanbieter authentifiziert werden. Der Identitätsanbieter schließt den Authentifizierungskontext auf Anforderung eines Dienstanbieters oder basierend auf der Konfiguration beim Identitätsanbieter in einer Assertion ein.

    • Betreff in SAML-Anforderung senden (wenn verfügbar): Wählen Sie diese Option aus, wenn Sie den Betreff als Anmeldehinweis an den Identitätsanbieter senden möchten, um die Benutzeranmeldung zu verbessern, sofern verfügbar.
    • Namens-ID-Formatzuordnung für Betreff verwenden: Wählen Sie diese Option, wenn Sie das Namens-ID-Format und die Namens-ID-Wertzuordnung auf den Betreff in der SAML-Anforderung anwenden möchten. Diese Option wird zusammen mit der Option Betreff in SAML-Anforderung senden (wenn verfügbar) verwendet.
      Vorsicht: Die Aktivierung dieser Option erhöht möglicherweise das Risiko einer Sicherheitslücke, die als Benutzeraufzählung bezeichnet wird.
    • Einmalige SAML-Abmeldung verwenden: Wählen Sie diese Option, wenn Sie Benutzer nach der Abmeldung von Workspace ONE-Diensten von ihrer Identitätsanbieter-Sitzung abmelden möchten.
    • URL für die einmalige Abmeldung beim Identitätsanbieter: Wenn Ihr Identitätsanbieter keine einmalige SAML-Abmeldung unterstützt, können Sie mit dieser Option die URL angeben, an die Benutzer nach der Abmeldung von den Workspace ONE-Diensten weitergeleitet werden sollen. Wenn Sie diese Option verwenden, aktivieren Sie auch das Kontrollkästchen Einmalige SAML-Abmeldung verwenden.

      Wenn Sie diese Option leer lassen, werden Benutzer mithilfe der einmaligen SAML-Abmeldung zum Identitätsanbieter umgeleitet.

  7. Klicken Sie im Assistenten auf Fertig stellen, um die Einrichtung der Integration zwischen VMware Identity Services und Ihrem Identitätsanbieter abzuschließen.

Ergebnisse

Die Integration zwischen VMware Identity Services und Ihrem Identitätsanbieter ist abgeschlossen.

Das Verzeichnis wird in VMware Identity Services erstellt und mit Daten gefüllt, wenn Sie Benutzer und Gruppen von der Bereitstellungs-App im Identitätsanbieter pushen. Bereitgestellte Benutzer und Gruppen werden automatisch in den Workspace ONE-Diensten angezeigt, die Sie für die Integration mit dem Identitätsanbieter ausgewählt haben, z. B. Workspace ONE Access und Workspace ONE UEM.

Sie können das Verzeichnis nicht in den Workspace ONE Access- und Workspace ONE UEM-Konsolen bearbeiten. Die Seiten Verzeichnis, Benutzer, Benutzergruppen, Benutzerattribute und Identitätsanbieter sind schreibgeschützt.

Nächste Schritte

Wählen Sie anschließend die Workspace ONE Dienste aus, für die Sie Benutzer und Gruppen bereitstellen möchten.

Anschließend übertragen Sie Benutzer und Gruppen von Ihrem Identitätsanbieter. Siehe Bereitstellen von Benutzern für Workspace ONE.