Nachdem Sie VMware Identity Services für Ihren Workspace ONE-Mandanten aktiviert haben, richten Sie die Integration in Ihren SCIM 2.0-basierten Identitätsanbieter ein.

  1. Klicken Sie im VMware Identity Services-Assistenten „Erste Schritte“ in Schritt 2 Integrieren Sie einen SCIM 2.0-basierten Identitätsanbieter auf Start.""
  2. Klicken Sie auf der Karte SCIM 2.0-Identitätsanbieter auf Einrichten.
    ""
  3. Folgen Sie den Anweisungen des Assistenten, um die Integration in Ihren Identitätsanbieter einzurichten.

Schritt 1: Verzeichnis erstellen

Als ersten Schritt beim Einrichten der Benutzerbereitstellung und des Identitätsverbunds mit VMware Identity Services erstellen Sie in der Workspace ONE-Konsole ein Verzeichnis für Benutzer und Gruppen, die von Ihrem Identitätsanbieter bereitgestellt wurden.

Vorsicht: Nachdem Sie ein Verzeichnis erstellt haben, können Sie die Auswahl Ihres Identitätsanbieters nicht mehr ändern. Vergewissern Sie sich, dass Sie den richtigen Identitätsanbieter ausgewählt haben, bevor Sie fortfahren.

Prozedur

  1. Geben Sie in Schritt 1 Allgemeine Informationen des Assistenten den Namen ein, den Sie für das bereitgestellte Verzeichnis in Workspace ONE verwenden möchten.
    Der Name darf maximal 128 Zeichen lang sein. Es sind nur die folgenden Zeichen zulässig: Buchstaben (a-z oder entsprechende Zeichen in anderen Sprachen), Ziffern (0-9), Leerzeichen, Bindestrich (-) und Unterstrich (_).
    Wichtig: Sie können den Namen des Verzeichnisses nach dem Erstellen nicht mehr ändern.
  2. Geben Sie für Domänenname den primären Domänennamen Ihres Quellverzeichnisses ein, einschließlich der Erweiterung wie .com oder .net.
    VMware Identity Services unterstützt derzeit nur eine Domäne. Bereitgestellte Benutzer und Gruppen werden in den Workspace ONE-Diensten mit dieser Domäne verknüpft.

    Der Domänenname darf maximal 100 Zeichen lang sein. Es sind nur die folgenden Zeichen zulässig: Buchstaben (a-z oder entsprechende Zeichen in anderen Sprachen), Ziffern (0-9), Leerzeichen, Bindestrich (-), Unterstrich (_) und Punkt (.).

    Beispiel:

    In diesem Beispiel lautet der Verzeichnisname „Demo“ und der Domänenname ist example.com.
  3. Klicken Sie auf Speichern und bestätigen Sie Ihre Auswahl.

Nächste Maßnahme

Richten Sie die Bereitstellung von Benutzern und Gruppen ein.

Schritt 2: Benutzer- und Gruppenbereitstellung einrichten

Nachdem Sie ein Verzeichnis in VMware Identity Services erstellt haben, richten Sie die Benutzer- und Gruppenbereitstellung ein. Sie starten den Vorgang in VMware Identity Services, indem Sie die für die Bereitstellung erforderlichen Admin-Anmeldedaten generieren und dann die Bereitstellung im Identitätsanbieter mit diesen Anmeldedaten konfigurieren.

Hinweis: Dieses Thema gilt für die Integration mit einem anderen SCIM 2.0-Identitätsanbieter als Azure AD. Informationen zur Integration in Azure AD finden Sie unter Schritt 2: Benutzer- und Gruppenbereitstellung einrichten.
Hinweis: Dieses Thema enthält allgemeine Informationen zum Konfigurieren eines externen Identitätsanbieters. Die genauen Schritte und Speicherorte für die Aufgaben variieren je nach Identitätsanbieter. Spezifische Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

Voraussetzungen

Sie verfügen über ein Administratorkonto im Identitätsanbieter mit den erforderlichen Berechtigungen, um die Benutzerbereitstellung einzurichten.

Prozedur

  1. Wählen Sie in der Workspace ONE-Konsole in Schritt 2 Identitätsanbieter konfigurieren des VMware Identity Services-Assistenten den Typ der Anmeldedaten aus, die zum Einrichten der Benutzerbereitstellung in Ihrem Identitätsanbieter erforderlich sind.
    Wählen Sie zwischen:
    • Client-ID und geheimer Schlüssel
    • Mandanten-URL und Token

    Da Token ablaufen und manuell aktualisiert werden müssen, sind Client-ID und geheimer Schlüssel vorzuziehen. Als Best Practice für die Sicherheit sollten Sie die Client-ID und den geheimen Client-Schlüssel alle sechs Monate erneuern.

    Wenn Sie auf Weiter klicken, generiert VMware Identity Services die Anmeldedaten.
  2. Wenn Sie Client-ID und geheimer Schlüssel ausgewählt haben, kopieren Sie die Werte für die Client-ID und den geheimen Client-Schlüssel.
    Wichtig: Stellen Sie sicher, dass Sie den geheimen Schlüssel kopieren, bevor Sie auf Weiter klicken. Nachdem Sie auf Weiter geklickt haben, wird der geheime Schlüssel nicht mehr angezeigt und Sie müssen einen neuen geheimen Schlüssel generieren. Immer dann, wenn Sie den geheimen Schlüssel neu generieren, wird der vorherige geheime Schlüssel ungültig und die Bereitstellung schlägt fehl. Stellen Sie sicher, dass Sie den neuen geheimen Schlüssel kopieren und in die Identitätsanbieter-App einfügen.

    Beispiel:

    Die Werte für die Client-ID und den geheimen Client-Schlüssel werden mit einem Kopiersymbol neben ihnen angezeigt.
  3. Wenn Sie Mandanten-URL und Token ausgewählt haben, überprüfen und kopieren Sie die generierten Werte.
    • Mandanten-URL: Der SCIM 2.0 Endpoint Ihres VMware Identity Services-Mandanten. Kopieren Sie den Wert.
    • Token-Lebensdauer: Der Zeitraum, für den das geheime Token gültig ist.

      Standardmäßig generiert VMware Identity Services das Token mit einer Standardlebensdauer von 6 Monaten. Um die Lebensdauer des Tokens zu ändern, klicken Sie auf den Pfeil nach unten, wählen Sie eine andere Option aus und klicken Sie auf Neu generieren, um das Token mit dem neuen Wert neu zu generieren.

      Wichtig: Wenn Sie die Token-Lebensdauer aktualisieren, wird das vorherige Token ungültig und die Bereitstellung von Benutzern und Gruppen über den Identitätsanbieter schlägt fehl. Sie müssen ein neues Token neu generieren und das neue Token kopieren und in den Identitätsanbieter einfügen.
    • Geheimes Token: Das Token, das vom Identitätsanbieter für die Bereitstellung von Benutzern für Workspace ONE benötigt wird. Kopieren Sie den Wert.
      Wichtig: Stellen Sie sicher, dass Sie das Token kopieren, bevor Sie auf Weiter klicken. Nachdem Sie auf Weiter geklickt haben, wird das Token nicht mehr angezeigt und Sie müssen ein neues Token generieren. Beachten Sie, dass jedes Mal, wenn Sie das Token neu generieren, das vorherige Token ungültig wird und die Bereitstellung fehlschlägt. Stellen Sie sicher, dass Sie das neue Token kopieren und in den Identitätsanbieter einfügen.

    Beispiel:

    Werte für Mandanten-URL und geheimes Token werden angezeigt. Die Lebensdauer des Tokens beträgt 6 Monate.
  4. Richten Sie in Ihrem Identitätsanbieter die Benutzer- und Gruppenbereitstellung für Workspace ONE ein.
    1. Melden Sie sich bei der Identitätsanbieter-Konsole als Administrator an.
    2. Richten Sie die SCIM 2.0-Bereitstellung ein.
      Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldedaten ein, die Sie in der Workspace ONE-Konsole generiert haben.
    3. Aktivieren Sie die Bereitstellung.

Nächste Maßnahme

Kehren Sie zur Workspace ONE-Konsole zurück, um mit dem VMware Identity Services-Assistenten fortzufahren.

Schritt 3: SCIM-Benutzerattribute zuordnen

Ordnen Sie die Benutzerattribute zu, die von Ihrem Identitätsanbieter mit Workspace ONE-Diensten synchronisiert werden sollen. Fügen Sie in Ihrer Identitätsanbieterkonsole die erforderlichen SCIM-Benutzerattribute hinzu und ordnen Sie sie Ihren Identitätsanbieterattributen zu. Synchronisieren Sie mindestens die Attribute, die für VMware Identity Services und Workspace ONE-Dienste erforderlich sind.

VMware Identity Services und Workspace ONE-Dienste erfordern die folgenden SCIM-Benutzerattribute:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Weitere Informationen zu diesen Attributen und deren Zuordnung zu Workspace ONE-Attributen finden Sie unter Benutzerattributzuordnung für VMware Identity Services.

Zusätzlich zu den erforderlichen Attributen können Sie optionale und benutzerdefinierte Attribute synchronisieren. Eine Liste der unterstützten optionalen und benutzerdefinierten Attribute finden Sie unter Benutzerattributzuordnung für VMware Identity Services.

Hinweis: Sie können in Okta keine Gruppenattributzuordnungen für die Synchronisierung mit VMware Identity Services angeben. Sie können nur Benutzerattribute zuordnen.

Prozedur

  1. Überprüfen Sie in der Workspace ONE-Konsole in Schritt 3, SCIM-Benutzerattribute zuordnen des VMware Identity Services-Assistenten die Liste der von VMware Identity Services unterstützten Attribute.
  2. Navigieren Sie in der Verwaltungskonsole Ihres Identitätsanbieters zur Bereitstellungskonfiguration für Workspace ONE.
  3. Navigieren Sie zur Seite für die Attributzuordnung.
  4. Ordnen Sie die erforderlichen SCIM-Benutzerattribute den Attributen Ihres Identitätsanbieters zu.
  5. Fügen Sie bei Bedarf optionale und benutzerdefinierte SCIM-Benutzerattribute hinzu und ordnen Sie sie zu.

Nächste Maßnahme

Kehren Sie zur Workspace ONE-Konsole zurück, um mit dem VMware Identity Services-Assistenten fortzufahren.

Schritt 4: Authentifizierungsprotokoll auswählen

Wählen Sie das Protokoll aus, das für die Verbundauthentifizierung verwendet werden soll. VMware Identity Services unterstützt die OpenID Connect- und SAML-Protokolle.

Prozedur

  1. Wählen Sie in Schritt 4 Authentifizierungsprotokoll auswählen des Assistenten OpenID Connect oder SAML aus.
  2. Klicken Sie auf Weiter.
    Der nächste Schritt des Assistenten wird mit den Werten angezeigt, die für die Konfiguration des ausgewählten Protokolls erforderlich sind.

Nächste Maßnahme

Konfigurieren Sie VMware Identity Services und den Identitätsanbieter für die Verbundauthentifizierung.

Schritt 5: Authentifizierung konfigurieren (generischer SCIM-Identitätsanbieter)

Um die Verbundauthentifizierung mit Ihrem Identitätsanbieter zu konfigurieren, richten Sie eine OpenID Connect- oder SAML-App im Identitätsanbieter ein, indem Sie die Dienstanbietermetadaten aus VMware Identity Services verwenden, und konfigurieren VMware Identity Services mit den Werten aus der App.

Wichtig: Wenn Sie VMware Identity Services mit Okta integrieren, müssen Sie in der Okta-Verwaltungskonsole separate Apps für die Bereitstellung von Benutzern und die Konfiguration von Identitätsanbietern erstellen. Sie können dieselbe App nicht für die Bereitstellung und Authentifizierung verwenden.
Hinweis: Dieses Thema enthält allgemeine Informationen zum Konfigurieren eines externen Identitätsanbieters. Die genauen Schritte für die Aufgaben variieren je nach Identitätsanbieter. Spezifische Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

OpenID Connect

Wenn Sie OpenID Connect als Authentifizierungsprotokoll ausgewählt haben, führen Sie die folgenden Schritte aus.

  1. Kopieren Sie in Schritt 5 OpenID Connect konfigurieren des VMware Identity Services-Assistenten den Wert Umleitungs-URI.

    Sie benötigen diesen Wert für den nächsten Schritt, wenn Sie eine OpenID Connect-App in Ihrem Identitätsanbieter erstellen.

    ""

  2. Erstellen Sie in der Verwaltungskonsole des Identitätsanbieters eine OpenID Connect-App.
  3. Suchen Sie den Abschnitt „Umleitungs-URI“ in der App, und kopieren Sie den Wert für den Umleitungs-URI, den Sie aus dem VMware Identity Services-Assistenten kopiert haben, und fügen Sie ihn ein.
  4. Erstellen Sie einen geheimen Client-Schlüssel für die App und kopieren Sie ihn.

    Den geheimen Schlüssel geben Sie im nächsten Schritt in den VMware Identity Services-Assistenten ein.

  5. Kehren Sie zum VMware Identity Services-Assistenten in der Workspace ONE-Konsole zurück und schließen Sie die Konfiguration im Abschnitt OpenID Connect konfigurieren ab.
    Client-ID Kopieren Sie den Wert der Client-ID aus der Identitätsanbieter-App und fügen Sie ihn ein.
    Geheimer Client-Schlüssel Kopieren Sie den geheimen Client-Schlüssel aus der Identitätsanbieter-App und fügen Sie ihn ein.
    Konfigurations-URL Kopieren Sie die bekannte OpenID Connect-Konfigurations-URL der Identitätsanbieter-App und fügen Sie sie ein. Zum Beispiel: https://example.com/.well-known/openid-configuration
    OIDC-Benutzerbezeichnerattribut Geben Sie das OpenID Connect-Attribut an, das dem Workspace ONE-Attribut für die Benutzersuche zugeordnet werden soll.
    Workspace ONE-Benutzerbezeichnerattribut Geben Sie das Workspace ONE-Attribut an, das dem OpenID Connect-Attribut für die Benutzersuche zugeordnet werden soll.
  6. Klicken Sie im VMware Identity Services-Assistenten auf Fertigstellen, um die Integration zwischen VMware Identity Services und Ihrem Identitätsanbieter einzurichten.

SAML

Wenn Sie SAML als Authentifizierungsprotokoll ausgewählt haben, führen Sie die folgenden Schritte aus.

  1. Rufen Sie die Metadaten des Dienstanbieters von der Workspace ONE-Konsole ab.

    Kopieren Sie ab Schritt 5, SAML-Single Sign-On konfigurieren, des VMware Identity Services-Assistenten die Metadaten des SAML-Dienstanbieters oder zeigen Sie sie an und laden Sie sie herunter.


    ""
  2. Navigieren Sie in der Verwaltungskonsole des Identitätsanbieters zur Single Sign-On-Konfigurationsseite.
    Wichtig: Wenn Sie VMware Identity Services mit Okta integrieren, müssen Sie eine separate SAML-App in Okta für die Authentifizierung erstellen. Sie können dieselbe App nicht für die Bereitstellung und Authentifizierung verwenden.
  3. Konfigurieren Sie Single Sign-On mithilfe von Werten aus dem VMware Identity Services-Assistenten.

    Typische Konfigurationsschritte umfassen einen der folgenden Schritte, je nachdem, was der Identitätsanbieter unterstützt:

    • Suchen Sie die Option „Metadaten des Dienstanbieters“ und laden Sie die Metadaten des SAML-Dienstanbieters aus dem VMware Identity Services-Assistenten hoch oder kopieren Sie sie und fügen Sie sie ein.
    • Wenn der Identitätsanbieter über keine Option zum Hochladen der Metadaten verfügt, kopieren Sie die folgenden Werte aus den Metadaten des SAML-Dienstanbieters von VMware Identity Services und fügen Sie sie in die entsprechenden Felder in der Konsole des Identitätsanbieters ein:

      entityID-Wert: Zum Beispiel https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      AssertionConsumerService HTTP-POST Location-Wert: Beispiel: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

  4. Suchen und kopieren Sie die SAML-Metadaten des Identitätsanbieters aus der Identitätsanbieterkonsole.
  5. Fügen Sie in der Workspace ONE-Konsole in Schritt 5 SAML-Single Sign-On konfigurieren des VMware Identity Services-Assistenten die Identitätsanbieter-Metadaten in das Textfeld Identitätsanbieter-Metadaten ein.
    ""
  6. Konfigurieren Sie die restlichen Optionen im Abschnitt SAML-Single Sign-On konfigurieren.
    • Single Sign-Out: Wählen Sie diese Option, wenn Sie Benutzer von ihrer Identitätsanbieter-Sitzung abmelden möchten, nachdem sie sich von Workspace ONE Intelligent Hub abgemeldet haben.
    • Bindungsprotokoll: Wählen Sie das SAML-Bindungsprotokoll HTTP POST oder HTTP-Umleitung aus.
    • Namens-ID-Format: Geben Sie das Namens-ID-Format an, das zum Zuordnen von Benutzern zwischen Ihrem Identitätsanbieter und Workspace ONE-Diensten verwendet werden soll.
    • Namens-ID-Wert: Wählen Sie das Benutzerattribut für Benutzer in Workspace ONE aus.
    • Betreff in SAML-Anfrage senden (wenn verfügbar): Wählen Sie diese Option, wenn Sie möchten, dass der Identitätsanbieter den Betreff als Anmeldehinweis an VMware Identity Services sendet, sofern verfügbar. Wenn Sie diese Option auswählen, können Sie auch die Option Namens-ID-Formatzuordnung für Betreff verwenden auswählen.
    • Namens-ID-Formatzuordnung für Betreff verwenden: Wählen Sie diese Option, um den vom Identitätsanbieter bereitgestellten Anmeldehinweis dem Wert für die Namens-ID zuzuordnen.
      Vorsicht: Die Aktivierung dieser Option erhöht möglicherweise das Risiko einer Sicherheitslücke, die als Benutzeraufzählung bezeichnet wird.
  7. Klicken Sie im Assistenten auf Fertig stellen, um die Einrichtung der Integration zwischen VMware Identity Services und Ihrem Identitätsanbieter abzuschließen.

Ergebnisse

Die Integration zwischen VMware Identity Services und Ihrem Identitätsanbieter ist abgeschlossen.

Das Verzeichnis wird in VMware Identity Services erstellt und mit Daten gefüllt, wenn Sie Benutzer und Gruppen von der Bereitstellungs-App im Identitätsanbieter pushen. Bereitgestellte Benutzer und Gruppen werden automatisch in den Workspace ONE-Diensten angezeigt, die Sie für die Integration mit dem Identitätsanbieter ausgewählt haben, z. B. Workspace ONE Access und Workspace ONE UEM.

Sie können das Verzeichnis nicht in den Workspace ONE Access- und Workspace ONE UEM-Konsolen bearbeiten. Die Seiten Verzeichnis, Benutzer, Benutzergruppen, Benutzerattribute und Identitätsanbieter sind schreibgeschützt.

Nächste Schritte

Wählen Sie anschließend die Workspace ONE-Dienste aus, für die Sie Benutzer und Gruppen bereitstellen möchten.

Anschließend übertragen Sie Benutzer und Gruppen von Ihrem Identitätsanbieter. Siehe Bereitstellen von Benutzern für Workspace ONE.