En este paso, podrá configurar la federación con el proveedor de identidad corporativo basado en SAML y los ajustes del proveedor de identidad en el Workspace ONE Access tenant creado para su empresa.

Puede utilizar cualquier proveedor de identidad de terceros compatible con SAML 2.0 para configurar la federación empresarial con VMware Cloud services. La configuración sencilla está disponible como parte del flujo de trabajo de la federación de autoservicio para los siguientes proveedores: Okta, PingIdentity, Microsoft Active Directory Federation Services (ADFS), OneLogin y Azure Active Directory.
Nota: Si desea configurar Azure Active Directory para una federación empresarial con VMware Cloud Services, debe haber seleccionado sAMAccountName para la notificación de grupo adicional. Es necesario recuperar los detalles del grupo después de activar la configuración de la federación.

Para configurar otro proveedor de identidad de terceros compatible con SAML 2.0 que no se encuentre en esta lista, seleccione Otro.

En este ejemplo, ACME Enterprise utiliza Okta. Como el administrador empresarial que va a configurar la federación para ACME, deberá configurar Okta.
Nota: Si su proveedor de identidad admite el envío de información de grupo en la respuesta de SAML, puede incluir atributos de grupo en la configuración de la federación.

Requisitos previos

En este paso debe establecer la preferencia de identificación de los usuarios, la forma en que los usuarios de su empresa se identificarán cuando accedan a VMware Cloud Services desde la página de detección de Cloud Services. Las opciones disponibles son Correo electrónico, Nombre principal de usuario (UPN) y Usuario@ dominio. Si considera configurar Usuario@ dominio como preferencia de identificación de usuario para su empresa, debe tener en cuenta la siguiente restricción.
Restricción: Una vez que el proveedor de identidad esté configurado con la preferencia de identificación Usuario@ dominio, no podrá volver al Paso 1: Verificar dominios y agregar más dominios durante la configuración. Debe agregar todos los dominios que desea federar antes de iniciar este paso del flujo de federación de autoservicio. Si desea agregar otro dominio después de completar este paso, debe presentar un ticket de soporte.

Procedimiento

  1. En la sección Configurar proveedor de identidad de la página Configurar la federación empresarial, haga clic en Iniciar.
    Se mostrará la sección Seleccionar el proveedor de identidad. La opción Proveedor de identidad basado en SAML está seleccionada de forma predeterminada.
  2. En la lista de proveedores de identidad SAML de terceros disponibles, haga clic en Okta.
  3. Haga clic en Siguiente.
    Se expande la sección Configurar SAML en el proveedor de identidad.
  4. Haga clic en el vínculo Ver metadatos del proveedor de servicios de SAML y descargue el archivo de metadatos.
    Si el proveedor de identidad admite un formato de URL, también puede copiar la URL de metadatos. Utilice el archivo o la URL de metadatos para configurar el proveedor de identidad a fin de establecer confianza con el Workspace ONE Access tenant.
  5. Copie la URL de inicio de sesión único y la ruta de acceso del URI de público.
  6. Abra la consola de administración del proveedor de identidad.
    1. Pegue la URL de inicio de sesión único y el URI de público que copió en el paso anterior.
    2. Cargue el archivo de metadatos que descargó en el paso 4 de esta tarea.
    3. Copie el ID de nombre configurado en su proveedor de identidad y guárdelo por si lo necesita más adelante.
    4. Descargue el archivo de metadatos del proveedor de identidad.
  7. Cuando termine la configuración del proveedor de identidad, vuelva al flujo de trabajo de la federación de autoservicio, expanda la sección Configurar SAML en el proveedor de identidad y haga clic en Siguiente.
    Se expande la sección Configurar el proveedor de identidad del flujo de trabajo.
  8. Para configurar el proveedor de identidad en el Workspace ONE Access tenant, proporcione lo siguiente:
    1. En el cuadro de texto Nombre para mostrar del proveedor de identidad, introduzca un nombre descriptivo para su proveedor de identidad.
      Este nombre se mostrará a los usuarios de VMware Cloud servicesen el inicio y cierre de sesión.
    2. En el cuadro de texto Metadatos, introduzca la URL de metadatos del proveedor de identidad o seleccione XML y pegue el archivo XML de metadatos del proveedor de identidad.
      La validación de los metadatos se inicia automáticamente. Cuando finalice la validación, un icono de casilla verde indica que el archivo se leyó y se analizó correctamente. Si la validación devuelve un error, compruebe si la URL que introdujo es correcta. Asegúrese de que no haya espacios ni caracteres adicionales en el archivo XML de metadatos del proveedor de identidad.
    3. Seleccione el formato de ID de nombre en el menú desplegable.
      El formato de ID de nombre es el valor de la respuesta de SAML para identificar al usuario autenticado.
    4. Seleccione el Formato de ID de nombre y el Valor de ID de nombre en el menú desplegable según corresponda para su proveedor de identidad.
      El método de autenticación se rellena automáticamente.
    5. En el menú desplegable Contexto de SAML, seleccione el tipo de autenticación de usuario en el proveedor de identidad.
    6. Haga clic en Siguiente.
      La sección Atributos de usuario se expande para mostrar una lista de los atributos de usuario obligatorios y no obligatorios que puede buscar en la respuesta de SAML de su proveedor de identidad.
  9. (Opcional) Para agregar un atributo de usuario personalizado que no esté en la lista, haga clic en Agregar atributo de usuario e introduzca un valor que coincida exactamente con su nombre en su IdP.
  10. Haga clic en Siguiente.
    Si ha indicado su configuración con un proveedor de identidad que admite el atributo de grupo en la respuesta de SAML, la sección Atributos de grupo del flujo de trabajo se expande para poder agregar un atributo de grupo y nombres de grupo que se pedirán en la solicitud de SAML.
  11. (Opcional) En el menú desplegable, seleccione un atributo de grupo y nombres de grupo.
  12. En la sección Establecer preferencia de identificación de usuarios, seleccione la forma en que los usuarios de su empresa se identificarán cuando accedan a VMware Cloud Services desde la página de detección de Cloud Services.
    La identificación del usuario es diferente de la forma en la que el usuario se autentica en el proveedor de identidad empresarial.
    Importante: Si selecciona Nombre de usuario@Dominio como opción de preferencia de identificación, el atributo Dominio debe estar presente en la respuesta de SAML cuando inician sesión en VMware Cloud services.
  13. Haga clic en Configurar.

Resultados

En este paso, agregó el proveedor de identidad a la configuración del tenant de Workspace ONE Access, configuró el tenant de Workspace ONE Access como proveedor de servicios en el proveedor de identidad, seleccionó el valor que se va a utilizar para identificar al usuario en la respuesta de SAML y especificó el método de autenticación que se utilizará para autenticar al usuario en el proveedor de identidad.

Qué hacer a continuación

Valide el inicio de sesión en el proveedor de identidad y active la federación.