Al agregar y configurar nuevas instancias de proveedores de identidades para la implementación de Workspace ONE Access, se puede conseguir alta disponibilidad, compatibilidad con métodos de autenticación de usuario adicionales y una mayor flexibilidad en la manera de administrar los procesos de autenticación de usuarios en función de los rangos de direcciones IP.
Requisitos previos
- Acceda al documento de metadatos de terceros. El acceso puede ser la dirección URL de los metadatos o los propios metadatos.
Procedimiento
- En la pestaña Administración de acceso e identidad de la consola de Workspace ONE Accessseleccione Proveedores de identidades.
- Haga clic en Agregar proveedor de identidades.
- Edite los parámetros de la instancia del proveedor de identidades.
Elemento del formulario Descripción Nombre del proveedor de identidades Escriba un nombre para la instancia del proveedor de identidades. Metadatos SAML Agregue el documento de metadatos basado en XML del proveedor de identidades externo para establecer una relación de confianza con el proveedor de identidades.
- Escriba la dirección URL de los Metadatos SAML o bien el contenido xml en el cuadro de texto. Haga clic en Procesar metadatos del IDP.
- Seleccione el método de identificación del usuario. El identificador enviado en una aserción de SAML entrante puede enviarse en el asunto o en la instrucción de Atributo.
- Elemento NameID. El elemento NameID se recupera de la instrucción de Atributo de SAML.
- Atributo de SAML.
- Si selecciona Atributo de SAML, los formatos de NameID admitidos por el proveedor de identidades se extraen de los metadatos y se agregan a la tabla Formato de ID de nombre.
- En la columna Valor de ID de nombre, seleccione el atributo de usuario en el servicio para asignarlo a los formatos de ID que aparecen. Puede agregar formatos de ID de nombre personalizados de terceros y asignarlos a los valores de atributos de usuario del servicio.
- (Opcional) Seleccione el formato de cadena de identificador de respuesta de directiva de NameID.
Aprovisionamiento Just-in-Time N/A Usuarios Seleccione el Otro directorio que incluye los usuarios que pueden autenticarse con este proveedor de identidades. Red Incluye una lista de los rangos de redes existentes configurados en el servicio. Seleccione los rangos de redes para los usuarios en función de sus direcciones IP que desea dirigir a esta instancia de proveedor de identidades para la autenticación.
Métodos de autenticación Agregue los métodos de autenticación que admite el proveedor de identidades de terceros. Seleccione la clase de contexto de autenticación SAML compatible con el método de autenticación. Configuración de cierre de sesión único Cuando los usuarios inician sesión en Workspace ONE desde un proveedor de identidades externo (IDP), se abren dos sesiones, una en el proveedor de identidades externo y otra en el proveedor de servicio de Identity Manager para Workspace ONE. La duración de las sesiones se administra de forma independiente. Cuando los usuarios cierran su sesión en Workspace ONE, se cierra la sesión de Workspace ONE, pero es posible que la sesión de IDP externa permanezca abierta. Según sus requisitos de seguridad, puede habilitar el cierre de sesión único y configurar el cierre de sesión único para cerrar ambas sesiones, o puede conservar la sesión de IDP externa intacta.
Opción de configuración 1
- Puede habilitar el cierre de sesión único cuando configure el proveedor de identidades externo. Si el proveedor de identidades externo admite el protocolo de cierre de sesión único basado en SAML (SLO), se cerrarán ambas sesiones de los usuarios cuando éstos cierren la sesión del portal de Workspace ONE. El cuadro de texto URL de redireccionamiento no está configurado.
- Si el IDP externo no admite el cierre de sesión único basado en SAML, habilite el cierre de sesión único y, en el cuadro de texto URL de redireccionamiento, designe una URL de endpoint de cierre de sesión único para IDP. También puede agregar un parámetro de redireccionamiento para anexar a la URL que envía a los usuarios a un endpoint específico. Se redirecciona a los usuarios a esta dirección URL al cerrar sesión en el portal de Workspace ONE y también al cerrar sesión en IDP.
Opción de configuración 2
- Otra opción de cierre de sesión único es hacer que los usuarios cierren sesión en su portal de Workspace ONE y redirigirlos a una URL de endpoint personalizada. Habilite el cierre de sesión único, designe la dirección URL en el cuadro de texto URL de redireccionamiento y el parámetro de redireccionamiento del endpoint personalizado. Cuando los usuarios cierran sesión en el portal de Workspace ONE, se les redirige a esta página, la cual puede mostrar un mensaje personalizado. Es posible que la sesión de IDP externa aún esté abierta. Se introduce la dirección URL como https://<vidm-access-url>/SAAS/auth/federation/slo.
Si Habilitar cierre de sesión único no está habilitado, la configuración predeterminada del servicio Workspace ONE Access es dirigir a los usuarios de regreso a la página de inicio de sesión del portal de Workspace ONE cuando cierren sesión. Es posible que la sesión de IDP externa aún esté abierta.
Certificado de firma SAML Haga clic en Metadatos del proveedor de servicios (SP) para ver la dirección URL de los metadatos del proveedor de servicios de SAML de Workspace ONE Access. Copie la dirección URL y guárdela. Esta dirección URL se configura al editar la aserción de SAML en el proveedor de identidades de terceros para asignar usuarios de Workspace ONE Access. Nombre de host de IdP Si aparece el cuadro de texto Nombre de host, escriba el nombre del host al que se redireccionará el proveedor de identidades para la autenticación. Si utiliza un puerto no estándar distinto del 443, puede definir el nombre del host con el formato Nombredehost:Puerto. Por ejemplo, miemp.ejemplo.com:8443. - Haga clic en Agregar.
Qué hacer a continuación
- Edite la configuración del proveedor de identidades externo para agregar la URL del certificado de firma SAML que se guardó.