Tras habilitar VMware Identity Services para el arrendatario de Workspace ONE, configure la integración con el proveedor de identidad basado en SCIM 2.0.
- En el asistente de introducción de VMware Identity Services, haga clic en Iniciar en el paso 2 (Integrar un proveedor de identidad basado en SCIM 2.0).
- Haga clic en Configurar en la tarjeta Proveedor de identidad SCIM 2.0.
- Siga las instrucciones del asistente para configurar la integración con el proveedor de identidad.
Paso 1: Crear un directorio
Como primer paso para configurar el aprovisionamiento de usuarios y la federación de identidades con VMware Identity Services, cree un directorio en la consola de Workspace ONE Cloud para los usuarios y los grupos aprovisionados desde el proveedor de identidad.
Procedimiento
Qué hacer a continuación
Configure el aprovisionamiento de usuarios y grupos.
Paso 2: Configurar el aprovisionamiento de usuarios y grupos
Después de crear un directorio en VMware Identity Services, configure el aprovisionamiento de usuarios y grupos. Para iniciar el proceso en VMware Identity Services, genere las credenciales de administrador necesarias para el aprovisionamiento y configúrelo en el proveedor de identidad con dichas credenciales.
Requisitos previos
Debe tener una cuenta de administrador en el proveedor de identidad con los privilegios necesarios para configurar el aprovisionamiento de usuarios.
Procedimiento
Qué hacer a continuación
Vuelva a la consola de Workspace ONE Cloud para continuar con los pasos del asistente de VMware Identity Services.
Paso 3: Asignar atributos de usuario de SCIM
Asigne los atributos de usuario para sincronizarlos desde el proveedor de identidad con los servicios de Workspace ONE. En la consola del proveedor de identidad, agregue los atributos de usuario de SCIM necesarios y asígnelos a los atributos del proveedor de identidad. Como mínimo, sincronice los atributos que requieren VMware Identity Services y los servicios de Workspace ONE.
VMware Identity Services y los servicios de Workspace ONE requieren los siguientes atributos de usuario de SCIM:
- userName
- emails
- name.givenName
- name.familyName
- externalId
- active
Para obtener más información sobre estos atributos y su asignación a los atributos de Workspace ONE, consulte Asignación de atributos de usuario para VMware Identity Services.
Además de los atributos obligatorios, puede sincronizar atributos opcionales y personalizados. Para obtener la lista de atributos opcionales y personalizados compatibles, consulte Asignación de atributos de usuario para VMware Identity Services.
Procedimiento
- En la consola de Workspace ONE Cloud, revise la lista de atributos compatibles con VMware Identity Services en el paso 3 (Asignar atributos de usuario de SCIM) del asistente de VMware Identity Services.
- En la consola de administración del proveedor de identidad, desplácese hasta la configuración de aprovisionamiento para Workspace ONE.
- Desplácese hasta la página de asignación de atributos.
- Asigne los atributos de usuario de SCIM necesarios a los atributos del proveedor de identidad.
- Agregue y asigne atributos de usuario de SCIM opcionales y personalizados según sea necesario.
Qué hacer a continuación
Vuelva a la consola de Workspace ONE Cloud para continuar con los pasos del asistente de VMware Identity Services.
Paso 4: Seleccionar el protocolo de autenticación
Seleccione el protocolo que se utilizará para la autenticación federada. VMware Identity Services admite los protocolos OpenID Connect y SAML.
Procedimiento
Qué hacer a continuación
Configure VMware Identity Services y el proveedor de identidad para la autenticación federada.
Paso 5: Configurar la autenticación (proveedor de identidad SCIM genérico)
Para configurar la autenticación federada con el proveedor de identidad, configure una aplicación de OpenID Connect o SAML en dicho proveedor con los metadatos del proveedor de servicios de VMware Identity Services y configure VMware Identity Services con los valores de la aplicación.
OpenID Connect
Si seleccionó OpenID Connect como protocolo de autenticación, siga estos pasos.
- En el paso 5 (Configurar OpenID Connect) del asistente de VMware Identity Services, copie el valor de URI de redireccionamiento.
Necesitará este valor en el siguiente paso al crear una aplicación de OpenID Connect en el proveedor de identidad.
- En la consola de administración del proveedor de identidades, cree una aplicación de OpenID Connect.
- Busque la sección URI de redireccionamiento en la aplicación y copie y pegue el valor de URI de redireccionamiento que copió en el asistente de VMware Identity Services.
- Cree un secreto de cliente para la aplicación y cópielo.
Deberá introducir el secreto en el siguiente paso del asistente de VMware Identity Services.
- Vuelva al asistente de VMware Identity Services en la consola de Workspace ONE Cloud y complete la configuración en la sección Configurar OpenID Connect.
ID de cliente Copie y pegue el valor de ID de cliente de la aplicación del proveedor de identidad. Secreto de cliente Copie y pegue el secreto de cliente de la aplicación del proveedor de identidad. URL de configuración Copie y pegue la URL de configuración conocida de OpenID Connect de la aplicación del proveedor de identidad. Por ejemplo: https://example.com/.well-known/openid-configuration Atributo de identificador de usuario de OIDC Especifique el atributo de OpenID Connect que se debe asignar al atributo de Workspace ONE para las búsquedas de usuarios. Atributo de identificador de usuario de Workspace ONE Especifique el atributo de Workspace ONE que se debe asignar al atributo de OpenID Connect para las búsquedas de usuarios. - En el asistente de VMware Identity Services, haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y el proveedor de identidad.
SAML
Si seleccionó SAML como protocolo de autenticación, siga estos pasos:
- Obtenga los metadatos del proveedor de servicios de la consola de Workspace ONE Cloud.
En el paso 5 (Configurar el inicio de sesión único de SAML) del asistente de VMware Identity Services, copie o descargue el archivo de Metadatos del proveedor de servicios SAML.
- En la consola administrativa del proveedor de identidad, desplácese hasta la página de configuración del inicio de sesión único.
- Configure el inicio de sesión único con los valores del asistente de VMware Identity Services.
Entre los pasos de configuración típicos se suele incluir uno de los siguientes, en función de la compatibilidad que ofrezca el proveedor de identidad:
- Busque la opción de metadatos del proveedor de servicios y cargue, o copie y pegue, los metadatos del proveedor de servicios SAML desde el asistente de VMware Identity Services.
- Si el proveedor de identidad no tiene una opción para cargar el archivo de metadatos o si prefiere configurar las opciones de forma individual, copie y pegue los siguientes valores del paso 5 del asistente de VMware Identity Services en los campos correspondientes de la consola del proveedor de identidad:
Valor de ID de entidad: por ejemplo, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.
Valor de URL de inicio de sesión único: por ejemplo, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.
Certificado de firma
Certificado de cifrado (en Opciones avanzadas): obligatorio si tiene pensado habilitar el cifrado SAML en el proveedor de identidad.
- Busque y copie los metadatos SAML del proveedor de identidad en la consola de dicho proveedor.
- En la consola de Workspace ONE Cloud, pegue los metadatos del proveedor de identidad en el cuadro de texto Metadatos del proveedor de identidad del paso 5 (Configurar el inicio de sesión único de SAML) del asistente de VMware Identity Services.
- Configure el resto de las opciones de la sección Configurar el inicio de sesión único de SAML, según corresponda.
- Protocolo de enlace: seleccione el protocolo de enlace de SAML (HTTP POST o Redireccionamiento HTTP).
- Formato de ID de nombre: utilice los ajustes de Formato de ID de nombre y Valor de ID de nombre para asignar usuarios entre el proveedor de identidad y VMware Identity Services. Para Formato de ID de nombre, especifique el formato de ID de nombre utilizado en la respuesta SAML.
- Valor de ID de nombre: seleccione el atributo de usuario de VMware Identity Services al que desea asignar el valor de ID de nombre recibido en la respuesta SAML.
- Contexto de SAML: seleccione el contexto de autenticación de SAML. Puede seleccionar uno de los valores que se muestran en el menú desplegable o escribir un valor personalizado. El valor predeterminado es urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified.
El contexto de autenticación indica cómo se autentican los usuarios en el proveedor de identidad. El proveedor de identidad incluye el contexto de autenticación en una aserción a solicitud de un proveedor de servicios o en función de la configuración del proveedor de identidad.
- Enviar asunto en la solicitud SAML (cuando esté disponible): seleccione esta opción si desea enviar el asunto al proveedor de identidad como una sugerencia de inicio de sesión para mejorar la experiencia de inicio de sesión del usuario, cuando esté disponible.
- Usar la asignación de formato de ID de nombre para el asunto: seleccione esta opción si desea aplicar el Formato de ID de nombre y el Valor de ID de nombre al asunto en la solicitud SAML. Esta opción se utiliza con la opción Enviar el asunto en la solicitud SAML (cuando esté disponible).
Precaución: Habilitar esta opción puede aumentar el riesgo de sufrir una vulnerabilidad de seguridad conocida como enumeración de usuarios.
- Usar cierre de sesión único de SAML: seleccione esta opción si desea cerrar la sesión del proveedor de identidad de los usuarios después de que cierren los servicios de Workspace ONE.
- URL de cierre de sesión único del proveedor de identidad: si el proveedor de identidad no admite el cierre de sesión único SAML, puede usar esta opción para especificar la URL a la que se redirigirá a los usuarios después de cerrar sesión en los servicios de Workspace ONE. Si utiliza esta opción, seleccione también la casilla de verificación Usar cierre de sesión único de SAML.
Si deja esta opción en blanco, se redirecciona a los usuarios al proveedor de identidad mediante el cierre de sesión único SAML.
- En el asistente, haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y el proveedor de identidad.
Resultados
Se completa la integración entre VMware Identity Services y el proveedor de identidad.
Se crea el directorio en VMware Identity Services y se rellenará al insertar usuarios y grupos desde la aplicación de aprovisionamiento en el proveedor de identidad. Los usuarios y los grupos aprovisionados aparecerán automáticamente en los servicios de Workspace ONE que elija para integrarlos con el proveedor de identidad (por ejemplo, Workspace ONE Access y Workspace ONE UEM).
No se puede editar el directorio en las consolas de Workspace ONE Access y Workspace ONE UEM. Las páginas del directorio, los usuarios, los grupos de usuarios, los atributos de usuario y el proveedor de identidad son de solo lectura.
Pasos siguientes
En primer lugar, seleccione los servicios de Workspace ONE a los que desea aprovisionar usuarios y grupos.
A continuación, inserte usuarios y grupos desde el proveedor de identidad. Consulte Aprovisionar usuarios a Workspace ONE.