Tras habilitar VMware Identity Services para el arrendatario de Workspace ONE, configure la integración con el proveedor de identidad basado en SCIM 2.0.

  1. En el asistente de introducción de VMware Identity Services, haga clic en Iniciar en el paso 2 (Integrar un proveedor de identidad basado en SCIM 2.0).""
  2. Haga clic en Configurar en la tarjeta Proveedor de identidad SCIM 2.0.
    ""
  3. Siga las instrucciones del asistente para configurar la integración con el proveedor de identidad.

Paso 1: Crear un directorio

Como primer paso para configurar el aprovisionamiento de usuarios y la federación de identidades con VMware Identity Services, cree un directorio en la consola de Workspace ONE para los usuarios y los grupos aprovisionados desde el proveedor de identidad.

Precaución: Después de crear un directorio, no puede cambiar la selección del proveedor de identidad. Asegúrese de seleccionar el proveedor de identidad adecuado antes de continuar.

Procedimiento

  1. En el paso 1 (Información general) del asistente, introduzca el nombre que desea utilizar para el directorio aprovisionado en Workspace ONE.
    El nombre puede tener una longitud máxima de 128 caracteres. Solo se permiten los siguientes caracteres: letras (a-z o equivalentes en otros idiomas), dígitos (0-9), espacio, guion (-) y guion bajo (_).
    Importante: No puede cambiar el nombre del directorio después de crearlo.
  2. En Nombre del dominio, introduzca el nombre de dominio principal del directorio de origen, incluida la extensión (por ejemplo, .com o .net).
    Actualmente, VMware Identity Services solo admite un dominio. Los usuarios y los grupos aprovisionados se asocian a este dominio en los servicios de Workspace ONE.

    El nombre de dominio puede tener una longitud máxima de 100 caracteres. Solo se permiten los siguientes caracteres: letras (a-z o equivalentes en otros idiomas), dígitos (0-9), espacio, guion (-), guion bajo (_) y punto (.).

    Por ejemplo:

    En este ejemplo, el nombre del directorio es Demo, y el nombre de dominio example.com.
  3. Haga clic en Guardar y confirme la selección.

Qué hacer a continuación

Configure el aprovisionamiento de usuarios y grupos.

Paso 2: Configurar el aprovisionamiento de usuarios y grupos

Después de crear un directorio en VMware Identity Services, configure el aprovisionamiento de usuarios y grupos. Para iniciar el proceso en VMware Identity Services, genere las credenciales de administrador necesarias para el aprovisionamiento y configúrelo en el proveedor de identidad con dichas credenciales.

Nota: Este tema se aplica a la integración con un proveedor de identidad SCIM 2.0 distinto de Azure AD. Si desea realizar la integración con Azure AD, consulte Paso 2: Configurar el aprovisionamiento de usuarios y grupos.
Nota: Este tema proporciona información de alto nivel sobre la configuración de un proveedor de identidad externo. Las ubicaciones y los pasos exactos para las tareas varían en función del proveedor de identidad. Consulte la documentación del proveedor de identidad para obtener información específica.

Requisitos previos

Debe tener una cuenta de administrador en el proveedor de identidad con los privilegios necesarios para configurar el aprovisionamiento de usuarios.

Procedimiento

  1. Desde la consola de Workspace ONE, en el paso 2 (Configurar proveedor de identidad) del asistente de VMware Identity Services, seleccione el tipo de credenciales necesarias para configurar el aprovisionamiento de usuarios en el proveedor de identidad.
    Elija entre las siguientes opciones:
    • ID y secreto de cliente
    • Token y URL de arrendatario

    Dado que los tokens caducan y deben actualizarse manualmente, es preferible la opción de ID y secreto de cliente. Como práctica recomendada de seguridad, rote el ID y el secreto de cliente cada seis meses.

    Al hacer clic en Siguiente, VMware Identity Services generará las credenciales.
  2. Si seleccionó ID y secreto de cliente, copie los valores de ID de cliente y Secreto de cliente.
    Importante: Asegúrese de copiar el secreto antes de hacer clic en Siguiente. Cuando haga clic en Siguiente, el secreto ya no será visible y tendrá que generar uno nuevo. Tenga en cuenta que siempre que se vuelve a generar un secreto, el secreto anterior deja de ser válido y se produce un error en el aprovisionamiento. Asegúrese de copiar y pegar el nuevo secreto en la aplicación del proveedor de identidad.

    Por ejemplo:

    Junto a los valores de ID de cliente y Secreto de cliente aparece un icono de copiar.
  3. Si seleccionó Token y URL de arrendatario, revise y copie los valores generados.
    • Dirección URL del tenant: el endpoint SCIM 2.0 del arrendatario de VMware Identity Services. Copie el valor.
    • Vida útil del token: el período de validez del token secreto.

      VMware Identity Services genera el token con una duración predeterminada de 6 meses. Si desea cambiarla, haga clic en la flecha hacia abajo, seleccione otra opción y haga clic en Regenerar para volver a generar el token con el nuevo valor.

      Importante: Cada vez que se actualiza la duración del token, el token anterior deja de ser válido y se produce un error en el aprovisionamiento de usuarios y grupos desde el proveedor de identidad. Debe volver a generar un nuevo token, copiarlo y pegarlo en el proveedor de identidad.
    • Token secreto: el token que requiere el proveedor de identidad para aprovisionar usuarios a Workspace ONE. Copie el valor.
      Importante: Asegúrese de copiar el token antes de hacer clic en Siguiente. Cuando haga clic en Siguiente, el token ya no será visible y tendrá que generar uno nuevo. Tenga en cuenta que siempre que se vuelve a generar un token, el token anterior deja de ser válido y se produce un error en el aprovisionamiento. Asegúrese de copiar y pegar el nuevo token en el proveedor de identidad.

    Por ejemplo:

    Aparecen los valores para Dirección URL del tenant y Token secreto. La duración del token es de 6 meses.
  4. En el proveedor de identidad, configure el aprovisionamiento de usuarios y grupos en Workspace ONE.
    1. Inicie sesión en la consola del proveedor de identidad como administrador.
    2. Configure el aprovisionamiento de SCIM 2.0.
      Cuando se le solicite, introduzca las credenciales que generó en la consola de Workspace ONE.
    3. Active el aprovisionamiento.

Qué hacer a continuación

Vuelva a la consola de Workspace ONE para continuar con los pasos del asistente de VMware Identity Services.

Paso 3: Asignar atributos de usuario de SCIM

Asigne los atributos de usuario para sincronizarlos desde el proveedor de identidad con los servicios de Workspace ONE. En la consola del proveedor de identidad, agregue los atributos de usuario de SCIM necesarios y asígnelos a los atributos del proveedor de identidad. Como mínimo, sincronice los atributos que requieren VMware Identity Services y los servicios de Workspace ONE.

VMware Identity Services y los servicios de Workspace ONE requieren los siguientes atributos de usuario de SCIM:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Para obtener más información sobre estos atributos y su asignación a los atributos de Workspace ONE, consulte Asignación de atributos de usuario para VMware Identity Services.

Además de los atributos obligatorios, puede sincronizar atributos opcionales y personalizados. Para obtener la lista de atributos opcionales y personalizados compatibles, consulte Asignación de atributos de usuario para VMware Identity Services.

Nota: No se pueden especificar asignaciones de atributos de grupo en Okta para sincronizarlos con VMware Identity Services. Solo puede asignar atributos de usuario.

Procedimiento

  1. En la consola de Workspace ONE, revise la lista de atributos compatibles con VMware Identity Services en el paso 3 (Asignar atributos de usuario de SCIM) del asistente de VMware Identity Services.
  2. En la consola de administración del proveedor de identidad, desplácese hasta la configuración de aprovisionamiento para Workspace ONE.
  3. Desplácese hasta la página de asignación de atributos.
  4. Asigne los atributos de usuario de SCIM necesarios a los atributos del proveedor de identidad.
  5. Agregue y asigne atributos de usuario de SCIM opcionales y personalizados según sea necesario.

Qué hacer a continuación

Vuelva a la consola de Workspace ONE para continuar con los pasos del asistente de VMware Identity Services.

Paso 4: Seleccionar el protocolo de autenticación

Seleccione el protocolo que se utilizará para la autenticación federada. VMware Identity Services admite los protocolos OpenID Connect y SAML.

Procedimiento

  1. En el paso 4 (Seleccionar protocolo de autenticación) del asistente, seleccione OpenID Connect o SAML.
  2. Haga clic en Siguiente.
    El siguiente paso del asistente aparece con los valores necesarios para configurar el protocolo seleccionado.

Qué hacer a continuación

Configure VMware Identity Services y el proveedor de identidad para la autenticación federada.

Paso 5: Configurar la autenticación (proveedor de identidad SCIM genérico)

Para configurar la autenticación federada con el proveedor de identidad, configure una aplicación de OpenID Connect o SAML en dicho proveedor con los metadatos del proveedor de servicios de VMware Identity Services y configure VMware Identity Services con los valores de la aplicación.

Importante: Si desea integrar VMware Identity Services con Okta, debe crear aplicaciones independientes en la consola administrativa de Okta para el aprovisionamiento de usuarios y la configuración del proveedor de identidad. No puede utilizar la misma aplicación para el aprovisionamiento y la autenticación.
Nota: Este tema proporciona información de alto nivel sobre la configuración de un proveedor de identidad externo. Los pasos exactos para las tareas varían en función de su proveedor de identidad. Consulte la documentación del proveedor de identidad para obtener información específica.

OpenID Connect

Si seleccionó OpenID Connect como protocolo de autenticación, siga estos pasos.

  1. En el paso 5 (Configurar OpenID Connect) del asistente de VMware Identity Services, copie el valor de URI de redireccionamiento.

    Necesitará este valor en el siguiente paso al crear una aplicación de OpenID Connect en el proveedor de identidad.

    ""

  2. En la consola de administración del proveedor de identidades, cree una aplicación de OpenID Connect.
  3. Busque la sección URI de redireccionamiento en la aplicación y copie y pegue el valor de URI de redireccionamiento que copió en el asistente de VMware Identity Services.
  4. Cree un secreto de cliente para la aplicación y cópielo.

    Deberá introducir el secreto en el siguiente paso del asistente de VMware Identity Services.

  5. Vuelva al asistente de VMware Identity Services en la consola de Workspace ONE y complete la configuración en la sección Configurar OpenID Connect.
    ID de cliente Copie y pegue el valor de ID de cliente de la aplicación del proveedor de identidad.
    Secreto de cliente Copie y pegue el secreto de cliente de la aplicación del proveedor de identidad.
    URL de configuración Copie y pegue la URL de configuración conocida de OpenID Connect de la aplicación del proveedor de identidad. Por ejemplo: https://example.com/.well-known/openid-configuration
    Atributo de identificador de usuario de OIDC Especifique el atributo de OpenID Connect que se debe asignar al atributo de Workspace ONE para las búsquedas de usuarios.
    Atributo de identificador de usuario de Workspace ONE Especifique el atributo de Workspace ONE que se debe asignar al atributo de OpenID Connect para las búsquedas de usuarios.
  6. En el asistente de VMware Identity Services, haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y el proveedor de identidad.

SAML

Si seleccionó SAML como protocolo de autenticación, siga estos pasos:

  1. Obtenga los metadatos del proveedor de servicios de la consola de Workspace ONE.

    En el paso 5 (Configurar el inicio de sesión único de SAML) del asistente de VMware Identity Services, copie, o vea y descargue, el archivo de Metadatos del proveedor de servicios SAML.


    ""
  2. En la consola administrativa del proveedor de identidad, desplácese hasta la página de configuración del inicio de sesión único.
    Importante: Si desea integrar VMware Identity Services con Okta, debe crear una aplicación SAML independiente en Okta para la autenticación. No puede utilizar la misma aplicación para el aprovisionamiento y la autenticación.
  3. Configure el inicio de sesión único con los valores del asistente de VMware Identity Services.

    Entre los pasos de configuración típicos se suele incluir uno de los siguientes, en función de la compatibilidad que ofrezca el proveedor de identidad:

    • Busque la opción de metadatos del proveedor de servicios y cargue, o copie y pegue, los metadatos del proveedor de servicios SAML desde el asistente de VMware Identity Services.
    • Si el proveedor de identidad no tiene ninguna opción para cargar los metadatos, copie y pegue los siguientes valores de los metadatos del proveedor de servicios SAML de VMware Identity Services en los campos correspondientes de la consola del proveedor de identidad:

      Valor de entityID: por ejemplo, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Valor de Ubicación HTTP POST de AssertionConsumerService: por ejemplo, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

  4. Busque y copie los metadatos SAML del proveedor de identidad en la consola de dicho proveedor.
  5. En la consola de Workspace ONE, pegue los metadatos del proveedor de identidad en el cuadro de texto Metadatos del proveedor de identidad del paso 5 (Configurar el inicio de sesión único de SAML) del asistente de VMware Identity Services.
    ""
  6. Configure el resto de las opciones de la sección Configurar el inicio de sesión único de SAML.
    • Cierre de sesión único: seleccione esta opción si desea cerrar la sesión de los usuarios en su proveedor de identidad cuando cierren sesión en Workspace ONE Intelligent Hub.
    • Protocolo de enlace: seleccione el protocolo de enlace de SAML (HTTP POST o Redireccionamiento HTTP).
    • Formato de ID de nombre: especifique el formato de ID de nombre que se utilizará para asignar usuarios entre el proveedor de identidad y los servicios de Workspace ONE.
    • Valor de ID de nombre: seleccione el atributo de usuario para los usuarios de Workspace ONE.
    • Enviar asunto en solicitud SAML (si está disponible): seleccione esta opción si desea que el proveedor de identidad envíe el asunto a VMware Identity Services como sugerencia de inicio de sesión cuando esté disponible. Si selecciona esta opción, también puede activar Usar la asignación de formato de ID de nombre para el sujeto.
    • Usar la asignación de formato de ID de nombre para el sujeto: seleccione esta opción para utilizar el formato de ID de nombre al asignar la sugerencia de inicio de sesión que proporciona el proveedor de identidad al valor de ID de nombre.
      Precaución: Habilitar esta opción puede aumentar el riesgo de sufrir una vulnerabilidad de seguridad conocida como enumeración de usuarios.
  7. En el asistente, haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y el proveedor de identidad.

Resultados

Se completa la integración entre VMware Identity Services y el proveedor de identidad.

Se crea el directorio en VMware Identity Services y se rellenará al insertar usuarios y grupos desde la aplicación de aprovisionamiento en el proveedor de identidad. Los usuarios y los grupos aprovisionados aparecerán automáticamente en los servicios de Workspace ONE que elija para integrarlos con el proveedor de identidad (por ejemplo, Workspace ONE Access y Workspace ONE UEM).

No se puede editar el directorio en las consolas de Workspace ONE Access y Workspace ONE UEM. Las páginas del directorio, los usuarios, los grupos de usuarios, los atributos de usuario y el proveedor de identidad son de solo lectura.

Pasos siguientes

En primer lugar, seleccione los servicios de Workspace ONE a los que desea aprovisionar usuarios y grupos.

A continuación, inserte usuarios y grupos desde el proveedor de identidad. Consulte Aprovisionar usuarios a Workspace ONE.