Tras habilitar VMware Identity Services para el arrendatario de Workspace ONE, configure la integración con Azure AD.

  1. En el asistente de introducción de VMware Identity Services, haga clic en Iniciar en el paso 2 (Integrar un proveedor de identidad basado en SCIM 2.0).""
  2. Haga clic en Configurar en la tarjeta Microsoft Azure Active Directory.
    ""
  3. Siga las instrucciones del asistente para configurar la integración con Azure AD.

Paso 1: Crear un directorio

Como primer paso para configurar el aprovisionamiento de usuarios y la federación de identidades con VMware Identity Services, cree un directorio en la consola de Workspace ONE para los usuarios y los grupos aprovisionados desde el proveedor de identidad.

Precaución: Después de crear un directorio, no puede cambiar la selección del proveedor de identidad. Asegúrese de seleccionar el proveedor de identidad adecuado antes de continuar.

Procedimiento

  1. En el paso 1 (Información general) del asistente, introduzca el nombre que desea utilizar para el directorio aprovisionado en Workspace ONE.
    El nombre puede tener una longitud máxima de 128 caracteres. Solo se permiten los siguientes caracteres: letras (a-z o equivalentes en otros idiomas), dígitos (0-9), espacio, guion (-) y guion bajo (_).
    Importante: No puede cambiar el nombre del directorio después de crearlo.
  2. En Nombre del dominio, introduzca el nombre de dominio principal del directorio de origen, incluida la extensión (por ejemplo, .com o .net).
    Actualmente, VMware Identity Services solo admite un dominio. Los usuarios y los grupos aprovisionados se asocian a este dominio en los servicios de Workspace ONE.

    El nombre de dominio puede tener una longitud máxima de 100 caracteres. Solo se permiten los siguientes caracteres: letras (a-z o equivalentes en otros idiomas), dígitos (0-9), espacio, guion (-), guion bajo (_) y punto (.).

    Por ejemplo:

    En este ejemplo, el nombre del directorio es Demo, y el nombre de dominio example.com.
  3. Haga clic en Guardar y confirme la selección.

Qué hacer a continuación

Configure el aprovisionamiento de usuarios y grupos.

Paso 2: Configurar el aprovisionamiento de usuarios y grupos

Después de crear un directorio en VMware Identity Services, configure el aprovisionamiento de usuarios y grupos. Para iniciar el proceso en VMware Identity Services, genere las credenciales de administrador necesarias para el aprovisionamiento y cree una aplicación de aprovisionamiento en Azure AD para aprovisionar usuarios y grupos a Workspace ONE.

Importante: Actualmente, la aplicación de galería de VMware Identity Services de la galería de aplicaciones de Azure AD está en fase de prueba y aún no se admite. Cree una nueva aplicación empresarial.

Requisitos previos

Debe tener una cuenta de administrador en Azure AD con los privilegios necesarios para configurar el aprovisionamiento.

Procedimiento

  1. En la consola de Workspace ONE, después de crear un directorio, revise y copie los valores generados en el paso 2 (Configurar la aplicación empresarial de Azure) del asistente.
    Se precisan estos valores para configurar la aplicación de aprovisionamiento en Azure AD.
    • Dirección URL del tenant: el endpoint SCIM 2.0 del arrendatario de VMware Identity Services. Copie el valor.
    • Vida útil del token: el período de validez del token secreto.

      VMware Identity Services genera el token con una duración predeterminada de seis meses. Si desea cambiarla, haga clic en la flecha hacia abajo, seleccione otra opción y haga clic en Regenerar para volver a generar el token con el nuevo valor.

      Importante: Cada vez que se actualiza la duración del token, el token anterior deja de ser válido y se produce un error en el aprovisionamiento de usuarios y grupos desde Azure AD. Debe volver a generar un nuevo token, copiarlo y pegarlo en la aplicación de Azure AD.
    • Token secreto: el token que requiere Azure AD para aprovisionar usuarios a Workspace ONE. Haga clic en el icono de copiar para copiar el valor.
      Importante: Asegúrese de copiar el token antes de hacer clic en Siguiente. Cuando haga clic en Siguiente, el token ya no será visible y tendrá que generar uno nuevo. Si vuelve a generar un token, el token anterior dejará de ser válido y se producirá un error en el aprovisionamiento. Asegúrese de copiar y pegar el nuevo token en la aplicación de Azure AD.

    Por ejemplo:

    En el paso 2 se muestra una URL de arrendatario, una duración del token de 6 meses y un token secreto.
  2. Cree la aplicación de aprovisionamiento en Azure AD.
    1. Inicie sesión en el Centro de administración de Azure Active Directory.
    2. Seleccione Aplicaciones empresariales en el panel de navegación de la izquierda.
    3. En la página Aplicaciones empresariales, haga clic en + Nueva aplicación.
      ""
    4. En la página Examinar galería de Azure AD, haga clic en + Crear su propia aplicación.
      Importante: Actualmente, la aplicación de galería de VMware Identity Services está en fase de prueba y aún no se admite. Cree una nueva aplicación empresarial.
    5. En el panel Crear su propia aplicación, seleccione Integrar cualquier otra aplicación que no encuentre en la galería (Fuera de la galería), introduzca un nombre para la aplicación y haga clic en Crear.
      El cuadro de texto ¿Cuál es el nombre de la aplicación? tiene el valor de ejemplo de scim-demo-app2.
    6. Tras crear la aplicación, seleccione Aprovisionamiento en el menú Administrar y haga clic en Comenzar.
    7. En la página Aprovisionamiento, desplácese hasta Modo de aprovisionamiento y seleccione Automático.
    8. En Credenciales de administrador, introduzca la URL del token y el token secreto que copió en el paso Configurar la aplicación empresarial de Azure del asistente de Workspace ONE.
      Por ejemplo:
      Modo de aprovisionamiento establecido en Automático. Los cuadros de texto Dirección URL del tenant y Token secreto tienen los valores copiados de Workspace ONE.
    9. Haga clic en Probar conexión.
    10. Asegúrese de que aparezca el siguiente mensaje: 
      Las credenciales proporcionadas están habilitadas para autorizar el aprovisionamiento.

      Si se produce un error, vuelva a generar el token secreto en el asistente de VMware Identity Services, cópielo y péguelo en la aplicación de Azure. A continuación, haga clic en Probar conexión de nuevo.

    11. Haga clic en Guardar para guardar la aplicación.

Qué hacer a continuación

Vuelva a la consola de Workspace ONE para continuar con los pasos del asistente de VMware Identity Services.

Paso 3: Asignar atributos de usuario de SCIM

Asigne los atributos de usuario para sincronizarlos desde Azure AD con los servicios de Workspace ONE. En el Centro de administración de Azure Active Directory, agregue los atributos de usuario de SCIM y asígnelos a los atributos de Azure AD. Como mínimo, sincronice los atributos que requieren VMware Identity Services y los servicios de Workspace ONE.

VMware Identity Services y los servicios de Workspace ONE requieren los siguientes atributos de usuario de SCIM:

Atributo de Azure Active Directory Atributo de usuario de SCIM (obligatorio)
userPrincipalName userName
mail emails
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
Nota: La tabla muestra la asignación típica entre los atributos de Azure AD y los atributos de SCIM obligatorios. No obstante, puede asignar los atributos de SCIM a otros atributos de Azure AD distintos de los que se enumeran aquí.

Para obtener más información sobre estos atributos y cómo se asignan a los atributos de Workspace ONE, consulte Asignación de atributos de usuario para VMware Identity Services.

Además de los atributos obligatorios, puede sincronizar atributos opcionales y personalizados. Para obtener la lista de atributos opcionales y personalizados compatibles, consulte Asignación de atributos de usuario para VMware Identity Services.

Procedimiento

  1. En la consola de Workspace ONE, revise la lista de atributos compatibles con VMware Identity Services en el paso 3 (Asignar atributos de usuario de SCIM) del asistente.
  2. En el Centro de administración de Azure Active Directory, desplácese hasta la aplicación de aprovisionamiento que creó para aprovisionar usuarios a VMware Identity Services.
  3. En el menú Administrar, seleccione Aprovisionamiento.
  4. En Administrar aprovisionamiento, haga clic en Editar asignaciones de atributos.

    ""
  5. En la página Aprovisionamiento, seleccione las siguientes opciones en la sección Asignaciones:
    • Establezca Aprovisonar grupos de Azure Active Directory en .
    • Establezca Aprovisonar usuarios de Azure Active Directory en .
    • Establezca Estado de aprovisionamiento en Encendido.

    ""
  6. Haga clic en el vínculo Aprovisonar usuarios de Azure Active Directory.
  7. En la página Asignación de atributos, especifique las asignaciones obligatorias entre los atributos de Azure AD y los atributos de SCIM (atributos customappsso).
    Los atributos obligatorios se incluyen en la tabla Asignaciones de atributos de forma predeterminada. Revise y actualice las asignaciones según sea necesario.
    1. Haga clic en el atributo en la tabla Asignaciones de atributos.
    2. Edite la asignación. En Atributo de origen, seleccione el atributo de Azure AD y, en Atributo de destino, seleccione el atributo de SCIM.

      Por ejemplo:


      Se selecciona objectId como atributo de origen y externalId como atributo de destino.
    Sugerencia: En las nuevas aplicaciones de aprovisionamiento de SCIM de Azure AD, la asignación predeterminada para el atributo externalId de SCIM será mailNickname. Se recomienda cambiar la asignación de mailNickname a objectId.
  8. Si es necesario, asigne atributos de usuario opcionales compatibles con VMware Identity Services y con los servicios de Workspace ONE.
    • Algunos de los atributos opcionales ya aparecen en la aplicación de Azure AD. Si el atributo aparece en la tabla Asignación de atributos, haga clic en él para editar la asignación. Si no aparece, haga clic en Agregar nueva asignación y especifique la asignación. En Atributo de origen, seleccione el atributo de Azure AD y, en Atributo de destino, seleccione el atributo de SCIM.
    • Para agregar atributos que forman parte de la extensión de esquema de VMware Identity Services (atributos que incluyen en su ruta urn:ietf:params:scim:schemas:extension:ws1b:), siga estos pasos:
      1. En la página Asignación de atributos, seleccione la casilla de verificación Mostrar opciones avanzadas en la parte inferior de la página y haga clic en Editar lista de atributos para customappsso. Agregue el atributo de SCIM y haga clic en Guardar.

        Asegúrese de utilizar la ruta completa del atributo de SCIM (por ejemplo, urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:userPrincipalName).

      2. En la página Asignación de atributos, haga clic en Agregar nueva asignación y especifique la asignación para el nuevo atributo. En Atributo de origen, seleccione el atributo de Azure AD y, en Atributo de destino, seleccione el atributo de SCIM.
    Consulte la lista de atributos de SCIM opcionales compatibles con VMware Identity Services y obtenga información sobre cómo se asignan a los atributos de Workspace ONE en Asignación de atributos de usuario para VMware Identity Services.
  9. Si es necesario, asigne atributos de usuario personalizados compatibles con VMware Identity Services y con los servicios de Workspace ONE.
    1. En la página Asignación de atributos, seleccione la casilla de verificación Mostrar opciones avanzadas en la parte inferior de la página, haga clic en Editar lista de atributos para customappsso, agregue el atributo de SCIM personalizado en la parte inferior de la lista de atributos y haga clic en Guardar.

      Asegúrese de utilizar la ruta completa del atributo de SCIM (por ejemplo, urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3).


      Se agregó el atributo personalizado urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3.
    2. En la página Asignación de atributos, haga clic en Agregar nueva asignación y especifique la asignación para el atributo de SCIM personalizado. En Atributo de origen, seleccione el atributo de Azure AD y, en Atributo de destino, seleccione el atributo de SCIM personalizado que agregó.
    Consulte la lista de atributos de SCIM personalizados compatibles con VMware Identity Services y obtenga información sobre cómo se asignan a los atributos de Workspace ONE en Asignación de atributos de usuario para VMware Identity Services.

Qué hacer a continuación

Vuelva a la consola de Workspace ONE para continuar con los pasos del asistente de VMware Identity Services.

Paso 4: Seleccionar el protocolo de autenticación

Seleccione el protocolo que se utilizará para la autenticación federada. VMware Identity Services admite los protocolos OpenID Connect y SAML.

Procedimiento

  1. En el paso 4 (Seleccionar protocolo de autenticación) del asistente, seleccione OpenID Connect o SAML.
  2. Haga clic en Siguiente.
    El siguiente paso del asistente aparece con los valores necesarios para configurar el protocolo seleccionado.

Qué hacer a continuación

Configure VMware Identity Services y el proveedor de identidad para la autenticación federada.

Paso 5: Configurar la autenticación

Para configurar la autenticación federada con Azure AD, configure una aplicación de OpenID Connect o SAML en Azure AD con los metadatos del proveedor de servicios de VMware Identity Services y configure VMware Identity Services con los valores de la aplicación.

OpenID Connect

Si seleccionó OpenID Connect como protocolo de autenticación, siga estos pasos.

  1. En el paso 5 (Configurar OpenID Connect) del asistente de VMware Identity Services, copie el valor de URI de redireccionamiento.

    Necesitará este valor en el siguiente paso al crear una aplicación de OpenID Connect en el Centro de administración de Azure AD.


    Junto al valor de URI de redireccionamiento aparece un icono de copiar.
  2. En el Centro de administración de Azure Active Directory, desplácese hasta Aplicaciones empresariales > Registros de aplicaciones.
  3. Haga clic en Nuevo registro.
  4. En la página Registrar una aplicación, introduzca un nombre para la aplicación.
  5. En URI de redireccionamiento, seleccione Web y copie y pegue el valor de URI de redireccionamiento que copió en la sección Configurar OpenID Connect del asistente de VMware Identity Services.

    Por ejemplo:


    ""
  6. Haga clic en Registrar.

    Aparecerá el mensaje Se ha creado correctamente la aplicación nombre.

  7. Cree un secreto de cliente para la aplicación.
    1. Haga clic en el vínculo Credenciales de cliente: agregar un certificado o secreto.
    2. Haga clic en + Nuevo secreto de cliente.
    3. En el panel Agregar un secreto de cliente, introduzca una descripción y el período de caducidad del secreto.
    4. Haga clic en Agregar.

      El secreto se generará y aparecerá en la pestaña Secretos de cliente.

    5. Copie el valor del secreto haciendo clic en el icono de copiar que aparece junto a él.

      Si sale de la página sin copiar el secreto, tendrá que generar uno nuevo.

      Deberá introducir el secreto en un paso posterior del asistente de VMware Identity Services.


      El secreto se muestra en la pestaña Secretos de cliente de la página Certificados y secretos.
  8. Concede permisos para que la aplicación llame a las API de VMware Identity Services.
    1. En Administrar, seleccione Permisos de API.
    2. Haga clic en Conceder consentimiento de administrador para organización y haga clic en en el cuadro de confirmación.
  9. Copie el ID de cliente.
    1. En el panel de la izquierda de la página de la aplicación, seleccione Información general.
    2. Copie el valor de ID (de cliente) de la aplicación.

      Deberá introducir el ID de cliente en un paso posterior del asistente de VMware Identity Services.


      El valor de ID (de cliente) de la aplicación se encuentra en la sección Información básica y junto a él aparece un icono de copiar.
  10. Copie el valor de Documento de metadatos de OpenID Connect.
    1. En la página Información general de la aplicación, haga clic en Endpoints.
    2. En el panel Endpoints, copie el valor de Documento de metadatos de OpenID Connect.
      ""

    Deberá introducir el ID de cliente en el siguiente paso del asistente de VMware Identity Services.

  11. Vuelva al asistente de VMware Identity Services en la consola de Workspace ONE y complete la configuración en la sección Configurar OpenID Connect.
    ID (de cliente) de la aplicación Pegue el valor de ID (de cliente) de la aplicación que copió en la aplicación de OpenID Connect de Azure AD.
    Secreto de cliente Pegue el secreto de cliente que copió en la aplicación de OpenID Connect de Azure AD.
    URL de configuración Pegue el valor de Documento de metadatos de OpenID Connect que copió en la aplicación de OpenID Connect de Azure AD.
    Atributo de identificador de usuario de OIDC El atributo de correo electrónico se asigna al atributo de Workspace ONE para las búsquedas de usuarios.
    Atributo de identificador de usuario de Workspace ONE Especifique el atributo de Workspace ONE que se debe asignar al atributo de OpenID Connect para las búsquedas de usuarios.
  12. Haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y Azure AD.

SAML

Si seleccionó SAML como protocolo de autenticación, siga estos pasos:

  1. Obtenga los metadatos del proveedor de servicios de la consola de Workspace ONE.

    En el paso 5 (Configurar el inicio de sesión único de SAML) del asistente de VMware Identity Services, haga clic en Copiar en Metadatos del proveedor de servicios SAML.


    ""
  2. Configure la aplicación en Azure AD.
    1. En el Centro de administración de Azure Active Directory, seleccione Aplicaciones empresariales en el panel de la izquierda.
    2. Busque y seleccione la aplicación de aprovisionamiento que creó en Paso 2: Configurar el aprovisionamiento de usuarios y grupos.
    3. En el menú Administrar, seleccione Inicio de sesión único.
    4. Seleccione SAML como método de inicio de sesión único.
      ""
    5. Haga clic en Cargar archivo de metadatos, seleccione el archivo de metadatos que copió de la consola de Workspace ONE y haga clic en Agregar.
      La opción Cargar archivo de metadatos se encuentra en la parte superior de la página Configurar inicio de sesión único con SAML.
    6. En el panel Configuración básica de SAML, compruebe los siguientes valores:
      • El valor de Identificador (identificador de entidad) debe ser el valor de entityID del archivo de metadatos de Workspace ONE.

        Por ejemplo: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • El valor de URL de respuesta (URL del servicio del consumidor de aserción) debe ser el valor de Ubicación HTTP POST de AssertionConsumerService en el archivo de metadatos de Workspace ONE.

        Por ejemplo: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

    7. En la sección Certificados SAML, haga clic en el vínculo XML de metadatos de federación Descargar para descargar los metadatos.
      ""
  3. En la consola de Workspace ONE, copie y pegue el XML de metadatos de federación del archivo que descargó de Azure AD en el cuadro de texto Metadatos del proveedor de identidad del paso 5 del asistente de VMware Identity Services.
    En el paso 5 del asistente, el cuadro de texto Metadatos del proveedor de identidad muestra el XML de metadatos de federación.
  4. Configure el resto de las opciones de la sección Configurar el inicio de sesión único de SAML.
    • Cierre de sesión único: seleccione esta opción si desea cerrar la sesión de los usuarios en su proveedor de identidad cuando cierren sesión en Workspace ONE Intelligent Hub.
    • Protocolo de enlace: seleccione el protocolo de enlace de SAML (HTTP POST o Redireccionamiento HTTP).
    • Formato de ID de nombre: especifique el formato de ID de nombre que se utilizará para asignar usuarios entre Azure AD y los servicios de Workspace ONE.
    • Valor de ID de nombre: seleccione el atributo de usuario para los usuarios de Workspace ONE.
  5. Haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y Azure AD.

Resultados

Se completa la integración entre VMware Identity Services y Azure AD.

Se crea el directorio en VMware Identity Services y se rellenará al insertar usuarios y grupos desde la aplicación de aprovisionamiento en Azure AD. Los usuarios y los grupos aprovisionados aparecerán automáticamente en los servicios de Workspace ONE que elija para integrarlos con Azure AD (por ejemplo, Workspace ONE Access y Workspace ONE UEM).

No se puede editar el directorio en las consolas de Workspace ONE Access y Workspace ONE UEM. Las páginas del directorio, los usuarios, los grupos de usuarios, los atributos de usuario y el proveedor de identidad son de solo lectura.

Pasos siguientes

En primer lugar, seleccione los servicios de Workspace ONE a los que desea aprovisionar usuarios y grupos.

A continuación, inserte usuarios y grupos desde la aplicación de aprovisionamiento de Azure AD. Consulte Aprovisionar usuarios a Workspace ONE.