Tras habilitar VMware Identity Services para el arrendatario de Workspace ONE, configure la integración con Microsoft Entra ID.
- En el asistente de introducción de VMware Identity Services, haga clic en Iniciar en el paso 2 (Integrar un proveedor de identidad basado en SCIM 2.0).
- Haga clic en Configurar en la tarjeta Microsoft Entra ID.
- Siga las instrucciones del asistente para configurar la integración con Microsoft Entra ID.
Paso 1: Crear un directorio
Como primer paso para configurar el aprovisionamiento de usuarios y la federación de identidades con VMware Identity Services, cree un directorio en la consola de Workspace ONE Cloud para los usuarios y los grupos aprovisionados desde el proveedor de identidad.
Procedimiento
Qué hacer a continuación
Configure el aprovisionamiento de usuarios y grupos.
Paso 2: Configurar el aprovisionamiento de usuarios y grupos
Después de crear un directorio en VMware Identity Services, configure el aprovisionamiento de usuarios y grupos. Para iniciar el proceso en VMware Identity Services, genere las credenciales de administrador necesarias para el aprovisionamiento y cree una aplicación de aprovisionamiento en Microsoft Entra ID para aprovisionar usuarios y grupos a Workspace ONE.
Requisitos previos
Debe tener una cuenta de administrador en Microsoft Entra ID con los privilegios necesarios para configurar el aprovisionamiento.
Procedimiento
Qué hacer a continuación
Vuelva a la consola de Workspace ONE Cloud para continuar con los pasos del asistente de VMware Identity Services.
Paso 3: Asignar atributos de usuario de SCIM
Asigne los atributos de usuario para sincronizarlos desde Microsoft Entra ID con los servicios de Workspace ONE. En el Centro de administración de Microsoft Entra, agregue los atributos de usuario de SCIM y asígnelos a los atributos de Microsoft Entra ID. Como mínimo, sincronice los atributos que requieren VMware Identity Services y los servicios de Workspace ONE.
VMware Identity Services y los servicios de Workspace ONE requieren los siguientes atributos de usuario de SCIM:
Atributo de Microsoft Entra ID | Atributo de usuario de SCIM (obligatorio) |
---|---|
userPrincipalName | userName |
emails[type eq "work"].value | |
givenName | name.givenName |
surname | name.familyName |
objectId | externalId |
Switch([IsSoftDeleted], , "False", "True", "True", "False") | active |
Para obtener más información sobre estos atributos y cómo se asignan a los atributos de Workspace ONE, consulte Asignación de atributos de usuario para VMware Identity Services.
Además de los atributos obligatorios, puede sincronizar atributos opcionales y personalizados. Para obtener la lista de atributos opcionales y personalizados compatibles, consulte Asignación de atributos de usuario para VMware Identity Services.
Procedimiento
Qué hacer a continuación
Vuelva a la consola de Workspace ONE Cloud para continuar con los pasos del asistente de VMware Identity Services.
Paso 4: Seleccionar el protocolo de autenticación
En la consola de Workspace ONE Cloud, seleccione el protocolo que se utilizará para la autenticación federada. VMware Identity Services admite los protocolos OpenID Connect y SAML.
Procedimiento
Qué hacer a continuación
Configure VMware Identity Services y el proveedor de identidad para la autenticación federada.
Paso 5: Configurar la autenticación
Para configurar la autenticación federada con Microsoft Entra ID, configure una aplicación OpenID Connect o SAML en Microsoft Entra ID con los metadatos del proveedor de servicios de VMware Identity Services y configure VMware Identity Services con los valores de la aplicación.
OpenID Connect
Si seleccionó OpenID Connect como protocolo de autenticación, siga estos pasos.
- En el paso 5 (Configurar OpenID Connect) del asistente de VMware Identity Services, copie el valor de URI de redireccionamiento.
Necesitará este valor en el siguiente paso al crear una aplicación de OpenID Connect en el Centro de administración de Microsoft Entra.
- En el Centro de administración de Microsoft Entra, desplácese hasta
- Haga clic en Nuevo registro.
- En la página Registrar una aplicación, introduzca un nombre para la aplicación.
- En URI de redireccionamiento, seleccione Web y copie y pegue el valor de URI de redireccionamiento que copió en la sección Configurar OpenID Connect del asistente de VMware Identity Services.
Por ejemplo:
- Haga clic en Registrar.
Aparecerá el mensaje Se ha creado correctamente la aplicación nombre.
- Cree un secreto de cliente para la aplicación.
- Haga clic en el vínculo Credenciales de cliente: agregar un certificado o secreto.
- Haga clic en + Nuevo secreto de cliente.
- En el panel Agregar un secreto de cliente, introduzca una descripción y el período de caducidad del secreto.
- Haga clic en Agregar.
El secreto se generará y aparecerá en la pestaña Secretos de cliente.
- Copie el valor del secreto haciendo clic en el icono de copiar que aparece junto a él.
Si sale de la página sin copiar el secreto, tendrá que generar uno nuevo.
Deberá introducir el secreto en un paso posterior del asistente de VMware Identity Services.
- Concede permisos para que la aplicación llame a las API de VMware Identity Services.
- En Administrar, seleccione Permisos de API.
- Haga clic en Conceder consentimiento de administrador para organización y haga clic en Sí en el cuadro de confirmación.
- Copie el ID de cliente.
- En el panel de la izquierda de la página de la aplicación, seleccione Información general.
- Copie el valor de ID (de cliente) de la aplicación.
Deberá introducir el ID de cliente en un paso posterior del asistente de VMware Identity Services.
- Copie el valor de Documento de metadatos de OpenID Connect.
- En la página Información general de la aplicación, haga clic en Endpoints.
- En el panel Endpoints, copie el valor de Documento de metadatos de OpenID Connect.
Deberá introducir el ID de cliente en el siguiente paso del asistente de VMware Identity Services.
- Vuelva al asistente de VMware Identity Services en la consola de Workspace ONE Cloud y complete la configuración en la sección Configurar OpenID Connect.
ID (de cliente) de la aplicación Pegue el valor de ID (de cliente) de la aplicación que copió en la aplicación de OpenID Connect de Microsoft Entra ID. Secreto de cliente Pegue el secreto de cliente que copió en la aplicación de OpenID Connect de Microsoft Entra ID. URL de configuración Pegue el valor de Documento de metadatos de OpenID Connect que copió en la aplicación de OpenID Connect de Microsoft Entra ID. Atributo de identificador de usuario de OIDC El atributo de correo electrónico se asigna al atributo de Workspace ONE para las búsquedas de usuarios. Atributo de identificador de usuario de Workspace ONE Especifique el atributo de Workspace ONE que se debe asignar al atributo de OpenID Connect para las búsquedas de usuarios. - Haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y Microsoft Entra ID.
SAML
Si seleccionó SAML como protocolo de autenticación, siga estos pasos:
- Obtenga los metadatos del proveedor de servicios de la consola de Workspace ONE Cloud.
En el paso 5 (Configurar el inicio de sesión único de SAML) del asistente de VMware Identity Services, copie o descargue el archivo de Metadatos del proveedor de servicios SAML.
Nota: Cuando se utiliza el archivo de metadatos, no es necesario copiar y pegar los valores de ID de entidad, URL de inicio de sesión único y Certificado de firma de forma individual. - Configure la aplicación en Microsoft Entra ID.
- En el Centro de administración de Microsoft Entra, seleccione Aplicaciones empresariales en el panel de la izquierda.
- Busque y seleccione la aplicación de aprovisionamiento que creó en Paso 2: Configurar el aprovisionamiento de usuarios y grupos.
- En el menú Administrar, seleccione Inicio de sesión único.
- Seleccione SAML como método de inicio de sesión único.
- Haga clic en Cargar archivo de metadatos, seleccione el archivo de metadatos que copió de la consola de Workspace ONE Cloud y haga clic en Agregar.
- En el panel Configuración básica de SAML, compruebe los siguientes valores:
- El valor de Identificador (ID de entidad) debe coincidir con el valor de ID de entidad que se muestra en el paso 5 del asistente de VMware Identity Services.
Por ejemplo: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml
- El valor de URL de respuesta (URL de ACS) debe coincidir con el valor de URL de inicio de sesión único que se muestra en el paso 5 del asistente de VMware Identity Services.
Por ejemplo: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response
- El valor de Identificador (ID de entidad) debe coincidir con el valor de ID de entidad que se muestra en el paso 5 del asistente de VMware Identity Services.
- Obtenga los metadatos de federación de Microsoft Entra ID.
- En la aplicación SAML de Microsoft Entra ID, desplácese hasta la sección Certificados SAML.
- Haga clic en el vínculo XML de metadatos de federación Descargar para descargar los metadatos.
- En la consola de Workspace ONE Cloud, copie y pegue los metadatos de federación del archivo que descargó de Microsoft Entra ID en el cuadro de texto Metadatos del proveedor de identidad del paso 5 del asistente de VMware Identity Services.
- Configure el resto de las opciones de la sección Configurar el inicio de sesión único de SAML.
- Protocolo de enlace: seleccione el protocolo de enlace de SAML (HTTP POST o Redireccionamiento HTTP).
- Formato de ID de nombre: utilice los ajustes de Formato de ID de nombre y Valor de ID de nombre para asignar usuarios entre Microsoft Entra ID y VMware Identity Services. Para Formato de ID de nombre, especifique el formato de ID de nombre utilizado en la respuesta SAML.
- Valor de ID de nombre: seleccione el atributo de usuario de VMware Identity Services al que desea asignar el valor de ID de nombre recibido en la respuesta SAML.
- Opciones avanzadas > Usar cierre de sesión único de SAML: seleccione esta opción si desea cerrar la sesión del proveedor de identidad de los usuarios después de que cierren los servicios de Workspace ONE.
- Haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y Microsoft Entra ID.
Resultados
Se completa la integración entre VMware Identity Services y Microsoft Entra ID.
Se crea el directorio en VMware Identity Services y se rellenará al insertar usuarios y grupos desde la aplicación de aprovisionamiento en Microsoft Entra ID. Los usuarios y los grupos aprovisionados aparecerán automáticamente en los servicios de Workspace ONE que elija para integrarlos con Microsoft Entra ID (por ejemplo, Workspace ONE Access y Workspace ONE UEM).
No se puede editar el directorio en las consolas de Workspace ONE Access y Workspace ONE UEM. Las páginas del directorio, los usuarios, los grupos de usuarios, los atributos de usuario y el proveedor de identidad son de solo lectura.
Pasos siguientes
En primer lugar, seleccione los servicios de Workspace ONE para los que desea aprovisionar usuarios y grupos.
Si Workspace ONE UEM es uno de los servicios seleccionados, configure ajustes adicionales en la consola de Workspace ONE UEM.
A continuación, inserte usuarios y grupos desde la aplicación de aprovisionamiento de Microsoft Entra ID. Consulte Aprovisionar usuarios a Workspace ONE.