Dans cette étape, vous configurez la fédération avec votre fournisseur d'identité d'entreprise et configurez les paramètres de fournisseur d'identité sur le Workspace ONE Access tenant créé pour votre entreprise.

Vous pouvez utiliser n'importe quel fournisseur d'identité tiers conforme à SAML 2.0 pour configurer la fédération d'entreprise avec VMware Cloud services. La configuration simplifiée est disponible dans le cadre du workflow de fédération en libre-service pour les fournisseurs suivants : Okta, PingIdentity, Microsoft Active Directory Federation Services (ADFS), OneLogin et Azure Active Directory.
Note : Si vous souhaitez configurer Azure Active Directory pour la fédération d'entreprise avec VMware Cloud Services, vous devez avoir sélectionné sAMAccountName pour la réclamation de groupe supplémentaire. Il est nécessaire d'extraire les détails du groupe après l'activation de la configuration de la fédération.

Pour configurer un autre fournisseur d'identité tiers conforme à SAML 2.0 qui ne fait pas partie de cette liste, sélectionnez Autre.

Pour cet exemple, l'entreprise ACME utilise Okta. En tant qu' administrateur d'entreprise configurant la fédération pour ACME, vous configurez Okta.
Note : Si votre fournisseur d'identité prend en charge l'envoi d'informations de groupe dans la réponse SAML, vous pouvez inclure des attributs de groupe à votre configuration de fédération.

Conditions préalables

À cette étape, vous devez définir la préférence d'identification de l'utilisateur : indiquez comment les utilisateurs de votre entreprise vont s'identifier lors de l'accès à VMware Cloud Services sur la page de découverte de Cloud Services. Les options disponibles sont E-mail, Nom principal de l'utilisateur (UPN) et Utilisateur@Domaine. Si vous envisagez de définir Utilisateur@Domaine comme préférence d'identification de l'utilisateur pour votre entreprise, vous devez connaître la restriction suivante.
Restriction : Une fois que le fournisseur d'identité est configuré avec la préférence d'identification Utilisateur@Domaine, vous ne pourrez pas revenir à l'étape Étape 1 : Vérifier les domaines ni ajouter d'autres domaines lors de la configuration. Vous devez ajouter tous les domaines que vous souhaitez fédérer avant de démarrer cette étape du flux de fédération en libre-service. Si vous souhaitez ajouter un autre domaine une fois cette étape terminée, vous devez créer un ticket de support.

Procédure

  1. Dans la section Configurer le fournisseur d'identité de la page Configurer la fédération d'entreprise, cliquez sur Démarrer.
    La section Sélectionner votre fournisseur d'identité s'affiche.
  2. Dans la liste des fournisseurs d'identité tiers disponibles, cliquez sur Okta.
  3. Cliquez sur Suivant.
    La section Configurer SAML dans votre fournisseur d'identité se développe.
  4. Cliquez sur le lien Afficher les métadonnées du fournisseur de services SAML et téléchargez le fichier de métadonnées.
    Si votre fournisseur d'identité prend en charge un format d'URL, vous pouvez également copier l' URL des métadonnées. Vous utilisez le fichier de métadonnées ou l'URL pour configurer votre fournisseur d'identité afin d'établir une relation de confiance avec le Workspace ONE Access tenant.
  5. Copiez l'URL Single Sign-On et le chemin d'accès à l'URI du public.
  6. Ouvrez la console d'administration du fournisseur d'identité.
    1. Collez l'URL Single Sign-On et l'URI du public que vous avez copiées à l'étape précédente.
    2. Téléchargez le fichier de métadonnées que vous avez téléchargé à l'étape 4.
    3. Copiez l'ID de nom configuré sur votre fournisseur d'identité et conservez-le pour y faire référence ultérieurement.
    4. Téléchargez le fichier de métadonnées du groupe d'IdP.
  7. Lorsque vous êtes prêt à procéder à la configuration de votre fournisseur d'identité, revenez au workflow de fédération en libre-service, développez la section Configurer SAML dans votre fournisseur d'identité et cliquez sur Suivant.
    La section Configurer votre fournisseur d'identité du workflow se développe.
  8. Pour configurer votre fournisseur d'identité sur le Workspace ONE Access tenant, fournissez les informations suivantes :
    1. Dans la zone de texte Nom complet du fournisseur d'identité, entrez un nom convivial pour votre fournisseur d'identité.
      Ce nom sera affiché aux utilisateurs de VMware Cloud services lors de la connexion et de la déconnexion.
    2. Dans la zone de texte Métadonnées , entrez l'URL des métadonnées du fournisseur d'identité ou sélectionnez XML et collez le fichier XML de métadonnées du fournisseur d'identité.
      La validation des métadonnées démarre automatiquement. À la fin de la validation, une icône de case à cocher verte indique que le fichier a été correctement lu et analysé. Si la validation renvoie une erreur, vérifiez l'URL que vous avez entrée. Assurez-vous qu'il n'y a pas d'espaces ou de caractères supplémentaires dans le fichier XML de métadonnées du fournisseur d'identité.
    3. Sélectionnez le format d'ID de nom dans le menu déroulant.
      Le format de l'ID du nom est la valeur de la réponse SAML pour identifier l'utilisateur authentifié.
    4. Sélectionnez le Format de l'ID du nom et la Valeur de l'ID du nom dans le menu déroulant le cas échéant pour votre fournisseur d'identité.
      La méthode d'authentification est automatiquement remplie.
    5. Dans le menu déroulant Contexte SAML, sélectionnez le type d'authentification utilisateur sur le fournisseur d'identité.
    6. Cliquez sur Suivant.
      La section Attributs utilisateur se développe pour afficher la liste des attributs utilisateur obligatoires et non obligatoires que vous pouvez rechercher dans la réponse SAML de votre fournisseur d'identité.
  9. (Facultatif) Pour ajouter un attribut d'utilisateur personnalisé qui ne figure pas dans la liste, cliquez sur Ajout un attribut d'utilisateur et entrez une valeur correspondant exactement à son nom sur votre fournisseur d'identité.
  10. Cliquez sur Suivant. section Attributs de groupe du workflow.
    Si vous avez indiqué votre configuration avec un fournisseur d'identité qui prend en charge l'attribut de groupe dans la réponse SAML, la section Attributs de groupe du workflow se développe, dans laquelle vous ajoutez un attribut de groupe et des noms de groupe à appeler dans la demande SAML.
  11. (Facultatif) Dans le menu déroulant, sélectionnez un attribut de groupe et des noms de groupe.
  12. Dans la section Définir la préférence d'identification de l'utilisateur indiquez comment les utilisateurs de votre entreprise vont s'identifier lors de l'accès à VMware Cloud Services sur la page de découverte de Cloud Services.
    L'identification de l'utilisateur est différente du mode d'authentification de l'utilisateur auprès du fournisseur d'identité d'entreprise.
    Important : Si vous sélectionnez l'option de préférence d'identification Nom d'utilisateur@Domaine, l'attribut Domaine doit être présent dans la réponse SAML lors de la connexion à VMware Cloud services.
  13. Cliquez sur Configurer.

Résultats

À cette étape, vous avez ajouté votre fournisseur d'identité à la configuration du locataire Workspace ONE Access, configuré le locataire Workspace ONE Access en tant que fournisseur de services sur votre fournisseur d'identité, sélectionné la valeur à utiliser pour identifier l'utilisateur dans la réponse SAML et spécifié la méthode d'authentification à utiliser pour authentifier l'utilisateur auprès du fournisseur d'identité.

Que faire ensuite

Validez la connexion à votre fournisseur d'identité et activez la fédération.