La configuration d'une fédération d'entreprise pour votre domaine d'entreprise est un processus en libre-service qui implique plusieurs étapes, utilisateurs et rôles.

La liste suivante présente l'aperçu de haut niveau des étapes du workflow de configuration de la fédération. Pour voir un exemple de scénario de chaque étape de fédération d'un domaine d'entreprise, cliquez sur un lien d'étape.
Étape 1 : vérifier les domaines

Dans cette étape, vous vérifiez la propriété des domaines que vous souhaitez fédérer. Le processus de vérification implique l'ajout d'enregistrements TXT DNS pour vos domaines. Avant de commencer, vérifiez que vous pouvez modifier les enregistrements DNS de vos domaines d'entreprise.

Les domaines que vous ajoutez à cette étape sont les domaines publics de niveau supérieur que vos employés d'entreprise utilisent pour accéder à VMware Cloud services. Ces domaines ne sont pas des domaines Active Directory internes. Vous pouvez ajouter des utilisateurs et des groupes à partir de domaines Active Directory internes dans l'étape 3 de la configuration de la fédération. Les domaines Active Directory internes que vous ajoutez pour la synchronisation ne sont pas visibles en externe pour l'accès depuis VMware Cloud services.

Note : La vérification n'est pas automatique. Après l'envoi des enregistrements TXT, il faut compter jusqu'à 72 heures pour que les modifications prennent effet.
Étape 2 : Installer Workspace ONE Access Connector

Dans cette étape, vous téléchargez le fichier exécutable du connecteur Workspace ONE Access et l'installez sur une machine Windows ayant accès à votre annuaire d'entreprise.

Note : Si votre entreprise n'utilise pas de fournisseur d'identité basé sur SAML 2.0, les méthodes d'authentification prises en charge par le connecteur Workspace ONE Access peuvent être utilisées pour authentifier les utilisateurs.

Le connecteur Workspace ONE Access est un composant sur site de Workspace ONE Access (anciennement appelé VMware Identity Manager) qui s'intègre à votre infrastructure sur site, telle qu'Active Directory, RADIUS et RSA SecurID. Dans la configuration de la fédération, le connecteur est utilisé pour synchroniser en continu les utilisateurs et les groupes configurés par l'administrateur d'entreprise avec un locataire Workspace ONE Access hébergé créé pour l'entité d'entreprise dans le cadre de la fédération d'entreprise.

Étape 3 : synchroniser les groupes et les utilisateurs

Dans cette étape, vous vous liez à l'annuaire Active Directory de votre entreprise. Si nécessaire, téléchargez des certificats de sécurité pour la communication SSL/TLS entre le connecteur Workspace ONE Access et Active Directory. Vous recherchez ensuite dans votre annuaire d'entreprise des utilisateurs et des groupes pour les synchroniser avec le locataire Workspace ONE Access. La synchronisation de groupes et d'utilisateurs supplémentaires peut se poursuivre une fois la configuration de la fédération terminée.

Étape 4 : configurer le fournisseur d'identité

Dans cette étape, vous configurez le fournisseur d'identité. Vous pouvez activer la fédération pour votre entreprise avec n'importe quel fournisseur d'identité tiers basé sur SAML 2.0. Le processus de configuration de fédération en libre-service fournit une prise en charge de la configuration guidée pour les fournisseurs d'identité suivants : Okta, PingIdentity, Microsoft Active Directory Federation Services, OneLogin et Azure Active Directory. Pour configurer votre fournisseur d'identité tiers pour une fédération d'entreprise, vous devez avoir accès à la console du fournisseur d'identité et à l'URL des métadonnées du fournisseur d'identité.

Si vous n'avez pas de fournisseur d'identité tiers, vous pouvez utiliser le connecteur Workspace ONE Access pour activer l'authentification utilisateur directe par rapport à votre annuaire Active Directory.
Attention : Vous ne pouvez pas modifier le fournisseur d'identité que vous configurez à cette étape, une fois la fédération configurée activée. Si vous devez modifier ultérieurement votre fournisseur d'identité, déposez un ticket de support.
Étape 5 : terminer la configuration
Dans cette dernière étape de la configuration de la fédération, vous devez effectuer une liste d'actions.
  • Confirmez que les utilisateurs de votre entreprise peuvent se connecter à VMware Cloud services en utilisant votre fournisseur d'identité d'entreprise.
  • Informez les utilisateurs d'entreprise des domaines que vous avez spécifiés dans Étape 1 qu'ils doivent se connecter à VMware Cloud services à l'aide de leurs informations d'identification d'entreprise.
  • Reconnaissez les modifications et activez la fédération pour votre entreprise.

Une fois la configuration de la fédération terminée, le workflow en libre-service n'est plus disponible pour les modifications. Les administrateurs d'entreprise peuvent modifier la configuration initiale dans le tableau de bord Fédération d'entreprise.

Important : Une fois la fédération d'entreprise activée, les utilisateurs disposant de domaines fédérés ne peuvent accéder à VMware Cloud services qu'en utilisant leurs comptes d'entreprise. Ils ne peuvent plus utiliser leurs comptes My VMware pour se connecter à VMware Cloud services.
Étape 6 : lier votre compte ID VMware
Dans la dernière étape du workflow, vous liez votre compte fédéré à votre ID VMware. Cette étape est nécessaire pour les rôles suivants :
  • administrateurs d'entreprise, propriétaires d'organisation qui ont pris part à la configuration de la fédération en libre-service.
  • propriétaires et membres d'organisation qui ont besoin d'accéder aux informations de facturation.
  • propriétaires et membres d'organisation qui souhaitent être en mesure de déposer des demandes de support.