En tant qu'Administrateur d'entreprise, vous accédez au workflow de fédération en libre-service depuis l'organisation de fédération créée pour votre entreprise lors du lancement. Vous recevez le lien d'accès à l'organisation de fédération dans le cadre de l'e-mail d'invitation qui vous a été envoyé par le Propriétaire d'organisation qui a initié la fédération ou par un autre utilisateur Administrateur d'entreprise qui vous a invité à participer.

Conditions préalables

Le workflow de configuration de fédération en libre-service comporte plusieurs étapes et plusieurs administrateurs d'entreprise peuvent les suivre pendant une période donnée. Avant de commencer, assurez-vous d'avoir lu et compris les conditions préalables et requises pour la configuration de la fédération d'entreprise.
Attention : Votre entreprise doit posséder les domaines que vous souhaitez fédérer pour accéder à VMware Cloud services et vous devez vérifier la propriété lors de la première étape du workflow en libre-service. Vous ne pouvez pas fédérer les domaines qui appartiennent à un fournisseur de services.
  • La configuration d'une fédération via le workflow en libre-service nécessite un accès d'administrateur d'entreprise.
  • Pour afficher toutes les étapes du workflow correctement affichées dans votre navigateur, vous devez activer des cookies tiers.
    Note : Lorsque vous utilisez le workflow de configuration de fédération, assurez-vous de ne pas utiliser le mode incognito du navigateur.
  • Vérifiez que vous pouvez accéder aux enregistrements DNS des domaines fédérés et les modifier pour la vérification de domaine.
    Attention : Votre entreprise doit posséder les domaines que vous souhaitez fédérer pour accéder à VMware Cloud services et vous devez vérifier la propriété lors de la première étape du workflow en libre-service. Vous ne pouvez pas fédérer les domaines qui appartiennent à un fournisseur de services.
  • Les conditions préalables basées sur la configuration de fédération en libre-service sélectionnée sont les suivantes :
    Pour la configuration de l'authentification dynamique (sans connecteur), vous devez
    • Vérifiez que vous pouvez accéder à la console de votre fournisseur d'identité.
    • Pour la configuration de fédération basée sur SAML, vérifiez que vous avez accès à l'URL des métadonnées du fournisseur d'identité.
    Pour la configuration de l'authentification basée sur le connecteur, vous devez
    • Vérifiez que vous pouvez accéder aux enregistrements DNS des domaines fédérés et les modifier pour la vérification de domaine.
    • Votre machine hôte est installée avec MS Windows Server 2012 R2 ou version ultérieure, et vous pouvez accéder à votre annuaire d'entreprise.
    • La machine Windows hôte doit avoir une adresse IP statique et un nom de domaine complet DNS pouvant être résolu.
    • Le connecteur doit avoir un accès réseau à Active Directory sur les ports 389/636.
    • Votre pare-feu d'entreprise est configuré pour établir une connexion sortante entre le connecteur Workspace ONE Access et le port 443 pour permettre l'interaction avec le service de locataire hébergé.
    • Si vous souhaitez ajouter des domaines à la liste Autoriser, vous devez ajouter les domaines *.workspaceoneaccess.com (URL de locataire de production Workspace ONE Access) à votre liste de domaines autorisés.

      La machine virtuelle ou la machine serveur Windows hôte peut être déployée sur site, sur VMware Cloud on AWS ou peut être une instance de Elastic Compute Cloud. L'hôte sur lequel le connecteur Workspace ONE Access est installé doit pouvoir accéder à votre annuaire d'entreprise sur LDAP/LDAPS.

      Pour plus d'informations sur l'installation du connecteur Workspace ONE Access, passez en revue les exigences système de Workspace ONE Access Connector 20.01

    • Vérifiez que vous avez un compte d'utilisateur ou de service avec des autorisations de lecture sur Active Directory et un mot de passe sans expiration pour le nom unique/nom de l'utilisateur de liaison AD pour synchroniser des groupes et des utilisateurs. Le compte de service doit avoir les attributs suivants : prénom, nom de famille, nom complet et adresse e-mail. L'adresse e-mail du compte de service peut être une valeur factice.
      Note : Si vous utilisez un compte de service ayant une stratégie de mot de passe avec expiration et si un mot de passe expire avant le renouvellement, les groupes et les utilisateurs ne peuvent être synchronisés que si vous rétablissez la connexion entre Active Directory et le connecteur Workspace ONE Access.
    • Les attributs requis pour synchroniser les utilisateurs afin d'accéder aux VMware Cloud services sont prénom, nom de famille, adresse e-mail, nom d'utilisateur et domaine. Si votre entreprise utilise un nom principal de l'utilisateur (UPN) pour l'authentification, il doit être disponible en tant qu'attribut de profil d'utilisateur.
      Important : Les mots de passe utilisateur ne sont jamais synchronisés.