Lorsque vous ajoutez et configurez des instances de fournisseur d'identité pour votre déploiement Workspace ONE Access, vous pouvez garantir une haute disponibilité, prendre en charge des méthodes d'authentification d'utilisateurs supplémentaires et améliorer la souplesse de gestion du processus d'authentification des utilisateurs en fonction des plages d'adresses IP de ces derniers.

Conditions préalables

  • Accédez au document sur les métadonnées tierces. L'accès peut se faire via l'URL d'accès aux métadonnées ou les métadonnées réelles.

Procédure

  1. Dans l'onglet Gestion des identités et des accès de la console Workspace ONE Access, sélectionnez Fournisseurs d'identité.
  2. Cliquez sur Ajouter un fournisseur d'identité.
  3. Modifiez les paramètres de l'instance de fournisseur d'identité.
    Élément de formulaire Description
    Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité.
    Métadonnées SAML

    Ajoutez le document sur les métadonnées XML de fournisseur d'identité tiers afin d'établir une relation d'approbation avec le fournisseur d'identité.

    1. Entrez l'URL des métadonnées SAML ou le contenu xml dans la zone de texte. Cliquez sur Traiter des métadonnées IdP.
    2. Sélectionnez le mode d'identification de l'utilisateur. L'identifiant envoyé dans une assertion SAML entrante peut être envoyé dans le sujet ou dans l'instruction d'attribut.
      • Élément NameID. L'élément NameID récupère l'instruction d'attribut SAML.
      • Attribut SAML.
    3. Si vous sélectionnez Attribut SAML, les formats NameID pris en charge par le fournisseur d'identité sont extraits des métadonnées et ajoutés à la table Format de l'ID du nom.
      • Dans la colonne Valeur de l'ID du nom, sélectionnez l'attribut d'utilisateur dans le service à mapper aux formats d'ID affichés. Vous pouvez ajouter des formats d'ID de nom tiers et les mapper aux valeurs d'attribut utilisateur du service.
      • (Facultatif) Sélectionnez le format de la chaîne d'identifiant de réponse de la stratégie NameID.
    Provisionnement juste-à-temps S/O
    Utilisateurs Sélectionnez l'Autre répertoire qui inclut les utilisateurs pouvant s'authentifier à l'aide de ce fournisseur d'identités.
    Réseau Les plages réseau existantes configurées dans le service sont répertoriées.

    Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification.

    Méthodes d'authentification Ajoutez les méthodes d'authentification prises en charge par le fournisseur d'identité tiers. Sélectionnez la classe de contexte d'authentification SAML qui prend en charge la méthode d'authentification.
    Configuration de la déconnexion unique

    Lorsque les utilisateurs se connectent à Workspace ONE à partir d'un fournisseur d'identité tiers (IDP), deux sessions sont ouvertes, la première sur le fournisseur d'identité tiers et la seconde sur le fournisseur du service Identity Manager pour Workspace ONE. La durée de vie de ces sessions est gérée de façon indépendante. Lorsque des utilisateurs se déconnectent de Workspace ONE, la session Workspace ONE est fermée, mais la session du fournisseur d'identité tiers peut toujours être ouverte. En fonction de vos exigences de sécurité, vous pouvez activer la déconnexion unique et configurer la déconnexion unique pour se déconnecter des deux sessions, ou maintenir la session du fournisseur d'identité tiers intacte.

    Option de configuration 1

    • Vous pouvez activer la déconnexion unique lorsque vous configurez le fournisseur d'identité tiers. Si le fournisseur d'identité tiers prend en charge le protocole de déconnexion unique (SLO) basé sur SAML, les deux sessions sont fermées lorsque les utilisateurs se déconnectent du portail Workspace ONE. La zone de texte URL de redirection n'est pas configurée.
    • Si le fournisseur d'identité tiers ne prend pas en charge la déconnexion unique basée sur SAML, vous activez la déconnexion unique et, dans la zone de texte URL de redirection, vous désignez une URL de point de terminaison de déconnexion unique du fournisseur d'identité. Vous pouvez également utiliser un paramètre de redirection à ajouter à l'URL qui envoie les utilisateurs vers un point de terminaison spécifique. Les utilisateurs sont redirigés vers cette URL lorsqu'ils se déconnectent du portail Workspace ONE et qu'ils sont déconnectés du fournisseur d'identité également.

    Option de configuration 2

    • Une autre option de déconnexion unique consiste à déconnecter les utilisateurs de leur portail Workspace ONE et à les rediriger vers une URL de point de terminaison personnalisée. Vous activez la déconnexion unique, désignez l'URL dans la zone de texte URL de redirection et le paramètre de redirection du point de terminaison personnalisé. Lorsque les utilisateurs se déconnectent du portail Workspace ONE, ils sont dirigés vers cette page, qui peut afficher un message personnalisé. Il est possible que la session du fournisseur d'identité soit toujours ouverte. L'URL https://<vidm-access-url>/SAAS/auth/federation/slo est saisie.

    Si l'option Activer la déconnexion unique n'est pas activée, la configuration par défaut dans le service Workspace ONE Access consiste à rediriger les utilisateurs vers la page de connexion du portail Workspace ONE lorsqu'ils se déconnectent. Il est possible que la session du fournisseur d'identité soit toujours ouverte.

    Certificat de signature SAML Cliquez sur Métadonnées du fournisseur de services (SP) pour voir l'URL vers les métadonnées du fournisseur de services SAML Workspace ONE Access. Copiez et enregistrez l'URL. Cette URL est configurée lorsque vous modifiez l'assertion SAML dans le fournisseur d'identité tiers pour mapper des utilisateurs Workspace ONE Access.
    Nom d'hôte IdP Si la zone de texte Nom d'hôte s'affiche, entrez le nom d'hôte vers lequel le fournisseur d'identité est redirigé pour l'authentification. Si vous utilisez un port non standard autre que 443, vous pouvez définir le nom d'hôte avec le format Nom d'hôte:Port. Par exemple, myco.example.com:8443.
  4. Cliquez sur Ajouter.

Que faire ensuite

  • Modifiez la configuration du fournisseur d'identité tiers pour ajouter l'URL de certificat de signature SAML que vous avez enregistrée.