Après avoir activé VMware Identity Services pour votre locataire Workspace ONE, configurez l'intégration à votre fournisseur d'identité basé sur SCIM 2.0.

  1. Dans l'assistant Mise en route de VMware Identity Services, cliquez sur Démarrer à l'étape 2, Intégrer un fournisseur d'identité basé sur SCIM 2.0. ""
  2. Cliquez sur Configurer sur la carte Fournisseur d'identité SCIM 2.0.
    ""
  3. Suivez l'assistant pour configurer l'intégration à votre fournisseur d'identité.

Étape 1 : Créer un annuaire

Comme première étape de configuration du provisionnement des utilisateurs et de la fédération des identités avec VMware Identity Services, créez un annuaire dans la console Workspace ONE pour les utilisateurs et les groupes provisionnés à partir de votre fournisseur d'identité.

Attention : Une fois l'annuaire créé, vous ne pouvez pas modifier la sélection de votre fournisseur d'identité. Veillez à sélectionner le fournisseur d'identité approprié avant de continuer.

Procédure

  1. À l'étape 1, Informations générales de l'assistant, entrez le nom que vous souhaitez utiliser pour le répertoire provisionné dans Workspace ONE.
    Le nom ne doit pas dépasser 128 caractères. Seuls les caractères suivants sont autorisés : lettres (a-z ou équivalent dans d'autres langues), chiffres (0-9), espace, trait d'union (-) et trait de soulignement (_).
    Important : Vous ne pouvez pas modifier le nom de l'annuaire après sa création.
  2. Dans Nom de domaine, entrez le nom de domaine principal de votre annuaire source, y compris l'extension telle que .com ou .net.
    VMware Identity Services ne prend actuellement en charge qu'un seul domaine. Les utilisateurs et les groupes provisionnés sont associés à ce domaine dans les services Workspace ONE.

    Le nom de domaine ne doit pas dépasser 100 caractères. Seuls les caractères suivants sont autorisés : lettres (a-z ou équivalent dans d'autres langues), chiffres (0-9), espace, trait d'union (-), trait de soulignement (_) et point (.).

    Par exemple :

    Dans cet exemple, le nom de l'annuaire est Démo et le nom de domaine est example.com.
  3. Cliquez sur Enregistrer et confirmez votre sélection.

Que faire ensuite

Configurez le provisionnement des utilisateurs et des groupes.

Étape 2 : Configurer le provisionnement des utilisateurs et des groupes

Après avoir créé un annuaire dans VMware Identity Services, configurez le provisionnement des utilisateurs et des groupes. Démarrez le processus dans VMware Identity Services en générant les informations d'identification de l'administrateur requises pour le provisionnement, puis configurez celui-ci dans le fournisseur d'identité à l'aide de ces informations d'identification.

Note : Cette rubrique s'applique à l'intégration à un fournisseur d'identité SCIM 2.0 autre qu'Azure AD. Pour l'intégration à Azure AD, reportez-vous à la section Étape 2 : Configurer le provisionnement des utilisateurs et des groupes.
Note : Cette rubrique fournit des informations générales sur la configuration d'un fournisseur d'identité tiers. Les étapes et les emplacements exacts des tâches varient en fonction de votre fournisseur d'identité. Pour connaître les informations spécifiques, reportez-vous à la documentation de votre fournisseur d'identité.

Conditions préalables

Vous disposez d'un compte d'administrateur dans le fournisseur d'identité avec les privilèges requis pour configurer le provisionnement des utilisateurs.

Procédure

  1. Dans la console Workspace ONE, à l'étape 2, Configurer le fournisseur d'identité de l'assistant de VMware Identity Services, sélectionnez le type d'informations d'identification requis pour configurer le provisionnement des utilisateurs dans votre fournisseur d'identité.
    Choisissez entre les éléments suivants :
    • ID client et clé secrète
    • URL et jeton du locataire

    Étant donné que les jetons expirent et doivent être mis à jour manuellement, l'option ID client et clé secrète est préférée. En matière de sécurité, il est recommandé d'effectuer une rotation de l'ID client et de la clé secrète du client tous les six mois.

    Lorsque vous cliquez sur Suivant, VMware Identity Services génère les informations d'identification.
  2. Si vous avez sélectionné ID client et clé secrète, copiez les valeurs ID client et Clé secrète du client.
    Important : Veillez à copier la clé secrète avant de cliquer sur Suivant. Une fois que vous avez cliqué sur Suivant, la clé secrète ne s'affiche plus et vous devrez en générer une autre. Sachez que chaque fois que vous régénérez la clé secrète, la précédente n'est plus valide et le provisionnement échoue. Veillez à copier et coller la nouvelle clé secrète dans l'application du fournisseur d'identité.

    Par exemple :

    Les valeurs ID client et Clé secrète du client s'affichent avec une icône de copie en regard de celles-ci.
  3. Si vous avez sélectionné URL et jeton du locataire, vérifiez et copiez les valeurs générées.
    • URL du locataire : point de terminaison SCIM 2.0 de votre locataire VMware Identity Services. Copiez la valeur.
    • Durée de vie du jeton : période pendant laquelle le jeton secret est valide

      Par défaut, VMware Identity Services génère le jeton avec une durée de vie par défaut de 6 mois. Pour modifier la durée de vie du jeton, cliquez sur la flèche vers le bas, sélectionnez une autre option, puis cliquez sur Régénérer pour régénérer le jeton avec la nouvelle valeur.

      Important : Lorsque vous mettez à jour la durée de vie du jeton, le précédent n'est plus valide et le provisionnement des utilisateurs et des groupes à partir du fournisseur d'identité échoue. Vous devez régénérer un jeton, puis copier et coller le nouveau jeton dans le fournisseur d'identité.
    • Jeton secret : jeton requis par le fournisseur d'identité pour provisionner les utilisateurs dans Workspace ONE. Copiez la valeur.
      Important : Veillez à copier le jeton avant de cliquer sur Suivant. Une fois que vous avez cliqué sur Suivant, le jeton ne s'affiche plus et vous devrez en générer un autre. Sachez que chaque fois que vous régénérez le jeton, le précédent n'est plus valide et le provisionnement échoue. Veillez à copier et coller le nouveau jeton sur le fournisseur d'identité.

    Par exemple :

    Les valeurs pour URL du locataire et Jeton secret s'affichent. La durée de vie du jeton est de 6 mois.
  4. Dans votre fournisseur d'identité, configurez le provisionnement des utilisateurs et des groupes sur Workspace ONE.
    1. Connectez-vous à la console de votre fournisseur d'identité en tant qu'administrateur.
    2. Configurez le provisionnement SCIM 2.0.
      Lorsque vous y êtes invité, entrez les informations d'identification générées dans la console Workspace ONE.
    3. Activez le provisionnement.

Que faire ensuite

Revenez à la console Workspace ONE pour continuer avec l'assistant VMware Identity Services.

Étape 3 : Mapper les attributs utilisateur SCIM

Mappez les attributs utilisateur à synchroniser entre votre fournisseur d'identité et les services Workspace ONE. Dans la console de votre fournisseur d'identité, ajoutez les attributs utilisateur SCIM requis et mappez-les à vos attributs de fournisseur d'identité. Synchronisez au moins les attributs dont VMware Identity Services et les services Workspace ONE ont besoin.

VMware Identity Services et les services Workspace ONE nécessitent les attributs utilisateur SCIM suivants :

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Pour plus d'informations sur ces attributs et leur mappage aux attributs Workspace ONE, reportez-vous à la section Mappage d'attributs utilisateur pour VMware Identity Services.

Outre les attributs requis, vous pouvez synchroniser des attributs facultatifs et personnalisés. Pour obtenir la liste des attributs facultatifs et personnalisés pris en charge, reportez-vous à la section Mappage d'attributs utilisateur pour VMware Identity Services.

Note : Vous ne pouvez pas spécifier des mappages d'attributs de groupe dans Okta à synchroniser avec VMware Identity Services. Vous pouvez uniquement mapper des attributs utilisateur.

Procédure

  1. Dans la console Workspace ONE, à l'étape 3, Mapper les attributs utilisateur SCIM de l'assistant de VMware Identity Services, vérifiez la liste des attributs pris en charge par VMware Identity Services.
  2. Dans la console d'administration de votre fournisseur d'identité, accédez à la configuration du provisionnement de Workspace ONE.
  3. Accédez à la page de mappage d'attributs.
  4. Mappez les attributs utilisateur SCIM requis à vos attributs de fournisseur d'identité.
  5. Ajoutez et mappez les attributs utilisateur SCIM facultatifs et personnalisés, si nécessaire.

Que faire ensuite

Revenez à la console Workspace ONE pour continuer avec l'assistant VMware Identity Services.

Étape 4 : Sélectionner le protocole d'authentification

Sélectionnez le protocole à utiliser pour l'authentification fédérée. VMware Identity Services prend en charge les protocoles OpenID Connect et SAML.

Procédure

  1. À l'étape 4, Sélectionner le protocole d'authentification de l'assistant, sélectionnez OpenID Connect ou SAML.
  2. Cliquez sur Suivant.
    L'étape suivante de l'assistant s'affiche avec les valeurs requises pour configurer le protocole sélectionné.

Que faire ensuite

Configurez VMware Identity Services et le fournisseur d'identité pour l'authentification fédérée.

Étape 5 : Configurer l'authentification (fournisseur d'identité SCIM générique)

Pour configurer l'authentification fédérée avec votre fournisseur d'identité, configurez une application OpenID Connect ou SAML dans le fournisseur d'identité à l'aide des métadonnées du fournisseur de services de VMware Identity Services et configurez VMware Identity Services avec les valeurs de l'application.

Important : Si vous intégrez VMware Identity Services à Okta, vous devez créer des applications distinctes dans la console d'administration d'Okta pour la configuration du provisionnement des utilisateurs et du fournisseur d'identité. Vous ne pouvez pas utiliser la même application pour le provisionnement et l'authentification.
Note : Cette rubrique fournit des informations générales sur la configuration d'un fournisseur d'identité tiers. Les étapes exactes des tâches varient en fonction de votre fournisseur d'identité. Pour connaître les informations spécifiques, reportez-vous à la documentation de votre fournisseur d'identité.

OpenID Connect

Si vous avez sélectionné OpenID Connect comme protocole d'authentification, procédez comme suit.

  1. À l'étape 5, Configurer OpenID Connect de l'assistant de VMware Identity Services, copiez la valeur URI de redirection.

    Cette valeur est requise pour l'étape suivante, lorsque vous créez une application OpenID Connect dans votre fournisseur d'identité.

    ""

  2. Dans la console d'administration du fournisseur d'identité, créez une application OpenID Connect.
  3. Recherchez la section URI de redirection dans l'application, puis copiez et collez la valeur URI de redirection copiée à partir de l'assistant de VMware Identity Services.
  4. Créez une clé secrète du client pour l'application et copiez-la.

    Entrez la clé secrète dans l'assistant de VMware Identity Services à l'étape suivante.

  5. Revenez à l'assistant de VMware Identity Services dans la console Workspace ONE, puis terminez la configuration dans la section Configurer OpenID Connect.
    ID client Copiez et collez la valeur ID client à partir de l'application du fournisseur d'identité.
    Clé secrète du client Copiez et collez la clé secrète du client à partir de l'application du fournisseur d'identité.
    URL de configuration Copiez et collez l'URL de configuration connue d'OpenID Connect de l'application du fournisseur d'identité. Par exemple : https://example.com/.well-known/openid-configuration
    Attribut d'identifiant d'utilisateur OIDC Spécifiez l'attribut OpenID Connect à mapper à l'attribut Workspace ONE pour les recherches d'utilisateurs.
    Attribut d'identifiant d'utilisateur Workspace ONE Spécifiez l'attribut Workspace ONE à mapper à l'attribut OpenID Connect pour les recherches utilisateurs.
  6. Dans l'assistant de VMware Identity Services, cliquez sur Terminer pour terminer la configuration de l'intégration entre VMware Identity Services et votre fournisseur d'identité.

SAML

Si vous avez sélectionné SAML comme protocole d'authentification, procédez comme suit.

  1. Obtenez les métadonnées du fournisseur de services à partir de la console Workspace ONE.

    À l'étape 5, Configurer Single Sign-On SAML de l'assistant de VMware Identity Services, copiez ou affichez et téléchargez les métadonnées du fournisseur de services SAML.


    ""
  2. Dans la console d'administration du fournisseur d'identité, accédez à la page de configuration de Single Sign-On.
    Important : Si vous intégrez VMware Identity Services à Okta, vous devez créer une application SAML distincte dans Okta pour l'authentification. Vous ne pouvez pas utiliser la même application pour le provisionnement et l'authentification.
  3. Configurez Single Sign-On à l'aide des valeurs de l'assistant de VMware Identity Services.

    En fonction des éléments pris en charge par le fournisseur d'identité, les étapes de configuration typiques incluent l'une des suivantes :

    • Recherchez l'option Métadonnées du fournisseur de services, puis chargez ou copiez et collez les métadonnées du fournisseur de services SAML à partir de l'assistant de VMware Identity Services.
    • Si le fournisseur d'identité ne dispose pas d'une option pour charger les métadonnées, copiez et collez les valeurs suivantes des métadonnées du fournisseur de services SAML de VMware Identity Services vers les champs correspondants de la console du fournisseur d'identité :

      Valeur entityID : par exemple, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Valeur AssertionConsumerService HTTP-POST Emplacement : par exemple, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

  4. Recherchez et copiez les métadonnées SAML du fournisseur d'identité à partir de la console du fournisseur d'identité.
  5. Dans la console Workspace ONE, à l'étape 5, Configurer Single Sign-On SAML de l'assistant de VMware Identity Services, collez les métadonnées du fournisseur d'identité dans la zone de texte Métadonnées du fournisseur d'identité.
    ""
  6. Configurez les autres options de la section Configurer Single Sign-On SAML .
    • Déconnexion unique : sélectionnez cette option si vous souhaitez déconnecter les utilisateurs de leur session de fournisseur d'identité après leur déconnexion de Workspace ONE Intelligent Hub.
    • Protocole de liaison : sélectionnez le protocole de liaison SAML, HTTP POST ou Redirection HTTP.
    • Format de l'ID du nom : spécifiez le format de l'ID du nom à utiliser pour mapper les utilisateurs entre votre fournisseur d'identité et les services Workspace ONE.
    • Valeur de l'ID du nom  : sélectionnez l'attribut utilisateur pour les utilisateurs dans Workspace ONE.
    • Envoyer le sujet dans la demande SAML (si disponible) : sélectionnez cette option si vous souhaitez que le fournisseur d'identité envoie l'objet à VMware Identity Services comme indication de connexion, s'il est disponible. Si vous sélectionnez cette option, vous pouvez également sélectionner Utiliser le mappage du format d'ID de nom pour le sujet.
    • Utiliser le mappage du format d'ID de nom pour le sujet : sélectionnez cette option pour utiliser le format de l'ID du nom afin de mapper l'indication de connexion communiquée par le fournisseur d'identité à la valeur de l'ID du nom.
      Attention : L'activation de cette option risque d'augmenter le risque d'une vulnérabilité de sécurité appelée énumération des utilisateurs.
  7. Cliquez sur Terminer dans l'assistant pour terminer la configuration de l'intégration entre VMware Identity Services et votre fournisseur d'identité.

Résultats

L'intégration entre VMware Identity Services et votre fournisseur d'identité est terminée.

L'annuaire est créé dans VMware Identity Services et sera renseigné lorsque vous transférez des utilisateurs et des groupes à partir de l'application de provisionnement dans le fournisseur d'identité. Les utilisateurs et les groupes provisionnés s'afficheront automatiquement dans les services Workspace ONE que vous choisissez d'intégrer au fournisseur d'identité, tels que Workspace ONE Access et Workspace ONE UEM.

Vous ne pouvez pas modifier l'annuaire dans les consoles Workspace ONE Access et Workspace ONE UEM. Les pages Annuaire, Utilisateurs, Groupes d'utilisateurs, Attributs utilisateur et Fournisseur d'identité sont en lecture seule.

Étape suivante

Sélectionnez ensuite les services Workspace ONE dans lesquels vous souhaitez provisionner des utilisateurs et des groupes.

Transférez ensuite les utilisateurs et les groupes à partir de votre fournisseur d'identité. Reportez-vous à la section Provisionnement d'utilisateurs dans Workspace ONE.