Après avoir activé VMware Identity Services pour votre locataire Workspace ONE, configurez l'intégration à Microsoft Entra ID.

  1. Dans l'assistant Mise en route de VMware Identity Services, cliquez sur Démarrer à l'étape 2, Intégrer un fournisseur d'identité basé sur SCIM 2.0. ""
  2. Cliquez sur Configurer sur la carte Microsoft Entra ID.
    ""
  3. Suivez l'assistant pour configurer l'intégration à Microsoft Entra ID.

Étape 1 : Créer un annuaire

Comme première étape de configuration du provisionnement des utilisateurs et de la fédération des identités avec VMware Identity Services, créez un annuaire dans la console Workspace ONE Cloud pour les utilisateurs et les groupes provisionnés à partir de votre fournisseur d'identité.

Attention : Une fois l'annuaire créé, vous ne pouvez pas modifier la sélection de votre fournisseur d'identité. Veillez à sélectionner le fournisseur d'identité approprié avant de continuer.

Procédure

  1. À l'étape 1, Informations générales de l'assistant, entrez le nom que vous souhaitez utiliser pour le répertoire provisionné dans Workspace ONE.
    Le nom ne doit pas dépasser 128 caractères. Seuls les caractères suivants sont autorisés : lettres (a-z ou équivalent dans d'autres langues), chiffres (0-9), espace, trait d'union (-) et trait de soulignement (_).
    Important : Vous ne pouvez pas modifier le nom de l'annuaire après sa création.
  2. Dans Nom de domaine, entrez le nom de domaine principal de votre annuaire source, y compris l'extension telle que .com ou .net.
    VMware Identity Services ne prend actuellement en charge qu'un seul domaine. Les utilisateurs et les groupes provisionnés sont associés à ce domaine dans les services Workspace ONE.

    Le nom de domaine ne doit pas dépasser 100 caractères. Seuls les caractères suivants sont autorisés : lettres (a-z ou équivalent dans d'autres langues), chiffres (0-9), espace, trait d'union (-), trait de soulignement (_) et point (.).

    Par exemple :

    Dans cet exemple, le nom de l'annuaire est Démo et le nom de domaine est example.com.
  3. Cliquez sur Enregistrer et confirmez votre sélection.

Que faire ensuite

Configurez le provisionnement des utilisateurs et des groupes.

Étape 2 : Configurer le provisionnement des utilisateurs et des groupes

Après avoir créé un annuaire dans VMware Identity Services, configurez le provisionnement des utilisateurs et des groupes. Démarrez le processus dans VMware Identity Services en générant les informations d'identification de l'administrateur requises pour le provisionnement, puis créez une application de provisionnement dans Microsoft Entra ID pour provisionner des utilisateurs et des groupes pour Workspace ONE.

Conditions préalables

Vous disposez d'un compte d'administrateur dans Microsoft Entra ID avec les privilèges requis pour configurer le provisionnement.

Procédure

  1. Dans la console Workspace ONE Cloud, après avoir créé un annuaire, vérifiez et copiez les valeurs générées à l'étape 2, Configurer l'application d'entreprise Microsoft Entra, de l'assistant.
    Ces valeurs sont requises pour configurer l'application de provisionnement dans Microsoft Entra ID.
    • URL du locataire : point de terminaison SCIM 2.0 de votre locataire VMware Identity Services. Copiez la valeur.
    • Durée de vie du jeton  : période pendant laquelle le jeton secret est valide.

      Par défaut, VMware Identity Services génère le jeton avec une durée de vie de six mois. Pour modifier la durée de vie du jeton, cliquez sur la flèche vers le bas, sélectionnez une autre option, puis cliquez sur Régénérer pour régénérer le jeton avec la nouvelle valeur.

      Important : Chaque fois que vous mettez à jour la durée de vie du jeton, le jeton précédent n'est plus valide et le provisionnement des utilisateurs et des groupes à partir de Microsoft Entra ID échoue. Vous devez régénérer un jeton, puis copier et coller le nouveau jeton dans l'application Microsoft Entra ID.
    • Jeton secret : jeton requis par Microsoft Entra ID pour provisionner les utilisateurs dans Workspace ONE. Copiez la valeur en cliquant sur l'icône de copie.
      Important : Veillez à copier le jeton avant de cliquer sur Suivant. Une fois que vous avez cliqué sur Suivant, le jeton ne s'affiche plus et vous devrez en générer un autre. Si vous régénérez le jeton, le précédent n'est plus valide et le provisionnement échoue. Veillez à copier et à coller le nouveau jeton dans l'application Microsoft Entra ID.

    Par exemple :

    L'étape 2 affiche une URL de locataire, une durée de vie du jeton de 6 mois et un jeton secret.
    Lorsque le jeton est sur le point d'expirer, une bannière de notification s'affiche dans la console Workspace ONE Cloud. Si vous souhaitez également recevoir des notifications par e-mail, assurez-vous que la case E-mail est cochée pour le paramètre Workspace ONE Access et Identity Services Expirations des jetons secrets. Vous trouverez le paramètre sur la page Paramètres de notification dans la console Workspace ONE Cloud.
  2. Créez l'application de provisionnement dans Microsoft Entra ID.
    1. Connectez-vous au centre d’administration Microsoft Entra.
    2. Sélectionnez Applications d'entreprise dans le volet de navigation de gauche.
    3. Sur la page Applications d'entreprise > Toutes les applications, cliquez sur + Nouvelle application.
      ""
    4. Sur la page Parcourir la galerie Microsoft Entra, entrez VMware Identity Services dans la zone de recherche, puis sélectionnez l'application VMware Identity Services dans les résultats de la recherche.
      ""
    5. Dans le volet qui s'affiche, entrez un nom pour votre application de provisionnement, puis cliquez sur Créer.
      Par exemple :
      Cette exemple crée une application appelée VMware Identity Services - Démo.
      Une fois l'application créée, la page Présentation de l'application s'affiche.
    6. Dans le menu Gérer, sélectionnez Provisionnement, puis cliquez sur Mise en route.
      ""
    7. Sur la page Provisionnement, définissez Mode de provisionnement sur Automatique.
      Manuel et Automatique constituent les options de Mode de provisionnement. Sélectionnez Automatique.
    8. Sous Informations d'identification de l'administrateur, entrez l'URL du locataire et le jeton secret copié à partir de l'étape Configurer l'application d'entreprise Microsoft Entra de l'assistant VMware Identity Services de Workspace ONE.
      Par exemple :
      le mode de provisionnement est Automatique. Les zones de texte URL du locataire et Jeton secret bénéficient des valeurs copiées à partir de Workspace ONE.
    9. Cliquez sur Tester la connexion.
    10. Assurez-vous que le message suivant s'affiche : 
      Les informations d'identification fournies sont autorisées à activer le provisionnement.

      Si vous obtenez une erreur :

      • Vérifiez que vous avez copié et collé correctement l'URL du locataire à partir de l'assistant VMware Identity Services.
      • Régénérez le jeton secret dans l'assistant VMware Identity Services, puis copiez-le et collez-le à nouveau dans l'application.

      Ensuite, cliquez de nouveau sur Tester la connexion.

    11. Cliquez sur Enregistrer pour enregistrer l'application.

Que faire ensuite

Revenez à la console Workspace ONE Cloud pour continuer avec l'assistant VMware Identity Services.

Étape 3 : Mapper les attributs utilisateur SCIM

Mappez les attributs utilisateur à synchroniser entre Microsoft Entra ID et les services Workspace ONE. Dans le centre d'administration Microsoft Entra, ajoutez les attributs utilisateur SCIM et mappez-les aux attributs Microsoft Entra ID. Synchronisez au moins les attributs dont VMware Identity Services et les services Workspace ONE ont besoin.

VMware Identity Services et les services Workspace ONE nécessitent les attributs utilisateur SCIM suivants :

Attribut Microsoft Entra ID Attribut utilisateur SCIM (requis)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , « False », « True », « True », « False ») active
Note : Le tableau montre le mappage classique entre les attributs SCIM requis et les attributs Microsoft Entra ID. Vous pouvez mapper les attributs SCIM à des attributs Microsoft Entra ID différents de ceux répertoriés ici. Par exemple, si vous intégrez Workspace ONE UEM à Microsoft Entra ID via VMware Identity Services, vous devez mapper externalId à objectId.

Pour plus d'informations sur ces attributs et leur mappage à des attributs Workspace ONE, reportez-vous à la section Mappage d'attributs utilisateur pour VMware Identity Services.

Outre les attributs requis, vous pouvez synchroniser des attributs facultatifs et personnalisés. Pour obtenir la liste des attributs facultatifs et personnalisés pris en charge, reportez-vous à la section Mappage d'attributs utilisateur pour VMware Identity Services.

Procédure

  1. Dans la console Workspace ONE Cloud, à l'étape 3, Mapper les attributs utilisateur SCIM de l'assistant, vérifiez la liste des attributs pris en charge par VMware Identity Services.
  2. Dans le centre d'administration Microsoft Entra, accédez à l'application de provisionnement créée pour le provisionnement des utilisateurs dans VMware Identity Services.
  3. Dans le menu Gérer, sélectionnez Provisionnement.
  4. Sous Gérer le provisionnement, cliquez sur Modifier les mappages d'attributs.

    ""
  5. Sur la page Provisionnement, dans la section Mappages, effectuez les sélections suivantes.
    • Définissez Provisionner les groupes Azure Active Directory sur Oui.
    • Définissez Provisionner les utilisateurs Azure Active Directory sur Oui.
    • Définissez État du provisionnement sur Activé.

    ""
  6. Cliquez sur le lien Provisionner les utilisateurs Azure Active Directory.
  7. Sur la page Mappage d'attributs, spécifiez les mappages d'attributs requis entre les attributs Microsoft Entra ID et les attributs SCIM (attributs de VMware Identity Services).
    Les attributs requis sont inclus par défaut dans le tableau Mappages d'attributs. Vérifiez et mettez à jour les mappages, si nécessaire.
    Important : Si vous intégrez Workspace ONE UEM à Microsoft Entra ID via VMware Identity Services, vous devez mapper externalId à objectId.

    Pour mettre à jour les mappages :

    1. Cliquez sur l'attribut dans le tableau Mappages d'attributs.
    2. Modifiez le mappage. Pour Attribut source, sélectionnez l'attribut Microsoft Entra ID et, pour Attribut cible, sélectionnez l'attribut SCIM (attribut VMware Identity Services).

      Par exemple :


      objectId est sélectionné comme attribut source et externalId comme attribut cible.
  8. Mappez les attributs utilisateur facultatifs pris en charge par VMware Identity Services et les services Workspace ONE, si nécessaire.
    • Certains des attributs facultatifs s'affichent déjà dans le tableau Mappage d'attributs. Si l'attribut s'affiche dans le tableau, cliquez dessus pour modifier le mappage. Sinon, cliquez sur Ajouter un nouveau mappage et spécifiez celui-ci. Pour Attribut source, sélectionnez l'attribut Microsoft Entra ID et, pour Attribut cible, sélectionnez l'attribut SCIM.
      Par exemple :
      l'attribut Source est department. L'attribut Cible est urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division.
    • Pour ajouter des attributs qui font partie de l'extension de schéma VMware Identity Services (attributs qui comportent urn:ietf:params:scim:schemas:extension:ws1b: dans leur chemin d'accès), cliquez sur Ajouter un nouveau mappage et spécifiez le mappage de l'attribut. Pour Attribut source, sélectionnez l'attribut Microsoft Entra ID et, pour Attribut cible, sélectionnez l'attribut SCIM.
    Reportez-vous à la liste des attributs SCIM facultatifs pris en charge par VMware Identity Services et à la manière dont ils sont mappés aux attributs Workspace ONE dans Mappage d'attributs utilisateur pour VMware Identity Services.
  9. Mappez les attributs utilisateur personnalisés pris en charge par VMware Identity Services et les services Workspace ONE, si nécessaire.
    1. Sur la page Mappage d'attributs, cliquez sur Ajouter un nouveau mappage.
    2. Spécifiez le mappage. Pour Attribut source, sélectionnez l'attribut Microsoft Entra ID et, pour Attribut cible, sélectionnez un attribut personnalisé VMware Identity Services. Les attributs personnalisés VMware Identity Services sont nommés urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services prend en charge jusqu'à cinq attributs personnalisés.
      Par exemple :
      L'attribut Source est employeeHireDate et l'attribut Cible est le customAttribute1 de VMware Identity Services.
    Reportez-vous à la liste des attributs SCIM personnalisés pris en charge par VMware Identity Services et à la manière dont ils sont mappés aux attributs Workspace ONE dans Mappage d'attributs utilisateur pour VMware Identity Services.

Que faire ensuite

Revenez à la console Workspace ONE Cloud pour continuer avec l'assistant VMware Identity Services.

Étape 4 : Sélectionner le protocole d'authentification

Dans la console Workspace ONE Cloud, sélectionnez le protocole à utiliser pour l'authentification fédérée. VMware Identity Services prend en charge les protocoles OpenID Connect et SAML.

Attention : Faites votre choix avec soin. Après avoir sélectionné le protocole et configuré l'authentification, vous ne pouvez pas changer le type de protocole sans effacer l'annuaire.

Procédure

  1. À l'étape 4, Sélectionner le protocole d'authentification de l'assistant VMware Identity Services, sélectionnez OpenID Connect ou SAML.
  2. Cliquez sur Suivant.
    L'étape suivante de l'assistant s'affiche avec les valeurs requises pour configurer le protocole sélectionné.

Que faire ensuite

Configurez VMware Identity Services et le fournisseur d'identité pour l'authentification fédérée.

Étape 5 : Configurer l'authentification

Pour configurer l'authentification fédérée avec Microsoft Entra ID, configurez une application OpenID Connect ou SAML dans Microsoft Entra ID à l'aide des métadonnées du fournisseur de services de VMware Identity Services, puis configurez VMware Identity Services avec les valeurs de l'application.

OpenID Connect

Si vous avez sélectionné OpenID Connect comme protocole d'authentification, procédez comme suit.

  1. À l'étape 5, Configurer OpenID Connect de l'assistant de VMware Identity Services, copiez la valeur URI de redirection.

    Cette valeur est requise pour l'étape suivante, lorsque vous créez une application OpenID Connect dans le centre d'administration Microsoft Entra.


    Une icône de copie se situe en regard de la valeur URI de redirection.
  2. Dans le centre d'administration Microsoft Entra, accédez à Applications d'entreprise > Enregistrements d'applications.
    ""
  3. Cliquez sur Nouvel enregistrement.
  4. Sur la page Enregistrer une application, entrez un nom pour l'application.
  5. Dans URI de redirection, sélectionnez Web, puis copiez et collez la valeur URI de redirection copiée depuis la section Configurer OpenID Connect de l'assistant de VMware Identity Services.

    Par exemple :


    ""
  6. Cliquez sur Enregistrer.

    Un message L'application name a été créée s'affiche.

  7. Créez une clé secrète du client pour l'application.
    1. Cliquez sur le lien Informations d'identification du client : Ajouter un certificat ou une clé secrète.
    2. Cliquez sur + Nouvelle clé secrète du client.
    3. Dans le volet Ajouter une clé secrète du client, entrez une description et la période d'expiration de la clé secrète.
    4. Cliquez sur Ajouter.

      Celle-ci est générée et s'affiche dans l'onglet Clés secrètes des clients.

    5. Pour copier la valeur de la clé secrète, cliquez sur l'icône de copie en regard de celle-ci.

      Vous devrez générer une autre clé secrète si vous quittez la page sans en copier une.

      Vous entrerez la clé secrète dans l'assistant de VMware Identity Services à une étape ultérieure.


      La page Certificats et clés secrètes affiche la clé secrète dans l'onglet Clés secrètes des clients.
  8. Accordez des autorisations à l'application pour qu'elle appelle les API de VMware Identity Services.
    1. Sous Gérer, sélectionnez Autorisations API.
    2. Cliquez sur Accorder le consentement de l'administrateur pour organization, puis cliquez sur Oui dans la zone de confirmation.
  9. Copiez l'ID client.
    1. Dans le volet de gauche de la page de l'application, sélectionnez Présentation.
    2. Copiez la valeur ID de l'application (client).

      Entrez l'ID client dans l'assistant de VMware Identity Services à une étape ultérieure.


      La valeur ID de l'application (client) se trouve dans la section Principes fondamentaux et une icône de copie se situe en regard de celle-ci.
  10. Copiez la valeur Document de métadonnées OpenID Connect.
    1. Sur la page Présentation de l'application, cliquez sur Points de terminaison.
    2. Dans le volet Points de terminaison, copiez la valeur Document de métadonnées OpenID Connect.
      ""

    Entrez l'ID client dans l'assistant de VMware Identity Services à l'étape suivante.

  11. Revenez à l'assistant de VMware Identity Services dans la console Workspace ONE Cloud, puis terminez la configuration dans la section Configurer OpenID Connect.
    ID de l'application (client) Collez la valeur d'ID de l'application (client) copiée à partir de l'application OpenID Connect Microsoft Entra ID.
    Clé secrète du client Collez la clé secrète du client copiée à partir de l'application OpenID Connect Microsoft Entra ID.
    URL de configuration Collez la valeur du document de métadonnées OpenID Connect copiée à partir de l'application OpenID Connect Microsoft Entra ID.
    Attribut d'identifiant d'utilisateur OIDC L'attribut e-mail est mappé à l'attribut Workspace ONE pour les recherches utilisateurs.
    Attribut d'identifiant d'utilisateur Workspace ONE Spécifiez l'attribut Workspace ONE à mapper à l'attribut OpenID Connect pour les recherches utilisateurs.
  12. Cliquez sur Terminer pour terminer la configuration de l'intégration entre VMware Identity Services et Microsoft Entra ID.

SAML

Si vous avez sélectionné SAML comme protocole d'authentification, procédez comme suit.

  1. Obtenez les métadonnées du fournisseur de services à partir de la console Workspace ONE Cloud.

    À l'étape 5, Configurer Single Sign-On SAML de l'assistant VMware Identity Services, copiez ou téléchargez les métadonnées du fournisseur de services SAML.


    ""
    Note : Lorsque vous utilisez le fichier de métadonnées, vous n'avez pas besoin de copier et de coller les valeurs ID d'entité, URL Single Sign-On et Certificat de signature individuellement.
  2. Configurez l'application dans Microsoft Entra ID.
    1. Dans le centre d'administration Microsoft Entra, sélectionnez Applications d'entreprise dans le volet de gauche.
    2. Recherchez et sélectionnez l'application de provisionnement créée dans Étape 2 : Configurer le provisionnement des utilisateurs et des groupes.
    3. Dans le menu Gérer, sélectionnez Single Sign-On.
    4. Sélectionnez SAML comme méthode de Single Sign-On.
      ""
    5. Cliquez sur Charger le fichier de métadonnées, sélectionnez le fichier de métadonnées copié à partir de la console Workspace ONE Cloud, puis cliquez sur Ajouter.
      L'option Charger le fichier de métadonnées se trouve en haut de la page Configurer Single Sign-On avec SAML.
    6. Dans le volet Configuration SAML de base, vérifiez les valeurs suivantes :
      • La valeur Identifiant (ID d'entité) doit correspondre à la valeur ID d'entité affichée à l'étape 5 de l'assistant VMware Identity Services.

        Par exemple : https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • La valeur URL de réponse (URL du service clients d'assertion) doit correspondre à la valeur URL Single Sign-On affichée à l'étape 5 de l'assistant VMware Identity Services.

        Par exemple : https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Obtenez les métadonnées de fédération dans Microsoft Entra ID.
    1. Dans l'application SAML dans Microsoft Entra ID, faites défiler l'écran jusqu'à la section Certificats SAML.
    2. Cliquez sur le lien XML de métadonnées de fédération Télécharger pour télécharger les métadonnées.
      ""
  4. Dans la console Workspace ONE Cloud, copiez et collez les métadonnées de fédération à partir du fichier téléchargé à partir de Microsoft Entra ID dans la zone de texte Métadonnées du fournisseur d'identité à l'étape 5 de l'assistant VMware Identity Services.
    À l'étape 5 de l'assistant, la zone de texte Métadonnées du fournisseur d'identité affiche le fichier XML de métadonnées de fédération.
  5. Configurez les autres options de la section Configurer Single Sign-On SAML .
    • Protocole de liaison : sélectionnez le protocole de liaison SAML, HTTP POST ou Redirection HTTP.
    • Format de l'ID du nom : utilisez les paramètres Format de l'ID du nom et Valeur de l'ID du nom pour mapper les utilisateurs entre Microsoft Entra ID et VMware Identity Services. Pour Format de l'ID du nom, spécifiez le format de l'ID du nom utilisé dans la réponse SAML.
    • Valeur de l'ID du nom : sélectionnez l'attribut utilisateur VMware Identity Services auquel mapper la valeur de l'ID du nom reçue dans la réponse SAML.
    • Options avancées > Utiliser la déconnexion unique SAML : sélectionnez cette option si vous souhaitez déconnecter les utilisateurs de leur session auprès du fournisseur d'identité à la suite de leur déconnexion des services Workspace ONE.
  6. Cliquez sur Terminer pour terminer la configuration de l'intégration entre VMware Identity Services et Microsoft Entra ID.

Résultats

L'intégration entre VMware Identity Services et Microsoft Entra ID est terminée.

L'annuaire est créé dans VMware Identity Services et est renseigné lorsque vous transférez des utilisateurs et des groupes à partir de l'application de provisionnement dans Microsoft Entra ID. Les utilisateurs et les groupes provisionnés s'afficheront automatiquement dans les services Workspace ONE que vous choisissez d'intégrer à Microsoft Entra ID, tels que Workspace ONE Access et Workspace ONE UEM.

Vous ne pouvez pas modifier l'annuaire dans les consoles Workspace ONE Access et Workspace ONE UEM. Les pages Annuaire, Utilisateurs, Groupes d'utilisateurs, Attributs utilisateur et Fournisseur d'identité sont en lecture seule.

Étape suivante

Ensuite, sélectionnez les services Workspace ONE dans lesquels vous souhaitez provisionner des utilisateurs et des groupes.

Si Workspace ONE UEM est l'un des services que vous sélectionnez, configurez des paramètres supplémentaires dans Workspace ONE UEM Console.

Ensuite, transférez les utilisateurs et les groupes à partir de l'application de provisionnement Microsoft Entra ID. Reportez-vous à la section Provisionnement d'utilisateurs dans Workspace ONE.