In questo passaggio, è possibile configurare la federazione con il provider di identità aziendale basato su SAML e configurare le impostazioni del provider di identità nel Workspace ONE Access tenant creato per l'azienda.

È possibile utilizzare qualsiasi provider di identità di terze parti compatibile con SAML 2.0 per configurare la federazione aziendale con VMware Cloud services. La configurazione semplificata è disponibile come parte del workflow della federazione self-service per i provider seguenti: Okta, PingIdentity, Microsoft Active Directory Federation Services (ADFS), OneLogin e Azure Active Directory.
Nota: Se si desidera configurare Azure Active Directory per la federazione aziendale con VMware Cloud Services, è necessario aver selezionato sAMAccountName per la richiesta di gruppo aggiuntiva. È necessario recuperare i dettagli del gruppo dopo l'attivazione della configurazione della federazione.

Per configurare un provider di identità di terze parti compatibile con SAML 2.0 diverso non incluso in questo elenco, selezionare Altro.

Per questo esempio, l'azienda ACME utilizza Okta. L' Amministratore aziendale che configura la federazione per ACME può configurare Okta.
Nota: Se il provider di identità supporta l'invio delle informazioni di gruppo nella risposta SAML, è possibile includere gli attributi di gruppo nella configurazione della federazione.

Prerequisiti

In questo passaggio, è necessario impostare la preferenza di identificazione dell'utente, ovvero in che modo gli utenti dell'azienda si identificheranno all'accesso a VMware Cloud Services dalla pagina di individuazione di Cloud Services. Le opzioni disponibili sono E-mail, Nome dell'entità utente (UPN) e Utente@Dominio. Se si considera l'impostazione Utente@Dominio come preferenza di identificazione dell'utente per la propria azienda, è necessario conoscere la seguente limitazione.
Limitazione: Quando il provider di identità è configurato con la preferenza di identificazione Utente@Dominio, non sarà possibile tornare al Passaggio 1: Verifica domini e aggiungere altri domini durante la configurazione. È necessario aggiungere tutti i domini di cui si desidera eseguire la federazione prima di iniziare questo passaggio del workflow di federazione self-service. Se si desidera aggiungere un altro dominio dopo aver completato questo passaggio, è necessario inviare un ticket di supporto.

Procedura

  1. Nella sezione Configura provider di identità della pagina Configura la Federazione aziendale, fare clic su Inizia.
    Viene visualizzata la sezione Seleziona il provider di identità. Per impostazione predefinita, è selezionata l'opzione Provider di identità basato su SAML.
  2. Nell'elenco dei provider di identità SAML di terze parti disponibili, fare clic su Okta.
  3. Fare clic su Avanti.
    Viene espansa la sezione Configura SAML nel provider di identità.
  4. Fare clic sul collegamento Visualizza metadati provider di servizi SAML e scaricare il file di metadati.
    Se il provider di identità supporta un formato di URL, è anche possibile copiare l' URL metadati. Il file di metadati o l'URL sono utilizzati per configurare il provider di identità al fine di stabilire una relazione di attendibilità con il Workspace ONE Access tenant.
  5. Copiare l'URL Single Sign-On e il percorso URI destinatario.
  6. Aprire la console di amministrazione del provider di identità.
    1. Incollare l'URL Single Sign-On e l'URI destinatario copiati nel passaggio precedente.
    2. Caricare il file di metadati scaricato nel passaggio 4 di questa attività.
    3. Copiare l'ID nome configurato nel provider di identità e conservarlo per futuro riferimento.
    4. Scaricare il file di metadata del provider di identità.
  7. Quando si è pronti con la configurazione del provider di identità, tornare al workflow della federazione self-service, espandere la sezione Configura SAML nel provider di identità e fare clic su Avanti.
    La sezione Configura provider di identità del workflow viene espansa.
  8. Per configurare il provider di identità nel Workspace ONE Access tenant, specificare quanto segue:
    1. Nella casella di testo Nome visualizzato provider di identità, immettere un nome descrittivo per il provider di identità.
      Questo nome verrà visualizzato agli utenti di VMware Cloud services in fase di accesso e disconnessione.
    2. Nella casella di testo Metadati, immettere l'URL dei metadati del provider di identità o selezionare XML e incollare il file XML dei metadati del provider di identità.
      La convalida dei metadati viene avviata automaticamente. Al termine della convalida, l'icona di una spunta verde indica che il file è stato letto e analizzato correttamente. Se la convalida restituisce un errore, verificare che l'URL immesso sia corretto. Assicurarsi che nel file XML dei metadati del provider di identità non siano presenti spazi o caratteri aggiuntivi.
    3. Selezionare il Formato ID nome dal menu a discesa.
      Il Formato ID nome è il valore nella risposta SAML per identificare l'utente autenticato.
    4. Selezionare il Formato ID nome e il Valore ID nome dal menu a discesa in base al provider di identità.
      Il Metodo di autenticazione viene compilato automaticamente.
    5. Dal menu a discesa Contesto SAML, selezionare il tipo di autenticazione utente nel provider di identità.
    6. Fare clic su Avanti.
      La sezione Attributi utente viene espansa per visualizzare un elenco degli attributi utente obbligatori e non obbligatori che è possibile cercare nella risposta SAML dal provider di identità.
  9. (Facoltativo) Per aggiungere un attributo utente personalizzato che non è presente nell'elenco, fare clic su Aggiungi attributo utente e immettere un valore che corrisponda esattamente al relativo nome nel provider di identità.
  10. Fare clic su Avanti.
    Se è stata indicata la configurazione con un provider di identità che supporta l'attributo del gruppo nella risposta SAML, viene espansa la sezione Attributi gruppo del workflow, nella quale è possibile aggiungere un attributo del gruppo e i nomi dei gruppi da chiamare nella richiesta SAML.
  11. (Facoltativo) Dal menu a discesa, selezionare un attributo di gruppo e i nomi dei gruppi.
  12. Nella sezione Imposta preferenza di identificazione utente, selezionare in che modo gli utenti dell'azienda si identificheranno all'accesso a VMware Cloud Services dalla pagina di individuazione di Cloud Services.
    L'identificazione dell'utente varia in base al modo in cui l'utente esegue l'autenticazione rispetto al provider di identità aziendale.
    Importante: Se si seleziona Utente@Dominio come opzione di preferenza di identificazione, l'attributo Dominio deve essere presente nella risposta SAML quando l'utente accede a VMware Cloud services.
  13. Fare clic su Configura.

risultati

In questo passaggio, il provider di identità è stato aggiunto alla configurazione del tenant di Workspace ONE Access, è stato configurato il tenant di Workspace ONE Access come provider di servizi nel provider di identità, è stato selezionato il valore da utilizzare per identificare l'utente nella risposta SAML ed è stato specificato il metodo di autenticazione da utilizzare per l'autenticazione dell'utente nel provider di identità.

Operazioni successive

Convalidare l'accesso all'IdP e attivare la federazione.