Un Amministratore aziendale può accedere al workflow di federazione self-service dall'organizzazione di federazione creata per l'azienda durante l'avvio. Il collegamento di accesso all'organizzazione di federazione viene ricevuto nell'e-mail di invito inviata dal Proprietario dell'organizzazione che ha avviato la federazione o da un altro Amministratore aziendale.

Prerequisiti

Il workflow di configurazione della federazione self-service prevede più passaggi e su di essi possono lavorare Amministratori aziendali diversi nell'arco di un periodo di tempo. Prima di iniziare, assicurarsi di aver letto e compreso i prerequisiti e i requisiti per la configurazione della federazione aziendale.
Avvertimento: L'azienda deve essere proprietaria dei domini che si desidera includere nella federazione per l'accesso con VMware Cloud services ed è necessario verificare la proprietà durante il primo passaggio del workflow self-service. Non è possibile eseguire la federazione dei domini che appartengono a un provider di servizi.
  • La configurazione della federazione tramite il workflow self-service richiede l'accesso dell'Amministratore aziendale.
  • Per visualizzare correttamente nel browser tutti i passaggi del workflow, è necessario abilitare i cookie di terze parti.
    Nota: Quando si lavora con il workflow di configurazione della federazione, assicurarsi di non utilizzare la modalità in incognito del browser.
  • Verificare che sia possibile accedere e modificare i record DNS dei domini federati per la verifica del dominio.
    Avvertimento: L'azienda deve essere proprietaria dei domini che si desidera includere nella federazione per l'accesso con VMware Cloud services ed è necessario verificare la proprietà durante il primo passaggio del workflow self-service. Non è possibile eseguire la federazione dei domini che appartengono a un provider di servizi.
  • I prerequisiti basati sulla configurazione della federazione self-service selezionata sono i seguenti:
    Per la configurazione dell'autenticazione dinamica (senza connettore), è necessario
    • Verificare di poter accedere alla console del provider di identità.
    • Per la configurazione della federazione basata su SAML, verificare di avere accesso all'URL dei metadati del provider di identità.
    Per la configurazione dell'autenticazione basata sul connettore, è necessario
    • Verificare che sia possibile accedere e modificare i record DNS dei domini federati per la verifica del dominio.
    • Verificare che nella macchina host sia installato MS Windows Server 2012 R2 o versione successiva e che sia possibile accedere alla directory aziendale.
    • Il computer Windows host deve avere un indirizzo IP statico e un nome di dominio completo (FQDN) risolvibile dal DNS.
    • Il connettore deve disporre dell'accesso di rete ad Active Directory sulle porte 389/636.
    • Verificare che il firewall aziendale sia configurato per stabilire una connessione in uscita da Workspace ONE Access Connector alla porta 443 per l'interazione con il servizio tenant ospitato.
    • Se si desidera aggiungere domini all'elenco di domini consentiti, è necessario aggiungere i domini *.workspaceoneaccess.com (URL del tenant di produzione di Workspace ONE Access) all'elenco di domini consentiti.

      La macchina virtuale o la macchina server Windows host possono essere distribuite in locale, in un VMware Cloud on AWS oppure essere un'istanza di Elastic Compute Cloud. L'host su cui è installato Workspace ONE Access Connector deve poter accedere alla directory aziendale tramite LDAP/LDAPS.

      Per ulteriori informazioni sull'installazione di Workspace ONE Access Connector, esaminare i requisiti di sistema di Workspace ONE Access Connector versione 20.01

    • Verificare di disporre di un account utente o di servizio con autorizzazioni in lettura su Active Directory e una password senza scadenza per il DN/nome dell'utente di binding di AD per sincronizzare gruppi e utenti. L'account del servizio deve avere i seguenti attributi: nome, cognome, nome visualizzato e indirizzo e-mail. L'indirizzo e-mail dell'account del servizio può essere un valore fittizio.
      Nota: Se si utilizza un account di servizio con un criterio password con scadenza e una password scade prima del rinnovo, i gruppi e gli utenti non potranno essere sincronizzati a meno che non si ristabilisca la connessione tra Active Directory e Workspace ONE Access Connector.
    • Gli attributi obbligatori per sincronizzare gli utenti per l'accesso a VMware Cloud services sono nome, cognome, indirizzo e-mail, nome utente e dominio. Se l'azienda utilizza il nome dell'entità utente (UPN) per l'autenticazione, questo deve essere disponibile come attributo del profilo utente.
      Importante: Le password degli utenti non vengono mai sincronizzate.