Quando si aggiungono e si configurano nuove istanze del provider di identità per la distribuzione di VMware Identity Manager, è possibile fornire disponibilità elevata, supportare altri metodi di autenticazione utente e aggiungere flessibilità alla modalità di gestione del processo di autenticazione utente in base agli intervalli di indirizzi IP degli utenti.

Prerequisiti

  • Accedere al documento dei metadati di terze parti. L'accesso può corrispondere all'URL dei metadati o ai metadati effettivi.

Procedura

  1. Nella scheda Gestione identità e accessi della console di VMware Identity Manager selezionare Provider di identità.
  2. Fare clic su Aggiungi provider di identità.
  3. Modificare le impostazioni dell'istanza del provider di identità.

    Elemento del modulo

    Descrizione

    Nome del provider di identità

    Immettere un nome per l'istanza del provider di identità.

    Metadati SAML

    Aggiungere il documento di metadati basato su XML del provider di identità di terze parti per stabilire una relazione di attendibilità con il provider di identità.

    1. Immettere l'URL dei metadati SAML o il contenuto XML nella casella di testo. Fare clic su Elabora metadati IdP.

    2. Selezionare la modalità di identificazione dell'utente. L'identificatore inviato in un'asserzione SAML in entrata può essere inviato nell'istruzione Oggetto o Attributo.

      • Elemento NameID. L'elemento NameID viene recuperato dall'istruzione Attributo SAML.

      • Attributo SAML.

    3. Se si seleziona Attributo SAML, i formati NameID supportati dal provider di identità vengono estratti dai metadati e aggiunti alla tabella Formato ID nome.

      • Nella colonna Valore ID nome selezionare l'attributo utente del servizio da mappare ai formati degli ID visualizzati. È possibile aggiungere formati di ID di nome di terze parti personalizzati e mapparli ai valori degli attributi utente nel servizio.

      • (Facoltativo) Selezionare il formato della stringa dell'identificatore della risposta del criterio dell'ID del nome.

    Provisioning Just-in-Time

    N/D

    Utenti

    Selezionare Altra directory che include gli utenti che possono eseguire l'autenticazione mediante questo provider di identità.

    Rete

    Sono elencati gli intervalli di rete esistenti configurati nel servizio.

    Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione.

    Metodi di autenticazione

    Aggiungere i metodi di autenticazione supportati dal provider di identità di terze parti. Selezionare la classe del contesto di autenticazione SAML che supporta il metodo di autenticazione.

    Configurazione di Single Sign-Out

    Quando gli utenti accedono a Workspace ONE da un provider di identità di terze parti, vengono aperte due sessioni, una nel fornitore di identità di terze parti e l'altra nel provider del servizio Identity Manager per Workspace ONE. La durata di tali sessioni viene gestita in modo indipendente. Quando gli utenti si disconnettono da Workspace ONE, la sessione di Workspace ONE viene chiusa, ma la sessione del fornitore di identità di terze parti potrebbe rimanere aperta. In base ai requisiti di sicurezza, è possibile abilitare il Single Sign-Out e configurarlo per la disconnessione di entrambe le sessioni oppure mantenere inalterata la sessione del fornitore di identità di terze parti.

    Opzione di configurazione 1

    • Quando si configura il fornitore di identità di terze parti, è possibile abilitare il Single Sign-Out. Se il fornitore di identità di terze parti supporta il protocollo SLO (Single Log Out) basato su SAML, gli utenti che escono dal portale di Workspace ONE vengono disconnessi da entrambe le sessioni. La casella di testo Reindirizza URL non è configurata.

    • Se il fornitore di identità di terze parti non supporta il protocollo SLO (Single Log Out) basato su SAML, è possibile abilitare il Single Sign-Out e designare un URL dell'endpoint di logout singolo del fornitore di identità nella casella di testo Reindirizza URL. Nell'URL è inoltre possibile aggiungere un parametro di reindirizzamento che invii gli utenti a un endpoint specifico. Gli utenti vengono reindirizzati a questo URL quando si disconnettono dal portale di Workspace ONE e vengono disconnessi anche dal fornitore di identità.

    Opzione di configurazione 2

    • Un'altra opzione di Single Sign-Out consiste nel disconnettere gli utenti dal portale di Workspace ONE e reindirizzarli a un URL dell'endpoint personalizzato. A tale scopo, abilitare il Single Sign-Out e specificare l'URL nella casella di testo Reindirizza URL, nonché il parametro di reindirizzamento dell'endpoint personalizzato. Quando gli utenti si disconnettono dal portale di Workspace ONE, vengono reindirizzati a questa pagina in cui è possibile visualizzare un messaggio personalizzato. La sessione del fornitore di identità di terze parti potrebbe essere ancora aperta. L'URL va immesso nel formato https://<vidm-access-url>/SAAS/auth/federation/slo.

    Se l'opzione per l'abilitazione del Single Sign-Out non è selezionata, la configurazione predefinita del servizio VMware Identity Manager consiste nel reindirizzare gli utenti che si disconnettono alla pagina di accesso al portale di Workspace ONE. La sessione del fornitore di identità di terze parti potrebbe essere ancora aperta.

    Certificato della firma SAML

    Fare clic su Metadati del provider di servizi (SP) per visualizzare l'URL dei metadati del provider di servizi SAML VMware Identity Manager. Copiare e salvare l'URL. Questo URL viene configurato quando si modifica l'asserzione SAML nel provider di identità di terze parti per mappare gli utenti di VMware Identity Manager.

    Nome host provider di identità

    Se viene visualizzata la casella di testo Nome host, immettere il nome host al quale il provider di identità viene reindirizzato per l'autenticazione. Se si utilizza una porta non standard diversa dalla porta 443, è possibile impostare il nome host nel formato Nome host:Porta. Ad esempio, myco.example.com:8443.

  4. Fare clic su Aggiungi.

Operazioni successive

  • Modificare la configurazione del provider di identità di terze parti per aggiungere l'URL del certificato di firma SAML salvato.