Aggiungendo e configurando le istanze del provider di identità per la propria distribuzione di VMware Identity Manager, è possibile fornire alta disponibilità, supportare altri metodi di autenticazione utente e aggiungere flessibilità nel modo in cui viene gestito il processo di autenticazione utente basato sugli intervalli di indirizzi IP.
Prerequisiti
- Accedere al documento dei metadati di terze parti. L'accesso può corrispondere all'URL dei metadati o ai metadati effettivi.
Procedura
- Nella scheda Gestione identità e accessi della console di VMware Identity Manager, selezionare Fornitore di identità.
- Fare clic su Aggiungi provider di identità.
- Modificare le impostazioni dell'istanza del provider di identità.
Elemento del modulo Descrizione Nome del provider di identità Immettere un nome per l'istanza del provider di identità. Binding SAML Selezionare la modalità di invio della richiesta di autenticazione, ovvero HTTP POST o Reindirizzamento HTTP. Reindirizzamento HTTP è il valore predefinito.
Metadati SAML Aggiungere il documento di metadati basato su XML del provider di identità di terze parti per stabilire una relazione di attendibilità con il provider di identità.
- Immettere l'URL dei metadati SAML o il contenuto XML nella casella di testo.
- Fare clic su Elabora metadati IdP. I formati NameID supportati da IdP vengono estratti dai metadati e aggiunti alla tabella Formato ID nome.
- Nella colonna del valore ID del nome selezionare l'attributo utente del servizio da mappare ai formati degli ID visualizzati. È possibile aggiungere formati di ID di nome di terze parti personalizzati e mapparli ai valori degli attributi utente nel servizio.
- (Facoltativo) Selezionare il formato della stringa dell'identificatore di risposta NameIDPolicy.
Provisioning Just-in-Time N/D Utenti Selezionare Altra directory che include gli utenti che possono eseguire l'autenticazione mediante questo provider di identità. Rete Sono elencati gli intervalli di rete esistenti configurati nel servizio. Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione.
Metodi di autenticazione Aggiungere i metodi di autenticazione supportati dal provider di identità di terze parti. Selezionare la classe del contesto di autenticazione SAML che supporta il metodo di autenticazione. Configurazione di Single Sign-Out Quando gli utenti accedono a Workspace ONE da un provider di identità di terze parti, vengono aperte due sessioni, una nel fornitore di identità di terze parti e l'altra nel provider del servizio Identity Manager per Workspace ONE. La durata di tali sessioni viene gestita in modo indipendente. Quando gli utenti si disconnettono da Workspace ONE, la sessione di Workspace ONE viene chiusa, ma la sessione del fornitore di identità di terze parti potrebbe rimanere aperta. In base ai requisiti di sicurezza, è possibile abilitare il Single Sign-Out e configurarlo per la disconnessione di entrambe le sessioni oppure mantenere inalterata la sessione del fornitore di identità di terze parti.
Opzione di configurazione 1
- Quando si configura il fornitore di identità di terze parti, è possibile abilitare il Single Sign-Out. Se il fornitore di identità di terze parti supporta il protocollo SLO (Single Log Out) basato su SAML, gli utenti che escono dal portale di Workspace ONE vengono disconnessi da entrambe le sessioni. La casella di testo Reindirizza URL non è configurata.
- Se il fornitore di identità di terze parti non supporta il protocollo SLO (Single Log Out) basato su SAML, è possibile abilitare il Single Sign-Out e designare un URL dell'endpoint di logout singolo del fornitore di identità nella casella di testo Reindirizza URL. Nell'URL è inoltre possibile aggiungere un parametro di reindirizzamento che invii gli utenti a un endpoint specifico. Gli utenti vengono reindirizzati a questo URL quando si disconnettono dal portale di Workspace ONE e vengono disconnessi anche dal fornitore di identità.
Opzione di configurazione 2
- Un'altra opzione di Single Sign-Out consiste nel disconnettere gli utenti dal portale di Workspace ONE e reindirizzarli a un URL dell'endpoint personalizzato. A tale scopo, abilitare il Single Sign-Out e specificare l'URL nella casella di testo Reindirizza URL, nonché il parametro di reindirizzamento dell'endpoint personalizzato. Quando gli utenti si disconnettono dal portale di Workspace ONE, vengono reindirizzati a questa pagina in cui è possibile visualizzare un messaggio personalizzato. La sessione del fornitore di identità di terze parti potrebbe essere ancora aperta. L'URL va immesso nel formato https://<vidm-access-url>/SAAS/auth/federation/slo.
Se l'opzione per l'abilitazione del Single Sign-Out non è selezionata, la configurazione predefinita del servizio VMware Identity Manager consiste nel reindirizzare gli utenti che si disconnettono alla pagina di accesso al portale di Workspace ONE. La sessione del fornitore di identità di terze parti potrebbe essere ancora aperta.
Certificato della firma SAML Fare clic su Metadati del provider di servizi (SP) per visualizzare l'URL dei metadati del provider di servizi SAML VMware Identity Manager. Copiare e salvare l'URL. Questo URL viene configurato quando si modifica l'asserzione SAML nel provider di identità di terze parti per mappare gli utenti di VMware Identity Manager. Nome host provider di identità Se viene visualizzata la casella di testo Nome host, immettere il nome host al quale il provider di identità viene reindirizzato per l'autenticazione. Se si utilizza una porta non standard diversa dalla porta 443, è possibile impostare il nome host nel formato Nome host:Porta. Ad esempio, myco.example.com:8443. - Fare clic su Aggiungi.
Operazioni successive
- Modificare la configurazione del provider di identità di terze parti per aggiungere l'URL del certificato di firma SAML salvato.