Quando si aggiungono e si configurano nuove istanze del provider di identità SAML per la distribuzione di Workspace ONE Access, è possibile fornire disponibilità elevata, supportare altri metodi di autenticazione utente e aggiungere flessibilità alla modalità di gestione del processo di autenticazione utente in base agli intervalli di indirizzi IP degli utenti.

Prerequisiti

Prima di aggiungere l'istanza del provider di identità di terze parti, eseguire le attività seguenti.

  • Verificare che le istanze di terze parti siano conformi con SAML 2.0 e che il servizio Workspace ONE Access possa raggiungere l'istanza di terze parti.
  • Coordinare l'integrazione con il provider di identità di terze parti. In base al provider di identità, potrebbe essere necessario configurare entrambe le impostazioni insieme.
  • Ottenere le informazioni sui metadati di terze parti appropriate da aggiungere durante la configurazione del fornitore di identità nella console di Workspace ONE Access. Le informazioni sui metadati ottenute dall'istanza di terze parti corrispondono all'URL dei metadati o ai metadati effettivi.

Procedura

  1. Nella scheda Gestione identità e accessi della console di Workspace ONE Access selezionare Provider di identità.
  2. Fare clic su Aggiungi provider di identità e selezionare Crea IDP SAML.
  3. Configurare le impostazioni del provider di identità SAML.
    Elemento del modulo Descrizione
    Nome del provider di identità Immettere un nome per l'istanza del provider di identità.
    Metadati SAML

    Aggiungere il documento di metadati basato su XML del provider di identità di terze parti per stabilire una relazione di attendibilità con il provider di identità.

    1. Immettere l'URL dei metadati SAML o il contenuto XML nella casella di testo. Fare clic su Elabora metadati IdP.
    2. Selezionare la modalità di identificazione dell'utente. L'identificatore inviato in un'asserzione SAML in entrata può essere inviato nell'elemento Oggetto o Attributo.
      • Elemento NameID. L'identificatore dell'utente viene recuperato dall'elemento NameID dell'elemento Oggetto.
      • Attributo SAML. L'identificatore dell'utente viene recuperato da un elemento Attribute o AttributeStatement specifico.
    3. Se si seleziona Elemento NameID, i formati di NameID supportati dal provider di identità vengono estratti dai metadati e aggiunti alla tabella Formato ID nome visualizzata.
      • Nella colonna Valore ID nome, selezionare gli attributi utente configurati nel servizio Workspace ONE Access per eseguire la mappatura ai formati di NameID visualizzati. È possibile aggiungere formati di ID nome di terze parti personalizzati e mapparli ai valori degli attributi utente nel servizio Workspace ONE Access.
      • Selezionare il formato della stringa dell'identificatore di risposta Criterio ID nome nella richiesta SAML da utilizzare. Questo formato deve corrispondere alla configurazione del formato del criterio ID nome specifico del provider di identità di terze parti utilizzato per stabilire la relazione di attendibilità con il servizio Workspace ONE Access.
      • Selezionare l'opzione per inviare le informazioni sull'oggetto nella richiesta SAML quando le informazioni sono disponibili.
    4. Se si seleziona Attributo SAML, includere il formato dell'attributo e il nome dell'attributo. Selezionare l'attributo utente nel servizio Workspace ONE Access per eseguire la mappatura all'attributo SAML.
    Provisioning Just-in-Time Gli utenti del provisioning Just-in-Time vengono creati e aggiornati in modo dinamico quando eseguono l'accesso, in base alle dichiarazioni SAML inviate dal provider di identità. Vedere come funziona il provisioning Just-in-Time degli utenti in Workspace Access. Se si attiva JIT, immettere la directory e il nome di dominio per la directory JIT.
    Utenti Selezionare le directory che includono gli utenti che possono eseguire l'autenticazione tramite questo provider di identità.
    Rete Sono elencati gli intervalli di rete esistenti configurati nel servizio.

    Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione.

    Metodi di autenticazione Aggiungere i metodi di autenticazione supportati dal provider di identità di terze parti. Selezionare la classe del contesto di autenticazione SAML che supporta il metodo di autenticazione.
    Configurazione di Single Sign-Out

    Quando gli utenti accedono a Workspace ONE da un provider di identità di terze parti, vengono aperte due sessioni, una nel fornitore di identità di terze parti e l'altra nel provider del servizio Identity Manager per Workspace ONE. La durata di tali sessioni viene gestita in modo indipendente. Quando gli utenti si disconnettono da Workspace ONE, la sessione di Workspace ONE viene chiusa, ma la sessione del fornitore di identità di terze parti potrebbe rimanere aperta. In base ai requisiti di sicurezza, è possibile abilitare il Single Sign-Out e configurarlo per la disconnessione di entrambe le sessioni oppure mantenere inalterata la sessione del fornitore di identità di terze parti.

    Opzione di configurazione 1

    • Quando si configura il fornitore di identità di terze parti, è possibile abilitare il Single Sign-Out. Se il fornitore di identità di terze parti supporta il protocollo SLO (Single Log Out) basato su SAML, gli utenti che escono dal portale di Workspace ONE vengono disconnessi da entrambe le sessioni. La casella di testo Reindirizza URL non è configurata.
    • Se il provider di identità di terze parti non supporta la disconnessione singola basata su SAML, è possibile abilitare Single Sign-Out e designare l'URL di un endpoint di disconnessione singola del provider di identità nella casella di testo URL di reindirizzamento. Nell'URL è inoltre possibile aggiungere un parametro di reindirizzamento che invii gli utenti a un endpoint specifico. Gli utenti vengono reindirizzati a questo URL quando si disconnettono dal portale di Workspace ONE e vengono disconnessi anche dal fornitore di identità.

    Opzione di configurazione 2

    • Un'altra opzione di Single Sign-Out consiste nel disconnettere gli utenti dal portale di Workspace ONE e reindirizzarli a un URL dell'endpoint personalizzato. A tale scopo, abilitare il Single Sign-Out e specificare l'URL nella casella di testo Reindirizza URL, nonché il parametro di reindirizzamento dell'endpoint personalizzato. Quando gli utenti si disconnettono dal portale di Workspace ONE, vengono reindirizzati a questa pagina in cui è possibile visualizzare un messaggio personalizzato. La sessione del fornitore di identità di terze parti potrebbe essere ancora aperta. L'URL va immesso nel formato https://<vidm-access-url>/SAAS/auth/federation/slo.

    Se l'opzione per l'abilitazione di Single Sign-Out non è selezionata, la configurazione predefinita del servizio Workspace ONE Access prevede il reindirizzamento degli utenti che si disconnettono alla pagina di accesso al portale di Workspace ONE. La sessione del fornitore di identità di terze parti potrebbe essere ancora aperta.

    Certificato della firma SAML Fare clic su Metadati del provider di servizi (SP) per visualizzare l'URL dei metadati del provider di servizi SAML Workspace ONE Access. Copiare e salvare l'URL. Questo URL viene configurato quando si modifica l'asserzione SAML nel provider di identità di terze parti per mappare gli utenti di Workspace ONE Access.
    Nome host provider di identità Se viene visualizzata la casella di testo Nome host, immettere il nome host al quale il provider di identità viene reindirizzato per l'autenticazione. Se si utilizza una porta non standard diversa dalla porta 443, è possibile impostare il nome host nel formato Nome host:Porta. Ad esempio, myco.example.com:8443.
  4. Fare clic su Aggiungi.

Operazioni successive

  • Aggiungere il metodo di autenticazione del provider di identità di terze parti al criterio di accesso predefinito di Workspace ONE. Vedere Gestione dei criteri di accesso.
  • Modificare la configurazione del provider di identità di terze parti per aggiungere l'URL del certificato di firma SAML salvato.