Dopo aver abilitato VMware Identity Services per il tenant di Workspace ONE, configurare l'integrazione con il provider di identità basato su SCIM 2.0.

  1. Nella procedura guidata iniziale di VMware Identity Services fare clic su Inizio nel passaggio 2, Integra provider di identità basato su SCIM 2.0.""
  2. Fare clic su Configura nella scheda Provider di identità SCIM 2.0.
    ""
  3. Eseguire la procedura guidata per configurare l'integrazione con il provider di identità.

Passaggio 1: Crea una directory

Come primo passaggio della configurazione del provisioning degli utenti e della federazione delle identità con VMware Identity Services creare una directory nella console di Workspace ONE per gli utenti e i gruppi di cui il provider di identità esegue il provisioning.

Attenzione: Dopo aver creato una directory, non è possibile modificare la selezione del provider di identità. Assicurarsi di selezionare il provider di identità appropriato prima di procedere.

Procedura

  1. Nel passaggio 1, Informazioni generali, della procedura guidata, immettere il nome che si desidera utilizzare per la directory con provisioning in Workspace ONE.
    Il nome può contenere al massimo 128 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-) e caratteri di sottolineatura (_).
    Importante: Non è possibile modificare il nome della directory dopo che è stata creata.
  2. In Nome dominio immettere il nome del dominio primario della directory di origine, inclusa l'estensione, ad esempio .com o .net.
    VMware Identity Services supporta al momento un solo dominio. Gli utenti e i gruppi di cui è stato eseguito il provisioning sono associati a questo dominio nei servizi di Workspace ONE.

    Il nome di dominio può contenere al massimo 100 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-), caratteri di sottolineatura (_) e punti (.).

    Ad esempio:

    In questo esempio il nome della directory è Demo e il nome del dominio è example.com.
  3. Fare clic su Salva e confermare la selezione.

Operazioni successive

Configurare il provisioning di utenti e gruppi.

Passaggio 2: Configura provisioning di utenti e gruppi

Dopo aver creato una directory in VMware Identity Services, configurare il provisioning di utenti e gruppi. Iniziare il processo in VMware Identity Services generando le credenziali di amministratore necessarie per il provisioning, quindi configurare il provisioning nel provider di identità utilizzando tali credenziali.

Nota: Questo argomento si applica all'integrazione con un provider di identità SCIM 2.0 diverso da Azure AD. Per l'integrazione con Azure AD, vedere Passaggio 2: Configura provisioning di utenti e gruppi.
Nota: Questo argomento include informazioni generali sulla configurazione di un provider di identità di terze parti . Le posizioni e i passaggi esatti per le attività variano in base al provider di identità. Per informazioni specifiche, fare riferimento alla documentazione del provider di identità.

Prerequisiti

Si dispone di un account amministratore nel provider di identità con i privilegi necessari per configurare il provisioning degli utenti.

Procedura

  1. Nella console di Workspace ONE nel passaggio 2, Configura provider di identità, della procedura guidata di VMware Identity Services selezionare il tipo di credenziali necessarie per configurare il provisioning degli utenti nel provider di identità.
    Scegliere tra:
    • ID e segreto client
    • URL e token del tenant

    Poiché i token scadono e devono essere aggiornati manualmente, è preferibile scegliere ID e segreto client. Per la sicurezza, è consigliabile ruotare l'ID client e il segreto client ogni sei mesi.

    Quando si fa clic su Avanti, VMware Identity Services genera le credenziali.
  2. Se si seleziona ID e segreto client, copiare i valori di ID client e Segreto client.
    Importante: Assicurarsi di copiare il segreto prima di fare clic su Avanti. Dopo aver fatto clic su Avanti, il segreto non sarà più visibile e sarà necessario generarne uno nuovo. Si tenga presente che ogni volta che si rigenera il segreto, il segreto precedente non è più valido e il provisioning non riesce. Assicurarsi di copiare e incollare il nuovo segreto nell'app del provider di identità.

    Ad esempio:

    I valori di ID client e Segreto client vengono visualizzati con un'icona per la copia accanto.
  3. Se si seleziona URL e token del tenant, rivedere e copiare i valori generati.
    • URL tenant: endpoint SCIM 2.0 del tenant di VMware Identity Services. Copiare il valore.
    • Durata token: periodo di validità del token segreto.

      Per impostazione predefinita, VMware Identity Services genera il token con una durata predefinita di 6 mesi. Per modificare la durata del token, fare clic sulla freccia in giù, selezionare un'altra opzione e fare clic su Rigenera per rigenerare il token con il nuovo valore.

      Importante: Ogni volta che si aggiorna la durata del token, il token precedente non è più valido e il provisioning di utenti e gruppi dal provider di identità non riesce. È necessario rigenerare un nuovo token, nonché copiare e incollare il nuovo token nel provider di identità.
    • Token segreto: token richiesto dal provider di identità per eseguire il provisioning degli utenti in Workspace ONE. Copiare il valore.
      Importante: Assicurarsi di copiare il token prima di fare clic su Avanti. Dopo aver fatto clic su Avanti, il token non sarà più visibile e sarà necessario generare un nuovo token. Si tenga presente che ogni volta che si rigenera il token, il token precedente non è più valido e il provisioning non riesce. Assicurarsi di copiare e incollare il nuovo token nel provider di identità.

    Ad esempio:

    Vengono visualizzati i valori di URL tenant e Token segreto. La durata del token è 6 mesi.
  4. Nel provider di identità configurare il provisioning di utenti e gruppi in Workspace ONE.
    1. Accedere alla console del provider di identità come amministratore.
    2. Configurare il provisioning di SCIM 2.0.
      Quando vengono richieste, immettere le credenziali generate nella console di Workspace ONE.
    3. Attivare il provisioning.

Operazioni successive

Tornare alla console di Workspace ONE per continuare la procedura guidata di VMware Identity Services.

Passaggio 3: Mappa attributi utente SCIM

Mappare gli attributi utente da sincronizzare dal provider di identità ai servizi di Workspace ONE. Nella console del provider di identità, aggiungere gli attributi utente SCIM richiesti e mapparli agli attributi del provider di identità. Sincronizzare almeno gli attributi richiesti da VMware Identity Services e dai servizi di Workspace ONE.

VMware Identity Services e i servizi di Workspace ONE richiedono gli attributi utente SCIM seguenti:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Per ulteriori informazioni su questi attributi e sulla loro mappatura agli attributi di Workspace ONE, vedere Mappatura degli attributi utente per VMware Identity Services.

Oltre agli attributi obbligatori, è possibile sincronizzare attributi facoltativi e personalizzati. Per l'elenco degli attributi facoltativi e personalizzati supportati, vedere Mappatura degli attributi utente per VMware Identity Services.

Nota: In Okta non è possibile specificare mappature degli attributi di gruppo da sincronizzare con VMware Identity Services. È possibile mappare solo attributi utente.

Procedura

  1. Nella console di Workspace ONE nel passaggio 3, Mappa attributi utente SCIM, della procedura guidata di VMware Identity Services esaminare l'elenco degli attributi supportati da VMware Identity Services.
  2. Nella console di amministrazione del provider di identità passare alla configurazione del provisioning per Workspace ONE.
  3. Passare alla pagina della mappatura degli attributi.
  4. Mappare gli attributi utente SCIM obbligatori agli attributi del provider di identità.
  5. Aggiungere e mappare attributi utente SCIM facoltativi e personalizzati, in base alle esigenze.

Operazioni successive

Tornare alla console di Workspace ONE per continuare la procedura guidata di VMware Identity Services.

Passaggio 4: Seleziona protocollo di autenticazione

Selezionare il protocollo da utilizzare per l'autenticazione federata. VMware Identity Services supporta i protocolli OpenID Connect e SAML.

Procedura

  1. Nel passaggio 4, Seleziona protocollo di autenticazione, della procedura guidata selezionare OpenID Connect o SAML.
  2. Fare clic su Avanti.
    Viene visualizzato il passaggio successivo della procedura guidata con i valori necessari per configurare il protocollo selezionato.

Operazioni successive

Configurare VMware Identity Services e il provider di identità per l'autenticazione federata.

Passaggio 5: Configura autenticazione (provider di identità SCIM generico)

Per configurare l'autenticazione federata con il provider di identità, configurare un'app OpenID Connect o SAML nel provider di identità utilizzando i metadati del provider di servizi da VMware Identity Services e configurare VMware Identity Services con i valori dell'app.

Importante: Se si integra VMware Identity Services con Okta, è necessario creare app separate nella console di amministrazione di Okta per il provisioning degli utenti e la configurazione del provider di identità. Non è possibile utilizzare la stessa app per il provisioning e l'autenticazione.
Nota: Questo argomento include informazioni generali sulla configurazione di un provider di identità di terze parti . I passaggi esatti per le attività variano in base al provider di identità. Per informazioni specifiche, fare riferimento alla documentazione del provider di identità.

OpenID Connect

Se si seleziona OpenID Connect come protocollo di autenticazione, eseguire i passaggi seguenti.

  1. Dal passaggio 5, Configura OpenID Connect della procedura guidata di VMware Identity Services copiare il valore di URI di reindirizzamento.

    Questo valore è necessario per il passaggio successivo, quando si crea un'app OpenID Connect nel provider di identità.

    ""

  2. Nella console di amministrazione del provider di identità creare un'app OpenID Connect.
  3. Individuare la sezione URI di reindirizzamento nell'app, quindi copiare e incollare il valore di URI di reindirizzamento copiato nella procedura guidata di VMware Identity Services.
  4. Creare un segreto client per l'app e copiarlo.

    Il segreto verrà immesso nel passaggio successivo della procedura guidata di VMware Identity Services.

  5. Tornare alla procedura guidata di VMware Identity Services nella console di Workspace ONE e completare la configurazione nella sezione Configura OpenID Connect.
    ID client Copiare e incollare il valore dell'ID client dall'app del provider di identità.
    Segreto client Copiare e incollare il segreto client dall'app del provider di identità.
    URL configurazione Copiare e incollare l'URL di configurazione noto di OpenID Connect dell'app del provider di identità. Ad esempio: https://example.com/.well-known/openid-configuration
    Attributo identificatore utente OIDC Specificare l'attributo di OpenID Connect da mappare all'attributo di Workspace ONE per le ricerche degli utenti.
    Attributo identificatore utente Workspace ONE Specificare l'attributo di Workspace ONE da mappare all'attributo di OpenID Connect per le ricerche degli utenti.
  6. Nella procedura guidata di VMware Identity Services fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e il provider di identità.

SAML

Se si seleziona SAML come protocollo di autenticazione, eseguire i passaggi seguenti.

  1. Recuperare i metadati del provider di servizi dalla console di Workspace ONE.

    Nel passaggio 5, Configura Single Sign-On SAML, della procedura guidata di VMware Identity Services copiare o visualizzare e scaricare i Metadati provider di servizi SAML.


    ""
  2. Nella console di amministrazione del provider di identità, passare alla pagina di configurazione di Single Sign-On.
    Importante: Se si integra VMware Identity Services con Okta, è necessario creare un'app SAML separata in Okta per l'autenticazione. Non è possibile utilizzare la stessa app per il provisioning e l'autenticazione.
  3. Configurare Single Sign-On utilizzando i valori della procedura guidata di VMware Identity Services.

    I passaggi di configurazione che vengono in genere eseguiti includono una delle operazioni seguenti, in base alle funzionalità supportate dal provider di identità:

    • Individuare l'opzione relativa ai metadati del provider di servizi e caricare o copiare e incollare i metadati del provider di servizi SAML dalla procedura guidata di VMware Identity Services.
    • Se il provider di identità non dispone di un'opzione per il caricamento dei metadati, copiare i valori seguenti dai metadati del provider di servizi SAML di VMware Identity Services e incollarli nei campi corrispondenti della console del provider di identità:

      Valore di entityID: ad esempio, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Valore di AssertionConsumerService HTTP-POST Location: ad esempio, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

  4. Individuare e copiare i metadati SAML del provider di identità dalla console del provider di identità.
  5. Nella console di Workspace ONE nel passaggio 5, Configura Single Sign-On SAML, della procedura guidata di VMware Identity Services incollare i metadati del provider di identità nella casella di testo Metadati provider di identità.
    ""
  6. Configurare le altre opzioni nella sezione Configura Single Sign-On SAML.
    • Single Sign-Out: selezionare questa opzione se si desidera disconnettere gli utenti dalla sessione del provider di identità quando si disconnettono da Workspace ONE Intelligent Hub.
    • Protocollo di binding: selezionare il protocollo di binding SAML, HTTP POST o Reindirizzamento HTTP.
    • Formato ID nome: specificare il formato dell'ID nome da utilizzare per mappare gli utenti tra il provider di identità e i servizi di Workspace ONE.
    • Valore ID nome: selezionare l'attributo utente per gli utenti in Workspace ONE.
    • Invia oggetto nella richiesta SAML (se disponibile): selezionare questa opzione se si desidera che il provider di identità invii l'oggetto a VMware Identity Services come suggerimento di accesso, se disponibile. Se si seleziona questa opzione, è possibile selezionare anche Usa mappatura del formato ID nome per l'oggetto.
    • Usa mappatura del formato ID nome per l'oggetto: selezionare questa opzione per utilizzare il formato dell'ID nome per mappare il suggerimento di accesso fornito dal provider di identità al valore dell'ID nome.
      Attenzione: Se si abilita questa opzione, è possibile che aumenti il rischio che si verifichi la vulnerabilità della sicurezza nota come enumerazione dell'utente.
  7. Fare clic su Fine nella procedura guidata per completare la configurazione dell'integrazione tra VMware Identity Services e il provider di identità.

Risultati

L'integrazione tra VMware Identity Services e il provider di identità è stata completata.

In VMware Identity Services viene creata la directory che verrà compilata quando si esegue il push di utenti e gruppi dall'app di provisioning nel provider di identità. Gli utenti e i gruppi di cui è stato eseguito il provisioning verranno visualizzati automaticamente nei servizi di Workspace ONE scelti per l'integrazione con il provider di identità, ad esempio Workspace ONE Access e Workspace ONE UEM.

Non è possibile modificare la directory nelle console di Workspace ONE Access e Workspace ONE UEM. Le pagine di directory, utenti, gruppi di utenti, attributi utente e provider di identità sono di sola lettura.

Operazioni successive

Selezionare i servizi di Workspace ONE in cui si desidera eseguire il provisioning di utenti e gruppi.

Eseguire quindi il push di utenti e gruppi dal provider di identità. Vedere Provisioning degli utenti in Workspace ONE.