Dopo aver abilitato VMware Identity Services per il tenant di Workspace ONE, configurare l'integrazione con Microsoft Entra ID.

  1. Nella procedura guidata iniziale di VMware Identity Services fare clic su Inizio nel passaggio 2, Integra provider di identità basato su SCIM 2.0.""
  2. Fare clic su Configura nella scheda Microsoft Entra ID.
    ""
  3. Eseguire la procedura guidata per configurare l'integrazione con Microsoft Entra ID.

Passaggio 1: Crea una directory

Come primo passaggio della configurazione del provisioning degli utenti e della federazione delle identità con VMware Identity Services creare una directory nella console di Workspace ONE Cloud per gli utenti e i gruppi di cui il provider di identità esegue il provisioning.

Attenzione: Dopo aver creato una directory, non è possibile modificare la selezione del provider di identità. Assicurarsi di selezionare il provider di identità appropriato prima di procedere.

Procedura

  1. Nel passaggio 1, Informazioni generali, della procedura guidata, immettere il nome che si desidera utilizzare per la directory con provisioning in Workspace ONE.
    Il nome può contenere al massimo 128 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-) e caratteri di sottolineatura (_).
    Importante: Non è possibile modificare il nome della directory dopo che è stata creata.
  2. In Nome dominio immettere il nome del dominio primario della directory di origine, inclusa l'estensione, ad esempio .com o .net.
    VMware Identity Services supporta al momento un solo dominio. Gli utenti e i gruppi di cui è stato eseguito il provisioning sono associati a questo dominio nei servizi di Workspace ONE.

    Il nome di dominio può contenere al massimo 100 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-), caratteri di sottolineatura (_) e punti (.).

    Ad esempio:

    In questo esempio il nome della directory è Demo e il nome del dominio è example.com.
  3. Fare clic su Salva e confermare la selezione.

Operazioni successive

Configurare il provisioning di utenti e gruppi.

Passaggio 2: Configura provisioning di utenti e gruppi

Dopo aver creato una directory in VMware Identity Services, configurare il provisioning di utenti e gruppi. Iniziare il processo in VMware Identity Services generando le credenziali di amministratore necessarie per il provisioning, quindi creare un'app di provisioning in Microsoft Entra ID per eseguire il provisioning di utenti e gruppi in Workspace ONE.

Prerequisiti

Si dispone di un account amministratore in Microsoft Entra ID con i privilegi necessari per configurare il provisioning.

Procedura

  1. Nella console di Workspace ONE Cloud, dopo aver creato una directory, rivedere e copiare i valori generati nel passaggio 2 Configura applicazione aziendale Microsoft Entra della procedura guidata.
    Questi valori sono necessari per configurare l'app di provisioning in Microsoft Entra ID.
    • URL tenant: endpoint SCIM 2.0 del tenant di VMware Identity Services. Copiare il valore.
    • Durata token: periodo di validità del token segreto.

      Per impostazione predefinita, VMware Identity Services genera il token con una durata di sei mesi. Per modificare la durata del token, fare clic sulla freccia in giù, selezionare un'altra opzione e fare clic su Rigenera per rigenerare il token con il nuovo valore.

      Importante: Ogni volta che si aggiorna la durata del token, il token precedente non è più valido e il provisioning di utenti e gruppi da Microsoft Entra ID non riesce. È necessario rigenerare un nuovo token, nonché copiarlo e incollarlo nell'app Microsoft Entra ID.
    • Token segreto: token richiesto da Microsoft Entra ID per eseguire il provisioning degli utenti in Workspace ONE. Copiare il valore facendo clic sull'icona per la copia.
      Importante: Assicurarsi di copiare il token prima di fare clic su Avanti. Dopo aver fatto clic su Avanti, il token non sarà più visibile e sarà necessario generare un nuovo token. Se si rigenera il token, il token precedente non è più valido e il provisioning non riesce. Assicurarsi di copiare e incollare il nuovo token nell'app Microsoft Entra ID.

    Ad esempio:

    Nel passaggio 2 vengono visualizzati l'URL del tenant, una durata del token di 6 mesi e un token segreto.
    Quando il token sta per scadere, nella console di Workspace ONE Cloud viene visualizzata una notifica banner. Se si desidera ricevere anche notifiche tramite e-mail, assicurarsi che la casella di controllo E-mail sia selezionata per l'impostazione Scadenza token segreto di Workspace ONE Access e Identity Services. L'impostazione è disponibile nella pagina Impostazioni notifiche nella console di Workspace ONE Cloud.
  2. Creare l'app di provisioning in Microsoft Entra ID.
    1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
    2. Nel riquadro di navigazione a sinistra selezionare Applicazioni aziendali.
    3. Nella pagina Applicazioni aziendali > Tutte le applicazioni, fare clic su + Nuova applicazione.
      ""
    4. Nella pagina Sfoglia raccolta Microsoft Entra, immettere VMware Identity Services nella casella di ricerca e selezionare l'app VMware Identity Services nei risultati della ricerca.
      ""
    5. Nel riquadro visualizzato, immettere un nome per l'app di provisioning, quindi fare clic su Crea.
      Ad esempio:
      Questo esempio crea una nuova app denominata VMware Identity Service - Demo.
      Dopo aver creato l'applicazione, viene visualizzata la pagina Panoramica dell'app.
    6. Nel menu Gestisci, selezionare Provisioning, quindi fare clic su Inizia.
      ""
    7. Nella pagina Provisioning, impostare Modalità di provisioning su Automatico.
      Le opzioni della Modalità di provisioning sono Manuale e Automatico. Selezionare Automatico.
    8. In Credenziali amministratore, immettere l'URL del token e il token segreto copiati nel passaggio Configura applicazione aziendale Microsoft Entra della procedura guidata di VMware Identity Services di Workspace ONE.
      Ad esempio:
      La modalità di provisioning è Automatico. Nelle caselle di testo URL tenant e Token segreto sono presenti i valori copiati da Workspace ONE.
    9. Fare clic su Test connessione.
    10. Assicurarsi che venga visualizzato il messaggio seguente: 
      Le credenziali fornite sono autorizzate per abilitare il provisioning.

      Se viene visualizzato un errore:

      • Verificare di aver copiato e incollato correttamente l'URL del tenant dalla procedura guidata di VMware Identity Services.
      • Rigenerare il token segreto nella procedura guidata di VMware Identity Services e copiarlo e incollarlo nuovamente nell'app.

      Fare quindi di nuovo clic su Test connessione.

    11. Fare clic su Salva per salvare l'applicazione.

Operazioni successive

Tornare alla console di Workspace ONE Cloud per continuare la procedura guidata di VMware Identity Services.

Passaggio 3: Mappa attributi utente SCIM

Mappare gli attributi utente da sincronizzare da Microsoft Entra ID ai servizi di Workspace ONE. Nell'interfaccia di amministrazione di Microsoft Entra aggiungere gli attributi utente SCIM e mapparli agli attributi di Microsoft Entra ID. Sincronizzare almeno gli attributi richiesti da VMware Identity Services e dai servizi di Workspace ONE.

VMware Identity Services e i servizi di Workspace ONE richiedono gli attributi utente SCIM seguenti:

Attributo di Microsoft Entra ID Attributo utente SCIM (obbligatorio)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
Nota: La tabella mostra la mappatura tipica tra gli attributi SCIM obbligatori e gli attributi di Microsoft Entra ID. È possibile mappare gli attributi SCIM ad attributi di Microsoft Entra ID diversi da quelli elencati qui. Tuttavia, se si integra Workspace ONE UEM con Microsoft Entra ID tramite VMware Identity Services, è necessario mappare externalId a objectId.

Per ulteriori informazioni su questi attributi e sul modo in cui vengono mappati agli attributi di Workspace ONE, vedere Mappatura degli attributi utente per VMware Identity Services.

Oltre agli attributi obbligatori, è possibile sincronizzare attributi facoltativi e personalizzati. Per l'elenco degli attributi facoltativi e personalizzati supportati, vedere Mappatura degli attributi utente per VMware Identity Services.

Procedura

  1. Nella console di Workspace ONE Cloud nel passaggio 3, Mappa attributi utente SCIM, della procedura guidata esaminare l'elenco degli attributi supportati da VMware Identity Services.
  2. Nell'interfaccia di amministrazione di Microsoft Entra, passare all'app di provisioning creata per il provisioning degli utenti in VMware Identity Services.
  3. Dal menu Gestisci selezionare Provisioning.
  4. In Gestisci provisioning fare clic su Modifica mappatura attributi.

    ""
  5. Nella sezione Mappature della pagina Provisioning effettuare le selezioni seguenti.
    • Impostare Provisioning gruppi di Azure Active Directory su .
    • Impostare Provisioning utenti di Azure Active Directory su .
    • Impostare Stato provisioning su On.

    ""
  6. Fare clic sul collegamento Provisioning utenti di Azure Active Directory.
  7. Nella pagina Mappatura attributi specificare le mappature degli attributi obbligatorie tra gli attributi di Microsoft Entra ID e gli attributi SCIM (attributi di VMware Identity Services).
    Gli attributi obbligatori sono inclusi nella tabella Mappatura attributi per impostazione predefinita. Rivedere e aggiornare le mappature, se necessario.
    Importante: Se si integra Workspace ONE UEM con Microsoft Entra ID tramite VMware Identity Services, è necessario mappare externalId a objectId.

    Per aggiornare le mappature:

    1. Fare clic sull'attributo nella tabella Mappature attributi.
    2. Modificare la mappatura. In Attributo di origine selezionare l'attributo di Microsoft Entra ID e in Attributo di destinazione selezionare l'attributo SCIM (attributo di VMware Identity Services).

      Ad esempio:


      objectId è selezionato come attributo di origine ed externalId è selezionato come attributo di destinazione.
  8. Mappare attributi utente facoltativi supportati da VMware Identity Services e dai servizi di Workspace ONE, se necessario.
    • Alcuni degli attributi facoltativi sono già disponibili nella tabella Mappatura attributi. Se l'attributo viene visualizzato nella tabella, fare clic su tale attributo per modificare la mappatura. In caso contrario, fare clic su Aggiungi nuova mappatura e specificare la mappatura. In Attributo di origine selezionare l'attributo di Microsoft Entra ID e in Attributo di destinazione selezionare l'attributo SCIM.
      Ad esempio:
      L'Attributo di origine è department. L'Attributo di destinazione è urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division.
    • Per aggiungere attributi che fanno parte dell'estensione dello schema di VMware Identity Services (attributi che nel percorso hanno urn:ietf:params:scim:schemas:extension:ws1b), fare clic su Aggiungi nuova mappatura e specificare la mappatura per l'attributo. In Attributo di origine selezionare l'attributo di Microsoft Entra ID e in Attributo di destinazione selezionare l'attributo SCIM.
    Vedere l'elenco degli attributi SCIM facoltativi supportati da VMware Identity Services e il modo in cui vengono mappati agli attributi di Workspace ONE in Mappatura degli attributi utente per VMware Identity Services.
  9. Mappare gli attributi utente personalizzati supportati da VMware Identity Services e dai servizi di Workspace ONE, se necessario.
    1. Nella pagina Mappatura attributi, fare clic su Aggiungi nuova mappatura.
    2. Specificare la mappatura. In Attributo di origine, selezionare l'attributo di Microsoft Entra ID e in Attributo di destinazione selezionare l'attributo personalizzato di VMware Identity Services. Gli attributi personalizzati di VMware Identity Services sono denominati urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services supporta fino a cinque attributi personalizzati.
      Ad esempio:
      L'Attributo di origine è employeeHireDate e l'Attributo di destinazione è VMware Identity Services customAttribute1.
    Vedere l'elenco degli attributi SCIM personalizzati supportati da VMware Identity Services e il modo in cui vengono mappati agli attributi di Workspace ONE in Mappatura degli attributi utente per VMware Identity Services.

Operazioni successive

Tornare alla console di Workspace ONE Cloud per continuare la procedura guidata di VMware Identity Services.

Passaggio 4: Seleziona protocollo di autenticazione

Nella console di Workspace ONE Cloud, selezionare il protocollo da utilizzare per l'autenticazione federata. VMware Identity Services supporta i protocolli OpenID Connect e SAML.

Attenzione: Effettuare una scelta ponderata. Dopo aver selezionato il protocollo e aver configurato l'autenticazione, non è possibile modificare il tipo di protocollo senza eliminare la directory.

Procedura

  1. Nel passaggio 4, Seleziona protocollo di autenticazione, della procedura guidata di VMware Identity Services selezionare OpenID Connect o SAML.
  2. Fare clic su Avanti.
    Viene visualizzato il passaggio successivo della procedura guidata con i valori necessari per configurare il protocollo selezionato.

Operazioni successive

Configurare VMware Identity Services e il provider di identità per l'autenticazione federata.

Passaggio 5: Configura autenticazione

Per configurare l'autenticazione federata con Microsoft Entra ID, configurare un'app OpenID Connect o SAML in Microsoft Entra ID utilizzando i metadati del provider di servizi da VMware Identity Services e configurare VMware Identity Services con i valori dell'app.

OpenID Connect

Se si seleziona OpenID Connect come protocollo di autenticazione, eseguire i passaggi seguenti.

  1. Dal passaggio 5, Configura OpenID Connect della procedura guidata di VMware Identity Services copiare il valore di URI di reindirizzamento.

    Questo valore è necessario per il passaggio successivo, quando si crea un'applicazione OpenID Connect nell'interfaccia di amministrazione di Microsoft Entra.


    Accanto al valore dell'URI di reindirizzamento è presente un'icona per la copia.
  2. Nell'interfaccia di amministrazione di Microsoft Entra passare ad Applicazioni aziendali > Registrazioni app.
    ""
  3. Fare clic su Nuova registrazione.
  4. Nella pagina Registra applicazione immettere un nome per l'app.
  5. In URI di reindirizzamento selezionare Web, quindi copiare e incollare il valore di URI di reindirizzamento copiato nella sezione Configura OpenID Connect della procedura guidata di VMware Identity Services.

    Ad esempio:


    ""
  6. Fare clic su Registra.

    Viene visualizzato il messaggio L'applicazione name è stata creata.

  7. Creare un segreto client per l'applicazione.
    1. Fare clic sul collegamento Credenziali client: aggiungi certificato o segreto.
    2. Fare clic su + Nuovo segreto client.
    3. Nel riquadro Aggiungi segreto client immettere una descrizione e il periodo di scadenza per il segreto.
    4. Fare clic su Aggiungi.

      Il segreto viene generato e visualizzato nella scheda Segreti client.

    5. Copiare il valore segreto facendo clic sull'icona per la copia accanto a tale valore.

      Se si esce dalla pagina senza copiare il segreto, sarà necessario generare un nuovo segreto.

      Il segreto verrà immesso in un passaggio successivo della procedura guidata di VMware Identity Services.


      Il segreto viene visualizzato nella scheda Segreti client della pagina Certificati e segreti.
  8. Concedere all'applicazione le autorizzazioni per chiamare le API di VMware Identity Services.
    1. In Gestisci selezionare Autorizzazioni API.
    2. Fare clic su Concedi consenso amministratore per organization e fare clic su nella casella di conferma.
  9. Copiare l'ID client.
    1. Nel riquadro a sinistra nella pagina dell'applicazione selezionare Panoramica.
    2. Copiare il valore di ID applicazione (client).

      L'ID client verrà immesso in un passaggio successivo della procedura guidata di VMware Identity Services.


      Il valore di ID client applicazione si trova nella sezione Informazioni di base e ha accanto un'icona per la copia.
  10. Copiare il valore del documento dei metadati di OpenID Connect.
    1. Nella pagina Panoramica dell'applicazione fare clic su Endpoint.
    2. Nel riquadro Endpoint copiare il valore di Documento metadati OpenID Connect.
      ""

    L'ID client verrà immesso nel passaggio successivo della procedura guidata di VMware Identity Services.

  11. Tornare alla procedura guidata di VMware Identity Services nella console di Workspace ONE Cloud e completare la configurazione nella sezione Configura OpenID Connect.
    ID applicazione (client) Incollare il valore dell'ID applicazione (client) copiato dall'app OpenID Connect di Microsoft Entra ID.
    Segreto client Incollare il segreto client copiato dall'app OpenID Connect di Microsoft Entra ID.
    URL configurazione Incollare il valore del documento dei metadati di OpenID Connect copiato dall'app OpenID Connect di Microsoft Entra ID.
    Attributo identificatore utente OIDC L'attributo email viene mappato all'attributo di Workspace ONE per le ricerche degli utenti.
    Attributo identificatore utente Workspace ONE Specificare l'attributo di Workspace ONE da mappare all'attributo di OpenID Connect per le ricerche degli utenti.
  12. Fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e Microsoft Entra ID.

SAML

Se si seleziona SAML come protocollo di autenticazione, eseguire i passaggi seguenti.

  1. Recuperare i metadati del provider di servizi dalla console di Workspace ONE Cloud.

    Nel passaggio 5, Configura Single Sign-On SAML, della procedura guidata di VMware Identity Services copiare o scaricare i Metadati provider di servizi SAML.


    ""
    Nota: Quando si utilizza il file dei metadati, non è necessario copiare e incollare i valori ID entità, URL Single Sign-On e Certificato di firma singolarmente.
  2. Configurare l'app in Microsoft Entra ID.
    1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali nel riquadro a sinistra.
    2. Cercare e selezionare l'app di provisioning creata in Passaggio 2: Configura provisioning di utenti e gruppi.
    3. Dal menu Gestisci selezionare Single Sign-On.
    4. Selezionare SAML come metodo Single Sign-On.
      ""
    5. Fare clic su Carica file metadati, selezionare il file di metadati copiato dalla console di Workspace ONE Cloud e fare clic su Aggiungi.
      L'opzione Carica file metadati si trova nella parte superiore della pagina Configura Single Sign-On con SAML.
    6. Nel riquadro Configurazione SAML di base verificare i valori seguenti:
      • Il valore di Identificatore (ID entità) deve corrispondere al valore di ID entità visualizzato nel passaggio 5 della procedura guidata di VMware Identity Services.

        Ad esempio: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • Il valore di URL risposta (URL servizio consumer asserzione) deve corrispondere al valore di URL Single Sign-On visualizzato nel passaggio 5 della procedura guidata di VMware Identity Services.

        Ad esempio: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Recuperare i metadati della federazione da Microsoft Entra ID.
    1. Nell'app SAML in Microsoft Entra ID, scorrere fino alla sezione Certificati SAML.
    2. Fare clic sul collegamento XML metadati federazione Download per scaricare i metadati.
      ""
  4. Nella console di Workspace ONE Cloud copiare e incollare i metadati della federazione dal file scaricato da Microsoft Entra ID nella casella di testo Metadati provider di identità nel passaggio 5 della procedura guidata di VMware Identity Services.
    Nella casella di testo Metadati provider di identità del passaggio 5 della procedura guidata viene visualizzato l'XML dei metadati della federazione.
  5. Configurare le altre opzioni nella sezione Configura Single Sign-On SAML.
    • Protocollo di binding: selezionare il protocollo di binding SAML, HTTP POST o Reindirizzamento HTTP.
    • Formato ID nome: utilizzare le impostazioni di Formato ID nome e Valore ID nome per mappare gli utenti tra Microsoft Entra ID e VMware Identity Services. In Formato ID nome, specificare il formato dell'ID nome utilizzato nella risposta SAML.
    • Valore ID nome: selezionare l'attributo utente di VMware Identity Services a cui mappare il valore dell'ID nome ricevuto nella risposta SAML.
    • Opzioni avanzate > Usa disconnessione singola SAML: selezionare questa opzione se si desidera disconnettere gli utenti dalla sessione del provider di identità quando si disconnettono dai servizi di Workspace ONE.
  6. Fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e Microsoft Entra ID.

Risultati

L'integrazione tra VMware Identity Services e Microsoft Entra ID è stata completata.

In VMware Identity Services viene creata la directory che verrà popolata quando si esegue il push di utenti e gruppi dall'app di provisioning in Microsoft Entra ID. Gli utenti e i gruppi di cui viene eseguito il provisioning vengono visualizzati automaticamente nei servizi di Workspace ONE che si sceglie di integrare con Microsoft Entra ID, ad esempio Workspace ONE Access e Workspace ONE UEM.

Non è possibile modificare la directory nella console di Workspace ONE Access e in Workspace ONE UEM Console. Le pagine di directory, utenti, gruppi di utenti, attributi utente e provider di identità sono di sola lettura.

Operazioni successive

Quindi selezionare i servizi di Workspace ONE in cui si desidera eseguire il provisioning di utenti e gruppi.

Se Workspace ONE UEM è uno dei servizi selezionati, configurare impostazioni aggiuntive nella console di Workspace ONE UEM.

Eseguire quindi il push di utenti e gruppi dall'app di provisioning di Microsoft Entra ID. Vedere Provisioning degli utenti in Workspace ONE.