Dopo aver abilitato VMware Identity Services per il tenant di Workspace ONE, configurare l'integrazione con Azure AD.

  1. Nella procedura guidata iniziale di VMware Identity Services fare clic su Inizio nel passaggio 2, Integra provider di identità basato su SCIM 2.0.""
  2. Fare clic su Configura nella scheda Microsoft Azure Active Directory.
    ""
  3. Eseguire la procedura guidata per configurare l'integrazione con Azure AD.

Passaggio 1: Crea una directory

Come primo passaggio della configurazione del provisioning degli utenti e della federazione delle identità con VMware Identity Services creare una directory nella console di Workspace ONE per gli utenti e i gruppi di cui il provider di identità esegue il provisioning.

Attenzione: Dopo aver creato una directory, non è possibile modificare la selezione del provider di identità. Assicurarsi di selezionare il provider di identità appropriato prima di procedere.

Procedura

  1. Nel passaggio 1, Informazioni generali, della procedura guidata, immettere il nome che si desidera utilizzare per la directory con provisioning in Workspace ONE.
    Il nome può contenere al massimo 128 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-) e caratteri di sottolineatura (_).
    Importante: Non è possibile modificare il nome della directory dopo che è stata creata.
  2. In Nome dominio immettere il nome del dominio primario della directory di origine, inclusa l'estensione, ad esempio .com o .net.
    VMware Identity Services supporta al momento un solo dominio. Gli utenti e i gruppi di cui è stato eseguito il provisioning sono associati a questo dominio nei servizi di Workspace ONE.

    Il nome di dominio può contenere al massimo 100 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-), caratteri di sottolineatura (_) e punti (.).

    Ad esempio:

    In questo esempio il nome della directory è Demo e il nome del dominio è example.com.
  3. Fare clic su Salva e confermare la selezione.

Operazioni successive

Configurare il provisioning di utenti e gruppi.

Passaggio 2: Configura provisioning di utenti e gruppi

Dopo aver creato una directory in VMware Identity Services, configurare il provisioning di utenti e gruppi. Iniziare il processo in VMware Identity Services generando le credenziali di amministratore necessarie per il provisioning, quindi creare un'app di provisioning in Azure AD per eseguire il provisioning di utenti e gruppi in Workspace ONE.

Prerequisiti

Si dispone di un account amministratore in Azure AD con i privilegi necessari per configurare il provisioning.

Procedura

  1. Nella console di Workspace ONE, dopo aver creato una directory, rivedere e copiare i valori generati nel passaggio 2, Configura applicazione Azure Enterprise, della procedura guidata.
    Questi valori sono necessari per configurare l'app di provisioning in Azure AD.
    • URL tenant: endpoint SCIM 2.0 del tenant di VMware Identity Services. Copiare il valore.
    • Durata token: periodo di validità del token segreto.

      Per impostazione predefinita, VMware Identity Services genera il token con una durata di sei mesi. Per modificare la durata del token, fare clic sulla freccia in giù, selezionare un'altra opzione e fare clic su Rigenera per rigenerare il token con il nuovo valore.

      Importante: Ogni volta che si aggiorna la durata del token, il token precedente non è più valido e il provisioning di utenti e gruppi da Azure AD non riesce. È necessario rigenerare un nuovo token, nonché copiare e incollare il nuovo token nell'app Azure AD.
    • Token segreto: token richiesto da Azure AD per eseguire il provisioning degli utenti in Workspace ONE. Copiare il valore facendo clic sull'icona per la copia.
      Importante: Assicurarsi di copiare il token prima di fare clic su Avanti. Dopo aver fatto clic su Avanti, il token non sarà più visibile e sarà necessario generare un nuovo token. Se si rigenera il token, il token precedente non è più valido e il provisioning non riesce. Assicurarsi di copiare e incollare il nuovo token nell'app Azure AD.

    Ad esempio:

    Nel passaggio 2 vengono visualizzati l'URL del tenant, una durata del token di 6 mesi e un token segreto.
  2. Creare l'app di provisioning in Azure AD.
    1. Accedere all'interfaccia di amministrazione di Azure Active Directory.
    2. Nel riquadro di navigazione a sinistra selezionare Applicazioni aziendali.
    3. Nella pagina Applicazioni aziendali > Tutte le applicazioni, fare clic su + Nuova applicazione.
      ""
    4. Nella pagina Sfoglia raccolta Azure AD, immettere VMware Identity Service nella casella di ricerca e selezionare l'app VMware Identity Service dai risultati della ricerca.
      ""
    5. Nel riquadro visualizzato, immettere un nome per l'app di provisioning, quindi fare clic su Crea.
      Ad esempio:
      Questo esempio crea una nuova app denominata VMware Identity Service - Demo.
      Dopo aver creato l'applicazione, viene visualizzata la pagina Panoramica dell'app.
    6. Nel menu Gestisci, selezionare Provisioning, quindi fare clic su Inizia.
      ""
    7. Nella pagina Provisioning, impostare Modalità di provisioning su Automatico.
      Le opzioni della Modalità di provisioning sono Manuale e Automatico. Selezionare Automatico.
    8. In Credenziali amministratore, immettere l'URL del tenant e il token segreto copiati nel passaggio Configura applicazione Azure Enterprise della procedura guidata di Workspace ONE VMware Identity Services.
      Ad esempio:
      La modalità di provisioning è Automatico. Nelle caselle di testo URL tenant e Token segreto sono presenti i valori copiati da Workspace ONE.
    9. Fare clic su Test connessione.
    10. Assicurarsi che venga visualizzato il messaggio seguente: 
      Le credenziali fornite sono autorizzate per abilitare il provisioning.

      Se viene visualizzato un errore:

      • Verificare di aver copiato e incollato correttamente l'URL del tenant dalla procedura guidata di VMware Identity Services.
      • Rigenerare il token segreto nella procedura guidata di VMware Identity Services e copiarlo e incollarlo nuovamente nell'app.

      Fare quindi di nuovo clic su Test connessione.

    11. Fare clic su Salva per salvare l'applicazione.

Operazioni successive

Tornare alla console di Workspace ONE per continuare la procedura guidata di VMware Identity Services.

Passaggio 3: Mappa attributi utente SCIM

Mappare gli attributi utente da sincronizzare da Azure AD ai servizi di Workspace ONE. Nell'interfaccia di amministrazione di Azure Active Directory aggiungere gli attributi utente SCIM e mapparli agli attributi di Azure AD. Sincronizzare almeno gli attributi richiesti da VMware Identity Services e dai servizi di Workspace ONE.

VMware Identity Services e i servizi di Workspace ONE richiedono gli attributi utente SCIM seguenti:

Attributo di Azure Active Directory Attributo utente SCIM (obbligatorio)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
Nota: La tabella mostra la mappatura tipica tra gli attributi SCIM obbligatori e gli attributi di Azure AD. È possibile mappare gli attributi SCIM ad attributi di Azure AD diversi da quelli elencati qui. Tuttavia, se si sta integrando Workspace ONE UEM con Azure AD tramite VMware Identity Services, è necessario mappare externalId a objectId.

Per ulteriori informazioni su questi attributi e sul modo in cui vengono mappati agli attributi di Workspace ONE, vedere Mappatura degli attributi utente per VMware Identity Services.

Oltre agli attributi obbligatori, è possibile sincronizzare attributi facoltativi e personalizzati. Per l'elenco degli attributi facoltativi e personalizzati supportati, vedere Mappatura degli attributi utente per VMware Identity Services.

Procedura

  1. Nella console di Workspace ONE nel passaggio 3, Mappa attributi utente SCIM, della procedura guidata esaminare l'elenco degli attributi supportati da VMware Identity Services.
  2. Nell'interfaccia di amministrazione di Azure Active Directory, passare all'app di provisioning creata per il provisioning degli utenti in VMware Identity Services.
  3. Dal menu Gestisci selezionare Provisioning.
  4. In Gestisci provisioning fare clic su Modifica mappatura attributi.

    ""
  5. Nella sezione Mappature della pagina Provisioning effettuare le selezioni seguenti.
    • Impostare Provisioning gruppi di Azure Active Directory su .
    • Impostare Provisioning utenti di Azure Active Directory su .
    • Impostare Stato provisioning su On.

    ""
  6. Fare clic sul collegamento Provisioning utenti di Azure Active Directory.
  7. Nella pagina Mappatura attributi specificare le mappature degli attributi obbligatorie tra gli attributi di Azure AD e gli attributi SCIM (attributi di VMware Identity Services).
    Gli attributi obbligatori sono inclusi nella tabella Mappatura attributi per impostazione predefinita. Rivedere e aggiornare le mappature, se necessario.
    Importante: Se si sta integrando Workspace ONE UEM con Azure AD tramite VMware Identity Services, è necessario mappare externalId a objectId.

    Per aggiornare le mappature:

    1. Fare clic sull'attributo nella tabella Mappature attributi.
    2. Modificare la mappatura. In Attributo di origine selezionare l'attributo di Azure AD e in Attributo di destinazione selezionare l'attributo SCIM (attributo di VMware Identity Services).

      Ad esempio:


      objectId è selezionato come attributo di origine ed externalId è selezionato come attributo di destinazione.
  8. Mappare attributi utente facoltativi supportati da VMware Identity Services e dai servizi di Workspace ONE, se necessario.
    • Alcuni degli attributi facoltativi sono già disponibili nella tabella Mappatura attributi. Se l'attributo viene visualizzato nella tabella, fare clic su tale attributo per modificare la mappatura. In caso contrario, fare clic su Aggiungi nuova mappatura e specificare la mappatura. In Attributo di origine selezionare l'attributo di Azure AD e in Attributo di destinazione selezionare l'attributo SCIM.
      Ad esempio:
      L'Attributo di origine è department. L'Attributo di destinazione è urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division.
    • Per aggiungere attributi che fanno parte dell'estensione dello schema di VMware Identity Services (attributi che nel percorso hanno urn:ietf:params:scim:schemas:extension:ws1b), fare clic su Aggiungi nuova mappatura e specificare la mappatura per l'attributo. In Attributo di origine selezionare l'attributo di Azure AD e in Attributo di destinazione selezionare l'attributo SCIM.
    Vedere l'elenco degli attributi SCIM facoltativi supportati da VMware Identity Services e il modo in cui vengono mappati agli attributi di Workspace ONE in Mappatura degli attributi utente per VMware Identity Services.
  9. Mappare gli attributi utente personalizzati supportati da VMware Identity Services e dai servizi di Workspace ONE, se necessario.
    1. Nella pagina Mappatura attributi, fare clic su Aggiungi nuova mappatura.
    2. Specificare la mappatura. In Attributo di origine, selezionare l'attributo di Azure AD e in Attributo di destinazione selezionare l'attributo personalizzato di VMware Identity Services. Gli attributi personalizzati di VMware Identity Services sono denominati urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services supporta fino a cinque attributi personalizzati.
      Ad esempio:
      L'Attributo di origine è employeeHireDate e l'Attributo di destinazione è VMware Identity Services customAttribute1.
    Vedere l'elenco degli attributi SCIM personalizzati supportati da VMware Identity Services e il modo in cui vengono mappati agli attributi di Workspace ONE in Mappatura degli attributi utente per VMware Identity Services.

Operazioni successive

Tornare alla console di Workspace ONE per continuare la procedura guidata di VMware Identity Services.

Passaggio 4: Seleziona protocollo di autenticazione

Nella console di Workspace ONE, selezionare il protocollo da utilizzare per l'autenticazione federata. VMware Identity Services supporta i protocolli OpenID Connect e SAML.

Procedura

  1. Nel passaggio 4, Seleziona protocollo di autenticazione, della procedura guidata di VMware Identity Services selezionare OpenID Connect o SAML.
  2. Fare clic su Avanti.
    Viene visualizzato il passaggio successivo della procedura guidata con i valori necessari per configurare il protocollo selezionato.

Operazioni successive

Configurare VMware Identity Services e il provider di identità per l'autenticazione federata.

Passaggio 5: Configura autenticazione

Per configurare l'autenticazione federata con Azure AD, configurare un'app OpenID Connect o SAML in Azure AD utilizzando i metadati del provider di servizi da VMware Identity Services e configurare VMware Identity Services con i valori dell'app.

OpenID Connect

Se si seleziona OpenID Connect come protocollo di autenticazione, eseguire i passaggi seguenti.

  1. Dal passaggio 5, Configura OpenID Connect della procedura guidata di VMware Identity Services copiare il valore di URI di reindirizzamento.

    Questo valore è necessario per il passaggio successivo, quando si crea un'applicazione OpenID Connect nell'interfaccia di amministrazione di Azure AD.


    Accanto al valore dell'URI di reindirizzamento è presente un'icona per la copia.
  2. Nell'interfaccia di amministrazione di Azure Active Directory passare ad Applicazioni aziendali > Registrazioni app.
  3. Fare clic su Nuova registrazione.
  4. Nella pagina Registra applicazione immettere un nome per l'app.
  5. In URI di reindirizzamento selezionare Web, quindi copiare e incollare il valore di URI di reindirizzamento copiato nella sezione Configura OpenID Connect della procedura guidata di VMware Identity Services.

    Ad esempio:


    ""
  6. Fare clic su Registra.

    Viene visualizzato il messaggio L'applicazione name è stata creata.

  7. Creare un segreto client per l'applicazione.
    1. Fare clic sul collegamento Credenziali client: aggiungi certificato o segreto.
    2. Fare clic su + Nuovo segreto client.
    3. Nel riquadro Aggiungi segreto client immettere una descrizione e il periodo di scadenza per il segreto.
    4. Fare clic su Aggiungi.

      Il segreto viene generato e visualizzato nella scheda Segreti client.

    5. Copiare il valore segreto facendo clic sull'icona per la copia accanto a tale valore.

      Se si esce dalla pagina senza copiare il segreto, sarà necessario generare un nuovo segreto.

      Il segreto verrà immesso in un passaggio successivo della procedura guidata di VMware Identity Services.


      Il segreto viene visualizzato nella scheda Segreti client della pagina Certificati e segreti.
  8. Concedere all'applicazione le autorizzazioni per chiamare le API di VMware Identity Services.
    1. In Gestisci selezionare Autorizzazioni API.
    2. Fare clic su Concedi consenso amministratore per organization e fare clic su nella casella di conferma.
  9. Copiare l'ID client.
    1. Nel riquadro a sinistra nella pagina dell'applicazione selezionare Panoramica.
    2. Copiare il valore di ID applicazione (client).

      L'ID client verrà immesso in un passaggio successivo della procedura guidata di VMware Identity Services.


      Il valore di ID client applicazione si trova nella sezione Informazioni di base e ha accanto un'icona per la copia.
  10. Copiare il valore del documento dei metadati di OpenID Connect.
    1. Nella pagina Panoramica dell'applicazione fare clic su Endpoint.
    2. Nel riquadro Endpoint copiare il valore di Documento metadati OpenID Connect.
      ""

    L'ID client verrà immesso nel passaggio successivo della procedura guidata di VMware Identity Services.

  11. Tornare alla procedura guidata di VMware Identity Services nella console di Workspace ONE e completare la configurazione nella sezione Configura OpenID Connect.
    ID applicazione (client) Incollare il valore dell'ID applicazione (client) copiato dall'app OpenID Connect di Azure AD.
    Segreto client Incollare il segreto client copiato dall'app OpenID Connect di Azure AD.
    URL configurazione Incollare il valore del documento dei metadati di OpenID Connect copiato dall'app OpenID Connect di Azure AD.
    Attributo identificatore utente OIDC L'attributo email viene mappato all'attributo di Workspace ONE per le ricerche degli utenti.
    Attributo identificatore utente Workspace ONE Specificare l'attributo di Workspace ONE da mappare all'attributo di OpenID Connect per le ricerche degli utenti.
  12. Fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e Azure AD.

SAML

Se si seleziona SAML come protocollo di autenticazione, eseguire i passaggi seguenti.

  1. Recuperare i metadati del provider di servizi dalla console di Workspace ONE.

    Nel passaggio 5, Configura Single Sign-On SAML, della procedura guidata di VMware Identity Services copiare i Metadati provider di servizi SAML.


    ""
  2. Configurare l'app in Azure AD.
    1. Nell'interfaccia di amministrazione di Azure Active Directory selezionare Applicazioni aziendali nel riquadro a sinistra.
    2. Cercare e selezionare l'app di provisioning creata in Passaggio 2: Configura provisioning di utenti e gruppi.
    3. Dal menu Gestisci selezionare Single Sign-On.
    4. Selezionare SAML come metodo Single Sign-On.
      ""
    5. Fare clic su Carica file metadati, selezionare il file di metadati copiato dalla console di Workspace ONE e fare clic su Aggiungi.
      L'opzione Carica file metadati si trova nella parte superiore della pagina Configura Single Sign-On con SAML.
    6. Nel riquadro Configurazione SAML di base verificare i valori seguenti:
      • Il valore di Identificatore (ID entità) deve essere il valore di entityID del file di metadati di Workspace ONE.

        Ad esempio: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • Il valore di URL risposta (URL servizio consumer asserzione) deve essere il valore di AssertionConsumerService HTTP-POST Location del file di metadati di Workspace ONE.

        Ad esempio: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

    7. Nella sezione Certificati SAML fare clic sul collegamento XML metadati federazione Download per scaricare i metadati.
      ""
  3. Nella console di Workspace ONE copiare e incollare l'XML dei metadati della federazione dal file scaricato da Azure AD nella casella di testo Metadati provider di identità nel passaggio 5 della procedura guidata di VMware Identity Services.
    Nella casella di testo Metadati provider di identità del passaggio 5 della procedura guidata viene visualizzato l'XML dei metadati della federazione.
  4. Configurare le altre opzioni nella sezione Configura Single Sign-On SAML.
    • Single Sign-Out: selezionare questa opzione se si desidera disconnettere gli utenti dalla sessione del provider di identità quando si disconnettono da Workspace ONE Intelligent Hub.
    • Protocollo di binding: selezionare il protocollo di binding SAML, HTTP POST o Reindirizzamento HTTP.
    • Formato ID nome: specificare il formato dell'ID nome da utilizzare per mappare gli utenti tra Azure AD e i servizi di Workspace ONE.
    • Valore ID nome: selezionare l'attributo utente per gli utenti in Workspace ONE.
  5. Fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e Azure AD.

Risultati

L'integrazione tra VMware Identity Services e Azure AD è stata completata.

In VMware Identity Services viene creata la directory che verrà compilata quando si esegue il push di utenti e gruppi dall'app di provisioning in Azure AD. Gli utenti e i gruppi di cui è stato eseguito il provisioning verranno visualizzati automaticamente nei servizi di Workspace ONE che si sceglie di integrare con Azure AD, ad esempio Workspace ONE Access e Workspace ONE UEM.

Non è possibile modificare la directory nella console di Workspace ONE Access e in Workspace ONE UEM Console. Le pagine di directory, utenti, gruppi di utenti, attributi utente e provider di identità sono di sola lettura.

Operazioni successive

Quindi selezionare i servizi di Workspace ONE in cui si desidera eseguire il provisioning di utenti e gruppi.

Se Workspace ONE UEM è uno dei servizi selezionati, configurare impostazioni aggiuntive nella console di Workspace ONE UEM.

Eseguire quindi il push di utenti e gruppi dall'app di provisioning di Azure AD. Vedere Provisioning degli utenti in Workspace ONE.