ID プロバイダ インスタンスを VMware Identity Manager環境に追加して構成することで、高可用性を実現し、追加のユーザー認証方法をサポートし、ユーザー IP アドレス範囲に基づいて柔軟にユーザー認証プロセスを管理できます。
前提条件
- サードパーティのメタデータ ドキュメントにアクセスします。メタデータの URL または実際のメタデータのいずれかにアクセスします。
手順
- VMware Identity Manager コンソールの [ID とアクセス管理] タブで、[ID プロバイダ] を選択します。
- [ID プロバイダを追加] をクリックします。
- ID プロバイダ インスタンスの設定を編集します。
フォーム項目 説明 ID プロバイダ名 この ID プロバイダ インスタンスの名前を入力します。 SAML のバインド AuthnRequest を、HTTP POST または HTTP リダイレクトのどちらの方法で送信するかを選択します。 デフォルトは HTTP リダイレクトです。
SAML メタデータ サードパーティの XML ベースの ID プロバイダ メタデータ ドキュメントを追加して、ID プロバイダとの信頼を確立します。
- SAML メタデータ URL または xml コンテンツをテキスト ボックスに入力します。
- [プロセス IdP メタデータ] をクリックします。IdP でサポートされている NameID の形式は、メタデータから抽出され、[名前 ID の形式] テーブルに追加されます。
- [名前 ID 値] 列では、表示される ID 形式にマッピングするサービスのユーザー属性を選択します。独自のサードパーティ名の ID 形式を追加して、サービスのユーザー属性値にマッピングできます。
- (オプション)NameIDPolicy 応答識別子の文字列形式を選択します。
ジャストインタイム プロビジョニング N/A ユーザー この ID プロバイダを使用して認証できるユーザーを含む [他のディレクトリ] を選択します。 ネットワーク サービスに構成されている既存のネットワーク範囲が表示されます。 この ID プロバイダ インスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。
認証方法 サードパーティ ID プロバイダによってサポートされる認証方法を追加します。認証方法をサポートする SAML 認証コンテキスト クラスを選択します。 シングル サインアウト構成 ユーザーがサードパーティ ID プロバイダ (IDP) から Workspace ONE にログインすると、2 つのセッションが開きます。1 つはサードパーティ ID プロバイダ、もう 1 つは Workspace ONE の ID マネージャ サービス プロバイダで開きます。これらのセッションの有効期間は個別に管理されます。ユーザーが Workspace ONE からログアウトすると Workspace ONE セッションは閉じますが、サードパーティの IDP セッションは開いたままです。セキュリティ要件に基づき、シングル ログアウトを有効にして、両方のセッションからログアウトする、またはサードパーティの IDP セッションをそのまま維持するようにシングル ログアウトを設定することができます。
構成オプション 1
- サードパーティ ID プロバイダを構成するときに、シングル ログアウトを有効にすることができます。サードパーティ ID プロバイダが SAML ベースのシングル ログアウト プロトコル (SLO) をサポートしている場合、Workspace ONE ポータルからログアウトすると、ユーザーは両方のセッションからログアウトされます。[リダイレクト URL テキスト ボックス] は構成されていません。
- サードパーティの IDP が SAML ベースのシングル ログアウトをサポートしていない場合は、シングル ログアウトを有効にし、[リダイレクト URL] テキスト ボックスで IDP のシングル ログアウトのエンドポイント URL を指定します。リダイレクト パラメータを、ユーザーを特定のエンドポイントに送信する URL に追加することもできます。ユーザーは、Workspace ONE ポータルからログアウトして、IDP からもログアウトすると、この URL にリダイレクトされます。
構成オプション 2
- もう 1 つのシングル ログアウト オプションは、Workspace ONE ポータルからユーザーをログアウトし、カスタマイズされたエンドポイント URL にリダイレクトする方法です。シングル ログアウトを有効にし、[リダイレクト URL] テキスト ボックスに URL を指定し、カスタマイズされたエンドポイントのリダイレクト パラメータを指定します。ユーザーが Workspace ONE ポータルからログアウトすると、このページに移動し、カスタマイズされたメッセージを表示できます。サードパーティの IDP セッションは開いたままになることがあります。URL は https://<vidm-access-url>/SAAS/auth/federation/slo のように入力します。
[シングル ログアウトを有効にする] が有効になっていない場合、VMware Identity Manager サービスのデフォルトの構成では、ログアウト時にユーザーは元の Workspace ONE ポータルのログイン ページに戻ります。サードパーティの IDP セッションは開いたままになることがあります。
SAML 署名証明書 [サービス プロバイダ (SP) メタデータ] をクリックして、VMware Identity Manager の SAML サービス プロバイダのメタデータ URL を確認します。URL をコピーして保存します。この URL は、サードパーティ ID プロバイダで SAML アサーションを編集して VMware Identity Managerユーザーをマッピングするときに構成されます。 IdP ホスト名 ホスト名のテキスト ボックスが表示されている場合は、ID プロバイダがリダイレクトされる認証用ホストの名前を入力します。443 以外の非標準ポートを使用している場合、ホスト名を「ホスト名:ポート」の形式で設定します。たとえば、myco.example.com:8443 のように入力します。 - [追加] をクリックします。
次のタスク
- サードパーティ ID プロバイダの構成を編集して、保存した SAML 署名証明書の URL を追加します。