Door identiteitsprovidersinstanties toe te voegen en te configureren voor de implementatie van uw VMware Identity Manager, kunt u een hoge beschikbaarheid bieden, extra verificatiemethoden van gebruikers ondersteunen en flexibiliteit toevoegen op de manier waarop u het verificatieproces van de gebruiker beheert op basis van de IP-adresbereiken van gebruikers.

Voorwaarden

  • Toegang tot het document met metagegevens van derden. Toegang kan bestaan uit de URL naar de metagegevens of de metagegevens zelf.

Procedure

  1. Selecteer Identiteitsproviders op het tabblad Identiteits- en toegangsbeheer van de VMware Identity Manager-console.
  2. Klik op Identiteitsprovider toevoegen.
  3. Bewerk de instellingen van de identiteitsproviderinstantie.

    Formulieritem

    Beschrijving

    Naam van identiteitsprovider

    Voer een naam in voor deze identiteitsproviderinstantie.

    SAML-binding

    Selecteer hoe het AuthnRequest wordt verzonden: HTTP POST of HTTP-omleiding.

    HTTP-omleiding is de standaardoptie.

    SAML-metagegevens

    Voeg het op XML gebaseerde metagegevensdocument van de identiteitsprovider van derden toe om vertrouwen met de identiteitsprovider tot stand te brengen.

    1. Voer de URL voor de SAML-metagegevens of de XML-inhoud in het tekstvak in.

    2. Klik op IdP-metagegevens verwerken. De NameID-indelingen die worden ondersteund door de IdP worden geëxtraheerd uit de metagegevens en worden toegevoegd aan de tabel Naam-id-indeling.

    3. Selecteer in de kolom Naam-id-waarde het gebruikerskenmerk in de service dat moet worden toegewezen aan de weergegeven id-indelingen. U kunt aangepaste indelingen voor de naam-id van derden toevoegen en toewijzen aan de waarden voor de gebruikerskenmerken in de service.

    4. (Optioneel) Selecteer de stringindeling voor de NameIDPolicy-antwoord-id.

    Just-in-Time-provisioning

    N.v.t.

    Gebruikers

    Selecteer Andere directory die de gebruikers omvat die deze identiteitsprovider kunnen gebruiken voor verificatie.

    Netwerk

    De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven.

    Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie.

    Verificatiemethoden

    Voeg de verificatiemethoden toe die worden ondersteund door de derde identiteitsprovider. Selecteer de contextklasse voor SAML-verificatie die de verificatiemethode ondersteunt.

    Configuratie voor eenmalig afmelden

    Wanneer gebruikers zich aanmelden bij Workspace ONE vanaf een externe identiteitsprovider (IDP), worden twee sessies geopend: één bij de externe identiteitsprovider en de tweede bij de provider van de identiteitsbeheerservice voor Workspace ONE. De levensduur van deze sessies wordt onafhankelijk beheerd. Wanneer gebruikers zich bij Workspace ONE afmelden, wordt de Workspace ONE-sessie afgesloten, maar de externe IDP-sessie kan nog geopend zijn. Op basis van uw veiligheidsvereisten, kunt u single sign-out inschakelen en zo configureren dat beide sessies worden afgesloten of u kunt de externe IDP-sessie behouden.

    Configuratieoptie 1

    • U kunt single sign-out inschakelen bij het configureren van de externe identiteitsprovider. Als de externe identiteitsprovider het protocol voor single sign-out op basis van SAML (SLO) ondersteunt, worden gebruikers afgemeld bij beide sessies wanneer ze zich afmelden bij de Workspace ONE-portal. Het tekstveld URL omleiden is niet geconfigureerd.

    • Als de externe IDP single sign-out op basis van SAML niet ondersteunt, schakelt u single sign-out in. In het tekstveld URL omleiden registreert u een endpoint-URL voor eenmalig afmelden bij de IDP. U kunt ook een parameter voor omleiden aan de URL toevoegen waarmee gebruikers naar een specifiek endpoint worden verwezen. Gebruikers worden naar deze URL omgeleid wanneer zij zich afmelden bij de Workspace ONE-portal en ze ook zijn afgemeld bij de IDP.

    Configuratieoptie 2

    • Een andere single sign-outoptie bestaat erin gebruikers af te melden bij hun Workspace ONE-portal en hen om te leiden naar een aangepaste endpoint-URL. U schakelt single sign-out in, registreert de URL in het tekstveld URL omleiden en de omleidingsparameter van het aangepaste endpoint. Wanneer gebruikers zich afmelden bij de Workspace ONE-portal, worden ze omgeleid naar deze pagina, die een aangepast bericht kan weergeven. De sessie van de externe IDP is mogelijk nog geopend. De URL wordt ingevoerd als https://<vidm-access-url>/SAAS/auth/federation/slo.

    Als Single sign-out inschakelen niet is ingeschakeld, stuurt de standaardconfiguratie van de VMware Identity Manager-service de gebruikers bij het afmelden terug naar de aanmeldingspagina van de Workspace ONE-portal. De sessie van de externe IDP is mogelijk nog geopend.

    SAML-handtekeningcertificaat

    Klik op Metagegevens van serviceprovider (SP) om de URL weer te geven naar de metagegevens van de SAML-serviceprovider van VMware Identity Manager. Kopieer de URL en sla deze op. Deze URL wordt geconfigureerd wanneer u de SAML-bevestiging bewerkt in de externe identiteitsprovider voor het toewijzen van VMware Identity Manager-gebruikers.

    IdP-hostnaam

    Als het tekstveld Hostnaam wordt weergegeven, voert u de hostnaam in waar de identiteitsprovider naar wordt doorverwezen voor verificatie. Als u een andere poort gebruikt dan de standaard poort 443, kunt u de hostnaam instellen als Hostname:Port. Bijvoorbeeld: myco.example.com:8443.

  4. Klik op Toevoegen.

Volgende stappen

  • Bewerk de configuratie van de externe identiteitsprovider om de URL van het SAML-handtekeningencertificaat toe te voegen die u hebt opgeslagen.