Wanneer u nieuwe identiteitsprovidersinstanties toevoegt en configureert voor uw implementatie van VMware Identity Manager, kunt u hoge beschikbaarheid bieden, extra verificatiemethoden van gebruikers ondersteunen en flexibiliteit toevoegen op de manier waarop u het verificatieproces van de gebruiker beheert op basis van de IP-adresbereiken van gebruikers.

Voorwaarden

  • Toegang tot het document met metagegevens van derden. Toegang kan bestaan uit de URL naar de metagegevens of de metagegevens zelf.

Procedure

  1. Selecteer Identiteitsproviders op het tabblad Identiteits- en toegangsbeheer van de VMware Identity Manager-console.
  2. Klik op Identiteitsprovider toevoegen.
  3. Bewerk de instellingen van de identiteitsproviderinstantie.
    Formulieritem Beschrijving
    Naam van identiteitsprovider Voer een naam in voor deze identiteitsproviderinstantie.
    SAML-metagegevens

    Voeg het op XML gebaseerde metagegevensdocument van de identiteitsprovider van derden toe om vertrouwen met de identiteitsprovider tot stand te brengen.

    1. Voer de URL voor de SAML-metagegevens of de XML-inhoud in het tekstvak in. Klik op IdP-metagegevens verwerken.
    2. Selecteer hoe de gebruiker wordt geïdentificeerd. De ID die is verzonden in een inkomende SAML-verklaring, kan worden verzonden in het onderwerp of de kenmerkinstructie.
      • NameID-element. Het NameID-element wordt opgehaald met de SAML-kenmerkinstructie.
      • SAML-kenmerk.
    3. Als u SAML-kenmerk selecteert, worden de NameID-indelingen die worden ondersteund door de identiteitsprovider, uit de metagegevens geëxtraheerd en aan de tabel Opmaak Naam-ID toegevoegd.
      • Selecteer in de kolom Waarde Naam-ID het gebruikerskenmerk in de service dat aan de weergegeven ID-indelingen moet worden toegewezen. U kunt aangepaste indelingen voor de naam-id van derden toevoegen en toewijzen aan de waarden voor de gebruikerskenmerken in de service.
      • (Optioneel) Selecteer de tekenreeksnotatie voor de antwoord-ID van het NameID-beleid.
    Just-in-Time-provisioning N.v.t.
    Gebruikers Selecteer Andere directory die de gebruikers omvat die deze identiteitsprovider kunnen gebruiken voor verificatie.
    Netwerk De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven.

    Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie.

    Verificatiemethoden Voeg de verificatiemethoden toe die worden ondersteund door de derde identiteitsprovider. Selecteer de contextklasse voor SAML-verificatie die de verificatiemethode ondersteunt.
    Configuratie voor eenmalig afmelden

    Wanneer gebruikers zich aanmelden bij Workspace ONE vanaf een externe identiteitsprovider (IDP), worden twee sessies geopend: één bij de externe identiteitsprovider en de tweede bij de provider van de identiteitsbeheerservice voor Workspace ONE. De levensduur van deze sessies wordt onafhankelijk beheerd. Wanneer gebruikers zich bij Workspace ONE afmelden, wordt de Workspace ONE-sessie afgesloten, maar de externe IDP-sessie kan nog geopend zijn. Op basis van uw veiligheidsvereisten, kunt u single sign-out inschakelen en zo configureren dat beide sessies worden afgesloten of u kunt de externe IDP-sessie behouden.

    Configuratieoptie 1

    • U kunt single sign-out inschakelen bij het configureren van de externe identiteitsprovider. Als de externe identiteitsprovider het protocol voor eenmalig afmelden op basis van SAML (SLO) ondersteunt, worden gebruikers afgemeld bij beide sessies wanneer ze zich afmelden bij de Workspace ONE-portal. Het tekstveld URL omleiden is niet geconfigureerd.
    • Als de externe IDP single sign-out op basis van SAML niet ondersteunt, schakelt u single sign-out in. In het tekstveld URL omleiden registreert u een endpoint-URL voor eenmalig afmelden bij de IDP. U kunt ook een parameter voor omleiden aan de URL toevoegen waarmee gebruikers naar een specifiek endpoint worden verwezen. Gebruikers worden naar deze URL omgeleid wanneer zij zich afmelden bij de Workspace ONE-portal en ze ook zijn afgemeld bij de IDP.

    Configuratieoptie 2

    • Een andere single sign-outoptie bestaat erin gebruikers af te melden bij hun Workspace ONE-portal en hen om te leiden naar een aangepaste endpoint-URL. U schakelt single sign-out in, registreert de URL in het tekstveld URL omleiden en de omleidingsparameter van het aangepaste endpoint. Wanneer gebruikers zich afmelden bij de Workspace ONE-portal, worden ze omgeleid naar deze pagina, die een aangepast bericht kan weergeven. De sessie van de externe IDP is mogelijk nog geopend. De URL wordt ingevoerd als https://<vidm-access-url>/SAAS/auth/federation/slo.

    Als Single sign-out inschakelen niet is ingeschakeld, stuurt de standaardconfiguratie van de VMware Identity Manager-service de gebruikers bij het afmelden terug naar de aanmeldingspagina van de Workspace ONE-portal. De sessie van de externe IDP is mogelijk nog geopend.

    SAML-handtekeningcertificaat Klik op Metagegevens van serviceprovider (SP) om de URL weer te geven naar de metagegevens van de SAML-serviceprovider van VMware Identity Manager. Kopieer de URL en sla deze op. Deze URL wordt geconfigureerd wanneer u de SAML-bevestiging bewerkt in de externe identiteitsprovider voor het toewijzen van VMware Identity Manager-gebruikers.
    IdP-hostnaam Als het tekstveld Hostnaam wordt weergegeven, voert u de hostnaam in waar de identiteitsprovider naar wordt doorverwezen voor verificatie. Als u een andere poort gebruikt dan de standaard poort 443, kunt u de hostnaam instellen als Hostname:Port. Bijvoorbeeld: myco.example.com:8443.
  4. Klik op Toevoegen.

Volgende stappen

  • Bewerk de configuratie van de externe identiteitsprovider om de URL van het SAML-handtekeningencertificaat toe te voegen die u heeft opgeslagen.