Wanneer u nieuwe SAML identiteitsprovidersinstanties toevoegt en configureert voor uw implementatie van Workspace ONE Access, kunt u hoge beschikbaarheid bieden, extra verificatiemethoden van gebruikers ondersteunen en flexibiliteit toevoegen aan de manier waarop u het verificatieproces van de gebruiker beheert op basis van de IP-adresbereiken van gebruikers.
Voorwaarden
Voltooi de volgende taken voordat u een instantie voor een identiteitsprovider van derden toevoegt.
- Controleer of de instanties van derden compatibel zijn met SAML 2.0 en of de Workspace ONE Access-service de instantie van derden kan bereiken.
- Coördineer de integratie met de identiteitsprovider van derden. Afhankelijk van de identiteitsprovider moet u mogelijk beide instellingen in unison configureren.
- Zorg dat u de vereiste metagegevensinformatie van derden heeft en deze kunt toevoegen wanneer u de identiteitsprovider in de Workspace ONE Access-console configureert. De metagegevensinformatie die u verkrijgt uit de instantie van derden is de URL voor de metagegevens of zijn de volledige metagegevens zelf.
Procedure
- Klik op de pagina in de Workspace ONE Access-console op TOEVOEGEN en selecteer SAML IDP.
- Configureer de volgende instellingen.
Formulieritem |
Beschrijving |
Naam van identiteitsprovider |
Voer een naam in voor deze identiteitsproviderinstantie. |
SAML-metagegevens |
Voeg het op XML gebaseerde metagegevensdocument van de identiteitsprovider van derden toe om vertrouwen met de identiteitsprovider tot stand te brengen.
- Voer de URL voor de SAML-metagegevens of de XML-inhoud in het tekstvak in. Klik op IDP-metagegevens verwerken.
- Selecteer hoe de gebruiker wordt geïdentificeerd. De ID die is verzonden in een inkomende SAML-verklaring, kan worden verzonden in het onderwerp of het kenmerkelement.
- NameID-element. De gebruikers-ID wordt opgehaald uit het NameID-element van het onderwerpelement.
- SAML-kenmerk. De gebruikers-ID wordt opgehaald uit een specifiek kenmerk of kenmerkinstructie-element.
- Wanneer u het NameID-element selecteert, worden de NameID-indelingen die worden ondersteund door de identiteitsprovider, uit de metagegevens geëxtraheerd en aan de tabel Opmaak Naam-ID toegevoegd die wordt weergegeven.
- Selecteer in de kolom Waarde Naam-ID de gebruikerskenmerken die zijn geconfigureerd in de Workspace ONE Access-service, om deze toe te wijzen aan de NameID-indelingen die worden weergegeven. U kunt aangepaste indelingen voor de naam-ID van derden toevoegen en toewijzen aan de waarden voor de gebruikerskenmerken in de Workspace ONE Access-service.
- Selecteer de indeling voor de antwoord-ID-string naam-ID-beleid in de SAML-aanvraag die moet worden gebruikt. Deze indeling moet overeenstemmen met de specifieke configuratie van het naam-ID-beleid van de externe IDP die wordt gebruikt om een vertrouwensrelatie met de Workspace ONE Access-service tot stand te brengen.
- (Alleen cloud) Selecteer de optie Onderwerp in SAML-aanvraag (indien beschikbaar) als aanmeldingshint of als hint voor verificatie zoals MFA. Wanneer u deze optie inschakelt, kunt u ook Onderwerpwaarde verzenden op basis van de NameID-indelingstoewijzing inschakelen om de aanmeldingshint die door de externe app is opgegeven, toe te wijzen aan de waarde NameID.
Opmerking: Wanneer
Onderwerpwaarde verzenden op basis van de NameID-indelingstoewijzing is ingeschakeld, is de Workspace ONE Access-service kwetsbaar voor een beveiligingsrisico dat 'gebruikersinventarisatie' wordt genoemd. Wees voorzichtig wanneer u deze optie inschakelt.
Voorbeeld van een configuratie waarbij de optie Onderwerpwaarde verzenden op basis van de NameID-indelingstoewijzing is ingeschakeld Configuratie van externe identiteitsprovider
Verificatieproces voor eindgebruikers
- De eindgebruiker selecteert App 'X'.
- App 'X' biedt een inlogpagina voor de eindgebruiker om het e-mailadres in te voeren.
- App 'X' verzendt de e-mail als aanmeldingshint naar Workspace ONE Access.
- Omdat Onderwerpwaarde verzenden op basis van de NameID-indelingstoewijzing is ingeschakeld, accepteert Workspace ONE Access de e-mail en vindt deze de UserPrincipleName voor die gebruiker.
- Workspace ONE Access verzendt de SAML-aanvraag met de bijbehorende UserPrincipleName die was toegewezen aan de externe IDP die verantwoordelijk is voor de authenticatie van de eindgebruiker.
- Als u SAML-kenmerk selecteert, moet u de indeling en naam van het kenmerk opnemen. Selecteer het gebruikerskenmerk in de Workspace ONE Access-service om dit toe te wijzen aan het SAML-kenmerk.
|
Just-in-Time-gebruikers-provisioning |
Gebruikers met just-in-time provisioning worden dynamisch gemaakt en bijgewerkt wanneer deze gebruikers zich aanmelden, op basis van SAML-verklaringen die worden verzonden door de identiteitsprovider. Zie Hoe just-in-time gebruikersprovisioning werkt in Workspace Access. Als u JIT inschakelt, moet u de naam van de directory en het domein voor de JIT-directory opgeven. |
Gebruikers |
Selecteer de directory’s die de gebruikers bevatten die kunnen verifiëren met behulp van deze identiteitsprovider. |
Netwerk |
De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie. |
Verificatiemethode |
Voer de naam van de verificatiemethode in die u wilt koppelen aan deze externe identiteitsprovider. U kunt meerdere verificatiemethoden invoeren om te koppelen aan de externe identiteitsprovider. Geef elke verificatiemethode een beschrijvende naam die de verificatiemethode identificeert. U selecteert de naam van de verificatiemethode in het toegangsbeleid om de regels voor de externe IDP-verificatiemethode te configureren. Wijs de naam van de verificatiemethode toe met de SAML-verificatiecontext die door de externe identiteitsprovider in het SAML-antwoord is verzonden. Selecteer in het vervolgkeuzemenu een tekenreeks voor de klasse van de SAML-verificatiecontext in de lijst met veelgebruikte tekenreeksen of voer een aangepaste tekenreeks in. |
Configuratie voor eenmalig afmelden |
Wanneer gebruikers zich aanmelden bij Workspace ONE vanaf een externe identiteitsprovider (IDP), worden twee sessies geopend: één bij de externe identiteitsprovider en de tweede bij de provider van de identiteitsbeheerservice voor Workspace ONE. De levensduur van deze sessies wordt onafhankelijk beheerd. Wanneer gebruikers zich bij Workspace ONE afmelden, wordt de Workspace ONE-sessie afgesloten, maar de externe IDP-sessie kan nog geopend zijn. Op basis van uw veiligheidsvereisten, kunt u single sign-out inschakelen en zo configureren dat beide sessies worden afgesloten of u kunt de externe IDP-sessie behouden. Configuratieoptie 1
- U kunt single sign-out inschakelen bij het configureren van de externe identiteitsprovider. Als de externe identiteitsprovider het protocol voor eenmalig afmelden op basis van SAML (SLO) ondersteunt, worden gebruikers afgemeld bij beide sessies wanneer ze zich afmelden bij de Workspace ONE-portal. Het tekstveld URL omleiden is niet geconfigureerd.
- Als de externe IDP eenmalig afmelden op basis van SAML niet ondersteunt, schakelt u single sign-out in. In het tekstveld URL omleiden registreert u een endpoint-URL voor eenmalig afmelden bij de IDP. U kunt ook een parameter voor omleiden aan de URL toevoegen waarmee gebruikers naar een specifiek endpoint worden verwezen. Gebruikers worden naar deze URL omgeleid wanneer zij zich afmelden bij de Workspace ONE-portal en ze ook zijn afgemeld bij de IDP.
Configuratieoptie 2
- Een andere single sign-outoptie bestaat erin gebruikers af te melden bij hun Workspace ONE-portal en hen om te leiden naar een aangepaste endpoint-URL. U schakelt single sign-out in, registreert de URL in het tekstveld URL omleiden en de omleidingsparameter van het aangepaste endpoint. Wanneer gebruikers zich afmelden bij de Workspace ONE-portal, worden ze omgeleid naar deze pagina, die een aangepast bericht kan weergeven. De sessie van de externe IDP is mogelijk nog geopend. De URL wordt ingevoerd als https://<vidm-access-url>/SAAS/auth/federation/slo.
Als eenmalig afmelden niet is ingeschakeld, stuurt de standaardconfiguratie van de Workspace ONE Access-service de gebruikers bij het afmelden terug naar de aanmeldingspagina van de Workspace ONE-portal. De sessie van de externe IDP is mogelijk nog geopend. |
SAML-handtekeningcertificaat |
Klik op Metagegevens van serviceprovider (SP) om de URL weer te geven naar de metagegevens van de SAML-serviceprovider van Workspace ONE Access. Kopieer de URL en sla deze op. Deze URL wordt geconfigureerd wanneer u de SAML-bevestiging bewerkt in de externe identiteitsprovider voor het toewijzen van Workspace ONE Access-gebruikers. |
IdP-hostnaam |
Als het tekstveld Hostnaam wordt weergegeven, voert u de hostnaam in waar de identiteitsprovider naar wordt doorverwezen voor verificatie. Als u een andere poort gebruikt dan de standaard poort 443, kunt u de hostnaam instellen als Hostname:Port. Bijvoorbeeld: myco.example.com:8443. |
- Klik op Toevoegen.
Volgende stappen
- Ga naar de pagina Resources > Beleidsregels in de console en bewerk het standaardtoegangsbeleid om een beleidsregel toe te voegen en de naam van de SAML-verificatiemethode te selecteren als verificatiemethode die moet worden gebruikt. Zie Toegangsbeleidsregels beheren in de Workspace ONE Access-service.
- Bewerk de configuratie van de externe identiteitsprovider om de URL van het SAML-handtekeningencertificaat toe te voegen die u heeft opgeslagen.