Wanneer u nieuwe SAML identiteitsprovidersinstanties toevoegt en configureert voor uw implementatie van Workspace ONE Access, kunt u hoge beschikbaarheid bieden, extra verificatiemethoden van gebruikers ondersteunen en flexibiliteit toevoegen aan de manier waarop u het verificatieproces van de gebruiker beheert op basis van de IP-adresbereiken van gebruikers.

Voorwaarden

Voltooi de volgende taken voordat u een instantie voor een identiteitsprovider van derden toevoegt.

  • Controleer of de instanties van derden compatibel zijn met SAML 2.0 en of de Workspace ONE Access-service de instantie van derden kan bereiken.
  • Coördineer de integratie met de identiteitsprovider van derden. Afhankelijk van de identiteitsprovider moet u mogelijk beide instellingen in unison configureren.
  • Zorg dat u de vereiste metagegevensinformatie van derden heeft en deze kunt toevoegen wanneer u de identiteitsprovider in de Workspace ONE Access-console configureert. De metagegevensinformatie die u verkrijgt uit de instantie van derden is de URL voor de metagegevens of zijn de volledige metagegevens zelf.

Procedure

  1. Selecteer Identiteitsproviders op het tabblad Identiteits- en toegangsbeheer van de Workspace ONE Access-console.
  2. Klik op Identiteitsprovider toevoegen en selecteer SAML IDP maken.
  3. Configureer de instellingen voor de SAML-identiteitsprovider.
    Formulieritem Beschrijving
    Naam van identiteitsprovider Voer een naam in voor deze identiteitsproviderinstantie.
    SAML-metagegevens

    Voeg het op XML gebaseerde metagegevensdocument van de identiteitsprovider van derden toe om vertrouwen met de identiteitsprovider tot stand te brengen.

    1. Voer de URL voor de SAML-metagegevens of de XML-inhoud in het tekstvak in. Klik op IdP-metagegevens verwerken.
    2. Selecteer hoe de gebruiker wordt geïdentificeerd. De ID die is verzonden in een inkomende SAML-verklaring, kan worden verzonden in het onderwerp of het kenmerkelement.
      • NameID-element. De gebruikers-ID wordt opgehaald uit het NameID-element van het onderwerpelement.
      • SAML-kenmerk. De gebruikers-ID wordt opgehaald uit een specifiek kenmerk of kenmerkinstructie-element.
    3. Wanneer u het NameID-element selecteert, worden de NameID-indelingen die worden ondersteund door de identiteitsprovider, uit de metagegevens geëxtraheerd en aan de tabel Opmaak Naam-ID toegevoegd die wordt weergegeven.
      • Selecteer in de kolom Waarde Naam-ID de gebruikerskenmerken die zijn geconfigureerd in de Workspace ONE Access-service, om deze toe te wijzen aan de NameID-indelingen die worden weergegeven. U kunt aangepaste indelingen voor de naam-ID van derden toevoegen en toewijzen aan de waarden voor de gebruikerskenmerken in de Workspace ONE Access-service.
      • Selecteer de indeling voor de antwoord-ID-string naam-ID-beleid in de SAML-aanvraag die moet worden gebruikt. Deze indeling moet overeenstemmen met de specifieke configuratie van het naam-ID-beleid van de externe IDP die wordt gebruikt om een vertrouwensrelatie met de Workspace ONE Access-service tot stand te brengen.
      • Selecteer de optie om informatie over het onderwerp in de SAML-aanvraag te verzenden wanneer de informatie beschikbaar is.
    4. Als u SAML-kenmerk selecteert, moet u de indeling en naam van het kenmerk opnemen. Selecteer het gebruikerskenmerk in de Workspace ONE Access-service om dit toe te wijzen aan het SAML-kenmerk.
    Just-in-Time-provisioning Gebruikers met just-in-time provisioning worden dynamisch gemaakt en bijgewerkt wanneer deze gebruikers zich aanmelden, op basis van SAML-verklaringen die worden verzonden door de identiteitsprovider. Zie just-in-time provisioning. Als u JIT inschakelt, moet u de naam van de directory en het domein voor de JIT-directory opgeven.
    Gebruikers Selecteer de directory’s die de gebruikers bevatten die kunnen verifiëren met behulp van deze identiteitsprovider.
    Netwerk De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven.

    Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie.

    Verificatiemethoden Voeg de verificatiemethoden toe die worden ondersteund door de derde identiteitsprovider. Selecteer de contextklasse voor SAML-verificatie die de verificatiemethode ondersteunt.
    Configuratie voor eenmalig afmelden

    Wanneer gebruikers zich aanmelden bij Workspace ONE vanaf een externe identiteitsprovider (IDP), worden twee sessies geopend: één bij de externe identiteitsprovider en de tweede bij de provider van de identiteitsbeheerservice voor Workspace ONE. De levensduur van deze sessies wordt onafhankelijk beheerd. Wanneer gebruikers zich bij Workspace ONE afmelden, wordt de Workspace ONE-sessie afgesloten, maar de externe IDP-sessie kan nog geopend zijn. Op basis van uw veiligheidsvereisten, kunt u single sign-out inschakelen en zo configureren dat beide sessies worden afgesloten of u kunt de externe IDP-sessie behouden.

    Configuratieoptie 1

    • U kunt single sign-out inschakelen bij het configureren van de externe identiteitsprovider. Als de externe identiteitsprovider het protocol voor eenmalig afmelden op basis van SAML (SLO) ondersteunt, worden gebruikers afgemeld bij beide sessies wanneer ze zich afmelden bij de Workspace ONE-portal. Het tekstveld URL omleiden is niet geconfigureerd.
    • Als de externe IDP eenmalig afmelden op basis van SAML niet ondersteunt, schakelt u single sign-out in. In het tekstveld URL omleiden registreert u een endpoint-URL voor eenmalig afmelden bij de IDP. U kunt ook een parameter voor omleiden aan de URL toevoegen waarmee gebruikers naar een specifiek endpoint worden verwezen. Gebruikers worden naar deze URL omgeleid wanneer zij zich afmelden bij de Workspace ONE-portal en ze ook zijn afgemeld bij de IDP.

    Configuratieoptie 2

    • Een andere single sign-outoptie bestaat erin gebruikers af te melden bij hun Workspace ONE-portal en hen om te leiden naar een aangepaste endpoint-URL. U schakelt single sign-out in, registreert de URL in het tekstveld URL omleiden en de omleidingsparameter van het aangepaste endpoint. Wanneer gebruikers zich afmelden bij de Workspace ONE-portal, worden ze omgeleid naar deze pagina, die een aangepast bericht kan weergeven. De sessie van de externe IDP is mogelijk nog geopend. De URL wordt ingevoerd als https://<vidm-access-url>/SAAS/auth/federation/slo.

    Als eenmalig afmelden niet is ingeschakeld, stuurt de standaardconfiguratie van de Workspace ONE Access-service de gebruikers bij het afmelden terug naar de aanmeldingspagina van de Workspace ONE-portal. De sessie van de externe IDP is mogelijk nog geopend.

    SAML-handtekeningcertificaat Klik op Metagegevens van serviceprovider (SP) om de URL weer te geven naar de metagegevens van de SAML-serviceprovider van Workspace ONE Access. Kopieer de URL en sla deze op. Deze URL wordt geconfigureerd wanneer u de SAML-bevestiging bewerkt in de externe identiteitsprovider voor het toewijzen van Workspace ONE Access-gebruikers.
    IdP-hostnaam Als het tekstveld Hostnaam wordt weergegeven, voert u de hostnaam in waar de identiteitsprovider naar wordt doorverwezen voor verificatie. Als u een andere poort gebruikt dan de standaard poort 443, kunt u de hostnaam instellen als Hostname:Port. Bijvoorbeeld: myco.example.com:8443.
  4. Klik op Toevoegen.

Volgende stappen

  • Voeg de verificatiemethode van de externe identiteitsprovider toe aan het Workspace ONE-standaardtoegangsbeleid. Zie #GUID-25549B4D-F2D7-4658-85CB-53EED8149438
  • Bewerk de configuratie van de externe identiteitsprovider om de URL van het SAML-handtekeningencertificaat toe te voegen die u heeft opgeslagen.