Nadat u VMware Identity Services voor uw Workspace ONE-tenant heeft ingeschakeld, stelt u de integratie met de SCIM 2.0-gebaseerde identiteitsprovider in.
- Klik in de wizard Aan de slag met VMware Identity Services op Begin in stap 2 Een SCIM 2.0-gebaseerde identiteitsprovider integreren.
- Klik op Instellen op de kaart SCIM 2.0-identiteitsprovider.
- Volg de wizard om de integratie met uw identiteitsprovider in te stellen.
Stap 1: Een directory maken
Als eerste stap bij het instellen van gebruikersprovisioning en identiteitsfederatie met VMware Identity Services, maakt u een directory in de Workspace ONE Cloud-console voor gebruikers en groepen die worden ingericht vanuit uw identiteitsprovider.
Procedure
Volgende stappen
Stel de gebruikers- en groepsprovisioning in.
Stap 2: Gebruikers- en groepsprovisioning instellen
Nadat u een directory heeft gemaakt in VMware Identity Services, stelt u gebruikers- en groepsprovisioning in. U start het proces in VMware Identity Services door de vereiste beheerdersinloggegevens voor provisioning te genereren en vervolgens configureert u provisioning in de identiteitsprovider met die inloggegevens.
Voorwaarden
U heeft een beheerdersaccount in de identiteitsprovider met de rechten die zijn vereist om gebruikersprovisioning in te stellen.
Procedure
Volgende stappen
Ga terug naar de Workspace ONE Cloud-console om door te gaan met de wizard van VMware Identity Services.
Stap 3: SCIM-gebruikerskenmerken toewijzen
Wijs de gebruikerskenmerken toe om vanuit uw identiteitsprovider te synchroniseren naar Workspace ONE-services. Voeg in de console van uw identiteitsprovider de vereiste SCIM-gebruikerskenmerken toe en wijs ze toe aan de kenmerken van uw identiteitsprovider. Synchroniseer minimaal de kenmerken die vereist zijn voor VMware Identity Services en Workspace ONE-services.
Voor VMware Identity Services en Workspace ONE-services zijn de volgende SCIM-gebruikerskenmerken vereist:
- userName
- emails
- name.givenName
- name.familyName
- externalId
- actief
Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor meer informatie over deze kenmerken en de toewijzing ervan aan Workspace ONE-kenmerken.
Naast de vereiste kenmerken kunt u optionele kenmerken en aangepaste kenmerken synchroniseren. Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor de lijst met ondersteunde optionele en aangepaste kenmerken.
Procedure
- Bekijk in de Workspace ONE Cloud-console, in stap 3 SCIM-gebruikerskenmerken toewijzen van de wizard van VMware Identity Services de lijst met kenmerken die VMware Identity Services ondersteunt.
- Ga in de beheerconsole van uw identiteitsprovider naar de provisioningconfiguratie voor Workspace ONE.
- Ga naar de pagina met kenmerktoewijzingen.
- Wijs de vereiste SCIM-gebruikerskenmerken toe aan de kenmerken van uw identiteitsprovider.
- Voeg zo nodig optionele en aangepaste SCIM-gebruikerskenmerken toe en wijs deze toe.
Volgende stappen
Ga terug naar de Workspace ONE Cloud-console om door te gaan met de wizard van VMware Identity Services.
Stap 4: Verificatieprotocol selecteren
Selecteer het protocol dat u wilt gebruiken voor federatieve verificatie. VMware Identity Services ondersteunt de OpenID Connect- en SAML-protocollen.
Procedure
Volgende stappen
Configureer VMware Identity Services en de identiteitsprovider voor federatieve verificatie.
Stap 5: Verificatie configureren (generieke SCIM-identiteitsprovider)
Om federatieve verificatie met uw identiteitsprovider te configureren, stelt u een OpenID Connect- of SAML-app in de identiteitsprovider in met behulp van de metagegevens van de serviceprovider van VMware Identity Services en configureert u VMware Identity Services met de waarden van de app.
OpenID Connect
Als u OpenID Connect als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.
- Kopieer in stap 5 OpenID Connect configureren van de wizard van VMware Identity Services, de waarde Omleidings-URI.
U heeft deze waarde nodig voor de volgende stap, wanneer u een OpenID Connect-app in uw identiteitsprovider maakt.
- Maak een OpenID Connect-app in de beheerconsole van de identiteitsprovider.
- Zoek de doorverwijzings-URI in de app en kopieer en plak de waarde voor de Doorverwijzings-URI die u heeft gekopieerd uit de wizard van VMware Identity Services.
- Maak een clientgeheim voor de app en kopieer het.
In de volgende stap voert u het geheim in de wizard van VMware Identity Services in.
- Ga terug naar de wizard van VMware Identity Services in de Workspace ONE Cloud-console en voltooi de configuratie in de sectie OpenID Connect configureren.
Client-ID Kopieer en plak de waarde voor de client-ID vanuit de identiteitsproviderapp. Clientgeheim Kopieer en plak het clientgeheim vanuit de identiteitsproviderapp. Configuratie-URL Kopieer en plak de bekende configuratie-URL van OpenID Connect vanuit de identiteitsproviderapp. Bijvoorbeeld: https://example.com/.well-known/openid-configuration Kenmerk voor OIDC-gebruikersidentificatie Geef het OpenID Connect-kenmerk op dat moet worden toegewezen aan het Workspace ONE-kenmerk voor gebruikersopzoekingen. Kenmerk voor Workspace ONE Access-gebruikersidentificatie Geef het Workspace ONE-kenmerk op dat aan het OpenID Connect-kenmerk moet worden toegewezen voor gebruikersopzoekingen. - Klik in de wizard van VMware Identity Services op Voltooien om het instellen van de integratie tussen VMware Identity Services en uw identiteitsprovider te voltooien.
SAML
Als u SAML als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.
- Haal de metagegevens van de serviceprovider op van de Workspace ONE Cloud-console.
Vanaf stap 5 SAML Single Sign-On configureren van de wizard van VMware Identity Services kopieert of downloadt u de Metagegevens van SAML-serviceprovider.
- Ga in de beheerconsole van de identiteitsprovider naar de configuratiepagina voor Single Sign-On.
- Configureer Single Sign-On met waarden uit de wizard van VMware Identity Services.
Typische configuratiestappen omvatten een van de volgende, op basis van wat de identiteitsprovider ondersteunt:
- Zoek de optie Metagegevens van serviceprovider en upload of kopieer en plak de metagegevens van de SAML-serviceprovider vanuit de wizard van VMware Identity Services.
- Als de identiteitsprovider geen optie heeft voor het uploaden van het metagegevensbestand, of als u de instellingen liever individueel configureert, kopieert en plakt u de volgende waarden uit stap 5 van de wizard van VMware Identity Services naar de bijbehorende velden in de console van de identiteitsprovider:
Waarde voor Entiteits-ID: bijvoorbeeld https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.
Waarde voor URL voor Single Sign-On: bijvoorbeeld https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.
Ondertekeningscertificaat
Versleutelingscertificaat (onder Geavanceerde opties): vereist als u van plan bent SAML-versleuteling in de identiteitsprovider in te schakelen.
- Zoek en kopieer de SAML-metagegevens van de identiteitsprovider vanuit de console van de identiteitsprovider.
- Plak in stap 5 SAML Single Sign-On configureren in de wizard van VMware Identity Services in de Workspace ONE Cloud-console, de metagegevens van de identiteitsprovider in het tekstvak Metagegevens van identiteitsprovider.
- Configureer zo nodig de overige opties in de sectie SAML Single Sign-On configureren.
- Bindingsprotocol: selecteer het SAML-bindingsprotocol, HTTP POST of HTTP-omleiding.
- Naam-ID-notatie: gebruik de instellingen voor Naam-ID-notatie en Naam-ID-waarde om gebruikers toe te wijzen tussen uw identiteitsprovider en VMware Identity Services. Voor de Naam-ID-notatie geeft u de notatie voor de naam-ID op die wordt gebruikt in het SAML-antwoord.
- Naam-ID-waarde: selecteer het VMware Identity Services-gebruikerskenmerk waaraan u de waarde voor de naam-ID wilt toewijzen die is ontvangen in het SAML-antwoord.
- SAML-context: selecteer de SAML-verificatiecontext. U kunt een van de waarden selecteren die in het vervolgkeuzemenu worden weergegeven of een aangepaste waarde typen. De standaardwaarde is urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified.
De verificatiecontext geeft aan hoe gebruikers worden geverifieerd bij de identiteitsprovider. De identiteitsprovider neemt de verificatiecontext op in een verklaring op verzoek van een serviceprovider of op basis van de configuratie bij de identiteitsprovider.
- Onderwerp in SAML-aanvraag verzenden (indien beschikbaar): selecteer deze optie als u het onderwerp als aanmeldingshint naar de identiteitsprovider wilt verzenden om de aanmeldingservaring van de gebruiker te verbeteren, indien beschikbaar.
- Toewijzing van naam-ID-notatie gebruiken voor onderwerp: selecteer deze optie als u de toewijzing van Naam-ID-notatie en de Naam-ID-waarde aan het onderwerp in de SAML-aanvraag wilt toepassen. Deze optie wordt gebruikt met de optie Onderwerp in SAML-aanvraag verzenden (indien beschikbaar).
Voorzichtig: Als u deze optie inschakelt, wordt het risico op een beveiligingskwetsbaarheid die bekend staat als gebruikersinventarisatie, mogelijk groter.
- SAML eenmalig uitloggen gebruiken: selecteer deze optie als u gebruikers wilt afmelden bij hun identiteitsprovidersessie nadat ze zich hebben afgemeld bij Workspace ONE-services.
- URL voor eenmalig uitloggen van identiteitsprovider: als uw identiteitsprovider SAML eenmalig uitloggen niet ondersteunt, kunt u deze optie gebruiken om de URL op te geven waarnaar gebruikers moeten worden doorverwezen nadat ze zich hebben afgemeld bij Workspace ONE-services. Als u deze optie gebruikt, schakelt u ook het selectievakje SAML eenmalig uitloggen in.
Als u deze optie leeg laat, worden gebruikers via SAML eenmalig uitloggen doorgestuurd naar de identiteitsprovider.
- Klik op Voltooien in de wizard om het instellen van de integratie tussen VMware Identity Services en uw identiteitsprovider te voltooien.
Resultaten
De integratie tussen VMware Identity Services en uw identiteitsprovider is voltooid.
De directory wordt gemaakt in VMware Identity Services en wordt ingevuld wanneer u gebruikers en groepen vanuit de provisioningapp in de identiteitsprovider pusht. Ingerichte gebruikers en groepen worden automatisch weergegeven in de Workspace ONE-services die u met de identiteitsprovider integreert, zoals Workspace ONE Access en Workspace ONE UEM.
U kunt de directory niet bewerken in de Workspace ONE Access- en Workspace ONE UEM-consoles. De pagina's voor directory, gebruikers, gebruikersgroepen, gebruikerskenmerken en identiteitsprovider zijn alleen-lezen.
Wat nu te doen
Selecteer vervolgens de Workspace ONE-services waarvoor u gebruikers en groepen wilt inrichten.
Vervolgens pusht u gebruikers en groepen van uw identiteitsprovider. Zie Gebruikers inrichten naar Workspace ONE.