Nadat u VMware Identity Services voor uw Workspace ONE-tenant heeft ingeschakeld, stelt u de integratie met de SCIM 2.0-gebaseerde identiteitsprovider in.

  1. Klik in de wizard Aan de slag met VMware Identity Services op Begin in stap 2 Een SCIM 2.0-gebaseerde identiteitsprovider integreren.""
  2. Klik op Instellen op de kaart SCIM 2.0-identiteitsprovider.
    ""
  3. Volg de wizard om de integratie met uw identiteitsprovider in te stellen.

Stap 1: Een directory maken

Als eerste stap bij het instellen van gebruikersprovisioning en identiteitsfederatie met VMware Identity Services, maakt u een directory in de Workspace ONE-console voor gebruikers en groepen die worden ingericht vanuit uw identiteitsprovider.

Voorzichtig: Nadat u een directory heeft gemaakt, kunt u uw selectie van een identiteitsprovider niet meer wijzigen. Zorg ervoor dat u de juiste identiteitsprovider selecteert voordat u doorgaat.

Procedure

  1. Voer in stap 1 Algemene informatie van de wizard de naam in die u wilt gebruiken voor de ingerichte directory in Workspace ONE.
    De naam mag maximaal 128 tekens lang zijn. Alleen de volgende tekens zijn toegestaan: letters (a-z of equivalent in andere talen), cijfers (0-9), spatie, streepje (-) en onderstrepingsteken (_).
    Belangrijk: U kunt de naam van de directory niet meer wijzigen nadat deze is gemaakt.
  2. Voer voor Domeinnaam de primaire domeinnaam van uw brondirectory in, inclusief de extensie, bijvoorbeeld .com of .net.
    VMware Identity Services ondersteunt momenteel slechts één domein. Ingerichte gebruikers en groepen worden aan dit domein gekoppeld in Workspace ONE-services.

    De domeinnaam mag maximaal 100 tekens lang zijn. Alleen de volgende tekens zijn toegestaan: letters (a-z of equivalent in andere talen), cijfers (0-9), spatie, streepje (-), onderstrepingsteken (_) en punt (.).

    Bijvoorbeeld:

    In dit voorbeeld is de directorynaam Demo en is de domeinnaam example.com.
  3. Klik op Opslaan en bevestig uw selectie.

Volgende stappen

Stel de gebruikers- en groepsprovisioning in.

Stap 2: Gebruikers- en groepsprovisioning instellen

Nadat u een directory heeft gemaakt in VMware Identity Services, stelt u gebruikers- en groepsprovisioning in. U start het proces in VMware Identity Services door de vereiste beheerdersinloggegevens voor provisioning te genereren en vervolgens configureert u provisioning in de identiteitsprovider met die inloggegevens.

Opmerking: Dit onderwerp is van toepassing op integratie met een andere SCIM 2.0-identiteitsprovider dan Azure AD. Zie Stap 2: Gebruikers- en groepsprovisioning instellen voor integratie met Azure AD.
Opmerking: Dit onderwerp bevat algemene informatie over het configureren van een externe identiteitsprovider. De exacte stappen en locaties voor de taken verschillen afhankelijk van uw identiteitsprovider. Raadpleeg de documentatie voor de identiteitsprovider voor specifiek informatie.

Voorwaarden

U heeft een beheerdersaccount in de identiteitsprovider met de rechten die zijn vereist om gebruikersprovisioning in te stellen.

Procedure

  1. Selecteer in de Workspace ONE-console in stap 2 Identiteitsprovider configureren in de wizard van VMware Identity Services het type verificatiegegevens dat is vereist om de gebruikersprovisioning in uw identiteitsprovider in te stellen.
    Kies tussen:
    • Client-ID en -geheim
    • Tenant-URL en -token

    Omdat tokens verlopen en handmatig moeten worden bijgewerkt, heeft Client-ID en -geheim de voorkeur. De aanbevolen beveiligingspraktijk de combinatie van client-ID en clientgeheim elke zes maanden te wijzigen.

    Wanneer u op Volgende klikt, genereert VMware Identity Services de verificatiegegevens.
  2. Als u Client-ID en -geheim heeft geselecteerd, kopieert u de waarden voor Client-ID en Clientgeheim.
    Belangrijk: Zorg ervoor dat u het geheim kopieert voordat u op Volgende klikt. Nadat u op Volgende heeft geklikt, is het geheim niet langer zichtbaar en moet u een nieuw geheim genereren. Houd er rekening mee dat wanneer u het geheim opnieuw genereert, het vorige geheim ongeldig wordt en provisioning mislukt. Zorg ervoor dat u het nieuwe geheim kopieert en plakt in de identiteitsproviderapp.

    Bijvoorbeeld:

    De waarden Client-id en Clientgeheim worden weergegeven met een kopieerpictogram ernaast.
  3. Als u Tenant-URL en -token heeft geselecteerd, controleert u de gegenereerde waarden en kopieert u deze.
    • Tenant-URL: het SCIM 2.0-eindpunt van de VMware Identity Services-tenant. Kopieer de waarde.
    • Levensduur van token: de periode waarvoor het geheime token geldig is

      Standaard genereert VMware Identity Services het token met een standaardlevensduur van 6 maanden. Als u de levensduur van het token wilt wijzigen, klikt u op de pijl-omlaag, selecteert u een andere optie en klikt u op Opnieuw genereren om het token opnieuw te genereren met de nieuwe waarde.

      Belangrijk: Wanneer u de levensduur van het token bijwerkt, wordt het vorige token ongeldig en mislukt provisioning van gebruikers en groepen vanuit de identiteitsprovider. U moet een nieuw token opnieuw genereren en het nieuwe token kopiëren en plakken naar de identiteitsprovider.
    • Geheim token: het token dat de identiteitsprovider vereist om gebruikers in te richten naar Workspace ONE. Kopieer de waarde.
      Belangrijk: Zorg ervoor dat u het token kopieert voordat u op Volgende klikt. Nadat u op Volgende heeft geklikt, is het token niet langer zichtbaar en moet u een nieuw token genereren. Houd er rekening mee dat wanneer u het token opnieuw genereert, het vorige token ongeldig wordt en provisioning mislukt. Zorg ervoor dat u het nieuwe token kopieert en plakt in de identiteitsprovider.

    Bijvoorbeeld:

    Waarden voor Tenant-URL en Geheim token worden weergegeven. De levensduur van het token is 6 maanden.
  4. Stel in uw identiteitsprovider gebruikers- en groepsprovisioning in voor Workspace ONE.
    1. Meld u als beheerder aan bij de console van uw identiteitsprovider.
    2. Stel SCIM 2.0-provisioning in.
      Voer de verificatiegegevens in die u in de Workspace ONE-console heeft gegenereerd, wanneer u daarom wordt gevraagd.
    3. Activeer de provisioning.

Volgende stappen

Ga terug naar de Workspace ONE-console om door te gaan met de wizard van VMware Identity Services.

Stap 3: SCIM-gebruikerskenmerken toewijzen

Wijs de gebruikerskenmerken toe om vanuit uw identiteitsprovider te synchroniseren naar Workspace ONE-services. Voeg in de console van uw identiteitsprovider de vereiste SCIM-gebruikerskenmerken toe en wijs ze toe aan de kenmerken van uw identiteitsprovider. Synchroniseer minimaal de kenmerken die vereist zijn voor VMware Identity Services en Workspace ONE-services.

Voor VMware Identity Services en Workspace ONE-services zijn de volgende SCIM-gebruikerskenmerken vereist:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • actief

Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor meer informatie over deze kenmerken en de toewijzing ervan aan Workspace ONE-kenmerken.

Naast de vereiste kenmerken kunt u optionele kenmerken en aangepaste kenmerken synchroniseren. Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor de lijst met ondersteunde optionele en aangepaste kenmerken.

Opmerking: U kunt in Okta geen toewijzingen van groepskenmerken opgeven om te synchroniseren naar VMware Identity Services. U kunt alleen gebruikerskenmerken toewijzen.

Procedure

  1. Bekijk in de Workspace ONE-console, in stap 3 SCIM-gebruikerskenmerken toewijzen van de wizard van VMware Identity Services de lijst met kenmerken die VMware Identity Services ondersteunt.
  2. Ga in de beheerconsole van uw identiteitsprovider naar de provisioningconfiguratie voor Workspace ONE.
  3. Ga naar de pagina met kenmerktoewijzingen.
  4. Wijs de vereiste SCIM-gebruikerskenmerken toe aan de kenmerken van uw identiteitsprovider.
  5. Voeg zo nodig optionele en aangepaste SCIM-gebruikerskenmerken toe en wijs deze toe.

Volgende stappen

Ga terug naar de Workspace ONE-console om door te gaan met de wizard van VMware Identity Services.

Stap 4: Verificatieprotocol selecteren

Selecteer het protocol dat u wilt gebruiken voor federatieve verificatie. VMware Identity Services ondersteunt de OpenID Connect- en SAML-protocollen.

Procedure

  1. In stap 4 Verificatieprotocol selecteren van de wizard selecteert u OpenID Connect of SAML.
  2. Klik op Volgende.
    De volgende stap van de wizard wordt weergegeven met de waarden die zijn vereist voor het configureren van het door u geselecteerde protocol.

Volgende stappen

Configureer VMware Identity Services en de identiteitsprovider voor federatieve verificatie.

Stap 5: Verificatie configureren (generieke SCIM-identiteitsprovider)

Om federatieve verificatie met uw identiteitsprovider te configureren, stelt u een OpenID Connect- of SAML-app in de identiteitsprovider in met behulp van de metagegevens van de serviceprovider van VMware Identity Services en configureert u VMware Identity Services met de waarden van de app.

Belangrijk: Wanneer u VMware Identity Services met Okta integreert, moet u in de Okta-beheerconsole afzonderlijke apps maken voor de gebruikersprovisioning en de configuratie van de identiteitsprovider. U kunt niet dezelfde app gebruiken voor provisioning en verificatie.
Opmerking: Dit onderwerp bevat algemene informatie over het configureren van een externe identiteitsprovider. De exacte stappen voor de taken verschillen afhankelijk van uw identiteitsprovider. Raadpleeg de documentatie voor de identiteitsprovider voor specifiek informatie.

OpenID Connect

Als u OpenID Connect als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.

  1. Kopieer in stap 5 OpenID Connect configureren van de wizard van VMware Identity Services, de waarde Omleidings-URI.

    U heeft deze waarde nodig voor de volgende stap, wanneer u een OpenID Connect-app in uw identiteitsprovider maakt.

    ""

  2. Maak een OpenID Connect-app in de beheerconsole van de identiteitsprovider.
  3. Zoek de doorverwijzings-URI in de app en kopieer en plak de waarde voor de Doorverwijzings-URI die u heeft gekopieerd uit de wizard van VMware Identity Services.
  4. Maak een clientgeheim voor de app en kopieer het.

    In de volgende stap voert u het geheim in de wizard van VMware Identity Services in.

  5. Ga terug naar de wizard van VMware Identity Services in de Workspace ONE-console en voltooi de configuratie in de sectie OpenID Connect configureren.
    Client-ID Kopieer en plak de waarde voor de client-ID vanuit de identiteitsproviderapp.
    Clientgeheim Kopieer en plak het clientgeheim vanuit de identiteitsproviderapp.
    Configuratie-URL Kopieer en plak de bekende configuratie-URL van OpenID Connect vanuit de identiteitsproviderapp. Bijvoorbeeld: https://example.com/.well-known/openid-configuration
    Kenmerk voor OIDC-gebruikersidentificatie Geef het OpenID Connect-kenmerk op dat moet worden toegewezen aan het Workspace ONE-kenmerk voor gebruikersopzoekingen.
    Kenmerk voor Workspace ONE Access-gebruikersidentificatie Geef het Workspace ONE-kenmerk op dat aan het OpenID Connect-kenmerk moet worden toegewezen voor gebruikersopzoekingen.
  6. Klik in de wizard van VMware Identity Services op Voltooien om het instellen van de integratie tussen VMware Identity Services en uw identiteitsprovider te voltooien.

SAML

Als u SAML als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.

  1. Haal de metagegevens van de serviceprovider op van de Workspace ONE-console.

    Vanaf stap 5 SAML Single Sign-On configureren van de wizard van VMware Identity Services kopieert u of bekijkt en downloadt u de Metagegevens van SAML-serviceprovider.


    ""
  2. Ga in de beheerconsole van de identiteitsprovider naar de configuratiepagina voor Single Sign-On.
    Belangrijk: Als u VMware Identity Services met Okta integreert, moet u in Okta een afzonderlijke SAML-app maken voor verificatie. U kunt niet dezelfde app gebruiken voor provisioning en verificatie.
  3. Configureer Single Sign-On met waarden uit de wizard van VMware Identity Services.

    Typische configuratiestappen omvatten een van de volgende, op basis van wat de identiteitsprovider ondersteunt:

    • Zoek de optie Metagegevens van serviceprovider en upload of kopieer en plak de metagegevens van de SAML-serviceprovider vanuit de wizard van VMware Identity Services.
    • Als de identiteitsprovider geen optie heeft voor het uploaden van de metagegevens, kopieert en plakt u de volgende waarden uit de metagegevens van de VMware Identity Services SAML-serviceprovider naar de overeenkomstige velden in de console van de identiteitsprovider:

      Waarde voor entityID: bijvoorbeeld https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Waarde voor AssertionConsumerService HTTP-POST Location: bijvoorbeeld https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

  4. Zoek en kopieer de SAML-metagegevens van de identiteitsprovider vanuit de console van de identiteitsprovider.
  5. Plak in stap 5 SAML Single Sign-On configureren in de wizard van VMware Identity Services in de Workspace ONE-console, de metagegevens van de identiteitsprovider in het tekstvak Metagegevens van identiteitsprovider.
    ""
  6. Configureer de overige opties in de sectie SAML Single Sign-On configureren.
    • Eenmalig afmelden: selecteer deze optie als u gebruikers wilt afmelden bij hun identiteitsprovidersessie nadat ze zich hebben afgemeld bij Workspace ONE Intelligent Hub.
    • Bindingsprotocol: selecteer het SAML-bindingsprotocol, HTTP POST of HTTP-omleiding.
    • Opmaak van naam-ID: geef de indeling voor de naam-ID op die moet worden gebruikt om gebruikers toe te wijzen tussen uw identiteitsprovider en Workspace ONE-services.
    • Waarde van naam-ID: selecteer het gebruikerskenmerk voor gebruikers in Workspace ONE.
    • Onderwerp in SAML-aanvraag verzenden (indien beschikbaar): selecteer deze optie als u wilt dat de identiteitsprovider het onderwerp als aanmeldingshint naar VMware Identity Services verzendt, indien beschikbaar. Als u deze optie selecteert, kunt u ook Toewijzing van naam-ID-indeling voor onderwerp gebruiken selecteren.
    • Toewijzing van naam-ID-indeling voor onderwerp gebruiken: selecteer deze optie om de indeling voor de naam-ID te gebruiken om de aanmeldingshint die door de identiteitsprovider is opgegeven, aan de waarde voor naam-ID toe te wijzen.
      Voorzichtig: Als u deze optie inschakelt, wordt het risico op een beveiligingskwetsbaarheid die bekend staat als gebruikersinventarisatie, mogelijk groter.
  7. Klik op Voltooien in de wizard om het instellen van de integratie tussen VMware Identity Services en uw identiteitsprovider te voltooien.

Resultaten

De integratie tussen VMware Identity Services en uw identiteitsprovider is voltooid.

De directory wordt gemaakt in VMware Identity Services en wordt ingevuld wanneer u gebruikers en groepen vanuit de provisioningapp in de identiteitsprovider pusht. Ingerichte gebruikers en groepen worden automatisch weergegeven in de Workspace ONE-services die u met de identiteitsprovider integreert, zoals Workspace ONE Access en Workspace ONE UEM.

U kunt de directory niet bewerken in de Workspace ONE Access- en Workspace ONE UEM-consoles. De pagina's voor directory, gebruikers, gebruikersgroepen, gebruikerskenmerken en identiteitsprovider zijn alleen-lezen.

Wat nu te doen

Selecteer vervolgens de Workspace ONE-services waarvoor u gebruikers en groepen wilt inrichten.

Vervolgens pusht u gebruikers en groepen van uw identiteitsprovider. Zie Gebruikers inrichten naar Workspace ONE.