Nadat VMware Identity Services voor uw Workspace ONE-tenant is ingeschakeld, stelt u de integratie met Azure AD in.

  1. Klik in de wizard Aan de slag met VMware Identity Services op Begin in stap 2 Een SCIM 2.0-gebaseerde identiteitsprovider integreren.""
  2. Klik op Instellen op de kaart Microsoft Azure Active Directory.
    ""
  3. Volg de wizard om de integratie met Azure AD in te stellen.

Stap 1: Een directory maken

Als eerste stap bij het instellen van gebruikersprovisioning en identiteitsfederatie met VMware Identity Services, maakt u een directory in de Workspace ONE-console voor gebruikers en groepen die worden ingericht vanuit uw identiteitsprovider.

Voorzichtig: Nadat u een directory heeft gemaakt, kunt u uw selectie van een identiteitsprovider niet meer wijzigen. Zorg ervoor dat u de juiste identiteitsprovider selecteert voordat u doorgaat.

Procedure

  1. Voer in stap 1 Algemene informatie van de wizard de naam in die u wilt gebruiken voor de ingerichte directory in Workspace ONE.
    De naam mag maximaal 128 tekens lang zijn. Alleen de volgende tekens zijn toegestaan: letters (a-z of equivalent in andere talen), cijfers (0-9), spatie, streepje (-) en onderstrepingsteken (_).
    Belangrijk: U kunt de naam van de directory niet meer wijzigen nadat deze is gemaakt.
  2. Voer voor Domeinnaam de primaire domeinnaam van uw brondirectory in, inclusief de extensie, bijvoorbeeld .com of .net.
    VMware Identity Services ondersteunt momenteel slechts één domein. Ingerichte gebruikers en groepen worden aan dit domein gekoppeld in Workspace ONE-services.

    De domeinnaam mag maximaal 100 tekens lang zijn. Alleen de volgende tekens zijn toegestaan: letters (a-z of equivalent in andere talen), cijfers (0-9), spatie, streepje (-), onderstrepingsteken (_) en punt (.).

    Bijvoorbeeld:

    In dit voorbeeld is de directorynaam Demo en is de domeinnaam example.com.
  3. Klik op Opslaan en bevestig uw selectie.

Volgende stappen

Stel de gebruikers- en groepsprovisioning in.

Stap 2: Gebruikers- en groepsprovisioning instellen

Nadat u een directory heeft gemaakt in VMware Identity Services, stelt u gebruikers- en groepsprovisioning in. U start het proces in VMware Identity Services door de beheerdersinloggegevens te genereren die zijn vereist voor provisioning en vervolgens maakt u een provisioningapp in Azure AD om gebruikers en groepen in te richten naar Workspace ONE.

Belangrijk: De VMware Identity Services-app in de Azure AD-appgalerie wordt momenteel getest en wordt nog niet ondersteund. Maak een nieuwe bedrijfsapplicatie.

Voorwaarden

U heeft een beheerdersaccount in Azure AD met de rechten die zijn vereist om provisioning in te stellen.

Procedure

  1. Controleer en kopieer na het maken van een directory in de Workspace ONE-console de waarden die zijn gegenereerd in stap 2 Azure-bedrijfsapplicatie configureren, van de wizard.
    U heeft deze waarden nodig om de provisioningapp in Azure AD te configureren.
    • Tenant-URL: het SCIM 2.0-eindpunt van de VMware Identity Services-tenant. Kopieer de waarde.
    • Levensduur van token: de periode waarin het geheime token geldig is.

      Standaard genereert VMware Identity Services het token met een levensduur van zes maanden. Als u de levensduur van het token wilt wijzigen, klikt u op de pijl-omlaag, selecteert u een andere optie en klikt u op Opnieuw genereren om het token opnieuw te genereren met de nieuwe waarde.

      Belangrijk: Wanneer u de levensduur van het token bijwerkt, wordt het vorige token ongeldig en mislukt provisioning van gebruikers en groepen vanuit Azure AD. U moet opnieuw een nieuw token genereren en het nieuwe token kopiëren en plakken naar de Azure AD-app.
    • Geheim token: het token dat Azure AD vereist om gebruikers in te richten naar Workspace ONE. Kopieer de waarde door op het kopieerpictogram te klikken.
      Belangrijk: Zorg ervoor dat u het token kopieert voordat u op Volgende klikt. Nadat u op Volgende heeft geklikt, is het token niet langer zichtbaar en moet u een nieuw token genereren. Als u het token opnieuw genereert, wordt het vorige token ongeldig en mislukt provisioning. Zorg ervoor dat u het nieuwe token kopieert en plakt naar de Azure AD-app.

    Bijvoorbeeld:

    Stap 2 bevat een tenant-URL, de levensduur van het token van 6 maanden en een geheim token.
  2. Maak de provisioningapp in Azure AD.
    1. Meld u aan bij het beheercentrum van Azure Active Directory.
    2. Selecteer Bedrijfstoepassingen in het linkernavigatievenster.
    3. Klik op de pagina Bedrijfstoepassingen op + Nieuwe toepassing.
      ""
    4. Klik op de pagina Browsen in Azure AD-galerie op + Uw eigen toepassing maken.
      Belangrijk: De VMware Identity Services-galerie-app wordt momenteel getest en wordt nog niet ondersteund. Maak een nieuwe bedrijfsapplicatie.
    5. Selecteer in het deelvenster Uw eigen toepassing maken de optie Een willekeurige andere toepassing integreren die niet aanwezig is in de galerie (niet-galerie) en klik op Maken.
      Het tekstvak Wat is de naam van uw app bevat de voorbeeldwaarde scim-demo-app2.
    6. Nadat de applicatie is gemaakt, selecteert u Inrichten in het menu Beheren en klikt u op Aan de slag.
    7. Selecteer op de pagina Inrichten Automatisch voor Inrichtingsmodus.
    8. Voer onder Referenties voor beheerder de token-URL en het geheime token in die u heeft gekopieerd vanuit de stap Azure-bedrijfsapplicatie configureren van de Workspace ONE-wizard.
      Bijvoorbeeld:
      Inrichtingsmodus is Automatisch. De tekstvakken Tenant-URL en Token voor geheim bevatten de waarden die zijn gekopieerd van Workspace ONE.
    9. Klik op Verbinding testen.
    10. Controleer of het volgende bericht verschijnt: 
      De opgegeven verificatiegegevens zijn ingeschakeld om inrichting te autoriseren.

      Als er een fout wordt weergegeven, genereert u het geheime token opnieuw in de wizard van VMware Identity Services en kopieert en plakt u dit in de Azure-app. Klik vervolgens nogmaals op Verbinding testen.

    11. Klik op Opslaan om de configuratie op te slaan.

Volgende stappen

Ga terug naar de Workspace ONE-console om door te gaan met de wizard van VMware Identity Services.

Stap 3: SCIM-gebruikerskenmerken toewijzen

Wijs de gebruikerskenmerken toe om vanuit Azure AD te synchroniseren naar Workspace ONE-services. Voeg in het beheercentrum van Azure Active Directory de SCIM-gebruikerskenmerken toe en wijs deze toe aan Azure AD-kenmerken. Synchroniseer minimaal de kenmerken die vereist zijn voor VMware Identity Services en Workspace ONE-services.

Voor VMware Identity Services en Workspace ONE-services zijn de volgende SCIM-gebruikerskenmerken vereist:

Azure Active Directory-kenmerk SCIM-gebruikerskenmerk (vereist)
userPrincipalName userName
mail emails
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") actief
Opmerking: In de tabel ziet u de standaardtoewijzing tussen de vereiste SCIM-kenmerken en Azure AD-kenmerken. U kunt de SCIM-kenmerken echter toewijzen aan andere Azure AD-kenmerken dan die hier worden vermeld.

Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor meer informatie over deze kenmerken en hoe deze worden toegewezen aan Workspace ONE-kenmerken.

Naast de vereiste kenmerken kunt u optionele kenmerken en aangepaste kenmerken synchroniseren. Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor de lijst met ondersteunde optionele en aangepaste kenmerken.

Procedure

  1. Bekijk in de Workspace ONE-console in stap 3 SCIM-gebruikerskenmerken toewijzen van de wizard de lijst met kenmerken die VMware Identity Services ondersteunt.
  2. Navigeer in het beheercentrum van Azure Active Directory naar de provisioningapp die u heeft gemaakt voor gebruikersprovisioning naar VMware Identity Services.
  3. Selecteer Inrichten in het menu Beheren.
  4. Klik onder Inrichting beheren op Kenmerktoewijzingen beheren.

    ""
  5. Maak op de pagina Inrichten, in de sectie Toewijzingen, de volgende selecties.
    • Stel Azure Active Directory-groepen inrichten in op Ja.
    • Stel Azure Active Directory-gebruikers inrichten in op Ja.
    • Stel Inrichtingsstatus in op Aan.

    ""
  6. Klik op de link Azure Active Directory-gebruikers inrichten.
  7. Geef op de pagina Kenmerktoewijzing de vereiste kenmerktoewijzingen tussen Azure AD-kenmerken en SCIM-kenmerken op (customappsso-kenmerken).
    De vereiste kenmerken worden standaard opgenomen in de tabel Kenmerktoewijzingen. Controleer en update de toewijzingen zo nodig.
    1. Klik op het kenmerk in de tabel Kenmerktoewijzingen.
    2. Bewerk de toewijzingen. Voor Bronkenmerk selecteert u het Azure AD-kenmerk en voor Doelkenmerk selecteert u het SCIM-kenmerk.

      Bijvoorbeeld:


      objectId is geselecteerd als bronkenmerk en externalId is geselecteerd als doelkenmerk.
    Tip: In een nieuwe Azure AD SCIM-provisioningapp is mailNickname de standaardtoewijzing voor het SCIM-kenmerk externalId. U wordt aanbevolen de toewijzing van mailNickname aan objectId te wijzigen.
  8. Wijs indien nodig optionele gebruikerskenmerken toe die worden ondersteund door VMware Identity Services en Workspace ONE-services.
    • Sommige van de optionele kenmerken worden al in de Azure AD-app weergegeven. Als het kenmerk wordt weergegeven in de tabel Kenmerktoewijzing, klikt u erop om de toewijzing te bewerken. Of klik op Nieuwe toewijzing toevoegen en geef de toewijzing op. Voor Bronkenmerk selecteert u het Azure AD-kenmerk en voor Doelkenmerk selecteert u het SCIM-kenmerk.
    • Om kenmerken toe te voegen die deel uitmaken van de VMware Identity Services-schema-extensie (kenmerken met urn:ietf:params:scim:schemas:extension:ws1b: in hun pad):
      1. Schakel op de pagina Kenmerktoewijzing het selectievakje Geavanceerde opties weergeven in onderaan de pagina en klik op Kenmerklijst voor customappssos bewerken. Voeg het SCIM-kenmerk toe en klik op Opslaan .

        Zorg ervoor dat u het volledige pad van het SCIM-kenmerk gebruikt, bijvoorbeeld urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:userPrincipalName.

      2. Klik op de pagina Kenmerktoewijzing op Nieuwe toewijzing toevoegen en geef de toewijzing voor het nieuwe kenmerk op. Voor Bronkenmerk selecteert u het Azure AD-kenmerk en voor Doelkenmerk selecteert u het SCIM-kenmerk.
    Bekijk de lijst met optionele SCIM-kenmerken die worden ondersteund door VMware Identity Services en hoe deze worden toegewezen aan Workspace ONE-kenmerken in Toewijzing van gebruikerskenmerken voor VMware Identity Services.
  9. Wijs zo nodig aangepaste gebruikerskenmerken toe die worden ondersteund door VMware Identity Services en Workspace ONE-services.
    1. Schakel op de pagina Kenmerktoewijzing het selectievakje Geavanceerde opties weergeven in onderaan de pagina, klik op Kenmerklijst voor customappsso bewerken, voeg het aangepaste SCIM-kenmerk onderaan de lijst met kenmerken toe en klik op Opslaan.

      Zorg ervoor dat u het volledige pad van het SCIM-kenmerk gebruikt, bijvoorbeeld urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3.


      Een aangepast kenmerk, urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3, is toegevoegd.
    2. Klik op de pagina Kenmerktoewijzing op Nieuwe toewijzing toevoegen en geef de toewijzing voor het aangepaste SCIM-kenmerk op. Voor Bronkenmerk selecteert u het Azure AD-kenmerk en voor Doelkenmerk selecteert u het aangepaste SCIM-kenmerk dat u heeft toegevoegd.
    Bekijk de lijst met aangepaste SCIM-kenmerken die worden ondersteund door VMware Identity Services en hoe deze worden toegewezen aan Workspace ONE-kenmerken in Toewijzing van gebruikerskenmerken voor VMware Identity Services.

Volgende stappen

Ga terug naar de Workspace ONE-console om door te gaan met de wizard van VMware Identity Services.

Stap 4: Verificatieprotocol selecteren

Selecteer het protocol dat u wilt gebruiken voor federatieve verificatie. VMware Identity Services ondersteunt de OpenID Connect- en SAML-protocollen.

Procedure

  1. In stap 4 Verificatieprotocol selecteren van de wizard selecteert u OpenID Connect of SAML.
  2. Klik op Volgende.
    De volgende stap van de wizard wordt weergegeven met de waarden die zijn vereist voor het configureren van het door u geselecteerde protocol.

Volgende stappen

Configureer VMware Identity Services en de identiteitsprovider voor federatieve verificatie.

Stap 5: Verificatie configureren

Om federatieve verificatie met Azure AD te configureren, stelt u een OpenID Connect- of SAML-app in Azure AD in met behulp van de metagegevens van de serviceprovider van VMware Identity Services en configureert u VMware Identity Services met de waarden van de app.

OpenID Connect

Als u OpenID Connect als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.

  1. Kopieer in stap 5 OpenID Connect configureren van de wizard van VMware Identity Services, de waarde Omleidings-URI.

    U heeft deze waarde nodig voor de volgende stap, wanneer u een OpenID Connect-applicatie in het beheercentrum van Azure AD maakt.


    Er staat een kopieerpictogram naast de waarde van de Omleidings-URI.
  2. Ga in het beheercentrum van Azure Active Directory naar Bedrijfstoepassingen > App-registraties.
  3. Klik op Nieuwe registratie.
  4. Voer een naam voor de app in op de pagina Een toepassing registreren.
  5. Selecteer Web voor Omleidings-URI en kopieer en plak de waarde voor Omleidings-URI die u heeft gekopieerd uit de sectie OpenID Connect configureren van de wizard van VMware Identity Services.

    Bijvoorbeeld:


    ""
  6. Klik op Register.

    Het bericht De toepassing naam is gemaakt wordt weergegeven.

  7. Maak een clientgeheim voor de applicatie.
    1. Klik op de link Clientreferenties: Een certificaat of geheim toevoegen.
    2. Klik op + Nieuw clientgeheim.
    3. Voer in het deelvenster Een clientgeheim toevoegen een beschrijving en de vervalperiode voor het geheim in.
    4. Klik op Toevoegen.

      Het geheim wordt gegenereerd en wordt weergegeven op het tabblad Clientgeheimen.

    5. Kopieer de geheime waarde door op het kopieerpictogram ernaast te klikken.

      Als u de pagina verlaat zonder het geheim te kopiëren, moet u een nieuw geheim genereren.

      U voert in een latere stap het geheim in de wizard van VMware Identity Services in.


      De pagina Certificaten en geheimen geeft het geheim weer op het tabblad Clientgeheimen.
  8. Geef de applicatie toestemming om de API's van VMware Identity Services aan te roepen.
    1. Selecteer API-machtigingen onder Beheren.
    2. Klik op Beheerderstoestemming toekennen voor organisatie en klik op Ja in het bevestigingsvenster.
  9. Kopieer de client-ID.
    1. Selecteer Overzicht in het linkerdeelvenster op de applicatiepagina.
    2. Kopieer de waarde voor Client-id voor de toepassing.

      U voert in een latere stap de client-ID in de wizard van VMware Identity Services in.


      De waarde voor Client-id voor de toepassing bevindt zich in het gedeelte Essentials en er staat een kopieerpictogram naast.
  10. Kopieer de waarde voor het OpenID Connect-metagegevensdocument.
    1. Klik op de pagina Overzicht voor de applicatie op Eindpunten.
    2. Kopieer in het deelvenster Eindpunten de waarde voor het OpenID Connect-metagegevensdocument.
      ""

    U voert in de volgende stap de client-ID in de wizard van VMware Identity Services in.

  11. Ga terug naar de wizard van VMware Identity Services in de Workspace ONE-console en voltooi de configuratie in de sectie OpenID Connect configureren.
    Client-ID van applicatie Plak de waarde voor client-ID van applicatie die u heeft gekopieerd uit de Azure AD OpenID Connect-app.
    Clientgeheim Plak het clientgeheim dat u heeft gekopieerd uit de Azure AD OpenID Connect-app.
    Configuratie-URL Plak de waarde voor het OpenID Connect-metagegevensdocument die u uit de Azure AD OpenID Connect-app heeft gekopieerd.
    Kenmerk voor OIDC-gebruikersidentificatie Het e-mailkenmerk wordt toegewezen aan het Workspace ONE-kenmerk voor gebruikersopzoekingen.
    Kenmerk voor Workspace ONE Access-gebruikersidentificatie Geef het Workspace ONE-kenmerk op dat aan het OpenID Connect-kenmerk moet worden toegewezen voor gebruikersopzoekingen.
  12. Klik op Voltooien om het instellen van de integratie tussen VMware Identity Services en Azure AD te voltooien.

SAML

Als u SAML als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.

  1. Haal de metagegevens van de serviceprovider op van de Workspace ONE-console.

    In stap 5 SAML Single Sign-On inschakelen van de wizard van VMware Identity Services kopieert u de Metagegevens van SAML-serviceprovider.


    ""
  2. Configureer de app in Azure AD.
    1. Selecteer Bedrijfstoepassingen in het linkerdeelvenster van het beheercentrum van Azure Active Directory.
    2. Zoek en selecteer de provisioningapp die u in Stap 2: Gebruikers- en groepsprovisioning instellen heeft gemaakt.
    3. Selecteer Eenmalige aanmelding in het menu Beheren.
    4. Selecteer SAML als Single Sign-On-methode.
      ""
    5. Klik op Metagegevensbestand uploaden, selecteer het metagegevensbestand dat u heeft gekopieerd uit de Workspace ONE-console en klik op Toevoegen.
      De optie Metagegevensbestand uploaden staat bovenaan de pagina Eenmalige aanmelding instellen met SAML.
    6. Controleer de volgende waarden in het deelvenster Standaard SAML-configuratie:
      • De waarde voor Id (identiteits-id) moet de waarde voor entityID uit het Workspace ONE-metagegevensbestand zijn.

        Bijvoorbeeld: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • De waarde voor Antwoord-URL (URL voor Assertion Consumer Service) moet de waarde voor AssertionConsumerService HTTP-POST Location uit het Workspace ONE-metagegevensbestand zijn.

        Bijvoorbeeld: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

    7. Klik in de sectie SAML-certificaten op de link Downloaden naast XML-bestand met federatieve metagegevens om de metagegevens te downloaden.
      ""
  3. Kopieer en plak in de Workspace ONE-console de XML met federatiemetagegevens uit het bestand dat u heeft gedownload uit Azure AD naar het tekstvak Metagegevens van identiteitsprovider in stap 5 van de wizard van VMware Identity Services.
    In stap 5 van de wizard wordt in het tekstvak Metagegevens van identiteitsprovider de XML met federatiemetagegevens weergegeven.
  4. Configureer de overige opties in de sectie SAML Single Sign-On configureren.
    • Eenmalig afmelden: selecteer deze optie als u gebruikers wilt afmelden bij hun identiteitsprovidersessie nadat ze zich hebben afgemeld bij Workspace ONE Intelligent Hub.
    • Bindingsprotocol: selecteer het SAML-bindingsprotocol, HTTP POST of HTTP-omleiding.
    • Opmaak van naam-ID: geef de indeling voor de naam-ID op die moet worden gebruikt om gebruikers toe te wijzen tussen Azure AD en Workspace ONE-services.
    • Waarde van naam-ID: selecteer het gebruikerskenmerk voor gebruikers in Workspace ONE.
  5. Klik op Voltooien om het instellen van de integratie tussen VMware Identity Services en Azure AD te voltooien.

Resultaten

De integratie tussen VMware Identity Services en Azure AD is voltooid.

De directory wordt gemaakt in VMware Identity Services en wordt ingevuld wanneer u gebruikers en groepen vanuit de provisioningapp in Azure AD pusht. Ingerichte gebruikers en groepen worden automatisch weergegeven in de Workspace ONE-services die u met Azure AD integreert, zoals Workspace ONE Access en Workspace ONE UEM.

U kunt de directory niet bewerken in de Workspace ONE Access- en Workspace ONE UEM-consoles. De pagina's voor directory, gebruikers, gebruikersgroepen, gebruikerskenmerken en identiteitsprovider zijn alleen-lezen.

Wat nu te doen

Selecteer vervolgens de Workspace ONE-services waarvoor u gebruikers en groepen wilt inrichten.

Push vervolgens gebruikers en groepen vanuit de Azure AD-provisioningapp. Zie Gebruikers inrichten naar Workspace ONE.