Nadat VMware Identity Services voor uw Workspace ONE-tenant is ingeschakeld, stelt u de integratie met Okta in.

  1. Klik in de wizard Aan de slag met VMware Identity Services op Begin in stap 2 Een SCIM 2.0-gebaseerde identiteitsprovider integreren.""
  2. Klik op Instellen op de kaart Okta.

    ""

  3. Volg de wizard om de integratie met Okta in te stellen.

Stap 1: Een directory maken

Als eerste stap bij het instellen van gebruikersprovisioning en identiteitsfederatie met VMware Identity Services maakt u een directory in de Workspace ONE Cloud-console voor gebruikers en groepen die worden ingericht vanuit Okta.

Voorzichtig: Nadat u een directory heeft gemaakt, kunt u uw selectie van een identiteitsprovider niet meer wijzigen. Zorg ervoor dat u de juiste identiteitsprovider selecteert voordat u doorgaat.

Procedure

  1. Voer in stap 1 Algemene informatie van de wizard de naam in die u wilt gebruiken voor de ingerichte directory in Workspace ONE.
    De naam mag maximaal 128 tekens lang zijn. Alleen de volgende tekens zijn toegestaan: letters (a-z of equivalent in andere talen), cijfers (0-9), spatie, streepje (-) en onderstrepingsteken (_).
    Belangrijk: U kunt de naam van de directory niet meer wijzigen nadat deze is gemaakt.
  2. Voer voor Domeinnaam de primaire domeinnaam van uw brondirectory in, inclusief de extensie, bijvoorbeeld .com of .net.
    VMware Identity Services ondersteunt momenteel slechts één domein. Ingerichte gebruikers en groepen worden aan dit domein gekoppeld in Workspace ONE-services.

    De domeinnaam mag maximaal 100 tekens lang zijn. Alleen de volgende tekens zijn toegestaan: letters (a-z of equivalent in andere talen), cijfers (0-9), spatie, streepje (-), onderstrepingsteken (_) en punt (.).

    Bijvoorbeeld:

    In dit voorbeeld is de directorynaam Demo en is de domeinnaam example.com.
  3. Klik op Opslaan en bevestig uw selectie.

Volgende stappen

Stel de gebruikers- en groepsprovisioning in.

Gebruikers- en groepsprovisioning instellen (Okta)

Nadat u een directory heeft gemaakt in VMware Identity Services, stelt u gebruikers- en groepsprovisioning in. U start het proces in VMware Identity Services door de beheerdersinloggegevens te genereren die zijn vereist voor provisioning en vervolgens maakt u een provisioningapp in Okta om gebruikers en groepen in te richten naar Workspace ONE.

Voorwaarden

U heeft een beheerdersaccount in Okta met de rechten die zijn vereist om provisioning in te stellen.

Procedure

  1. Controleer en kopieer na het maken van een directory in de Workspace ONE Cloud-console de waarden die zijn gegenereerd in stap 2 Okta-applicatie configureren van de wizard.
    U heeft deze waarden nodig om de provisioningapp in Okta te configureren.
    • Tenant-URL: het SCIM 2.0-eindpunt van de VMware Identity Services-tenant. Kopieer de waarde.
    • Levensduur van token: de periode waarin het geheime token geldig is.

      Standaard genereert VMware Identity Services het token met een levensduur van zes maanden. Als u de levensduur van het token wilt wijzigen, klikt u op de pijl-omlaag, selecteert u een andere optie en klikt u op Opnieuw genereren om het token opnieuw te genereren met de nieuwe waarde.

      Belangrijk: Wanneer u de levensduur van het token bijwerkt, wordt het vorige token ongeldig en mislukt provisioning van gebruikers en groepen vanuit Okta. U moet opnieuw een nieuw token genereren en het nieuwe token kopiëren en plakken naar de Okta-app.
    • Geheim token: het token dat Okta vereist om gebruikers in te richten naar Workspace ONE. Kopieer de waarde door op het kopieerpictogram te klikken.
      Belangrijk: Zorg ervoor dat u het token kopieert voordat u op Volgende klikt. Nadat u op Volgende heeft geklikt, is het token niet langer zichtbaar en moet u een nieuw token genereren. Als u het token opnieuw genereert, wordt het vorige token ongeldig en mislukt provisioning. Zorg ervoor dat u het nieuwe token kopieert en plakt naar de Okta-app.

    Bijvoorbeeld:

    De tenant-URL heeft de notatie https://FQDN/usergroup/scim/v2 en de levensduur van het token is 12 maanden.

    Wanneer het token bijna verloopt, wordt een bannermelding weergegeven in de Workspace ONE Cloud-console. Als u ook e-mailmeldingen wilt ontvangen, zorg dan dat het selectievakje E-mail is ingeschakeld voor de instelling Vervaldata van geheime tokens voor Workspace ONE Access en Identity Services. U vindt de instelling op de pagina met Meldingsinstellingen in de Workspace ONE Cloud-console.
  2. Maak de provisioningapp in Okta.
    1. Meld u aan bij de Okta-beheerconsole.
    2. Selecteer in het linkernavigatievenster Applicaties > Applicaties.
    3. Klik op In appcatalogus bladeren.
    4. Zoek naar SCIM 2.0 Test App (OAuth Bearer Token).
    5. Klik op de pagina van de app op Integratie toevoegen.
    6. Op de pagina Add SCIM 2.0 Test App (OAuth Bearer Token) voert u op het tabblad Algemeen instellingen een naam voor de app in het tekstvak Toepassingslabel in. Bijvoorbeeld: VMware Identity Services - SCIM.
      De voorbeeldapp heeft de naam VMware Identity Services - SCIM.
    7. Klik op Volgende.
    8. Klik in het tabblad Aanmeldingsopties op Gereed onderaan de pagina.
      De pagina van de app wordt geopend.
    9. Selecteer het tabblad Provisioning op de pagina van de app.
    10. Klik op API-integratie configureren.
      ""
    11. Schakel het selectievakje API-integratie inschakelen in.
    12. Voltooi de sectie Integratie door de informatie van de wizard VMware Identity Services te kopiëren en te plakken.
      1. Kopieer de waarde voor Tenant-URL uit de wizard VMware Identity Services en plak deze in het tekstvak SCIM 2.0-basis-URL in de Okta-beheerconsole.
      2. Kopieer de waarde voor Geheim token uit de wizard VMware Identity Services en plak deze in het tekstvak OAuth Bearer Token in de Okta-beheerconsole.
      3. Klik op de knop API-inloggegevenstesten om de verbinding te testen.
        ""
      4. Zorg ervoor dat u het bericht SCIM 2.0-testapp (OAuth Bearer Token) is geverifieerd! ziet voordat u doorgaat.
      5. Klik op Opslaan.

        De pagina Provisioning naar app wordt weergegeven.

    13. Klik op de pagina Provisioning naar app op Bewerken en selecteer Inschakelen voor de volgende opties:
      • Gebruikers maken
      • Gebruikerskenmerken bijwerken
      • Gebruikers deactiveren
      ""
    14. Klik op Opslaan.

Volgende stappen

Ga terug naar de Workspace ONE Cloud-console om door te gaan met de wizard van VMware Identity Services.

Stap 3: SCIM-gebruikerskenmerken toewijzen

Wijs de gebruikerskenmerken toe om vanuit Okta te synchroniseren naar Workspace ONE-services. Voeg in de Okta-beheerconsole de vereiste SCIM-gebruikerskenmerken toe en wijs ze toe aan uw Okta-kenmerken. Synchroniseer minimaal de kenmerken die vereist zijn voor VMware Identity Services en Workspace ONE-services.

Voor VMware Identity Services en Workspace ONE-services zijn de volgende SCIM-gebruikerskenmerken vereist:

Okta-kenmerk SCIM-gebruikerskenmerk (vereist)
userName userName
user.email emails[type eq "work"].value
user.firstName name.givenName
user.lastName name.familyName
externalId externalId
actief actief
Opmerking: In de tabel ziet u de standaardtoewijzing tussen de vereiste SCIM-kenmerken en Okta-kenmerken. U kunt de SCIM-kenmerken toewijzen aan andere Okta-kenmerken dan die hier worden vermeld.

Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor meer informatie over deze kenmerken en de toewijzing ervan aan Workspace ONE-kenmerken.

Naast de vereiste kenmerken kunt u optionele kenmerken en aangepaste kenmerken synchroniseren. Zie Toewijzing van gebruikerskenmerken voor VMware Identity Services voor de lijst met ondersteunde optionele en aangepaste kenmerken.

Belangrijk: U kunt in Okta geen toewijzingen van groepskenmerken opgeven om te synchroniseren naar VMware Identity Services. U kunt alleen gebruikerskenmerken toewijzen.

Procedure

  1. Bekijk in de Workspace ONE Cloud-console, in stap 3 SCIM-gebruikerskenmerken toewijzen van de wizard van VMware Identity Services de lijst met kenmerken die VMware Identity Services ondersteunt.
  2. Navigeer in de Okta-beheerconsole naar de provisioningapp die u heeft gemaakt voor gebruikersprovisioning naar VMware Identity Services.
  3. Selecteer het tabblad Provisioning.
  4. Blader naar de sectie AppName Kenmerktoewijzingen en klik op Ga naar profieleditor.
  5. Klik op de pagina Profieleditor onder Kenmerken op Toewijzingen.
    ""
  6. Selecteer het tabblad Okta-gebruiker naar AppName .
    ""
  7. Wijs de vereiste SCIM-gebruikerskenmerken toe aan uw Okta-kenmerken en klik vervolgens op Toewijzingen opslaan.
    Opmerking: Het kenmerk externalId is impliciet ingesteld.
  8. Voeg zo nodig optionele en aangepaste SCIM-gebruikerskenmerken toe en wijs deze toe.
    Aangepaste kenmerken toevoegen:
    1. Klik in Stap 3: SCIM-gebruikerskenmerken toewijzen van de wizard VMware Identity Services op de link Externe kenmerken weergeven.
      In de sectie Aangepaste kenmerken worden de SCIM-kenmerken weergegeven die u in Okta als aangepaste kenmerken kunt toevoegen. Aangepaste VMware Identity Services-kenmerken hebben de naam urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services ondersteunt maximaal vijf aangepaste kenmerken.
      ""
    2. Klik in de Okta-beheerconsole op de pagina Profieleditor op + Kenmerk toevoegen.
      ""
    3. Voer de volgende informatie in het venster Kenmerk toevoegen in:
      Schermnaam: voer een schermnaam voor het kenmerk in. Bijvoorbeeld: customAttribute3.

      Naam van variabele: voer de kenmerknaam van de wizard VMware Identity Services in. Bijvoorbeeld: customAttribute3.

      Externe naam: voer de kenmerknaam van de wizard VMware Identity Services in. Bijvoorbeeld: customAttribute3.

      Externe naamruimte: voer urn:ietf:params:scim:schemas:extension:ws1b:2.0:User in. U kunt deze waarde ook kopiëren vanuit een van de aangepaste SCIM-kenmerken die worden vermeld in de wizard VMware Identity Services. Kopieer de naam van het SCIM-kenmerk zonder het achtervoegsel :customAttribute#.


      ""

      Bijvoorbeeld:


      ""
    4. Klik op Opslaan.
      Het nieuwe aangepaste kenmerk wordt weergegeven in de tabel Kenmerken.
    5. Klik op Toewijzingen en selecteer vervolgens het tabblad Okta-gebruiker aan AppName.
    6. Zoek het nieuwe aangepaste kenmerk in de rechterkolom en selecteer het kenmerk waaraan u het wilt toewijzen.
      Bijvoorbeeld:
      customAttribute3 is toegewezen aan user.title.
    7. Klik op Toewijzingen opslaan.
    8. Klik op Updates nu toepassen.

Volgende stappen

Ga terug naar de Workspace ONE Cloud-console om door te gaan met de wizard van VMware Identity Services.

Stap 4: Verificatieprotocol selecteren

Selecteer het protocol dat u wilt gebruiken voor federatieve verificatie. VMware Identity Services ondersteunt de OpenID Connect- en SAML-protocollen.

Voorzichtig: Maak uw keuze zorgvuldig. Nadat u het protocol heeft geselecteerd en de verificatie heeft geconfigureerd, kunt u het type protocol niet wijzigen zonder de directory te verwijderen.

Procedure

  1. In stap 4 Verificatieprotocol selecteren van de wizard selecteert u OpenID Connect of SAML.
  2. Klik op Volgende.
    De volgende stap van de wizard wordt weergegeven met de waarden die zijn vereist voor het configureren van het door u geselecteerde protocol.

Volgende stappen

Configureer VMware Identity Services en Okta voor federatieve verificatie.

Stap 5: Verificatie configureren (Okta)

Om federatieve verificatie met Okta te configureren, stelt u een OpenID Connect- of SAML-app in Okta in met behulp van de metagegevens van de serviceprovider van VMware Identity Services en configureert u VMware Identity Services met de waarden van de app.

Belangrijk: Zorg ervoor dat u in de Okta-beheerconsole afzonderlijke apps maakt voor de gebruikersprovisioning en de configuratie van de identiteitsprovider. U kunt niet dezelfde app gebruiken voor provisioning en verificatie.

OpenID Connect

Als u OpenID Connect als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.
Opmerking: Zie ook de documentatie voor Okta, OIDC-appintegraties maken, voor meer informatie en de nieuwste gebruikersinterface.
  1. Kopieer in stap 5 OpenID Connect configureren van de wizard van VMware Identity Services, de waarde Omleidings-URI.

    U heeft deze waarde nodig voor de volgende stap, wanneer u een OpenID Connect-applicatie in de Okta-beheerconsole maakt.

    ""
  2. Maak een OpenID Connect-app in Okta.
    1. Selecteer in de Okta-beheerconsole Applicaties > Applicaties in het linkerdeelvenster en klik vervolgens op Appintegratie maken.
    2. Selecteer OIDC - OpenID Connect in het venster Een nieuwe appintegratie maken.
    3. Selecteer voor Applicatietype Webapplicatie en klik vervolgens op Volgende.
    4. Geef op de pagina Nieuwe webappintegratie de volgende waarden op.

      Naam van appintegratie: voer een naam in voor de app.

      Type toekenning: selecteer Verificatiecode.

      Omleidings-URI's voor aanmelding: kopieer en plak de waarde Omleidings-URI die u heeft gekopieerd uit stap 5 van de wizard van VMware Identity Services.

      Toewijzingen - Gecontroleerde toegang: u kunt ervoor kiezen om de app nu aan een groep toe te wijzen, of later toewijzingen uit te voeren.

      Bijvoorbeeld:

      ""
    5. Klik op Opslaan.
  3. Zoek de client-ID en het clientgeheim van de Okta OpenID Connect-app.
    1. Selecteer het tabblad Algemeen.
    2. Zoek en kopieer de waarden voor Client-ID en Clientgeheim.
      ""

    U gebruikt deze waarden in de volgende stap.

  4. Ga terug naar de wizard van VMware Identity Services in de Workspace ONE Cloud-console en voltooi de configuratie in de sectie OpenID Connect configureren.
    Client-ID Kopieer en plak de waarde voor Client-ID vanuit de Okta OpenID Connect-app.
    Clientgeheim Kopieer en plak de waarde voor het clientgeheim vanuit de Okta OpenID Connect-app.
    Configuratie-URL Kopieer en plak de bekende configuratie-URL van OpenID Connect vanuit de Okta-app. Bijvoorbeeld: https://yourOktaOrg/.well-known/openid-configuration
    Kenmerk voor OIDC-gebruikersidentificatie Geef het OpenID Connect-kenmerk op dat moet worden toegewezen aan het Workspace ONE-kenmerk voor gebruikersopzoekingen.
    Kenmerk voor Workspace ONE Access-gebruikersidentificatie Geef het Workspace ONE-kenmerk op dat aan het OpenID Connect-kenmerk moet worden toegewezen voor gebruikersopzoekingen.
    ""
  5. Klik op Voltooien om het instellen van de integratie tussen VMware Identity Services en Okta te voltooien.

SAML

Als u SAML als verificatieprotocol heeft geselecteerd, voert u deze stappen uit.

Belangrijk: Zorg ervoor dat u een nieuwe app maakt voor de configuratie van de identiteitsprovider. U kunt niet dezelfde app gebruiken voor provisioning en verificatie.
  1. Maak een SAML-app in Okta.
    1. Selecteer in de Okta-beheerconsole Applicaties > Applicaties en klik vervolgens op Appintegratie maken.
      ""
    2. Selecteer SAML 2.0 en klik op Volgende in het venster Een nieuwe appintegratie maken.
    3. Voer in het venster SAML-integratie maken op het tabblad Algemene instellingen een naam in voor de SAML-app in het tekstvak Appnaam en klik vervolgens op Volgende.
    4. Kopieer en plak de waarden van VMware Identity Services op het tabblad SAML configureren van de nieuwe app.
      • Kopieer de waarde URL voor Single Sign-On uit stap 5 van de wizard VMware Identity Services en plak deze in het tekstvak URL voor Single Sign-On onder SAML-instellingen.
      • Kopieer de waarde voor Entiteits-ID uit stap 5 van de wizard van VMware Identity Services en plak deze in het tekstvak Audience URI (SP Entity ID).
      Figuur 1. Stap 5 van VMware Identity Services
      ""
      Figuur 2. Okta SAML-app
      ""
    5. Selecteer een waarde voor de Naam-ID-notatie.
    6. Klik op Geavanceerde instellingen weergeven en upload voor de optie Handtekeningscertificaat het Ondertekeningscertificaat uit stap 5 van de wizard van VMware Identity Services.
    7. Klik op Volgende en voltooi het instellen van de app.
  2. Haal de federatieve metagegevens op van Okta.
    1. Nadat de app is gemaakt, klikt u op het tabblad Aanmelden op Instructies voor instellen van SAML weergeven in het rechterdeelvenster.
    2. Kopieer in de sectie Optioneel de metagegevens van het tekstvak Stap 1: geef de volgende IDP-metagegevens op aan uw SP-provider.
      ""
  3. Plak in stap 5 van de wizard van VMware Identity Services in de Workspace ONE Cloud-console de metagegevens in het tekstvak Metagegevens van identiteitsprovider.
    ""
  4. Configureer zo nodig de overige opties in de sectie SAML Single Sign-On configureren.
    • Bindingsprotocol: selecteer het SAML-bindingsprotocol, HTTP POST of HTTP-omleiding.
    • Naam-ID-notatie: gebruik de instellingen voor Naam-ID-notatie en Naam-ID-waarde om gebruikers toe te wijzen tussen uw identiteitsprovider en VMware Identity Services. Voor de Naam-ID-notatie geeft u de notatie voor de naam-ID op die wordt gebruikt in het SAML-antwoord.
    • Naam-ID-waarde: selecteer het VMware Identity Services-gebruikerskenmerk waaraan u de waarde voor de naam-ID wilt toewijzen die is ontvangen in het SAML-antwoord.
    • Onderwerp in SAML-aanvraag verzenden (indien beschikbaar): selecteer deze optie als u het onderwerp als aanmeldingshint naar de identiteitsprovider wilt verzenden om de aanmeldingservaring van de gebruiker te verbeteren, indien beschikbaar.
    • Toewijzing van naam-ID-notatie gebruiken voor onderwerp: selecteer deze optie als u de toewijzing van Naam-ID-notatie en de Naam-ID-waarde aan het onderwerp in de SAML-aanvraag wilt toepassen. Deze optie wordt gebruikt met de optie Onderwerp in SAML-aanvraag verzenden (indien beschikbaar).
      Voorzichtig: Als u deze optie inschakelt, wordt het risico op een beveiligingskwetsbaarheid die bekend staat als gebruikersinventarisatie, mogelijk groter.
    • SAML eenmalig uitloggen gebruiken: selecteer deze optie als u gebruikers wilt afmelden bij hun identiteitsprovidersessie nadat ze zich hebben afgemeld bij Workspace ONE-services.
    • URL voor eenmalig uitloggen van identiteitsprovider: als uw identiteitsprovider SAML eenmalig uitloggen niet ondersteunt, kunt u deze optie gebruiken om de URL op te geven waarnaar gebruikers moeten worden doorverwezen nadat ze zich hebben afgemeld bij Workspace ONE-services. Als u deze optie gebruikt, schakelt u ook het selectievakje SAML eenmalig uitloggen in.

      Als u deze optie leeg laat, worden gebruikers via SAML eenmalig uitloggen doorgestuurd naar de identiteitsprovider.

    • Versleutelingscertificaat: upload dit certificaat naar de Okta SAML-app als u van plan bent SAML-versleuteling in Okta in te schakelen.
  5. Klik op Voltooien om het instellen van de integratie tussen VMware Identity Services en Okta te voltooien.

Resultaten

De integratie tussen VMware Identity Services en Okta is voltooid.

De directory wordt gemaakt in VMware Identity Services en wordt ingevuld wanneer u gebruikers en groepen vanuit de provisioningapp in Okta pusht. Ingerichte gebruikers en groepen worden automatisch weergegeven in de Workspace ONE-services die u met VMware Identity Services wilt gebruiken, zoals Workspace ONE Access en Workspace ONE UEM.

U kunt de directory niet bewerken in de Workspace ONE Access- en Workspace ONE UEM-consoles. De pagina's voor directory, gebruikers, gebruikersgroepen, gebruikerskenmerken en identiteitsprovider zijn alleen-lezen.

Wat nu te doen

Selecteer vervolgens de Workspace ONE-services waarvoor u gebruikers en groepen wilt inrichten.

Vervolgens pusht u gebruikers en groepen vanuit Okta. Zie Gebruikers inrichten naar Workspace ONE.