При добавлении и настройке новых экземпляров поставщиков удостоверений для развертывания VMware Identity Manager можно обеспечить высокую доступность, поддержку дополнительных методов проверки подлинности пользователей, а также предоставить более удобные способы управления процессом проверки подлинности на основе диапазонов IP-адресов пользователей.
Необходимые условия
Получите доступ к документу с метаданными стороннего поставщика. Это может быть URL-адрес метаданных или фактические метаданные.
Процедура
- В консоли VMware Identity Manager на вкладке «Управление учетными данными и доступом» выберите Поставщики удостоверений.
- Щелкните Добавить поставщика удостоверений.
- Измените параметры экземпляра поставщика удостоверений.
Элемент формы
Описание
Имя поставщика удостоверений
Введите имя этого экземпляра поставщика удостоверений.
Метаданные SAML
Добавьте XML-документ с метаданными сторонних поставщиков удостоверений для установления отношения доверия с поставщиком удостоверений.
Введите в текстовое поле URL-адрес метаданных SAML или xml-содержимое. Щелкните Обработка метаданных поставщика удостоверений.
Выберите способ идентификации пользователя. Идентификатор, отправленный во входящем утверждении SAML, может быть отправлен в субъекте или в операторе атрибута.
Элемент NameID. Элемент NameID извлекается в качестве оператора атрибута SAML.
Атрибут SAML.
Если выбран атрибут SAML, форматы идентификаторов имен, поддерживаемые поставщиком удостоверений, извлекаются из метаданных и добавляются в таблицу «Форматы идентификаторов имен».
В столбце Значение идентификатора имени выберите атрибут пользователя в службе для сопоставления с отображаемыми форматами идентификаторов. Можно добавлять настраиваемые форматы идентификаторов имен сторонних производителей и сопоставлять их со значениями атрибутов пользователей в службе.
(Необязательно.) Выберите формат строки для идентификатора ответа политики NameID.
Моментальная регистрация
Н/Д
Пользователи
Выберите Другой каталог, куда входят пользователи, которые могут могут проходить проверку подлинности с помощью этого поставщика удостоверений.
Сеть
Перечисляются существующие сетевые диапазоны, настроенные в службе.
Выберите сетевые диапазоны для пользователей на основе их IP-адресов, которые вы хотите направлять в этот экземпляр поставщика удостоверений для проверки подлинности.
Способы проверки подлинности
Добавьте способы проверки подлинности, поддерживаемые сторонним поставщиком удостоверений. Выберите класс контекста проверки подлинности SAML, который поддерживает соответствующий способ проверки подлинности.
Конфигурация единого выхода
Когда пользователи входят в Workspace ONE с помощью стороннего поставщика удостоверений, открываются два сеанса: один для стороннего поставщика удостоверений, а второй для поставщика службы средства управления учетными данными для Workspace ONE. Управление временем действия этих сеансов осуществляется независимо. Когда пользователи выходят из Workspace ONE, сеанс Workspace ONE закрывается, но сеанс стороннего поставщика удостоверений все еще может быть открыт. В зависимости от требований безопасности можно включить единый выход и настроить его так, чтобы выходить из обоих сеансов, или же не реагировать на сеанс стороннего поставщика удостоверений.
Вариант настройки 1
Единый выход можно включить при настройке стороннего поставщика удостоверений. Если сторонний поставщик удостоверений поддерживает протокол единого выхода (SLO) на основе SAML, пользователи будут выходить из обоих сеансов при выходе c портала Workspace ONE. Текстовое поле URL-адреса перенаправления не настраивается.
Если сторонний поставщик удостоверений не поддерживает единый выход на основе SAML, можно включить единый выход, а в текстовом поле URL-адреса перенаправления указать URL-адрес конечной точки единого выхода поставщика удостоверений. Можно также добавить для URL-адреса параметр перенаправления, чтобы перенаправлять пользователей в определенную конечную точку. Пользователи перенаправляются по этому URL-адресу при выходе с портала Workspace ONE. При этом они также выходят из службы поставщика удостоверений.
Вариант настройки 2
Еще один вариант единого выхода — выполнить выход пользователей с портала Workspace ONE и перенаправить их по URL-адресу настроенной конечной точки. Нужно включить единый выход, указать URL-адрес в текстовом поле URL-адреса перенаправления и параметр перенаправления к настроенной конечной точке. Когда пользователи выходят с портала Workspace ONE, они направляются на эту страницу, где может отображаться настроенное сообщение. Сеанс со сторонним поставщиком удостоверений может оставаться открытым. Укажите URL-адрес в следующем формате: https://<URL-адрес_доступа_VIDM>/SAAS/auth/federation/slo.
Если единый выход не включен, можно использовать конфигурацию по умолчанию в службе VMware Identity Manager, чтобы перенаправлять пользователей обратно на страницу входа на портал Workspace ONE при их выходе из системы. Сеанс со сторонним поставщиком удостоверений может оставаться открытым.
Сертификат подписи SAML
Щелкните Метаданные поставщика услуг (SP) , чтобы увидеть URL-адрес для метаданных поставщика услуг SAML VMware Identity Manager. Скопируйте и сохраните URL-адрес. Этот URL-адрес указывается при редактировании оператора контроля SAML в стороннем поставщике удостоверений для сопоставления с пользователями VMware Identity Manager.
Имя узла поставщика удостоверений
Если отображается текстовое поле «Имя узла», введите имя узла, куда перенаправляется поставщик удостоверений для проверки подлинности. Если используется нестандартный порт, отличный от 443, имя узла можно указать как «Имя_узла:Порт». Например, myco.example.com:8443.
- Нажмите кнопку Добавить.
Дальнейшие действия
Измените конфигурацию стороннего поставщика удостоверений, чтобы добавить URL-адрес сохраненного сертификата входа с помощью SAML.