При добавлении и настройке новых экземпляров поставщиков удостоверений SAML для развертывания Workspace ONE Access можно обеспечить высокую доступность, поддержку дополнительных методов проверки подлинности пользователей, а также предоставить более удобные способы управления процессом проверки подлинности на основе диапазонов IP-адресов пользователей.

Необходимые условия

Перед добавлением экземпляра стороннего поставщика удостоверений завершите следующие задания.

  • Убедитесь, что сторонние экземпляры совместимы с SAML 2.0 и что служба Workspace ONE Access может подключиться к стороннему экземпляру.
  • Следует согласовать интеграцию со сторонним поставщиком удостоверений. В зависимости от поставщика удостоверений, возможно, потребуется согласованно настроить оба параметра.
  • Получите соответствующие сведения о метаданных сторонних производителей, которые следует добавить при настройке поставщика удостоверений в консоли Workspace ONE Access. Сведениями о метаданных, которые вы получаете из стороннего экземпляра, является URL-адрес метаданных или сами метаданные.

Процедура

  1. В консоли Workspace ONE Access на вкладке «Управление учетными данными и доступом» выберите Поставщики удостоверений.
  2. Щелкните Добавить поставщика удостоверений и выберите Создать поставщика удостоверений SAML.
  3. Настройте параметры поставщика удостоверений SAML.
    Элемент формы Описание
    Имя поставщика удостоверений Введите имя этого экземпляра поставщика удостоверений.
    Метаданные SAML

    Добавьте XML-документ с метаданными сторонних поставщиков удостоверений для установления отношения доверия с поставщиком удостоверений.

    1. а.Введите в текстовое поле URL-адрес метаданных SAML или xml-содержимое. Щелкните Обработка метаданных поставщика удостоверений.
    2. б.Выберите способ идентификации пользователя. Идентификатор, отправленный во входящем утверждении SAML, может быть отправлен в субъекте или элементе атрибута.
      • Элемент NameID. Идентификатор пользователя извлекается из элемента NameID субъекта.
      • Атрибут SAML. Идентификатор пользователя извлекается из конкретного атрибута или элемента AttributeStatement.
    3. в.Если выбран элемент NameID, форматы NameID, поддерживаемые поставщиком удостоверений, извлекаются из метаданных и добавляются в отображаемую таблицу «Форматы идентификаторов имен».
      • В столбце Значение идентификатора имени выберите атрибуты пользователя, настроенные в службе Workspace ONE Access, для сопоставления с отображаемыми форматами NameID. Можно добавлять настраиваемые форматы идентификаторов имен сторонних поставщиков и сопоставлять их со значениями атрибутов пользователей в службе Workspace ONE Access.
      • Выберите необходимый формат строки идентификатора ответа: Политика идентификаторов имени в запросах SAML. Этот формат должен совпадать с заданной конфигурацией формата политики идентификаторов имени стороннего поставщика удостоверений, используемого для установления отношений доверия со службой Workspace ONE Access.
      • Выберите параметр для отправки сведений о субъекте в запросе SAML, когда они станут доступны.
    4. г.Если выбран параметр Атрибут SAML, укажите формат атрибута и его имя. Выберите атрибут пользователя в службе Workspace ONE Access, чтобы сопоставить его с атрибутом SAML.
    Моментальная регистрация В ходе моментальной регистрации пользователи создаются и обновляются динамически. Это происходит, когда они выполняют вход на основе утверждений SAML, отправленных поставщиком удостоверений.См. раздел Моментальная регистрация. Если включен параметр JIT, введите каталог и имя домена для каталога JIT.
    Пользователи Выберите каталоги, включающие пользователей, которые могут проходить проверку подлинности с помощью этого поставщика удостоверений.
    Сеть Перечисляются существующие сетевые диапазоны, настроенные в службе.

    Выберите сетевые диапазоны для пользователей на основе их IP-адресов, которые вы хотите направлять в этот экземпляр поставщика удостоверений для проверки подлинности.

    Способы проверки подлинности Добавьте способы проверки подлинности, поддерживаемые сторонним поставщиком удостоверений. Выберите класс контекста проверки подлинности SAML, который поддерживает соответствующий способ проверки подлинности.
    Конфигурация единого выхода

    Когда пользователи входят в Workspace ONE с помощью стороннего поставщика удостоверений, открываются два сеанса: один для стороннего поставщика удостоверений, а второй для поставщика службы средства управления учетными данными для Workspace ONE. Управление временем действия этих сеансов осуществляется независимо. Когда пользователи выходят из Workspace ONE, сеанс Workspace ONE закрывается, но сеанс стороннего поставщика удостоверений все еще может быть открыт. В зависимости от требований безопасности можно включить единый выход и настроить его так, чтобы выходить из обоих сеансов, или же не реагировать на сеанс стороннего поставщика удостоверений.

    Вариант настройки 1

    • Единый выход можно включить при настройке стороннего поставщика удостоверений. Если сторонний поставщик удостоверений поддерживает протокол единого выхода (SLO) на основе SAML, пользователи будут выходить из обоих сеансов при выходе c портала Workspace ONE. Текстовое поле URL-адреса перенаправления не настраивается.
    • Если сторонний поставщик удостоверений не поддерживает единый выход на основе SAML, можно включить единый выход, а в текстовом поле URL-адреса перенаправления указать URL-адрес конечной точки единого выхода поставщика удостоверений. Можно также добавить для URL-адреса параметр перенаправления, чтобы перенаправлять пользователей в определенную конечную точку. Пользователи перенаправляются по этому URL-адресу при выходе с портала Workspace ONE. При этом они также выходят из службы поставщика удостоверений.

    Вариант настройки 2

    • Еще один вариант единого выхода — выполнить выход пользователей с портала Workspace ONE и перенаправить их по URL-адресу настроенной конечной точки. Нужно включить единый выход, указать URL-адрес в текстовом поле URL-адреса перенаправления и параметр перенаправления к настроенной конечной точке. Когда пользователи выходят с портала Workspace ONE, они направляются на эту страницу, где может отображаться настроенное сообщение. Сеанс со сторонним поставщиком удостоверений может оставаться открытым. Укажите URL-адрес в следующем формате: https://<URL-адрес_доступа_VIDM>/SAAS/auth/federation/slo.

    Если единый выход не включен, конфигурация по умолчанию в службе Workspace ONE Access будет перенаправлять пользователей обратно на страницу входа на портал Workspace ONE при их выходе из системы. Сеанс со сторонним поставщиком удостоверений может оставаться открытым.

    Сертификат подписи SAML Щелкните Метаданные поставщика услуг (SP) , чтобы увидеть URL-адрес для метаданных поставщика услуг SAML Workspace ONE Access. Скопируйте и сохраните URL-адрес. Этот URL-адрес указывается при редактировании оператора контроля SAML в стороннем поставщике удостоверений для сопоставления с пользователями Workspace ONE Access.
    Имя узла поставщика удостоверений Если отображается текстовое поле «Имя узла», введите имя узла, куда перенаправляется поставщик удостоверений для проверки подлинности. Если используется нестандартный порт, отличный от 443, имя узла можно указать как «Имя_узла:Порт». Например, myco.example.com:8443.
  4. Нажмите кнопку Добавить.

Дальнейшие действия

  • Добавьте метод проверки подлинности стороннего поставщика удостоверений в политику доступа Workspace ONE по умолчанию. См. раздел #GUID-25549B4D-F2D7-4658-85CB-53EED8149438
  • Измените конфигурацию стороннего поставщика удостоверений, чтобы добавить URL-адрес сохраненного сертификата входа с помощью SAML.