После включения VMware Identity Services для арендатора Workspace ONE настройте интеграцию с поставщиком удостоверений на базе SCIM 2.0.

  1. В мастере «Начало работы с VMware Identity Services» на шаге 2 нажмите Начать Интегрировать поставщик удостоверений на базе SCIM 2.0.""
  2. Щелкните Настроить на карточке Поставщик удостоверений SCIM 2.0.
    ""
  3. Следуйте инструкциям мастера, чтобы настроить интеграцию с поставщиком удостоверений.

Шаг 1. Создание каталога

В качестве первого шага при настройке предоставления пользователей и федерации удостоверений с помощью VMware Identity Services необходимо создать каталог в консоли Workspace ONE для пользователей и групп, предоставленных с помощью поставщика удостоверений.

Осторожно!: После создания каталога изменить поставщика удостоверений нельзя. Прежде чем продолжить, убедитесь, что выбран нужный поставщик удостоверений.

Процедура

  1. На шаге 1, Общая информация, мастера введите имя, которое нужно использовать для предоставленного каталога в Workspace ONE.
    Имя может содержать не более 128 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-) и нижнее подчеркивание (_).
    Важно!: После создания каталога его имя изменить невозможно.
  2. В поле Доменное имя введите основное доменное имя исходного каталога, включая расширение, например .com или .net.
    VMware Identity Services в настоящее время поддерживают только один домен. Предоставленные пользователи и группы связаны с этим доменом в службах Workspace ONE.

    Имя домена может содержать не более 100 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-), символ подчеркивания (_), точка (.).

    Например:

    В этом примере используется имя каталога Demo, а доменное имя — example.com.
  3. Щелкните Сохранить и подтвердите свой выбор.

Дальнейшие действия

Настройте предоставление пользователей и групп.

Шаг 2. Настройка предоставления пользователей и групп

После создания каталога в VMware Identity Services настройте предоставление пользователей и групп. Запустите этот процесс в VMware Identity Services: создайте учетные данные администратора, необходимые для предоставления, а затем настройте предоставление в поставщике удостоверений, используя эти учетные данные.

Примечание: Этот раздел относится к интеграции с поставщиком удостоверений SCIM 2.0, отличным от Azure AD. Сведения об интеграции с Azure AD см. в разделе Шаг 2. Настройка предоставления пользователей и групп.
Примечание: В этом разделе приведены общие сведения о настройке стороннего поставщика удостоверений. Точные шаги и расположения для задач зависят от поставщика удостоверений. За детальной информацией обратитесь к документации поставщика удостоверений.

Необходимые условия

У вас есть учетная запись администратора в поставщике удостоверений с правами, необходимыми для настройки предоставления пользователей.

Процедура

  1. В консоли Workspace ONE на шаге 2 Настройка поставщика удостоверений мастера VMware Identity Services выберите тип учетных данных, необходимых для настройки предоставления пользователей в поставщике удостоверений.
    Выберите один из вариантов:
    • Идентификатор и секретный ключ клиента
    • URL-адрес арендатора и маркер

    Поскольку срок действия маркеров истекает и их нужно обновлять вручную, рекомендуется выбрать Идентификатор и секретный ключ клиента. В целях безопасности рекомендуется менять идентификатор и секретный ключ клиента каждые шесть месяцев.

    Нажмите кнопку Далее. Службы VMware Identity Services сгенерируют учетные данные.
  2. Если выбраны Идентификатор и секретный ключ клиента, скопируйте значения Идентификатор клиента и Секретный ключ клиента.
    Важно!: Убедитесь, что секретный ключ скопирован, прежде чем щелкнуть Далее. Нажав кнопку Далее, секрет исчезнет. Потребуется создать новый секретный ключ. Следует иметь в виду, что при повторном создании секретного ключа предыдущий становится недействительным и предоставление завершается ошибкой. Убедитесь, что вы копируете и вставляете новый секретный ключ в приложение поставщика удостоверений.

    Например:

    Рядом со значениями идентификатора и секретного ключа клиента отображается значок копирования.
  3. Если выбраны URL-адрес арендатора и маркер, просмотрите и скопируйте созданные значения.
    • URL-адрес арендатора: VMware Identity Services конечная точка SCIM 2.0 арендатора. Скопируйте значение.
    • Срок службы маркера: период, в течение которого действителен секретный маркер

      По умолчанию VMware Identity Services создает маркер со стандартным сроком службы 6 месяцев. Чтобы изменить срок службы маркера, нажмите стрелку вниз, выберите другой параметр, а затем щелкните Создать повторно, чтобы повторно создать маркер с новым значением.

      Важно!: При обновлении срока службы маркера предыдущий маркер становится недопустимым и предоставление пользователей и групп от поставщика удостоверений завершается сбоем. Необходимо повторно создать новый маркер, скопировать и вставить его в поставщик удостоверений.
    • Секретный маркер: маркер, необходимый поставщику удостоверений для предоставления пользователей для Workspace ONE. Скопируйте значение.
      Важно!: Убедитесь, что вы скопировали маркер, прежде чем щелкнуть Далее. После нажатия кнопки Далее маркер больше не будет отображаться и потребуется создать новый маркер. Следует иметь в виду, что при повторном создании маркера предыдущий становится недопустимым и подготовка завершается ошибкой. Убедитесь, что вы скопировали новый маркер и вставьте его в поставщик удостоверений.

    Например:

    Отображаются значения для URL-адреса арендатора и секретного маркера. Срок службы маркера — 6 месяцев.
  4. В поставщике удостоверений настройте предоставление пользователей и групп для Workspace ONE.
    1. а. Войдите в консоль поставщика удостоверений в качестве администратора.
    2. б. Настройте предоставление SCIM 2.0.
      В ответ на запрос введите учетные данные, созданные в консоли Workspace ONE.
    3. в. Активируйте предоставление.

Дальнейшие действия

Вернитесь в консоль Workspace ONE, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 3. Сопоставление атрибутов пользователей SCIM

Сопоставьте атрибуты пользователя для синхронизации с данными поставщика удостоверений в службах Workspace ONE. В консоли поставщика удостоверений добавьте необходимые атрибуты пользователя SCIM и сопоставьте их с атрибутами поставщика удостоверений. Как минимум, синхронизируйте атрибуты, необходимые для VMware Identity Services и служб Workspace ONE.

Для VMware Identity Services и Workspace ONE служб требуются следующие атрибуты пользователя SCIM:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Дополнительные сведения об этих атрибутах и их сопоставлении с атрибутами Workspace ONE см. в разделе Сопоставление атрибутов пользователей для служб VMware Identity Services.

Помимо обязательных атрибутов можно синхронизировать дополнительные и настраиваемые атрибуты. Список поддерживаемых необязательных и настраиваемых атрибутов см. в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Примечание: В Okta нельзя указать сопоставления атрибутов группы для синхронизации с VMware Identity Services. Можно сопоставить только атрибуты пользователей.

Процедура

  1. В консоли Workspace ONE на шаге 3 мастера VMware Identity Services Сопоставить атрибуты пользователя SCIM просмотрите список атрибутов, поддерживаемых VMware Identity Services.
  2. В консоли администратора поставщика удостоверений перейдите к настройке предоставления для Workspace ONE.
  3. Перейдите на страницу сопоставления атрибутов.
  4. Сопоставьте необходимые атрибуты пользователя SCIM с атрибутами поставщика удостоверений.
  5. При необходимости можно добавить и сопоставить необязательные и настраиваемые атрибуты пользователя SCIM.

Дальнейшие действия

Вернитесь в консоль Workspace ONE, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 4. Выбор протокола проверки подлинности

Выберите протокол, который будет использоваться для федеративной проверки подлинности. VMware Identity Services поддерживает протоколы OpenID Connect и SAML.

Процедура

  1. На шаге 4 мастера Выбрать протокол проверки подлинности выберите OpenID Connect или SAML.
  2. Нажмите кнопку Далее.
    На следующем шаге мастера появляются значения, необходимые для настройки выбранного протокола.

Дальнейшие действия

Настройте VMware Identity Services и поставщик удостоверений для федеративной проверки подлинности.

Шаг 5. Настройка проверки подлинности (универсальный поставщик удостоверений SCIM)

Чтобы настроить федеративную проверку подлинности с поставщиком удостоверений, настройте приложение OpenID Connect или SAML в поставщике удостоверений, используя метаданные поставщика услуг из VMware Identity Services, и настройте VMware Identity Services с помощью значений приложения.

Важно!: При интеграции VMware Identity Services с Okta необходимо создать отдельные приложения в консоли администрирования Okta для предоставления пользователей и настройки поставщиков удостоверений. Нельзя использовать одно и то же приложение для предоставления и проверки подлинности.
Примечание: В этом разделе приведены общие сведения о настройке стороннего поставщика удостоверений. Точные шаги зависят от поставщика удостоверений. За детальной информацией обратитесь к документации поставщика удостоверений.

OpenID Connect

Если в качестве протокола проверки подлинности выбран OpenID Connect, выполните следующие действия.

  1. Скопируйте значение кода URI перенаправления на шаге 5 Настройка OpenID Connect в мастере VMware Identity Services.

    Это значение потребуется для следующего шага при создании приложения OpenID Connect в поставщике удостоверений.

    ""

  2. Создайте приложение OpenID Connect в консоли администрирования поставщика удостоверений.
  3. Найдите раздел «Код URI перенаправления» в приложении, а также скопируйте и вставьте значение Код URI перенаправления из мастера VMware Identity Services.
  4. Создайте секретный ключ клиента для приложения и скопируйте его.

    Введите секретный ключ в мастере VMware Identity Services на следующем шаге.

  5. Вернитесь в мастер VMware Identity Services в консоли Workspace ONE. Завершите настройку в разделе Настроить OpenID Connect.
    Идентификатор клиента Скопируйте и вставьте значение идентификатора клиента из приложения поставщика удостоверений.
    Секретный ключ клиента Скопируйте и вставьте секретный ключ клиента из приложения поставщика удостоверений.
    URL-адрес конфигурации Скопируйте и вставьте известный URL-адрес конфигурации приложения поставщика удостоверений OpenID Connect. Например: https://example.com/.well-known/openid-configuration
    Атрибут идентификатора пользователя OIDC Укажите атрибут OpenID Connect для сопоставления с атрибутом Workspace ONE для поиска пользователей.
    Атрибут идентификатора пользователя Workspace ONE Укажите атрибут Workspace ONE для сопоставления с атрибутом поиска пользователей OpenID Connect.
  6. В мастере VMware Identity Services щелкните Готово и завершите настройку интеграции между VMware Identity Services и поставщиком удостоверений.

SAML

Если в качестве протокола проверки подлинности вы выбрали протокол SAML, выполните следующие действия.

  1. Получите метаданные поставщика услуг из консоли Workspace ONE.

    На шаге 5 Настройка единого входа SAML мастера VMware Identity Services скопируйте или просмотрите, а затем загрузите Метаданные поставщика услуг SAML.


    ""
  2. В консоли администрирования поставщика удостоверений перейдите на страницу настройки единого входа.
    Важно!: При интеграции VMware Identity Services с Okta необходимо создать отдельное приложение SAML для проверки подлинности в Okta. Нельзя использовать одно и то же приложение для предоставления и проверки подлинности.
  3. Настройте единый вход с помощью значений из мастера VMware Identity Services.

    Типичные действия по настройке зависят от того, что поддерживает поставщик удостоверений:

    • Найдите параметр «Метаданные поставщика услуг», а затем отправьте, скопируйте или вставьте метаданные поставщика услуг SAML из мастера VMware Identity Services.
    • Если поставщик удостоверений не может отправить метаданные, скопируйте и вставьте следующие значения из VMware Identity Services метаданных поставщика услуг SAML в соответствующие поля в консоли поставщика удостоверений:

      Значение entityID: например, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Значение AssertionConsumerService HTTP-POST Location: например, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

  4. Найдите и скопируйте метаданные SAML поставщика удостоверений из консоли поставщика удостоверений.
  5. В консоли Workspace ONE на шаге 5 Настроить единый вход SAML мастера VMware Identity Services вставьте метаданные поставщика удостоверений в текстовое поле Метаданные поставщика удостоверений.
    ""
  6. Настройте остальные параметры в разделе Настройка единого входа SAML.
    • Единый выход: выберите этот параметр, чтобы вывести пользователей из сеанса поставщика удостоверений после выхода из Workspace ONE Intelligent Hub.
    • Протокол привязки: выберите протокол привязки SAML, HTTP POST или Перенаправление HTTP.
    • Формат идентификатора имени: укажите формат идентификатора имени, который будет использоваться для сопоставления пользователей между поставщиком удостоверений и службами Workspace ONE.
    • Значение идентификатора имени: выберите атрибут пользователя для пользователей в Workspace ONE.
    • Отправить тему в запросе SAML (при наличии): выберите этот параметр, чтобы поставщик удостоверений по возможности отправлял сведения VMware Identity Services в качестве подсказки для входа. При выборе этого параметра также можно выбрать Использовать сопоставление формата идентификатора имени для субъекта.
    • Использовать сопоставление формата идентификатора имени для субъекта: выберите этот параметр, чтобы использовать формат идентификатора имени для сопоставления подсказки для входа, предоставленной поставщиком удостоверений, со значением идентификатора имени.
      Осторожно!: Включение этого параметра может увеличить риск уязвимости системы безопасности, известной как подсчет пользователей.
  7. Щелкните Готово в мастере, чтобы завершить настройку интеграции между VMware Identity Services и поставщиком удостоверений.

Результаты

Интеграция между VMware Identity Services и поставщиком удостоверений завершена.

Каталог создан в VMware Identity Services и будет заполнен при отправке пользователей и групп из приложения предоставления в поставщике удостоверений. Предоставленные пользователи и группы автоматически отображаются в службах Workspace ONE, которые вы интегрируете с поставщиком удостоверений, например Workspace ONE Access и Workspace ONE UEM.

Каталог в консоли Workspace ONE Access и Workspace ONE UEM изменять нельзя. Страницы каталога, пользователей, групп пользователей, атрибутов пользователя и поставщиков удостоверений доступны только для чтения.

Следующие шаги

Далее выберите службы Workspace ONE, которым вы хотите предоставить пользователей и группы.

Затем отправьте пользователей и группы из поставщика удостоверений. См. Предоставление пользователей в Workspace ONE.