После включения VMware Identity Services для арендатора Workspace ONE настройте интеграцию с поставщиком удостоверений на базе SCIM 2.0.

  1. В мастере «Начало работы с VMware Identity Services» на шаге 2 нажмите Начать Интегрировать поставщик удостоверений на базе SCIM 2.0.""
  2. Щелкните Настроить на карточке Поставщик удостоверений SCIM 2.0.
    ""
  3. Следуйте инструкциям мастера, чтобы настроить интеграцию с поставщиком удостоверений.

Шаг 1. Создание каталога

В качестве первого шага при настройке предоставления пользователей и федерации удостоверений с помощью VMware Identity Services необходимо создать каталог в консоли Workspace ONE Cloud для пользователей и групп, предоставленных с помощью поставщика удостоверений.

Осторожно!: После создания каталога изменить поставщика удостоверений нельзя. Прежде чем продолжить, убедитесь, что выбран нужный поставщик удостоверений.

Процедура

  1. На шаге 1, Общая информация, мастера введите имя, которое нужно использовать для предоставленного каталога в Workspace ONE.
    Имя может содержать не более 128 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-) и нижнее подчеркивание (_).
    Важно!: После создания каталога его имя изменить невозможно.
  2. В поле Доменное имя введите основное доменное имя исходного каталога, включая расширение, например .com или .net.
    VMware Identity Services в настоящее время поддерживают только один домен. Предоставленные пользователи и группы связаны с этим доменом в службах Workspace ONE.

    Имя домена может содержать не более 100 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-), символ подчеркивания (_), точка (.).

    Например:

    В этом примере используется имя каталога Demo, а доменное имя — example.com.
  3. Щелкните Сохранить и подтвердите свой выбор.

Дальнейшие действия

Настройте предоставление пользователей и групп.

Шаг 2. Настройка предоставления пользователей и групп

После создания каталога в VMware Identity Services настройте предоставление пользователей и групп. Запустите этот процесс в VMware Identity Services: создайте учетные данные администратора, необходимые для предоставления, а затем настройте предоставление в поставщике удостоверений, используя эти учетные данные.

Примечание: Эта информация относится к любому поставщику удостоверений на базе SCIM 2.0, отличному от Microsoft Entra ID и Okta. Сведения об интеграции VMware Identity Services с Microsoft Entra ID см. в разделе Интеграция VMware Identity Services с Microsoft Entra ID. Сведения об интеграции VMware Identity Services с Okta см. в разделе Интеграция VMware Identity Services с Okta.
Примечание: В этом разделе приведены общие сведения о настройке стороннего поставщика удостоверений. Точные шаги и расположения для задач зависят от поставщика удостоверений. За детальной информацией обратитесь к документации поставщика удостоверений.

Необходимые условия

У вас есть учетная запись администратора в поставщике удостоверений с правами, необходимыми для настройки предоставления пользователей.

Процедура

  1. В консоли Workspace ONE Cloud на шаге 2 Настройка поставщика удостоверений мастера VMware Identity Services выберите тип учетных данных, необходимых для настройки предоставления пользователей в поставщике удостоверений.
    Выберите один из вариантов:
    • Идентификатор и секретный ключ клиента
    • URL-адрес арендатора и маркер

    Поскольку срок действия маркеров истекает и их нужно обновлять вручную, рекомендуется выбрать Идентификатор и секретный ключ клиента. В целях безопасности рекомендуется менять идентификатор и секретный ключ клиента каждые шесть месяцев.

    Нажмите кнопку Далее. Службы VMware Identity Services сгенерируют учетные данные.
  2. Если выбраны Идентификатор и секретный ключ клиента, скопируйте значения Идентификатор клиента и Секретный ключ клиента.
    Важно!: Убедитесь, что секретный ключ скопирован, прежде чем щелкнуть Далее. Нажав кнопку Далее, секрет исчезнет. Потребуется создать новый секретный ключ. Следует иметь в виду, что при повторном создании секретного ключа предыдущий становится недействительным и предоставление завершается ошибкой. Убедитесь, что вы копируете и вставляете новый секретный ключ в приложение поставщика удостоверений.

    Например:

    Рядом со значениями идентификатора и секретного ключа клиента отображается значок копирования.
  3. Если выбраны URL-адрес арендатора и маркер, просмотрите и скопируйте созданные значения.
    • URL-адрес арендатора: VMware Identity Services конечная точка SCIM 2.0 арендатора. Скопируйте значение.
    • Срок службы маркера: период, в течение которого действителен секретный маркер

      По умолчанию VMware Identity Services создает маркер со стандартным сроком службы 6 месяцев. Чтобы изменить срок службы маркера, нажмите стрелку вниз, выберите другой параметр, а затем щелкните Создать повторно, чтобы повторно создать маркер с новым значением.

      Важно!: При обновлении срока службы маркера предыдущий маркер становится недопустимым и предоставление пользователей и групп от поставщика удостоверений завершается сбоем. Необходимо повторно создать новый маркер, скопировать и вставить его в поставщик удостоверений.
    • Секретный маркер: маркер, необходимый поставщику удостоверений для предоставления пользователей для Workspace ONE. Скопируйте значение.
      Важно!: Убедитесь, что вы скопировали маркер, прежде чем щелкнуть Далее. После нажатия кнопки Далее маркер больше не будет отображаться и потребуется создать новый маркер. Следует иметь в виду, что при повторном создании маркера предыдущий становится недопустимым и подготовка завершается ошибкой. Убедитесь, что вы скопировали новый маркер и вставьте его в поставщик удостоверений.

    Например:

    Отображаются значения для URL-адреса арендатора и секретного маркера. Срок службы маркера — 6 месяцев.
    Если срок действия маркера скоро истечет, в консоли Workspace ONE Cloud появится уведомление в виде баннера. Чтобы также получать уведомления по электронной почте, убедитесь, что для параметра Окончание срока действия секретных маркеров в Workspace ONE Access и Identity Services установлен флажок Электронная почта. Этот параметр можно найти на странице «Параметры уведомлений» в консоли Workspace ONE Cloud.
  4. В поставщике удостоверений настройте предоставление пользователей и групп для Workspace ONE.
    1. а. Войдите в консоль поставщика удостоверений в качестве администратора.
    2. б. Настройте предоставление SCIM 2.0.
      В ответ на запрос введите учетные данные, созданные в консоли Workspace ONE Cloud.
    3. в. Активируйте предоставление.

Дальнейшие действия

Вернитесь в консоль Workspace ONE Cloud, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 3. Сопоставление атрибутов пользователей SCIM

Сопоставьте атрибуты пользователя для синхронизации с данными поставщика удостоверений в службах Workspace ONE. В консоли поставщика удостоверений добавьте необходимые атрибуты пользователя SCIM и сопоставьте их с атрибутами поставщика удостоверений. Как минимум, синхронизируйте атрибуты, необходимые для VMware Identity Services и служб Workspace ONE.

Для VMware Identity Services и Workspace ONE служб требуются следующие атрибуты пользователя SCIM:

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

Дополнительные сведения об этих атрибутах и их сопоставлении с атрибутами Workspace ONE см. в разделе Сопоставление атрибутов пользователей для служб VMware Identity Services.

Помимо обязательных атрибутов можно синхронизировать дополнительные и настраиваемые атрибуты. Список поддерживаемых необязательных и настраиваемых атрибутов см. в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Процедура

  1. В консоли Workspace ONE Cloud на шаге 3 мастера VMware Identity Services Сопоставить атрибуты пользователя SCIM просмотрите список атрибутов, поддерживаемых VMware Identity Services.
  2. В консоли администратора поставщика удостоверений перейдите к настройке предоставления для Workspace ONE.
  3. Перейдите на страницу сопоставления атрибутов.
  4. Сопоставьте необходимые атрибуты пользователя SCIM с атрибутами поставщика удостоверений.
  5. При необходимости можно добавить и сопоставить необязательные и настраиваемые атрибуты пользователя SCIM.

Дальнейшие действия

Вернитесь в консоль Workspace ONE Cloud, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 4. Выбор протокола проверки подлинности

Выберите протокол, который будет использоваться для федеративной проверки подлинности. VMware Identity Services поддерживает протоколы OpenID Connect и SAML.

Осторожно!: Выбирайте обдуманно. После выбора протокола и настройки проверки подлинности невозможно изменить тип протокола без удаления каталога.

Процедура

  1. На шаге 4 мастера Выбрать протокол проверки подлинности выберите OpenID Connect или SAML.
  2. Нажмите кнопку Далее.
    На следующем шаге мастера появляются значения, необходимые для настройки выбранного протокола.

Дальнейшие действия

Настройте VMware Identity Services и поставщик удостоверений для федеративной проверки подлинности.

Шаг 5. Настройка проверки подлинности (универсальный поставщик удостоверений SCIM)

Чтобы настроить федеративную проверку подлинности с поставщиком удостоверений, настройте приложение OpenID Connect или SAML в поставщике удостоверений, используя метаданные поставщика услуг из VMware Identity Services, и настройте VMware Identity Services с помощью значений приложения.

Примечание: В этом разделе приведены общие сведения о настройке стороннего поставщика удостоверений. Точные шаги зависят от поставщика удостоверений. За детальной информацией обратитесь к документации поставщика удостоверений.

OpenID Connect

Если в качестве протокола проверки подлинности выбран OpenID Connect, выполните следующие действия.

  1. Скопируйте значение кода URI перенаправления на шаге 5 Настройка OpenID Connect в мастере VMware Identity Services.

    Это значение потребуется для следующего шага при создании приложения OpenID Connect в поставщике удостоверений.

    ""

  2. Создайте приложение OpenID Connect в консоли администрирования поставщика удостоверений.
  3. Найдите раздел «Код URI перенаправления» в приложении, а также скопируйте и вставьте значение Код URI перенаправления из мастера VMware Identity Services.
  4. Создайте секретный ключ клиента для приложения и скопируйте его.

    Введите секретный ключ в мастере VMware Identity Services на следующем шаге.

  5. Вернитесь в мастер VMware Identity Services в консоли Workspace ONE Cloud. Завершите настройку в разделе Настроить OpenID Connect.
    Идентификатор клиента Скопируйте и вставьте значение идентификатора клиента из приложения поставщика удостоверений.
    Секретный ключ клиента Скопируйте и вставьте секретный ключ клиента из приложения поставщика удостоверений.
    URL-адрес конфигурации Скопируйте и вставьте известный URL-адрес конфигурации приложения поставщика удостоверений OpenID Connect. Например: https://example.com/.well-known/openid-configuration
    Атрибут идентификатора пользователя OIDC Укажите атрибут OpenID Connect для сопоставления с атрибутом Workspace ONE для поиска пользователей.
    Атрибут идентификатора пользователя Workspace ONE Укажите атрибут Workspace ONE для сопоставления с атрибутом поиска пользователей OpenID Connect.
  6. В мастере VMware Identity Services щелкните Готово и завершите настройку интеграции между VMware Identity Services и поставщиком удостоверений.

SAML

Если в качестве протокола проверки подлинности вы выбрали протокол SAML, выполните следующие действия.

  1. Получите метаданные поставщика услуг из консоли Workspace ONE Cloud.

    На шаге 5 Настройка единого входа SAML мастера VMware Identity Services скопируйте или загрузите Метаданные поставщика услуг SAML.


    ""
  2. В консоли администрирования поставщика удостоверений перейдите на страницу настройки единого входа.
  3. Настройте единый вход с помощью значений из мастера VMware Identity Services.

    Типичные действия по настройке зависят от того, что поддерживает поставщик удостоверений:

    • Найдите параметр «Метаданные поставщика услуг», а затем отправьте или скопируйте и вставьте метаданные поставщика услуг SAML из мастера VMware Identity Services.
    • Если поставщик удостоверений не предоставляет возможность отправки файла метаданных или вы предпочитаете настраивать параметры по отдельности, скопируйте и вставьте нижеуказанные значения из шага 5 мастера VMware Identity Services в соответствующие поля в консоли поставщика удостоверений.

      Пример значения Идентификатор объекта: https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Пример значения URL-адрес для единого входа: https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

      Сертификат для подписи

      Сертификат шифрования (в разделе Дополнительные параметры): требуется, если планируется включение шифрования SAML в поставщике удостоверений.

  4. Найдите и скопируйте метаданные SAML поставщика удостоверений из консоли поставщика удостоверений.
  5. В консоли Workspace ONE Cloud на шаге 5 Настроить единый вход SAML мастера VMware Identity Services вставьте метаданные поставщика удостоверений в текстовое поле Метаданные поставщика удостоверений.
    ""
  6. При необходимости настройте остальные параметры в разделе Настройка единого входа SAML.
    • Протокол привязки: выберите протокол привязки SAML, HTTP POST или Перенаправление HTTP.
    • Формат идентификатора имени: используйте параметры Формат идентификатора имени и Значение идентификатора имени для сопоставления пользователей между поставщиком удостоверений и VMware Identity Services. Для параметра Формат идентификатора имени укажите формат идентификатора имени, который используется в ответе SAML.
    • Значение идентификатора имени: выберите атрибут пользователя VMware Identity Services, с которым нужно сопоставить значение идентификатора имени, полученное в ответе SAML.
    • Данные SAML. Выберите контекст проверки подлинности SAML. Можно выбрать одно из значений, отображаемых в раскрывающемся меню, или ввести настраиваемое значение. Значение по умолчанию — urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified.

      Контекст проверки подлинности указывает на то, как пользователи проходят проверку подлинности в поставщике удостоверений. Поставщик удостоверений включает контекст проверки подлинности в утверждение при запросе поставщика услуг или на основе конфигурации у поставщика удостоверений.

    • Отправить сведения о субъекте в запросе SAML (при наличии): выберите этот параметр, если необходимо отправить сведения о субъекте поставщику удостоверений в качестве подсказки для входа в систему, чтобы повысить удобство входа пользователей, когда это возможно.
    • Использовать сопоставление формата идентификатора имени для субъекта: выберите этот параметр, если необходимо применить сопоставление параметров Формат идентификатора имени и Значение идентификатора имени с субъектом в запросе SAML. Этот параметр используется вместе с параметром Отправить сведения о субъекте в запросе SAML (при наличии).
      Осторожно!: Включение этого параметра может увеличить риск уязвимости системы безопасности, известной как подсчет пользователей.
    • Использовать систему единого выхода по протоколу SAML: выберите этот параметр для обеспечения выхода пользователей из сеанса поставщика удостоверений после выхода из служб Workspace ONE.
    • URL-адрес единого выхода поставщика удостоверений: если поставщик удостоверений не поддерживает единый выход SAML, используйте этот параметр, чтобы указать URL-адрес, на который будут перенаправляться пользователи после выхода из служб Workspace ONE. При использовании этого параметра также установите флажок Использовать систему единого выхода по протоколу SAML.

      Если оставить это поле пустым, пользователи будут перенаправляться к поставщику удостоверений с помощью единого выхода по протоколу SAML.

  7. Щелкните Готово в мастере, чтобы завершить настройку интеграции между VMware Identity Services и поставщиком удостоверений.

Результаты

Интеграция между VMware Identity Services и поставщиком удостоверений завершена.

Каталог создан в VMware Identity Services и будет заполнен при отправке пользователей и групп из приложения предоставления в поставщике удостоверений. Предоставленные пользователи и группы автоматически отображаются в службах Workspace ONE, которые вы интегрируете с поставщиком удостоверений, например Workspace ONE Access и Workspace ONE UEM.

Каталог в консоли Workspace ONE Access и Workspace ONE UEM изменять нельзя. Страницы каталога, пользователей, групп пользователей, атрибутов пользователя и поставщиков удостоверений доступны только для чтения.

Следующие шаги

Далее выберите службы Workspace ONE, которым вы хотите предоставить пользователей и группы.

Затем отправьте пользователей и группы из поставщика удостоверений. См. Предоставление пользователей в Workspace ONE.