Включите VMware Identity Services для арендатора Workspace ONE. Настройте интеграцию с Azure AD.

  1. В мастере «Начало работы с VMware Identity Services» на шаге 2 нажмите Начать Интегрировать поставщик удостоверений на базе SCIM 2.0.""
  2. Нажмите Настроить на карточке Microsoft Azure Active Directory.
    ""
  3. Следуйте шагам мастера, чтобы настроить интеграцию с Azure AD.

Шаг 1. Создание каталога

В качестве первого шага при настройке предоставления пользователей и федерации удостоверений с помощью VMware Identity Services необходимо создать каталог в консоли Workspace ONE для пользователей и групп, предоставленных с помощью поставщика удостоверений.

Осторожно!: После создания каталога изменить поставщика удостоверений нельзя. Прежде чем продолжить, убедитесь, что выбран нужный поставщик удостоверений.

Процедура

  1. На шаге 1, Общая информация, мастера введите имя, которое нужно использовать для предоставленного каталога в Workspace ONE.
    Имя может содержать не более 128 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-) и нижнее подчеркивание (_).
    Важно!: После создания каталога его имя изменить невозможно.
  2. В поле Доменное имя введите основное доменное имя исходного каталога, включая расширение, например .com или .net.
    VMware Identity Services в настоящее время поддерживают только один домен. Предоставленные пользователи и группы связаны с этим доменом в службах Workspace ONE.

    Имя домена может содержать не более 100 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-), символ подчеркивания (_), точка (.).

    Например:

    В этом примере используется имя каталога Demo, а доменное имя — example.com.
  3. Щелкните Сохранить и подтвердите свой выбор.

Дальнейшие действия

Настройте предоставление пользователей и групп.

Шаг 2. Настройка предоставления пользователей и групп

После создания каталога в VMware Identity Services настройте предоставление пользователей и групп. Запустите этот процесс в VMware Identity Services путем создания учетных данных администратора, необходимых для предоставления, а затем создайте приложение предоставления в Azure AD, чтобы предоставлять пользователей и группы в Workspace ONE.

Важно!: Приложение коллекции VMware Identity Services в коллекции приложений Azure AD в настоящее время тестируется и пока не поддерживается. Создайте новое корпоративное приложение.

Необходимые условия

У вас есть учетная запись администратора в Azure AD с правами, необходимыми для настройки предоставления.

Процедура

  1. После создания каталога в консоли Workspace ONE просмотрите и скопируйте значения, созданные на шаге 2 мастера Настройка корпоративного приложения Azure.
    Эти значения требуются для настройки приложения предоставления в Azure AD.
    • URL-адрес арендатора: VMware Identity Services конечная точка SCIM 2.0 арендатора. Скопируйте значение.
    • Срок службы маркера: период, в течение которого действителен секретный маркер.

      По умолчанию VMware Identity Services создает маркер, его срок службы составляет шесть месяцев. Чтобы изменить срок службы маркера, нажмите стрелку вниз, выберите другой параметр, а затем щелкните Создать повторно, чтобы повторно создать маркер с новым значением.

      Важно!: При обновлении срока службы маркера предыдущий маркер становится недопустимым и предоставление пользователей и групп из Azure AD завершается сбоем. Необходимо повторно создать новый маркер, а также скопировать и вставить его в приложение Azure AD.
    • Секретный маркер: маркер, необходимый Azure AD для подготовки пользователей для Workspace ONE. Скопируйте значение, щелкнув значок копирования.
      Важно!: Убедитесь, что вы скопировали маркер, прежде чем щелкнуть Далее. После нажатия кнопки Далее маркер больше не будет отображаться и потребуется создать новый маркер. После повторного создания маркера предыдущий маркер становится недопустимым, и подготовка завершается ошибкой. Убедитесь, что вы копируете и вставляете новый маркер в приложение Azure AD.

    Например:

    В шаге 2 отображаются URL-адрес арендатора, срок службы маркера 6 месяцев и секретный маркер.
  2. Создайте приложение предоставления в Azure AD.
    1. а. Войдите в центр администрирования Azure Active Directory.
    2. б. Щелкните Корпоративные приложения на панели навигации слева.
    3. в. На странице «Корпоративные приложения» щелкните + Создать приложение.
      ""
    4. г. На странице «Просмотр галереи Azure AD» щелкните + Создать собственное приложение.
      Важно!: Приложение коллекции VMware Identity Services в настоящее время тестируется и пока не поддерживается. Создайте новое корпоративное приложение.
    5. д. На панели Создать собственное приложение выберите Интегрировать любое другое приложение, которое не найдено в галерее (вне галереи) , введите имя приложения и щелкните Создать.
      В текстовом поле «Название вашего приложения» находится значение-пример scim-demo-app2.
    6. е. Для создания приложения выберите Предоставление в меню Управление и нажмите Начать работу.
    7. ё. На странице «Предоставление» для параметра Режим предоставления выберите Автоматический.
    8. ж. В разделе Учетные данные администратора введите URL-адрес и секретный маркер, которые были скопированы из шага Настроить корпоративное приложение Azure мастера Workspace ONE.
      Например:
      «Режим предоставления» установлен как «Автоматический». В текстовых полях «URL-адрес арендатора» и «Секретный маркер» будут скопированные значения из Workspace ONE.
    9. з. Щелкните элемент Проверить подключение.
    10. и. Убедитесь, что появляется следующее сообщение: 
      Предоставленные учетные данные используются для авторизации предоставления.

      В случае ошибки, повторно создайте маркер секрета в мастере VMware Identity Services и вставьте его в приложение Azure. Затем еще раз нажмите Протестировать подключение.

    11. й. Щелкните Сохранить, чтобы сохранить приложение.

Дальнейшие действия

Вернитесь в консоль Workspace ONE, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 3. Сопоставление атрибутов пользователей SCIM

Сопоставьте атрибуты пользователей, которые нужно синхронизировать из Azure AD со службами Workspace ONE. В центре администрирования Azure Active Directory добавьте атрибуты пользователя SCIM и сопоставьте их с атрибутами Azure AD. Как минимум, синхронизируйте атрибуты, необходимые для VMware Identity Services и служб Workspace ONE.

Для VMware Identity Services и Workspace ONE служб требуются следующие атрибуты пользователя SCIM:

Атрибут Azure Active Directory Атрибут пользователя SCIM (обязательно)
userPrincipalName userName
mail emails
givenName name.givenName
surname name.familyName
Objectid externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
Примечание: В таблице показано типовое сопоставление между обязательными атрибутами SCIM и атрибутами Azure AD. Однако атрибуты SCIM можно сопоставить и с неуказанными здесь атрибутами Azure AD.

Дополнительные сведения об этих атрибутах и их сопоставлении с атрибутами Workspace ONE см. в разделе Сопоставление атрибутов пользователей для служб VMware Identity Services.

Помимо обязательных атрибутов можно синхронизировать дополнительные и настраиваемые атрибуты. Список поддерживаемых необязательных и настраиваемых атрибутов см. в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Процедура

  1. В консоли Workspace ONE на шаге 3 Сопоставить атрибуты пользователей SCIM мастера просмотрите список атрибутов, поддерживаемых VMware Identity Services.
  2. В центре администрирования Azure Active Directory перейдите к приложению предоставления, созданному для предоставления пользователей в VMware Identity Services.
  3. В меню Управление выберите Предоставление.
  4. В разделе Управление предоставлением выберите Сопоставления атрибутов.

    ""
  5. На странице «Предоставление» в разделе Сопоставление выберите следующие параметры.
    • Установите значение Да для параметра Предоставление групп Azure Active Directory.
    • Установите значение Да для параметра Предоставление пользователей Azure Active Directory.
    • Задайте значение Включить для Состояние предоставления.

    ""
  6. Щелкните ссылку Предоставление пользователей Azure Active Directory.
  7. На странице «Сопоставление атрибутов» укажите необходимые сопоставления между атрибутами Azure AD и атрибутами SCIM (атрибуты customappsso).
    Обязательные атрибуты по умолчанию включены в таблицу «Сопоставления атрибутов». При необходимости просмотрите и обновите сопоставления.
    1. а. Щелкните атрибут в таблице «Сопоставления атрибутов».
    2. б. Измените атрибут. Для Исходный атрибут выберите атрибут Azure AD, а для Целевой атрибут — выберите атрибут SCIM.

      Например:


      objectId выбирается в качестве исходного атрибута, а externalId — в качестве целевого атрибута.
    Совет: В новом приложении предоставления Azure AD SCIM для атрибута SCIM externalId по умолчанию используется сопоставление mailNickname. Рекомендуется изменить сопоставление между mailNickname и objectId.
  8. Сопоставляйте дополнительные атрибуты пользователя, поддерживаемые VMware Identity Services и службами Workspace ONE, при необходимости.
    • Многие из дополнительных атрибутов уже отображаются в приложении Azure AD. Если атрибут отображается в таблице сопоставления атрибутов, щелкните его, чтобы изменить сопоставление. В противном случае щелкните Добавить новое сопоставление и укажите сопоставление. Для Исходный атрибут выберите атрибут Azure AD, а для Целевой атрибут выберите атрибут SCIM.
    • Чтобы добавить атрибуты, которые являются частью расширения схемы VMware Identity Services (атрибуты, в пути которых есть urn:ietf:params:scim:schemas:extension:ws1b:):
      1. а.На странице «Сопоставление атрибутов» в нижней части страницы установите флажок Показать дополнительные параметры, а затем щелкните Изменить список атрибутов для customappsso. Добавьте атрибут SCIM и щелкните Сохранить.

        Убедитесь, что используется полный путь к атрибуту SCIM, например urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:userPrincipalName.

      2. б.На странице «Сопоставление атрибутов» щелкните Добавить новое сопоставление и укажите сопоставление для нового атрибута. Для Исходный атрибут выберите атрибут Azure AD, а для Целевой атрибут — выберите атрибут SCIM.
    См. список дополнительных атрибутов SCIM, поддерживаемых VMware Identity Services, и как они сопоставляются с атрибутами Workspace ONE в разделе Пользовательское сопоставление атрибутов для служб VMware Identity Services.
  9. Сопоставляйте настраиваемые атрибуты пользователей, поддерживаемые VMware Identity Services и службами Workspace ONE при необходимости.
    1. а. Внизу страницы «Сопоставление атрибутов» установите флажок Показать дополнительные параметры, щелкните Изменить список атрибутов для customappsso, добавьте настраиваемый атрибут SCIM в конце списка атрибутов и щелкните Сохранить.

      Убедитесь, что используется полный путь к атрибуту SCIM, например urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3.


      Настраиваемый атрибут urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3 успешно добавлен.
    2. б. На странице «Сопоставление атрибутов» щелкните Добавить новое сопоставление и укажите сопоставление для настраиваемого атрибута SCIM. Для параметра Исходный атрибут выберите атрибут Azure AD, а для Целевой атрибут выберите добавленный настраиваемый атрибут SCIM.
    См. список настраиваемых атрибутов SCIM, поддерживаемых VMware Identity Services, и как они сопоставляются с атрибутами Workspace ONE в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Дальнейшие действия

Вернитесь в консоль Workspace ONE, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 4. Выбор протокола проверки подлинности

Выберите протокол, который будет использоваться для федеративной проверки подлинности. VMware Identity Services поддерживает протоколы OpenID Connect и SAML.

Процедура

  1. На шаге 4 мастера Выбрать протокол проверки подлинности выберите OpenID Connect или SAML.
  2. Нажмите кнопку Далее.
    На следующем шаге мастера появляются значения, необходимые для настройки выбранного протокола.

Дальнейшие действия

Настройте VMware Identity Services и поставщик удостоверений для федеративной проверки подлинности.

Шаг 5. Настройка проверки подлинности

Чтобы настроить федеративную проверку подлинности с Azure AD, необходимо настроить приложение OpenID Connect или SAML в Azure AD с использованием метаданных поставщика услуг из VMware Identity Services, а также настроить VMware Identity Services со значениями из приложения.

OpenID Connect

Если в качестве протокола проверки подлинности выбран OpenID Connect, выполните следующие действия.

  1. Скопируйте значение кода URI перенаправления на шаге 5 Настройка OpenID Connect в мастере VMware Identity Services.

    Это значение потребуется для следующего шага, при создании приложения OpenID Connect в центре администрирования Azure AD.


    Рядом с кодом URI перенаправления находится значок копирования.
  2. Перейдите в раздел Корпоративные приложения > Регистрации приложений в центре администрирования Azure Active Directory.
  3. Нажмите Новая регистрация.
  4. На странице Регистрация приложения введите имя приложения.
  5. Для кода URI перенаправления выберите Сеть, а затем скопируйте и вставьте значение кода URI перенаправления, которое вы скопировали из раздела Настройка OpenID Connect в мастере VMware Identity Services.

    Например:


    ""
  6. Нажмите Зарегистрировать.

    Появится сообщение Приложение name успешно создано.

  7. Создайте секретный ключ клиента для приложения.
    1. а.Щелкните ссылку Учетные данные клиента: добавить сертификат или секретный ключ.
    2. б.Щелкните + Создать секретный ключ клиента.
    3. в.Введите описание и срок действия секретного ключа на панели Добавить секретный ключ клиента.
    4. г.Нажмите кнопку Добавить.

      Новосозданный секретный ключ отображается во вкладке Секретные ключи клиента.

    5. д.Скопируйте секретный ключ, щелкнув значок копирования рядом с ним.

      Если вы покинете страницу не скопировав секретный ключ, вам придется создать новый.

      Позднее вам нужно будет ввести секретный ключ в мастере VMware Identity Services.


      Секретный ключ отображается во вкладке «Секретные ключи клиента» на странице «Сертификаты и секретные ключи».
  8. Разрешите приложению вызывать API-интерфейсы VMware Identity Services.
    1. а.В меню Управление выберите Разрешения API.
    2. б.Нажмите Дать согласие администратора для организации, затем нажмите Да в окне подтверждения.
  9. Скопируйте идентификатор клиента.
    1. а.Выберите Обзор на левой панели страницы приложения.
    2. б.Скопируйте значение Идентификатор приложения (клиента).

      Позднее вам нужно будет ввести идентификатор клиента в мастере VMware Identity Services.


      Значение идентификатора приложения (клиента) находится в разделе «Необходимые». Рядом с ним есть значок копирования.
  10. Скопируйте значение документа с метаданными OpenID Connect.
    1. а.Щелкните Конечные точки на странице приложения «Обзор».
    2. б.Скопируйте значение документа метаданных OpenID Connect на панели Конечные точки.
      ""

    Позднее вам нужно будет ввести идентификатор клиента в мастере VMware Identity Services.

  11. Вернитесь в мастер VMware Identity Services в консоли Workspace ONE. Завершите настройку в разделе Настроить OpenID Connect.
    Идентификатор приложения (клиента) Вставьте значение идентификатора приложения (клиента), которое вы скопировали из приложения Azure AD OpenID Connect.
    Секретный ключ клиента Вставьте секретный ключ клиента, который вы скопировали из приложения Azure AD OpenID Connect.
    URL-адрес конфигурации Вставьте значение документа с метаданными OpenID Connect, которое вы скопировали из приложения Azure AD OpenID Connect.
    Атрибут идентификатора пользователя OIDC Для поиска пользователей атрибут электронной почты сопоставляется с атрибутом Workspace ONE.
    Атрибут идентификатора пользователя Workspace ONE Укажите атрибут Workspace ONE для сопоставления с атрибутом поиска пользователей OpenID Connect.
  12. Нажмите Готово, чтобы завершить настройку интеграции между VMware Identity Services и Azure AD.

SAML

Если в качестве протокола проверки подлинности вы выбрали протокол SAML, выполните следующие действия.

  1. Получите метаданные поставщика услуг из консоли Workspace ONE.

    Скопируйте Метаданные поставщика услуг SAML на шаге 5 Настройка единого входа SAML мастера VMware Identity Services.


    ""
  2. Настройте приложение в Azure AD.
    1. а.Выберите Корпоративные приложения на левой панели в центре администрирования Azure Active Directory.
    2. б.Найдите и выберите приложение предоставления, которое вы создали в Шаг 2. Настройка предоставления пользователей и групп.
    3. в.В меню Управление выберите Единый вход.
    4. г.Выберите SAML в качестве метода единого входа.
      ""
    5. д.Нажмите Загрузить файл метаданных, выберите файл метаданных, скопированный из консоли Workspace ONE, а затем нажмите Добавить.
      Опция «Загрузить файл метаданных» находится вверху страницы «Настройка единого входа с помощью SAML».
    6. е.Проверьте эти значения на панели Базовая конфигурация SAML:
      • Значение идентификатора (идентификатор объекта) должно быть значением entityID из файла метаданных Workspace ONE.

        Например, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • Значение URL-адрес ответа (URL-адрес службы обработчика утверждений) должно быть значением AssertionConsumerService HTTP-POST Location из файла метаданных Workspace ONE.

        Например, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

    7. ё.Чтобы загрузить метаданные, выберите ссылку Метаданные федерации XML Загрузить в разделе Сертификаты SAML.
      ""
  3. В консоли Workspace ONE скопируйте и вставьте XML-файл метаданных федерации из файла, загруженного из Azure AD, в текстовое поле Метаданные поставщика удостоверений на шаге 5 мастера VMware Identity Services.
    В текстовом поле «Метаданные поставщика удостоверений» отображается XML-файл метаданных федерации в шаге 5 мастера.
  4. Настройте остальные параметры в разделе Настройка единого входа SAML.
    • Единый выход: выберите этот параметр, чтобы вывести пользователей из сеанса поставщика удостоверений после выхода из Workspace ONE Intelligent Hub.
    • Протокол привязки: выберите протокол привязки SAML, HTTP POST или Перенаправление HTTP.
    • Формат идентификатора имени: укажите формат идентификатора имени, который будет использоваться для сопоставления пользователей между Azure AD и службами Workspace ONE.
    • Значение идентификатора имени: выберите атрибут пользователя для пользователей в Workspace ONE.
  5. Нажмите Готово, чтобы завершить настройку интеграции между VMware Identity Services и Azure AD.

Результаты

Интеграция между VMware Identity Services и Azure AD завершена.

Каталог создан в VMware Identity Services и будет заполнен при отправке пользователей и групп из приложения предоставления в Azure AD. Предоставленные пользователи и группы автоматически отображаются в службах Workspace ONE, выбранных для интеграции с Azure AD, таких как Workspace ONE Access и Workspace ONE UEM.

Каталог в консоли Workspace ONE Access и Workspace ONE UEM изменять нельзя. Страницы каталога, пользователей, групп пользователей, атрибутов пользователя и поставщиков удостоверений доступны только для чтения.

Следующие шаги

Далее выберите службы Workspace ONE, которым вы хотите предоставить пользователей и группы.

Затем отправьте пользователей и группы из приложения предоставления Azure AD. См. Предоставление пользователей в Workspace ONE.