Включив VMware Identity Services для арендатора Workspace ONE, настройте интеграцию с Microsoft Entra ID.

  1. В мастере «Начало работы с VMware Identity Services» на шаге 2 нажмите Начать Интегрировать поставщик удостоверений на базе SCIM 2.0.""
  2. Нажмите Настроить на карточке Microsoft Entra ID.
    ""
  3. Следуйте инструкциям мастера, чтобы настроить интеграцию с Microsoft Entra ID.

Шаг 1. Создание каталога

В качестве первого шага при настройке предоставления пользователей и федерации удостоверений с помощью VMware Identity Services необходимо создать каталог в консоли Workspace ONE Cloud для пользователей и групп, предоставленных с помощью поставщика удостоверений.

Осторожно!: После создания каталога изменить поставщика удостоверений нельзя. Прежде чем продолжить, убедитесь, что выбран нужный поставщик удостоверений.

Процедура

  1. На шаге 1, Общая информация, мастера введите имя, которое нужно использовать для предоставленного каталога в Workspace ONE.
    Имя может содержать не более 128 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-) и нижнее подчеркивание (_).
    Важно!: После создания каталога его имя изменить невозможно.
  2. В поле Доменное имя введите основное доменное имя исходного каталога, включая расширение, например .com или .net.
    VMware Identity Services в настоящее время поддерживают только один домен. Предоставленные пользователи и группы связаны с этим доменом в службах Workspace ONE.

    Имя домена может содержать не более 100 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-), символ подчеркивания (_), точка (.).

    Например:

    В этом примере используется имя каталога Demo, а доменное имя — example.com.
  3. Щелкните Сохранить и подтвердите свой выбор.

Дальнейшие действия

Настройте предоставление пользователей и групп.

Шаг 2. Настройка предоставления пользователей и групп

После создания каталога в VMware Identity Services настройте предоставление пользователей и групп. Запустите этот процесс в VMware Identity Services путем создания учетных данных администратора, необходимых для предоставления, а затем создайте приложение предоставления в Microsoft Entra ID, чтобы предоставлять пользователей и группы в Workspace ONE.

Необходимые условия

У вас есть учетная запись администратора в Microsoft Entra ID с правами, необходимыми для настройки предоставления.

Процедура

  1. После создания каталога в консоли Workspace ONE Cloud просмотрите и скопируйте значения, созданные на шаге 2 мастера Настройка корпоративного приложения Microsoft Entra.
    Эти значения требуются для настройки приложения предоставления в Microsoft Entra ID.
    • URL-адрес арендатора: VMware Identity Services конечная точка SCIM 2.0 арендатора. Скопируйте значение.
    • Срок службы маркера: период, в течение которого действителен секретный маркер.

      По умолчанию VMware Identity Services создает маркер, его срок службы составляет шесть месяцев. Чтобы изменить срок службы маркера, нажмите стрелку вниз, выберите другой параметр, а затем щелкните Создать повторно, чтобы повторно создать маркер с новым значением.

      Важно!: При обновлении срока службы маркера предыдущий маркер становится недействительным и предоставление пользователей и групп из Microsoft Entra ID завершается сбоем. Необходимо повторно создать новый маркер, а также скопировать и вставить его в приложение Microsoft Entra ID.
    • Секретный маркер: маркер, необходимый Microsoft Entra ID для подготовки пользователей для Workspace ONE. Скопируйте значение, щелкнув значок копирования.
      Важно!: Убедитесь, что вы скопировали маркер, прежде чем щелкнуть Далее. После нажатия кнопки Далее маркер больше не будет отображаться и потребуется создать новый маркер. После повторного создания маркера предыдущий маркер становится недопустимым, и подготовка завершается ошибкой. Обязательно скопируйте новый маркер и вставьте его в приложение Microsoft Entra ID.

    Например:

    В шаге 2 отображаются URL-адрес арендатора, срок службы маркера 6 месяцев и секретный маркер.
    Если срок действия маркера скоро истечет, в консоли Workspace ONE Cloud появится уведомление в виде баннера. Чтобы также получать уведомления по электронной почте, убедитесь, что для параметра Окончание срока действия секретных маркеров в Workspace ONE Access и Identity Services установлен флажок Электронная почта. Этот параметр можно найти на странице «Параметры уведомлений» в консоли Workspace ONE Cloud.
  2. Создайте приложение предоставления в Microsoft Entra ID.
    1. а. Войдите в центр администрирования Microsoft Entra.
    2. б. Щелкните Корпоративные приложения на панели навигации слева.
    3. в. На странице «Корпоративные приложения» > «Все приложения» щелкните + Создать приложение.
      ""
    4. г. На странице «Обзор галереи Microsoft Entra» введите VMware Identity Service в поле поиска и выберите приложение VMware Identity Service из результатов поиска.
      ""
    5. д. На отображаемой панели введите имя приложения предоставления, а затем щелкните Создать.
      Например:
      В этом примере создается новое приложение с именем VMware Identity Service — Demo.
      После создания приложения откроется страница «Обзор» приложения.
    6. е. В меню Управление выберите Предоставление и нажмите Начало работы.
      ""
    7. ё. На странице «Предоставление» для параметра Режим предоставления выберите Автоматический.
      Для параметра «Режим предоставления» доступны варианты «Ручной» и «Автоматический». Выберите «Автоматический».
    8. ж. В разделе Учетные данные администратора введите URL-адрес арендатора и секретный маркер, которые были скопированы из шага Настроить корпоративное приложение Microsoft Entra мастера Workspace ONE VMware Identity Services.
      Например:
      «Режим предоставления» установлен как «Автоматический». В текстовых полях «URL-адрес арендатора» и «Секретный маркер» будут скопированные значения из Workspace ONE.
    9. з. Щелкните элемент Проверить подключение.
    10. и. Убедитесь, что появляется следующее сообщение: 
      Предоставленные учетные данные дают право выполнить предоставление.

      Если появляется сообщение об ошибке:

      • Убедитесь, что URL-адрес арендатора правильно скопирован и вставлен из мастера VMware Identity Services.
      • Повторно создайте секретный маркер в мастере VMware Identity Services и скопируйте и вставьте его в приложение еще раз.

      Затем еще раз нажмите Протестировать подключение.

    11. й. Щелкните Сохранить, чтобы сохранить приложение.

Дальнейшие действия

Вернитесь в консоль Workspace ONE Cloud, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 3. Сопоставление атрибутов пользователей SCIM

Сопоставьте атрибуты пользователей, которые нужно синхронизировать из Microsoft Entra ID со службами Workspace ONE. В центре администрирования Microsoft Entra добавьте атрибуты пользователя SCIM и сопоставьте их с атрибутами Microsoft Entra ID. Как минимум, синхронизируйте атрибуты, необходимые для VMware Identity Services и служб Workspace ONE.

Для VMware Identity Services и Workspace ONE служб требуются следующие атрибуты пользователя SCIM:

Атрибут Microsoft Entra ID Атрибут пользователя SCIM (обязательно)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
Objectid externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
Примечание: В таблице показано типовое сопоставление между обязательными атрибутами SCIM и атрибутами Microsoft Entra ID. Атрибуты SCIM можно сопоставить и с неуказанными здесь атрибутами Microsoft Entra ID. Однако при интеграции Workspace ONE UEM с Microsoft Entra ID через VMware Identity Services необходимо сопоставить параметры externalId с objectId.

Дополнительные сведения об этих атрибутах и их сопоставлении с атрибутами Workspace ONE см. в разделе Сопоставление атрибутов пользователей для служб VMware Identity Services.

Помимо обязательных атрибутов можно синхронизировать дополнительные и настраиваемые атрибуты. Список поддерживаемых необязательных и настраиваемых атрибутов см. в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Процедура

  1. В консоли Workspace ONE Cloud на шаге 3 мастера Сопоставить атрибуты пользователя SCIM просмотрите список атрибутов, поддерживаемых VMware Identity Services.
  2. В центре администрирования Microsoft Entra перейдите к приложению предоставления, созданному для предоставления пользователей в VMware Identity Services.
  3. В меню Управление выберите Предоставление.
  4. В разделе Управление предоставлением выберите Сопоставления атрибутов.

    ""
  5. На странице «Предоставление» в разделе Сопоставление выберите следующие параметры.
    • Установите значение Да для параметра Предоставление групп Azure Active Directory.
    • Установите значение Да для параметра Предоставление пользователей Azure Active Directory.
    • Задайте значение Включить для Состояние предоставления.

    ""
  6. Щелкните ссылку Предоставление пользователей Azure Active Directory.
  7. На странице «Сопоставление атрибутов» укажите необходимые сопоставления между атрибутами Microsoft Entra ID и атрибутами SCIM (атрибуты VMware Identity Services).
    Обязательные атрибуты по умолчанию включены в таблицу «Сопоставления атрибутов». При необходимости просмотрите и обновите сопоставления.
    Важно!: При интеграции Workspace ONE UEM с Microsoft Entra ID через VMware Identity Services необходимо сопоставить параметры externalId с objectId.

    Чтобы обновить сопоставления, выполните следующие действия.

    1. а. Щелкните атрибут в таблице Сопоставления атрибутов.
    2. б. Измените атрибут. Для параметра Исходный атрибут выберите атрибут Microsoft Entra ID, а для параметра Целевой атрибут — выберите атрибут SCIM (атрибут VMware Identity Services).

      Например:


      objectId выбирается в качестве исходного атрибута, а externalId — в качестве целевого атрибута.
  8. Сопоставляйте дополнительные атрибуты пользователя, поддерживаемые VMware Identity Services и службами Workspace ONE, при необходимости.
    • Некоторые из дополнительных атрибутов уже отображаются в таблице «Сопоставление атрибутов». Если атрибут отображается в таблице сопоставления атрибутов, щелкните его, чтобы изменить сопоставление. В противном случае щелкните Добавить новое сопоставление и укажите сопоставление. Для Исходный атрибут выберите атрибут Microsoft Entra ID, а для Целевой атрибут — атрибут SCIM.
      Например:
      исходный атрибут — department. Целевой атрибут — urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division.
    • Чтобы добавить атрибуты, которые являются частью расширения схемы VMware Identity Services (атрибуты, в пути которых есть urn:ietf:params:scim:schemas:extension:ws1b:), нажмите Добавить новое сопоставление и укажите сопоставление для атрибута. Для Исходный атрибут выберите атрибут Microsoft Entra ID, а для Целевой атрибут — атрибут SCIM.
    См. список дополнительных атрибутов SCIM, поддерживаемых VMware Identity Services, и как они сопоставляются с атрибутами Workspace ONE в разделе Пользовательское сопоставление атрибутов для служб VMware Identity Services.
  9. Сопоставляйте настраиваемые атрибуты пользователей, поддерживаемые VMware Identity Services и службами Workspace ONE при необходимости.
    1. а. На странице «Сопоставление атрибутов» нажмите Добавить новое сопоставление.
    2. б. Укажите сопоставление. Для параметра Исходный атрибут выберите атрибут Microsoft Entra ID, а для параметра Целевой атрибут — настраиваемый атрибут VMware Identity Services. Настраиваемые атрибуты VMware Identity Services называются urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services поддерживает до пяти настраиваемых атрибутов.
      Например:
      Исходный атрибут — employeeHireDate, а целевой атрибут — VMware Identity Services customAttribute1.
    См. список настраиваемых атрибутов SCIM, поддерживаемых VMware Identity Services, и как они сопоставляются с атрибутами Workspace ONE в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Дальнейшие действия

Вернитесь в консоль Workspace ONE Cloud, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 4. Выбор протокола проверки подлинности

В консоли Workspace ONE Cloud выберите протокол, который будет использоваться для федеративной проверки подлинности. VMware Identity Services поддерживает протоколы OpenID Connect и SAML.

Осторожно!: Выбирайте обдуманно. После выбора протокола и настройки проверки подлинности невозможно изменить тип протокола без удаления каталога.

Процедура

  1. На шаге 4 мастера VMware Identity Services, Выбрать протокол проверки подлинности выберите OpenID Connect или SAML.
  2. Нажмите кнопку Далее.
    На следующем шаге мастера появляются значения, необходимые для настройки выбранного протокола.

Дальнейшие действия

Настройте VMware Identity Services и поставщик удостоверений для федеративной проверки подлинности.

Шаг 5. Настройка проверки подлинности

Чтобы настроить федеративную проверку подлинности с Microsoft Entra ID, необходимо настроить приложение OpenID Connect или SAML в Microsoft Entra ID с использованием метаданных поставщика услуг из VMware Identity Services, а также настроить VMware Identity Services со значениями из приложения.

OpenID Connect

Если в качестве протокола проверки подлинности выбран OpenID Connect, выполните следующие действия.

  1. Скопируйте значение кода URI перенаправления на шаге 5 Настройка OpenID Connect в мастере VMware Identity Services.

    Это значение потребуется для следующего шага при создании приложения OpenID Connect в центре администрирования Microsoft Entra.


    Рядом с кодом URI перенаправления находится значок копирования.
  2. В центре администрирования Microsoft Entra перейдите в раздел Корпоративные приложения > Регистрации приложений.
    ""
  3. Нажмите Новая регистрация.
  4. На странице Регистрация приложения введите имя приложения.
  5. Для кода URI перенаправления выберите Сеть, а затем скопируйте и вставьте значение кода URI перенаправления, которое вы скопировали из раздела Настройка OpenID Connect в мастере VMware Identity Services.

    Например:


    ""
  6. Нажмите Зарегистрировать.

    Появится сообщение Приложение name успешно создано.

  7. Создайте секретный ключ клиента для приложения.
    1. а.Щелкните ссылку Учетные данные клиента: добавить сертификат или секретный ключ.
    2. б.Щелкните + Создать секретный ключ клиента.
    3. в.Введите описание и срок действия секретного ключа на панели Добавить секретный ключ клиента.
    4. г.Нажмите кнопку Добавить.

      Новосозданный секретный ключ отображается во вкладке Секретные ключи клиента.

    5. д.Скопируйте секретный ключ, щелкнув значок копирования рядом с ним.

      Если вы покинете страницу не скопировав секретный ключ, вам придется создать новый.

      Позднее вам нужно будет ввести секретный ключ в мастере VMware Identity Services.


      Секретный ключ отображается во вкладке «Секретные ключи клиента» на странице «Сертификаты и секретные ключи».
  8. Разрешите приложению вызывать API-интерфейсы VMware Identity Services.
    1. а.В меню Управление выберите Разрешения API.
    2. б.Нажмите Дать согласие администратора для организации, затем нажмите Да в окне подтверждения.
  9. Скопируйте идентификатор клиента.
    1. а.Выберите Обзор на левой панели страницы приложения.
    2. б.Скопируйте значение Идентификатор приложения (клиента).

      Позднее вам нужно будет ввести идентификатор клиента в мастере VMware Identity Services.


      Значение идентификатора приложения (клиента) находится в разделе «Необходимые». Рядом с ним есть значок копирования.
  10. Скопируйте значение документа с метаданными OpenID Connect.
    1. а.Щелкните Конечные точки на странице приложения «Обзор».
    2. б.Скопируйте значение документа метаданных OpenID Connect на панели Конечные точки.
      ""

    Позднее вам нужно будет ввести идентификатор клиента в мастере VMware Identity Services.

  11. Вернитесь в мастер VMware Identity Services в консоли Workspace ONE Cloud. Завершите настройку в разделе Настроить OpenID Connect.
    Идентификатор приложения (клиента) Вставьте значение идентификатора приложения (клиента), которое вы скопировали из приложения Microsoft Entra ID OpenID Connect.
    Секретный ключ клиента Вставьте секретный ключ клиента, который вы скопировали из приложения Microsoft Entra ID OpenID Connect.
    URL-адрес конфигурации Вставьте значение документа с метаданными OpenID Connect, которое вы скопировали из приложения Microsoft Entra ID OpenID Connect.
    Атрибут идентификатора пользователя OIDC Для поиска пользователей атрибут электронной почты сопоставляется с атрибутом Workspace ONE.
    Атрибут идентификатора пользователя Workspace ONE Укажите атрибут Workspace ONE для сопоставления с атрибутом поиска пользователей OpenID Connect.
  12. Нажмите Готово, чтобы завершить настройку интеграции между VMware Identity Services и Microsoft Entra ID.

SAML

Если в качестве протокола проверки подлинности вы выбрали протокол SAML, выполните следующие действия.

  1. Получите метаданные поставщика услуг из консоли Workspace ONE Cloud.

    На шаге 5 Настройка единого входа SAML мастера VMware Identity Services скопируйте или загрузите Метаданные поставщика услуг SAML.


    ""
    Примечание: При использовании файла метаданных не нужно копировать и вставлять значения Идентификатор объекта, URL-адрес для единого входа и Сертификат для подписи по отдельности.
  2. Настройте приложение в Microsoft Entra ID.
    1. а.Выберите Корпоративные приложения на левой панели в центре администрирования Microsoft Entra.
    2. б.Найдите и выберите приложение предоставления, которое вы создали в Шаг 2. Настройка предоставления пользователей и групп.
    3. в.В меню Управление выберите Единый вход.
    4. г.Выберите SAML в качестве метода единого входа.
      ""
    5. д.Нажмите Загрузить файл метаданных, выберите файл метаданных, скопированный из консоли Workspace ONE Cloud, а затем нажмите Добавить.
      Опция «Загрузить файл метаданных» находится вверху страницы «Настройка единого входа с помощью SAML».
    6. е.Проверьте эти значения на панели Базовая конфигурация SAML:
      • Значение Идентификатор (идентификатор объекта) должно соответствовать значению Идентификатор объекта, отображаемому на шаге 5 мастера VMware Identity Services.

        Например, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • Значение URL-адрес ответа (URL-адрес службы обработчика утверждений) должно соответствовать значению URL-адрес для единого входа, отображаемому на шаге 5 мастера VMware Identity Services.

        Например, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Получите метаданные федерации из Microsoft Entra ID.
    1. а.В приложении SAML в Microsoft Entra ID перейдите в раздел Сертификаты SAML.
    2. б.Щелкните ссылку Метаданные федерации в формате XML: загрузка, чтобы загрузить метаданные.
      ""
  4. В консоли Workspace ONE Cloud скопируйте и вставьте метаданные федерации из файла, загруженного из Microsoft Entra ID, в текстовое поле Метаданные поставщика удостоверений на шаге 5 мастера VMware Identity Services.
    В текстовом поле «Метаданные поставщика удостоверений» отображается XML-файл метаданных федерации в шаге 5 мастера.
  5. Настройте остальные параметры в разделе Настройка единого входа SAML.
    • Протокол привязки: выберите протокол привязки SAML, HTTP POST или Перенаправление HTTP.
    • Формат идентификатора имени: используйте параметры Формат идентификатора имени и Значение идентификатора имени для сопоставления пользователей между Microsoft Entra ID и VMware Identity Services. Для параметра Формат идентификатора имени укажите формат идентификатора имени, который используется в ответе SAML.
    • Значение идентификатора имени: выберите атрибут пользователя VMware Identity Services, с которым нужно сопоставить значение идентификатора имени, полученное в ответе SAML.
    • Дополнительные параметры > Использовать систему единого выхода по протоколу SAML: выберите этот параметр для обеспечения выхода пользователей из сеанса поставщика удостоверений после выхода из служб Workspace ONE.
  6. Нажмите Готово, чтобы завершить настройку интеграции между VMware Identity Services и Microsoft Entra ID.

Результаты

Интеграция между VMware Identity Services и Microsoft Entra ID завершена.

В VMware Identity Services создан каталог, который будет заполнен при отправке пользователей и групп из приложения предоставления в Microsoft Entra ID. Предоставленные пользователи и группы автоматически отображаются в службах Workspace ONE, выбранных для интеграции с Microsoft Entra ID, таких как Workspace ONE Access и Workspace ONE UEM.

Каталог в консоли Workspace ONE Access и Workspace ONE UEM изменять нельзя. Страницы каталога, пользователей, групп пользователей, атрибутов пользователя и поставщиков удостоверений доступны только для чтения.

Следующие шаги

Далее выберите службы Workspace ONE, которым вы хотите предоставить пользователей и группы.

Если Workspace ONE UEM является одной из служб, которые выбрали, настройте дополнительные параметры в консоли Workspace ONE UEM.

Затем отправьте пользователей и группы из приложения предоставления Microsoft Entra ID. См. Предоставление пользователей в Workspace ONE.