Включив VMware Identity Services для арендатора Workspace ONE, настройте интеграцию с Okta.

  1. В мастере «Начало работы с VMware Identity Services» на шаге 2 нажмите Начать Интегрировать поставщик удостоверений на базе SCIM 2.0.""
  2. Нажмите Настроить на карточке Okta.

    ""

  3. Следуйте инструкциям мастера, чтобы настроить интеграцию с Okta.

Шаг 1. Создание каталога

В качестве первого шага при настройке предоставления пользователей и федерации удостоверений с помощью VMware Identity Services необходимо создать каталог в консоли Workspace ONE Cloud для пользователей и групп, предоставленных с помощью Okta.

Осторожно!: После создания каталога изменить поставщика удостоверений нельзя. Прежде чем продолжить, убедитесь, что выбран нужный поставщик удостоверений.

Процедура

  1. На шаге 1, Общая информация, мастера введите имя, которое нужно использовать для предоставленного каталога в Workspace ONE.
    Имя может содержать не более 128 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-) и нижнее подчеркивание (_).
    Важно!: После создания каталога его имя изменить невозможно.
  2. В поле Доменное имя введите основное доменное имя исходного каталога, включая расширение, например .com или .net.
    VMware Identity Services в настоящее время поддерживают только один домен. Предоставленные пользователи и группы связаны с этим доменом в службах Workspace ONE.

    Имя домена может содержать не более 100 символов. Разрешено использовать только следующие символы: буквы (a–z или эквивалентные в других языках), цифры (0–9), пробелы, дефис (-), символ подчеркивания (_), точка (.).

    Например:

    В этом примере используется имя каталога Demo, а доменное имя — example.com.
  3. Щелкните Сохранить и подтвердите свой выбор.

Дальнейшие действия

Настройте предоставление пользователей и групп.

Настройка предоставления пользователей и групп (Okta)

Создав каталог в VMware Identity Services, настройте предоставление пользователей и групп. Запустите этот процесс в VMware Identity Services путем создания учетных данных администратора, необходимых для предоставления, а затем создайте приложение предоставления в Okta, чтобы предоставлять пользователей и группы в Workspace ONE.

Необходимые условия

У вас есть учетная запись администратора в Okta с правами, необходимыми для настройки предоставления.

Процедура

  1. Создав каталог в консоли Workspace ONE Cloud, просмотрите и скопируйте значения, созданные на шаге 2 мастера Настройка приложения Okta.
    Эти значения требуются для настройки приложения предоставления в Okta.
    • URL-адрес арендатора: VMware Identity Services конечная точка SCIM 2.0 арендатора. Скопируйте значение.
    • Срок службы маркера: период, в течение которого действителен секретный маркер.

      По умолчанию VMware Identity Services создает маркер, его срок службы составляет шесть месяцев. Чтобы изменить срок службы маркера, нажмите стрелку вниз, выберите другой параметр, а затем щелкните Создать повторно, чтобы повторно создать маркер с новым значением.

      Важно!: При обновлении срока службы маркера предыдущий маркер становится недействительным и предоставление пользователей и групп из Okta завершается сбоем. Необходимо повторно создать новый маркер, а также скопировать и вставить его в приложение Okta.
    • Секретный маркер: маркер, необходимый Okta для подготовки пользователей для Workspace ONE. Скопируйте значение, щелкнув значок копирования.
      Важно!: Убедитесь, что вы скопировали маркер, прежде чем щелкнуть Далее. После нажатия кнопки Далее маркер больше не будет отображаться и потребуется создать новый маркер. После повторного создания маркера предыдущий маркер становится недопустимым, и подготовка завершается ошибкой. Обязательно скопируйте новый маркер и вставьте его в приложение Okta.

    Например:

    URL-адрес арендатора в форме: https://FQDN/usergroup/scim/v2. Срок службы маркера: 12 месяцев.

    Если срок действия маркера скоро истечет, в консоли Workspace ONE Cloud появится уведомление в виде баннера. Чтобы также получать уведомления по электронной почте, убедитесь, что для параметра Окончание срока действия секретных маркеров в Workspace ONE Access и Identity Services установлен флажок Электронная почта. Этот параметр можно найти на странице «Параметры уведомлений» в консоли Workspace ONE Cloud.
  2. Создайте приложение предоставления в Okta.
    1. а. Войдите в консоль администрирования Okta.
    2. б. На панели навигации слева выберите Приложения > Приложения.
    3. в. Щелкните Обзор каталога приложений.
    4. г. Выполните поиск тестового приложения SCIM 2.0 (маркера предъявителя OAuth).
    5. д. На странице приложения щелкните Добавить интеграцию.
    6. е. На странице Добавить тестовое приложение SCIM 2.0 (маркер предъявителя OAuth) на вкладке Общие настройки введите имя приложения в текстовом поле Метка приложения. Пример: VMware Identity Services — SCIM.
      Пример приложения с именем «VMware Identity Services — SCIM».
    7. ё. Нажмите кнопку Далее.
    8. ж. На вкладке Параметры входа щелкните Готово в нижней части страницы.
      Отобразится страница приложения.
    9. з. На странице приложения перейдите на вкладку Предоставление.
    10. и. Щелкните Настроить интеграцию API-интерфейса.
      ""
    11. й. Установите флажок Включить интеграцию API-интерфейса.
    12. к. Заполните раздел «Интеграция», скопировав и вставив информацию из мастера VMware Identity Services.
      1. Скопируйте значение URL-адрес арендатора из мастера VMware Identity Services и вставьте его в текстовое поле Базовый URL-адрес SCIM 2.0 в консоли администрирования Okta.
      2. Скопируйте значение Секретный маркер из мастера VMware Identity Services и вставьте его в текстовое поле Маркер предъявителя OAuth в консоли администрирования Okta.
      3. Нажмите кнопку Проверить учетные данные API-интерфейса, чтобы протестировать соединение.
        ""
      4. Прежде чем продолжить, убедитесь, что отобразилось сообщение Тестовое приложение SCIM 2.0 (маркер предъявителя OAuth) успешно проверено!.
      5. Нажмите кнопку Сохранить.

        Откроется страница «Предоставление в приложении».

    13. л. На странице «Предоставление в приложении» щелкните Изменить и выберите Включить для указанных ниже параметров.
      • Создание пользователей
      • Обновление атрибутов пользователя
      • Деактивация пользователей
      ""
    14. м. Нажмите кнопку Сохранить.

Дальнейшие действия

Вернитесь в консоль Workspace ONE Cloud, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 3. Сопоставление атрибутов пользователей SCIM

Сопоставьте атрибуты пользователей, которые нужно синхронизировать из Okta со службами Workspace ONE. В консоли администрирования Okta добавьте необходимые атрибуты пользователя SCIM и сопоставьте их с атрибутами Okta. Как минимум, синхронизируйте атрибуты, необходимые для VMware Identity Services и служб Workspace ONE.

Для VMware Identity Services и Workspace ONE служб требуются следующие атрибуты пользователя SCIM:

Атрибут Okta Атрибут пользователя SCIM (обязательно)
userName userName
user.email emails[type eq "work"].value
user.firstName name.givenName
user.lastName name.familyName
externalId externalId
active active
Примечание: В таблице показано типовое сопоставление между обязательными атрибутами SCIM и атрибутами Okta. Атрибуты SCIM можно сопоставить и с неуказанными здесь атрибутами Okta.

Дополнительные сведения об этих атрибутах и их сопоставлении с атрибутами Workspace ONE см. в разделе Сопоставление атрибутов пользователей для служб VMware Identity Services.

Помимо обязательных атрибутов можно синхронизировать дополнительные и настраиваемые атрибуты. Список поддерживаемых необязательных и настраиваемых атрибутов см. в разделе Сопоставление атрибутов пользователя для служб VMware Identity Services.

Важно!: В Okta нельзя указать сопоставления атрибутов группы для синхронизации с VMware Identity Services. Можно сопоставить только атрибуты пользователей.

Процедура

  1. В консоли Workspace ONE Cloud на шаге 3 мастера VMware Identity Services Сопоставить атрибуты пользователя SCIM просмотрите список атрибутов, поддерживаемых VMware Identity Services.
  2. В консоли администрирования Okta перейдите к приложению предоставления, созданному для предоставления пользователей в VMware Identity Services.
  3. Выберите вкладку Предоставление.
  4. Перейдите в раздел Сопоставления атрибутов AppName и щелкните Перейти к редактору профилей.
  5. На странице «Редактор профилей» в разделе Атрибуты нажмите Сопоставления.
    ""
  6. Выберите вкладку Пользователь Okta в AppName.
    ""
  7. Сопоставьте необходимые атрибуты пользователя SCIM с атрибутами Okta, а затем щелкните Сохранить сопоставления.
    Примечание: Атрибут externalId задается неявно.
  8. При необходимости можно добавить и сопоставить необязательные и настраиваемые атрибуты пользователя SCIM.
    Чтобы добавить настраиваемые атрибуты, выполните указанные ниже действия.
    1. а. В мастере VMware Identity Services Шаг 3. Сопоставление атрибутов пользователей SCIM щелкните ссылку Показать дополнительные атрибуты.
      В разделе Настраиваемые атрибуты перечислены атрибуты SCIM, которые можно добавить в качестве настраиваемых атрибутов в Okta. Настраиваемые атрибуты VMware Identity Services называются urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services поддерживает до пяти настраиваемых атрибутов.
      ""
    2. б. В консоли администрирования Okta на странице «Редактор профилей» щелкните + Добавить атрибут.
      ""
    3. в. В окне Добавить атрибут введите указанные ниже сведения.
      Отображаемое имя: введите отображаемое имя атрибута. Пример: customAttribute3.

      Имя переменной: введите имя атрибута из мастера VMware Identity Services. Пример: customAttribute3.

      Внешнее имя: введите имя атрибута из мастера VMware Identity Services. Пример: customAttribute3.

      Внешнее пространство имен: введите urn:ietf:params:scim:schemas:extension:ws1b:2.0:User. Это значение также можно скопировать из любого из настраиваемых атрибутов SCIM, перечисленных в мастере VMware Identity Services. Скопируйте имя атрибута SCIM без суффикса :customAttribute#.


      ""

      Например:


      ""
    4. г. Нажмите кнопку Сохранить.
      Новый настраиваемый атрибут отобразится в таблице Атрибуты.
    5. д. Щелкните Сопоставления, а затем выберите вкладку Пользователь Okta в AppName.
    6. е. Найдите новый настраиваемый атрибут в правом столбце и выберите атрибут, с которым его необходимо сопоставить.
      Пример:
      customAttribute3 сопоставляется с user.title.
    7. ё. Нажмите кнопку Сохранить сопоставления.
    8. ж. Щелкните Применить обновления сейчас.

Дальнейшие действия

Вернитесь в консоль Workspace ONE Cloud, чтобы продолжить работу с мастером VMware Identity Services.

Шаг 4. Выбор протокола проверки подлинности

Выберите протокол, который будет использоваться для федеративной проверки подлинности. VMware Identity Services поддерживает протоколы OpenID Connect и SAML.

Осторожно!: Выбирайте обдуманно. После выбора протокола и настройки проверки подлинности невозможно изменить тип протокола без удаления каталога.

Процедура

  1. На шаге 4 мастера Выбрать протокол проверки подлинности выберите OpenID Connect или SAML.
  2. Нажмите кнопку Далее.
    На следующем шаге мастера появляются значения, необходимые для настройки выбранного протокола.

Дальнейшие действия

Настройте VMware Identity Services и Okta для федеративной проверки подлинности.

Шаг 5. Настройка проверки подлинности (Okta)

Чтобы настроить федеративную проверку подлинности с Okta, необходимо настроить приложение OpenID Connect или SAML в Okta с использованием метаданных поставщика услуг из VMware Identity Services, а также настроить VMware Identity Services со значениями из приложения.

Важно!: Обязательно создайте отдельные приложения в консоли администрирования Okta для предоставления пользователей и настройки поставщиков удостоверений. Нельзя использовать одно и то же приложение для предоставления и проверки подлинности.

OpenID Connect

Если в качестве протокола проверки подлинности выбран OpenID Connect, выполните следующие действия.
Примечание: См. также документацию по Okta ( Создание интеграций приложений OIDC) для получения дополнительных сведений и ознакомления с последней версией пользовательского интерфейса.
  1. Скопируйте значение кода URI перенаправления на шаге 5 Настройка OpenID Connect в мастере VMware Identity Services.

    Это значение потребуется для следующего шага при создании приложения OpenID Connect в консоли администрирования Okta.

    ""
  2. Создайте приложение OpenID Connect в Okta.
    1. а.В консоли администрирования Okta на панели слева выберите Приложения > Приложения и щелкните Создать интеграцию приложения.
    2. б.В окне Создать новую интеграцию приложения выберите OIDC — OpenID Connect.
    3. в.Для параметра Тип приложения выберите значение Веб-приложение, а затем щелкните Далее.
    4. г.На странице «Новая интеграция веб-приложения» укажите приведенные ниже значения.

      Имя интеграции приложения: введите имя приложения.

      Тип предоставления: выберите значение Код авторизации.

      Код URI перенаправления при входе: скопируйте и вставьте значение Код URI перенаправления, скопированное на шаге 5 мастера VMware Identity Services.

      Назначения — контролируемый доступ: можно назначить приложение группе сейчас или сделать это позже.

      Например:

      ""
    5. д.Нажмите кнопку Сохранить.
  3. Найдите идентификатор и секретный ключ клиента приложения Okta OpenID Connect.
    1. а.Выберите вкладку Общие.
    2. б.Найдите значения параметров Идентификатор клиента и Секретный ключ клиента.
      ""

    Эти значения будут использоваться на следующем шаге.

  4. Вернитесь в мастер VMware Identity Services в консоли Workspace ONE Cloud. Завершите настройку в разделе Настроить OpenID Connect.
    Идентификатор клиента Скопируйте и вставьте значение идентификатора клиента из приложения Okta OpenID Connect.
    Секретный ключ клиента Скопируйте и вставьте значение секретного ключа клиента из приложения Okta OpenID Connect.
    URL-адрес конфигурации Скопируйте и вставьте известный URL-адрес конфигурации приложения Okta OpenID Connect. Пример: https://yourOktaOrg/.well-known/openid-configuration
    Атрибут идентификатора пользователя OIDC Укажите атрибут OpenID Connect для сопоставления с атрибутом Workspace ONE для поиска пользователей.
    Атрибут идентификатора пользователя Workspace ONE Укажите атрибут Workspace ONE для сопоставления с атрибутом поиска пользователей OpenID Connect.
    ""
  5. Нажмите Готово, чтобы завершить настройку интеграции между VMware Identity Services и Okta.

SAML

Если в качестве протокола проверки подлинности вы выбрали протокол SAML, выполните следующие действия.

Важно!: Обязательно создайте новое приложение для конфигурации поставщика удостоверений. Нельзя использовать одно и то же приложение для предоставления и проверки подлинности.
  1. Создайте приложение SAML в Okta.
    1. а.В консоли администрирования Okta выберите Приложения > Приложения, а затем щелкните Создать интеграцию приложения.
      ""
    2. б.В окне Создать новую интеграцию приложения выберите SAML 2.0 и нажмите Далее.
    3. в.В окне Создать интеграцию SAML на вкладке Общие настройки введите имя приложения SAML в текстовом поле Имя приложения и нажмите Далее.
    4. г.На вкладке Настроить SAML нового приложения скопируйте и вставьте значения из VMware Identity Services.
      • Скопируйте значение URL-адрес для единого входа из шага 5 мастера VMware Identity Services и вставьте его в текстовое поле URL-адрес для единого входа в разделе Настройки SAML.
      • Скопируйте значение Идентификатор объекта из шага 5 мастера VMware Identity Services и вставьте его в текстовое поле Код URI аудитории (Идентификатор объекта поставщика услуг).
      Рис. 1. VMware Identity Services: шаг 5
      ""
      Рис. 2. Приложение SAML в Okta
      ""
    5. д.Выберите значение для параметра Формат идентификатора имени.
    6. е.Щелкните Показать дополнительные настройки и при выборе параметра Сертификат для подписи отправьте Сертификат для подписи из шага 5 мастера VMware Identity Services.
    7. ё.Нажмите Далее и завершите настройку приложения.
  2. Получите метаданные федерации из Okta.
    1. а.Создав приложение, на вкладке Вход щелкните Просмотр инструкций по настройке SAML на панели справа.
    2. б.В разделе Дополнительно скопируйте метаданные из текстового поля Шаг 1. Предоставьте указанные ниже метаданные поставщика удостоверений поставщику услуг.
      ""
  3. В консоли Workspace ONE Cloud на шаге 5 мастера VMware Identity Services вставьте метаданные в текстовое поле Метаданные поставщика удостоверений.
    ""
  4. При необходимости настройте остальные параметры в разделе Настройка единого входа SAML.
    • Протокол привязки: выберите протокол привязки SAML, HTTP POST или Перенаправление HTTP.
    • Формат идентификатора имени: используйте параметры Формат идентификатора имени и Значение идентификатора имени для сопоставления пользователей между поставщиком удостоверений и VMware Identity Services. Для параметра Формат идентификатора имени укажите формат идентификатора имени, который используется в ответе SAML.
    • Значение идентификатора имени: выберите атрибут пользователя VMware Identity Services, с которым нужно сопоставить значение идентификатора имени, полученное в ответе SAML.
    • Отправить сведения о субъекте в запросе SAML (при наличии): выберите этот параметр, если необходимо отправить сведения о субъекте поставщику удостоверений в качестве подсказки для входа в систему, чтобы повысить удобство входа пользователей, когда это возможно.
    • Использовать сопоставление формата идентификатора имени для субъекта: выберите этот параметр, если необходимо применить сопоставление параметров Формат идентификатора имени и Значение идентификатора имени с субъектом в запросе SAML. Этот параметр используется вместе с параметром Отправить сведения о субъекте в запросе SAML (при наличии).
      Осторожно!: Включение этого параметра может увеличить риск уязвимости системы безопасности, известной как подсчет пользователей.
    • Использовать систему единого выхода по протоколу SAML: выберите этот параметр для обеспечения выхода пользователей из сеанса поставщика удостоверений после выхода из служб Workspace ONE.
    • URL-адрес единого выхода поставщика удостоверений: если поставщик удостоверений не поддерживает единый выход SAML, используйте этот параметр, чтобы указать URL-адрес, на который будут перенаправляться пользователи после выхода из служб Workspace ONE. При использовании этого параметра также установите флажок Использовать систему единого выхода по протоколу SAML.

      Если оставить это поле пустым, пользователи будут перенаправляться к поставщику удостоверений с помощью единого выхода по протоколу SAML.

    • Сертификат шифрования: отправьте этот сертификат в приложение SAML в Okta, если планируется включение шифрования SAML в Okta.
  5. Нажмите Готово, чтобы завершить настройку интеграции между VMware Identity Services и Okta.

Результаты

Интеграция между VMware Identity Services и Okta завершена.

В VMware Identity Services создан каталог, который будет заполнен при отправке пользователей и групп из приложения предоставления в Okta. Предоставленные пользователи и группы автоматически отображаются в службах Workspace ONE, используемых с VMware Identity Services, например Workspace ONE Access и Workspace ONE UEM.

Каталог в консоли Workspace ONE Access и Workspace ONE UEM изменять нельзя. Страницы каталога, пользователей, групп пользователей, атрибутов пользователя и поставщиков удостоверений доступны только для чтения.

Следующие шаги

Далее выберите службы Workspace ONE, которым вы хотите предоставить пользователей и группы.

Затем отправьте пользователей и группы из Okta. См. раздел Предоставление пользователей в Workspace ONE.