在此步驟中,將設定與以 SAML 為基礎的企業身分識別提供者的聯盟,並在針對企業建立的 Workspace ONE Access tenant 上設定 IdP 設定。
可以使用任何符合 SAML 2.0 標準的第三方 IdP 透過
VMware Cloud services 設定企業聯盟。在下列提供者的自助服務聯盟工作流程中提供了簡易設定:
Okta、
PingIdentity、
Microsoft Active Directory Federation Services (ADFS)、
OneLogin 和
Azure Active Directory。
備註: 如果要設定 Azure Active Directory 以使用
VMware Cloud Services 進行企業聯盟,則必須已為其他群組宣告選取
sAMAccountName
。啟用聯盟設定後,需要擷取群組詳細資料。
若要設定不在此清單中的符合 SAML 2.0 標準的其他第三方 IdP,請選取其他。
在此範例中,ACME 企業使用的是
Okta。身為設定 ACME 聯盟的
企業管理員,您將設定
Okta。
備註: 如果您的身分識別提供者支援在 SAML 回應中傳送群組資訊,則可以在聯盟設定中包含群組屬性。
必要條件
在此步驟中,您必須設定使用者識別喜好設定 - 從 Cloud Services 探索頁面存取
VMware Cloud Services 時企業使用者要如何進行自我識別。可用選項包括 [電子郵件]、[使用者主體名稱 (UPN)] 和
User@Domain。如果您考慮將
User@Domain 設定為企業的使用者識別喜好設定,則必須注意以下限制。
限制: 為身分識別提供者設定
User@Domain 識別喜好設定後,將無法返回
步驟 1:驗證網域並在設定期間新增更多網域。必須在開始自助服務聯盟流程的這一步之前新增要聯盟的所有網域。如果要在完成此步驟後新增其他網域,必須提交支援票證。
程序
- 在設定企業聯盟頁面的設定身分識別提供者區段中,按一下開始。
此時將顯示
選取身分識別提供者區段。依預設,選取
SAML 式身分識別提供者選項。
- 從可用的第三方 SAML 身分識別提供者清單中,按一下 Okta。
- 按下一步。
此時將展開
在身分識別提供者內設定 SAML 區段。
- 按一下檢視 SAML 服務提供者中繼資料連結並下載中繼資料檔案。
如果您的身分識別提供者支援 URL 格式,也可以複製
中繼資料 URL。可以使用中繼資料檔案或 URL 將身分識別提供者設定為與
Workspace ONE Access tenant建立信任。
- 複製 Single Sign-On URL 和對象 URI 路徑。
- 開啟 IdP 的管理主控台。
- 貼上上一步中複製的 Single Sign-On URL 和對象 URI。
- 上傳在此工作的步驟 4 中下載的中繼資料檔案。
- 複製在 IdP 上設定的名稱識別碼並保留供進一步參考。
- 下載 IdP 的中繼資料檔案。
- 準備好 IdP 的組態後,請返回自助服務聯盟工作流程,展開在身分識別提供者內設定 SAML 區段,然後按下一步。
此時將展開工作流程的
設定身分識別提供者區段。
- 若要在 Workspace ONE Access tenant上設定 IdP,請提供以下內容:
- 在 [IdP 顯示名稱] 文字方塊中,輸入 IdP 的使用者易記名稱。
將在登入和登出時向
VMware Cloud services 使用者顯示此名稱。
- 在 [中繼資料] 文字方塊中,輸入 IdP 中繼資料 URL,或選取 XML 並貼上身分識別提供者中繼資料 XML 檔案。
隨即自動開始驗證中繼資料。驗證完成後,綠色核取方塊圖示表示檔案已成功讀取和剖析。如果驗證傳回錯誤,請檢查輸入的 URL 是否正確。確保 IdP 中繼資料 XML 檔案中沒有任何額外的空格或字元。
- 從下拉式功能表中選取名稱識別碼格式。
名稱識別碼格式是 SAML 回應中的值,用於識別已驗證的使用者。
- 從下拉式功能表中選取適用於您身分識別提供者的名稱識別碼格式和名稱識別碼值。
將自動填入 [驗證方法]。
- 從 [SAML 內容] 下拉式功能表中,選取 IdP 上的使用者驗證類型。
- 按下一步。
使用者屬性區段將展開,顯示可在身分識別提供者的 SAML 回應中尋找的必要和非必要使用者屬性清單。
- (可選) 若要新增清單中未列出的自訂使用者屬性,請按一下新增使用者屬性,然後在 IdP 上輸入與其名稱完全相符的值。
- 按下一步。
如果指示設定使用在 SAML 回應中支援群組屬性的身分識別提供者,則工作流程的
群組屬性區段將展開,您可以在其中新增要在 SAML 請求中呼叫的群組屬性和群組名稱。
- (可選) 從下拉式功能表中,選取群組屬性和群組名稱。
- 在設定使用者識別喜好設定區段中,選取從 Cloud Services 探索頁面存取 VMware Cloud Services 時企業使用者要如何進行自我識別。
使用者識別不同於使用者針對企業身分識別提供者進行驗證的方式。
重要: 如果您選取
Username@Domain 作為識別喜好設定,則使用者登入
VMware Cloud services 時,
Domain 屬性必須存在於 SAML 回應中。
- 按一下設定。
結果
在此步驟中,已新增身分識別提供者至 Workspace ONE Access 承租人組態,在 IdP 上將 Workspace ONE Access 承租人設定為服務提供者,選取了用於在 SAML 回應中識別使用者的值,並指定了用於驗證身分識別提供者上使用者的驗證方法。