為公司網域設定企業聯盟是一個涉及多個步驟、使用者和角色的自助服務程序。
- 步驟 1:驗證網域
-
在此步驟中,驗證要聯盟之網域的擁有權。驗證程序包括為網域新增 DNS TXT 記錄。開始之前,請確認是否可以修改公司網域的 DNS 記錄。
在此步驟中新增的網域是您的企業員工用來存取 VMware Cloud services 的頂層公用網域。這些網域不是內部 Active Directory 網域。在聯盟設定的步驟 3 中,可以新增內部 Active Directory 網域中的使用者和群組。新增用於同步的內部 Active Directory 網域在外部不可見,無法從 VMware Cloud services 進行存取。
備註: 將不會自動執行驗證。提交 TXT 記錄後,可能最多需要 72 小時才能使變更生效。 - 步驟 2:安裝 Workspace ONE Access Connector
-
在此步驟中,下載 Workspace ONE Access Connector 可執行檔並將其安裝在具有企業目錄存取權的 Windows 機器上。
備註: 由於您的企業不使用以 SAML 2.0 為基礎的身分識別提供者, Workspace ONE Access Connector 支援的驗證方法將用於驗證使用者。將在自助服務聯盟工作流程的步驟 4 中進行此設定。Workspace ONE Access Connector 是 Workspace ONE Access (以前稱為 VMware Identity Manager) 的一個內部部署元件,可與您的內部部署基礎結構 (例如 Active Directory、RADIUS 和 RSA SecurID) 整合。在聯盟設定中,該連接器可用來持續將企業管理員設定的使用者和群組與為企業實體建立的主控 Workspace ONE Access 承租人整合,以實現企業聯盟。
- 步驟 3:同步群組和使用者
-
在此步驟中,將繫結至企業 Active Directory。如有必要,請上傳安全性憑證,以用於從 Workspace ONE Access Connector 到 Active Directory 的 SSL/TLS 通訊。接著,在企業目錄中搜尋使用者和群組,以將其與 Workspace ONE Access 承租人進行同步。聯盟設定完成後,可以繼續同步其他群組和使用者。
- 步驟 4:設定身分識別提供者
-
在此步驟中,您將 Workspace ONE Access Connector 設定為充當身分識別提供者,並啟用直接透過 Active Directory 驗證使用者。將啟用 Kerberos 驗證方法,以實現使用者瀏覽器與 Workspace ONE Access 服務之間的安全互動。
如需有關 Kerberos 驗證的詳細資訊,請參閱〈在 Workspace ONE Access 中設定 Kerberos 驗證〉。
注意: 啟用聯盟設定後,您無法變更在此步驟中設定的身分識別提供者。如果稍後必須變更身分識別提供者,請提出支援票證。 - 步驟 5:完成設定
-
在聯盟設定的最後一個步驟中,必須執行一系列動作。
- 確認您企業中的使用者是否可以使用企業 IdP 登入 VMware Cloud services。
- 通知在步驟 1 中所指定網域的企業使用者必須使用其企業認證登入 VMware Cloud services。
- 確認變更並為企業啟用聯盟。
完成聯盟設定後,自助服務工作流程即無法再進行變更。企業管理員可以從企業聯盟儀表板修改初始設定。
重要: 啟用企業聯盟後,聯盟網域中的使用者只能使用其企業帳戶存取 VMware Cloud services。他們無法再使用其 My VMware 帳戶登入 VMware Cloud services。 - 步驟 6:連結 VMware 識別碼帳戶
-
在工作流程的最後一個步驟中,將聯盟帳戶與您的 VMware 識別碼帳戶相連結。以下角色必須完成此步驟:
- 參與自助服務聯盟設定的企業管理員和組織擁有者使用者。
- 需要存取計費資訊的組織擁有者和組織成員使用者。
- 希望能夠提出支援請求的組織擁有者和組織成員使用者。
