藉由新增和設定您 VMware Identity Manager 部署的身分識別提供者執行個體,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。

先決條件

  • 設定您想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。請參閱新增或編輯網路範圍

  • 用於第三方中繼資料文件的存取權。這可以是中繼資料的 URL 或是實際中繼資料。

程序

  1. 在管理主控台的 [身分識別與存取管理] 索引標籤中,選取管理 > 身分識別提供者
  2. 按一下新增身分識別提供者,然後選取建立第三方 IDP。編輯身分識別提供者執行個體設定。
  3. 編輯身分識別提供者執行個體設定。

    表單項目

    說明

    身分識別提供者名稱

    輸入此身分識別提供者執行個體的名稱。

    SAML 中繼資料

    新增第三方 IdP XML 式中繼資料文件,以建立與身分識別提供者的信任關係。

    1. 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。

    2. 按一下處理 IdP 中繼資料。IdP 支援的 NameID 格式將從中繼資料擷取並新增至 [名稱識別碼格式] 資料表。

    3. 在 [名稱識別碼值] 資料行中,於服務中選取使用者屬性以與顯示的識別碼格式對應。您可以新增自訂第三方名稱識別碼格式,並將其對應至服務中的使用者屬性值。

    4. (選擇性) 選取 NameIDPolicy 回應識別碼字串格式。

    Just-in-Time 佈建

    設定 Just-In-Time 佈建以在使用者登入時,動態地在 Identity Manager 服務中建立使用者。JIT 目錄隨即建立,且 SAML 判斷提示中的屬性可用來在服務中建立使用者。請參閱Just-in-Time 使用者佈建

    使用者

    選取可使用此身分識別提供者進行驗證之使用者的目錄。

    網路

    列出了服務中設定的現有網路範圍。

    根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。

    驗證方法

    新增第三方身分識別提供者支援的驗證方法。選取支援驗證方法的 SAML 驗證內容類別。

    單一登出組態

    啟用單一登出,可在使用者登出時將使用者登出其身分識別提供者工作階段。如果未啟用單一登出,當使用者登出時,其身分識別提供者工作階段仍會在作用中。

    (選用) 如果身分識別提供者支援 SAML 單一登出設定檔,請啟用單一登出,並將重新導向 URL 文字方塊保留為空白。如果身分識別提供者不支援 SAML 單一登出設定檔,請啟用單一登出,並輸入使用者從 VMware Identity Manager 登出時所將重新導向到的身分識別提供者的登出 URL。

    如果您已設定重新導向 URL,並且想要讓使用者在重新導向至身分識別提供者登出 URL 之後返回 VMware Identity Manager 登入頁面,請輸入身分識別提供者重新導向 URL 所使用的參數名稱。

    SAML 簽署憑證

    按一下服務提供者 (SP) 中繼資料,以查看 VMware Identity Manager SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 VMware Identity Manager 使用者時會設定此 URL。

    IdP 主機名稱

    如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。

  4. 按一下新增

下一步

  • 將身分識別提供者的驗證方法新增至服務預設原則。請參閱將驗證方法套用至原則規則

  • 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。