藉由新增和設定您 VMware Identity Manager部署的身分識別提供者執行個體,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。
必要條件
- 設定要導向至此身分識別提供者執行個體以進行驗證的網路範圍。請參閱新增或編輯網路範圍。
- 對第三方中繼資料文件的存取權。這可以是中繼資料的 URL 或是實際的中繼資料。
程序
- 在管理主控台的 [身分識別與存取管理] 索引標籤中,選取身分識別提供者。
- 按一下新增身分識別提供者。
- 編輯身分識別提供者執行個體設定。
表單項目 |
說明 |
身分識別提供者名稱 |
輸入此身分識別提供者執行個體的名稱。 |
SAML 繫結 |
選取 AuthnRequest 的傳送方式 (HTTP POST 或 HTTP 重新導向) 預設值為 [HTTP 重新導向]。 |
SAML 中繼資料 |
新增第三方身分識別提供者 XML 式中繼資料文件,以建立與身分識別提供者的信任關係。
- 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。
- 按一下處理 IdP 中繼資料。IdP 支援的 NameID 格式將從中繼資料擷取,並新增至 [名稱識別碼格式] 表格。
- 在 [名稱識別碼值] 資料行中,於服務中選取使用者屬性以與顯示的識別碼格式對應。您可以新增自訂第三方名稱識別碼格式,並將其對應至服務中的使用者屬性值。
- (選用) 選取 NameIDPolicy 回應識別碼字串格式。
|
Just-in-Time 佈建 |
不適用 |
使用者 |
選取其他目錄以納入可使用此身分識別提供者進行驗證的使用者。 |
網路 |
列出了服務中設定的現有網路範圍。 根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。 |
驗證方法 |
新增第三方身分識別提供者支援的驗證方法。選取支援驗證方法的 SAML 驗證內容類別。 |
單一登出組態 |
啟用單一登出,可在使用者登出時將使用者登出其身分識別提供者工作階段。如果未啟用單一登出,當使用者登出時,其身分識別提供者工作階段仍會在作用中。 (選用) 如果身分識別提供者支援 SAML 單一登出設定檔,請啟用單一登出,並將重新導向 URL 文字方塊保留為空白。如果身分識別提供者不支援 SAML 單一登出設定檔,請啟用單一登出,並輸入使用者從 VMware Identity Manager登出時所將重新導向到的身分識別提供者的登出 URL。 如果您已設定重新導向 URL,並且想要讓使用者在重新導向至身分識別提供者登出 URL 之後返回 VMware Identity Manager登入頁面,請輸入身分識別提供者重新導向 URL 所使用的參數名稱。 |
SAML 簽署憑證 |
按一下服務提供者 (SP) 中繼資料,以查看VMware Identity Manager SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 VMware Identity Manager使用者時會設定此 URL。 |
IdP 主機名稱 |
如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。 |
- 按一下新增。
後續步驟
- 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。