藉由新增和設定您 VMware Identity Manager部署的身分識別提供者執行個體,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。

先決條件

  • 對第三方中繼資料文件的存取權。這可以是中繼資料的 URL 或是實際的中繼資料。

程序

  1. 在管理主控台的 [身分識別與存取管理] 索引標籤中,選取身分識別提供者
  2. 按一下新增身分識別提供者
  3. 編輯身分識別提供者執行個體設定。

    表單項目

    說明

    身分識別提供者名稱

    輸入此身分識別提供者執行個體的名稱。

    SAML 繫結

    選取 AuthnRequest 的傳送方式 (HTTP POST 或 HTTP 重新導向)

    預設值為 [HTTP 重新導向]。

    SAML 中繼資料

    新增第三方身分識別提供者 XML 式中繼資料文件,以建立與身分識別提供者的信任關係。

    1. 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。

    2. 按一下處理 IdP 中繼資料。IdP 支援的 NameID 格式將從中繼資料擷取,並新增至 [名稱識別碼格式] 表格。

    3. 在 [名稱識別碼值] 資料行中,於服務中選取使用者屬性以與顯示的識別碼格式對應。您可以新增自訂第三方名稱識別碼格式,並將其對應至服務中的使用者屬性值。

    4. (選用) 選取 NameIDPolicy 回應識別碼字串格式。

    Just-in-Time 佈建

    不適用

    使用者

    選取其他目錄以納入可使用此身分識別提供者進行驗證的使用者。

    網路

    列出了服務中設定的現有網路範圍。

    根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。

    驗證方法

    新增第三方身分識別提供者支援的驗證方法。選取支援驗證方法的 SAML 驗證內容類別。

    單一登出組態

    啟用單一登出,可在使用者登出時將使用者登出其身分識別提供者工作階段。如果未啟用單一登出,當使用者登出時,其身分識別提供者工作階段仍會在作用中。

    (選用) 如果身分識別提供者支援 SAML 單一登出設定檔,請啟用單一登出,並將重新導向 URL 文字方塊保留為空白。如果身分識別提供者不支援 SAML 單一登出設定檔,請啟用單一登出,並輸入使用者從 VMware Identity Manager登出時所將重新導向到的身分識別提供者的登出 URL。

    如果您已設定重新導向 URL,並且想要讓使用者在重新導向至身分識別提供者登出 URL 之後返回 VMware Identity Manager登入頁面,請輸入身分識別提供者重新導向 URL 所使用的參數名稱。

    SAML 簽署憑證

    按一下服務提供者 (SP) 中繼資料,以查看VMware Identity Manager SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 VMware Identity Manager使用者時會設定此 URL。

    IdP 主機名稱

    如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。

  4. 按一下新增

下一步

  • 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。