為您的 Workspace ONE Access 部署新增和設定新的身分識別提供者執行個體時,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。
必要條件
- 對第三方中繼資料文件的存取權。存取權可以是中繼資料的 URL 或是實際的中繼資料。
程序
- 在 Workspace ONE Access 管理主控台的 [身分識別與存取管理] 索引標籤中,選取身分識別提供者。
- 按一下新增身分識別提供者。
- 編輯身分識別提供者執行個體設定。
表單項目 說明 身分識別提供者名稱 輸入此身分識別提供者執行個體的名稱。 SAML 中繼資料 新增第三方身分識別提供者 XML 式中繼資料文件,以建立與身分識別提供者的信任關係。
- 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。按一下處理 IdP 中繼資料。
- 選取識別使用者的方式。在輸入 SAML 判斷提示中傳送的識別碼,可透過主體或屬性陳述式來傳送。
- NameID 元素。NameID 元素可透過 SAML 屬性陳述式來擷取。
- SAML 屬性。
- 如果您選取 SAML 屬性,則會從中繼資料擷取身分識別提供者支援的 NameID 格式,並新增至 [名稱識別碼格式] 表格。
- 在名稱識別碼值資料行中,選取服務中的使用者屬性以對應至顯示的識別碼格式。您可以新增自訂第三方名稱識別碼格式,並將其對應至服務中的使用者屬性值。
- (選用) 選取「NameID 原則」回應識別碼字串格式。
Just-in-Time 佈建 不適用 使用者 選取其他目錄以納入可使用此身分識別提供者進行驗證的使用者。 網路 列出了服務中設定的現有網路範圍。 根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。
驗證方法 新增第三方身分識別提供者支援的驗證方法。選取支援驗證方法的 SAML 驗證內容類別。 單一登出組態 當使用者從第三方身分識別提供者 (IDP) 登入 Workspace ONE 時,系統會開啟兩個工作階段,其中一個適用於第三方身分識別提供者,另一個則適用於 Workspace ONE 的 Identity Manager 服務提供者。您可以分別管理這些工作階段的存留期。當使用者登出 Workspace ONE 時,隨即會關閉 Workspace ONE 工作階段,但第三方 IDP 工作階段仍可能處於開啟狀態。視您的安全性需求而定,您可以啟用單一登出並設定單一登出以同時登出兩個工作階段,或者可以讓第三方 IDP 工作階段保持不變。
組態選項 1
- 當您設定第三方身分識別提供者時,可以啟用單一登出。如果第三方身分識別提供者支援 SAML 式單一登出通訊協定 (SLO),則使用者登出 Workspace ONE 入口網站時,即會同時登出兩個工作階段。未設定 [重新導向 URL] 文字方塊。
- 如果第三方 IDP 不支援 SAML 式單一登出,您可以啟用單一登出,並在 [重新導向 URL] 文字方塊中指定 IDP 單一登出端點 URL。您也可以新增重新導向參數,以附加至將使用者傳送至特定端點的 URL。當使用者登出 Workspace ONE 入口網站且從 IDP 登出時,系統會將使用者重新導向至此 URL。
組態選項 2
- 另一個單一登出選項是讓使用者登出 Workspace ONE 入口網站,並將其重新導向至自訂的端點 URL。您可以啟用單一登出、在 [重新導向 URL] 文字方塊中指定 URL,以及自訂端點的重新導向參數。當使用者登出 Workspace ONE 入口網站時,系統會將其導向這個可以顯示自訂訊息的頁面。第三方 IDP 工作階段仍可能處於開啟狀態。URL 輸入的形式為 https://<vidm-access-url>/SAAS/auth/federation/slo。
如果未啟用 [啟用單一登出],則當使用者登出時,Workspace ONE Access 服務中的預設組態會將使用者導向至 Workspace ONE 入口網站登入頁面。第三方 IDP 工作階段仍可能處於開啟狀態。
SAML 簽署憑證 按一下服務提供者 (SP) 中繼資料,以查看Workspace ONE Access SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 Workspace ONE Access使用者時會設定此 URL。 IdP 主機名稱 如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。 - 按一下新增。
下一步
- 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。