新增第三方身分識別提供者 XML 式中繼資料文件，以建立與身分識別提供者的信任關係。

1. 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。按一下處理 IdP 中繼資料。
2. 選取識別使用者的方式。在輸入 SAML 判斷提示中傳送的識別碼，可透過主體或屬性陳述式來傳送。
   • NameID 元素。NameID 元素可透過 SAML 屬性陳述式來擷取。
   • SAML 屬性。
3. 如果您選取 SAML 屬性，則會從中繼資料擷取身分識別提供者支援的 NameID 格式，並新增至 [名稱識別碼格式] 表格。
   • 在名稱識別碼值資料行中，選取服務中的使用者屬性以對應至顯示的識別碼格式。您可以新增自訂第三方名稱識別碼格式，並將其對應至服務中的使用者屬性值。
   • (選用) 選取「NameID 原則」回應識別碼字串格式。

根據使用者的 IP 位址，為使用者選取想要導向至此身分識別提供者執行個體的網路範圍，以便進行驗證。

當使用者從第三方身分識別提供者 (IDP) 登入 Workspace ONE 時，系統會開啟兩個工作階段，其中一個適用於第三方身分識別提供者，另一個則適用於 Workspace ONE 的 Identity Manager 服務提供者。您可以分別管理這些工作階段的存留期。當使用者登出 Workspace ONE 時，隨即會關閉 Workspace ONE 工作階段，但第三方 IDP 工作階段仍可能處於開啟狀態。視您的安全性需求而定，您可以啟用單一登出並設定單一登出以同時登出兩個工作階段，或者可以讓第三方 IDP 工作階段保持不變。

組態選項 1

• 當您設定第三方身分識別提供者時，可以啟用單一登出。如果第三方身分識別提供者支援 SAML 式單一登出通訊協定 (SLO)，則使用者登出 Workspace ONE 入口網站時，即會同時登出兩個工作階段。未設定 [重新導向 URL] 文字方塊。
• 如果第三方 IDP 不支援 SAML 式單一登出，您可以啟用單一登出，並在 [重新導向 URL] 文字方塊中指定 IDP 單一登出端點 URL。您也可以新增重新導向參數，以附加至將使用者傳送至特定端點的 URL。當使用者登出 Workspace ONE 入口網站且從 IDP 登出時，系統會將使用者重新導向至此 URL。

組態選項 2

• 另一個單一登出選項是讓使用者登出 Workspace ONE 入口網站，並將其重新導向至自訂的端點 URL。您可以啟用單一登出、在 [重新導向 URL] 文字方塊中指定 URL，以及自訂端點的重新導向參數。當使用者登出 Workspace ONE 入口網站時，系統會將其導向這個可以顯示自訂訊息的頁面。第三方 IDP 工作階段仍可能處於開啟狀態。URL 輸入的形式為 https://<vidm-access-url>/SAAS/auth/federation/slo。

如果未啟用 [啟用單一登出]，則當使用者登出時，Workspace ONE Access 服務中的預設組態會將使用者導向至 Workspace ONE 入口網站登入頁面。第三方 IDP 工作階段仍可能處於開啟狀態。