為您的 Workspace ONE Access 部署新增和設定新的 SAML 身分識別提供者執行個體時,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。
必要條件
新增第三方身分識別提供者執行個體之前,請先完成下列工作。
- 確認第三方執行個體與 SAML 2.0 相容,並且 Workspace ONE Access 服務可以連線至第三方執行個體。
- 協調與第三方身分識別提供者的整合。視身分識別提供者而定,您可能需要同時設定這兩個設定。
- 在 Workspace ONE Access 主控台中設定身分識別提供者時,取得要新增之適當的第三方中繼資料資訊。從第三方執行個體取得的中繼資料資訊可以是中繼資料的 URL,也可以是實際的中繼資料。
程序
- 在 Workspace ONE Access 主控台的整合 > 身分識別提供者頁面中,按一下新增,然後選取 SAML IDP。
- 進行下列設定。
表單項目 說明 身分識別提供者名稱 輸入此身分識別提供者執行個體的名稱。 SAML 中繼資料 新增第三方身分識別提供者 XML 式中繼資料文件,以建立與身分識別提供者的信任關係。
- 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。按一下處理 IDP 中繼資料。
- 選取識別使用者的方式。在輸入 SAML 判斷提示中傳送的識別碼,可透過主體或屬性元素來傳送。
- NameID 元素。從 [主旨] 元素的 NameID 元素中擷取使用者識別碼。
- SAML 屬性。從特定屬性或 AttributeStatement 元素中擷取使用者識別碼。
- 如果您選取 NameID 元素,則會從中繼資料擷取身分識別提供者支援的 NameID 格式,並新增至顯示的 [名稱識別碼格式] 表格。
- 在名稱識別碼值資料行中,選取在 Workspace ONE Access 服務中設定的使用者屬性,以對應至顯示的 NameID 格式。您可以新增自訂第三方名稱識別碼格式,並將其對應至 Workspace ONE Access 服務中的使用者屬性值。
- 選取要使用的 SAML 要求中的名稱識別碼原則回應識別碼字串格式。此格式必須符合第三方 IDP 的特定名稱識別碼原則格式組態,該組態用於建立與 Workspace ONE Access 服務的信任。
- (僅限雲端) 選取選項在 SAML 要求中傳送主體 (可用時) 作為登入提示或作為驗證的提示 (例如 MFA)。啟用此選項時,您也可以啟用根據 NameID 格式對應來傳送主體值,以將第三方應用程式提供的登入提示對應至 NameID 值。
備註: 啟用 根據 NameID 格式對應來傳送主體值時,Workspace ONE Access 服務容易遭受稱為使用者列舉的安全性風險。請謹慎啟用此選項。
已啟用 [根據 NameID 格式對應來傳送主體值] 選項的組態範例
第三方身分識別提供者組態
- 應用程式「X」已與 Workspace ONE Access 同盟。
- 第三方身分識別提供者已將 NameID 值對應至 userPrincipleName。
在此組態中,使用者的電子郵件並未對應至第三方 IDP userPrincipleName。
- 應用程式 X 存取原則具有第三方身分識別提供者用來驗證使用者的規則。
使用者驗證流程
- 使用者選取應用程式「X」。
- 應用程式「X」向使用者顯示登入頁面,以輸入其電子郵件地址。
- 應用程式「X」將電子郵件作為登入提示傳送回 Workspace ONE Access。
- 由於根據 NameID 格式對應來傳送主體值已啟用,因此,Workspace ONE Access 會接受該電子郵件並尋找該使用者的 UserPrincipleName。
- Workspace ONE Access 傳送具有對應 UserPrincipleName (對應至負責驗證使用者的第三方 IDP) 的 SAML 要求。
- 如果您選取 SAML 屬性,請包含屬性格式和屬性名稱。在 Workspace ONE Access 服務中選取要對應至 SAML 屬性的使用者屬性。
即時使用者佈建 透過即時佈建而建立的使用者會在登入時,根據身分識別提供者所傳送的 SAML 判斷提示進行動態建立及更新。請參閱即時使用者佈建在 Workspace Access 中的運作方式。如果啟用 JIT,請輸入 JIT 目錄的目錄和網域名稱。 使用者 選取包含可使用此身分識別提供者進行驗證之使用者的目錄。 網路 列出了服務中設定的現有網路範圍。 根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。
驗證方法 輸入要與此第三方身分識別提供者建立關聯的驗證方法名稱。您可以輸入多種與第三方身分識別提供者建立關聯的驗證方法。為每種驗證方法提供一個識別驗證方法的易記名稱。您可以在存取原則中選取驗證方法名稱,以設定第三方 IDP 驗證方法的規則。
將驗證方法名稱對應至第三方身分識別提供者在 SAML 回應中傳送的 SAML 驗證內容。在下拉式功能表中,從常用字串清單中選取 SAML 驗證內容類別字串,也可以輸入自訂字串。
單一登出組態 當使用者從第三方身分識別提供者 (IDP) 登入 Workspace ONE 時,系統會開啟兩個工作階段,其中一個適用於第三方身分識別提供者,另一個則適用於 Workspace ONE 的 Identity Manager 服務提供者。您可以分別管理這些工作階段的存留期。當使用者登出 Workspace ONE 時,隨即會關閉 Workspace ONE 工作階段,但第三方 IDP 工作階段仍可能處於開啟狀態。視您的安全性需求而定,您可以啟用單一登出並設定單一登出以同時登出兩個工作階段,或者可以讓第三方 IDP 工作階段保持不變。
組態選項 1
- 當您設定第三方身分識別提供者時,可以啟用單一登出。如果第三方身分識別提供者支援 SAML 式單一登出通訊協定 (SLO),則使用者登出 Workspace ONE 入口網站時,即會同時登出兩個工作階段。未設定 [重新導向 URL] 文字方塊。
- 如果第三方 IDP 不支援 SAML 式單一登出,您可以啟用單一登出,並在 [重新導向 URL] 文字方塊中指定 IDP 單一登出端點 URL。您也可以新增重新導向參數,以附加至將使用者傳送至特定端點的 URL。當使用者登出 Workspace ONE 入口網站且從 IDP 登出時,系統會將使用者重新導向至此 URL。
組態選項 2
- 另一個單一登出選項是讓使用者登出 Workspace ONE 入口網站,並將其重新導向至自訂的端點 URL。您可以啟用單一登出、在 [重新導向 URL] 文字方塊中指定 URL,以及自訂端點的重新導向參數。當使用者登出 Workspace ONE 入口網站時,系統會將其導向這個可以顯示自訂訊息的頁面。第三方 IDP 工作階段仍可能處於開啟狀態。URL 輸入的形式為 https://<vidm-access-url>/SAAS/auth/federation/slo。
如果未啟用 [啟用單一登出],則當使用者登出時,Workspace ONE Access 服務中的預設組態會將使用者導向至 Workspace ONE 入口網站登入頁面。第三方 IDP 工作階段仍可能處於開啟狀態。
SAML 簽署憑證 按一下服務提供者 (SP) 中繼資料,以查看Workspace ONE Access SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 Workspace ONE Access使用者時會設定此 URL。 IdP 主機名稱 如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。 - 按一下新增。
下一步
- 在主控台中,移至 [資源] > [原則] 頁面,然後編輯預設存取原則,以新增原則規則,從而選取 SAML 驗證方法名稱作為要使用的驗證方法。請參閱 在 Workspace ONE Access 服務中管理存取原則。
- 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。