為您的 Workspace ONE Access 部署新增和設定新的 SAML 身分識別提供者執行個體時,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。

必要條件

新增第三方身分識別提供者執行個體之前,請先完成下列工作。

  • 確認第三方執行個體與 SAML 2.0 相容,並且 Workspace ONE Access 服務可以連線至第三方執行個體。
  • 協調與第三方身分識別提供者的整合。視身分識別提供者而定,您可能需要同時設定這兩個設定。
  • Workspace ONE Access 主控台中設定身分識別提供者時,取得要新增之適當的第三方中繼資料資訊。從第三方執行個體取得的中繼資料資訊可以是中繼資料的 URL,也可以是實際的中繼資料。

程序

  1. Workspace ONE Access 主控台的整合 > 身分識別提供者頁面中,按一下新增,然後選取 SAML IDP
  2. 進行下列設定。
    表單項目 說明
    身分識別提供者名稱 輸入此身分識別提供者執行個體的名稱。
    SAML 中繼資料

    新增第三方身分識別提供者 XML 式中繼資料文件,以建立與身分識別提供者的信任關係。

    1. 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。按一下處理 IDP 中繼資料
    2. 選取識別使用者的方式。在輸入 SAML 判斷提示中傳送的識別碼,可透過主體或屬性元素來傳送。
      • NameID 元素。從 [主旨] 元素的 NameID 元素中擷取使用者識別碼。
      • SAML 屬性。從特定屬性或 AttributeStatement 元素中擷取使用者識別碼。
    3. 如果您選取 NameID 元素,則會從中繼資料擷取身分識別提供者支援的 NameID 格式,並新增至顯示的 [名稱識別碼格式] 表格。
      • 名稱識別碼值資料行中,選取在 Workspace ONE Access 服務中設定的使用者屬性,以對應至顯示的 NameID 格式。您可以新增自訂第三方名稱識別碼格式,並將其對應至 Workspace ONE Access 服務中的使用者屬性值。
      • 選取要使用的 SAML 要求中的名稱識別碼原則回應識別碼字串格式。此格式必須符合第三方 IDP 的特定名稱識別碼原則格式組態,該組態用於建立與 Workspace ONE Access 服務的信任。
      • (僅限雲端) 選取選項在 SAML 要求中傳送主體 (可用時) 作為登入提示或作為驗證的提示 (例如 MFA)。啟用此選項時,您也可以啟用根據 NameID 格式對應來傳送主體值,以將第三方應用程式提供的登入提示對應至 NameID 值。
        備註: 啟用 根據 NameID 格式對應來傳送主體值時,Workspace ONE Access 服務容易遭受稱為使用者列舉的安全性風險。請謹慎啟用此選項。

        已啟用 [根據 NameID 格式對應來傳送主體值] 選項的組態範例

        第三方身分識別提供者組態

        • 應用程式「X」已與 Workspace ONE Access 同盟。
        • 第三方身分識別提供者已將 NameID 值對應至 userPrincipleName。

          在此組態中,使用者的電子郵件並未對應至第三方 IDP userPrincipleName。

        • 應用程式 X 存取原則具有第三方身分識別提供者用來驗證使用者的規則。

        使用者驗證流程

        • 使用者選取應用程式「X」。
        • 應用程式「X」向使用者顯示登入頁面,以輸入其電子郵件地址。
        • 應用程式「X」將電子郵件作為登入提示傳送回 Workspace ONE Access。
        • 由於根據 NameID 格式對應來傳送主體值已啟用,因此,Workspace ONE Access 會接受該電子郵件並尋找該使用者的 UserPrincipleName。
        • Workspace ONE Access 傳送具有對應 UserPrincipleName (對應至負責驗證使用者的第三方 IDP) 的 SAML 要求。
    4. 如果您選取 SAML 屬性,請包含屬性格式和屬性名稱。在 Workspace ONE Access 服務中選取要對應至 SAML 屬性的使用者屬性。
    即時使用者佈建 透過即時佈建而建立的使用者會在登入時,根據身分識別提供者所傳送的 SAML 判斷提示進行動態建立及更新。請參閱即時使用者佈建在 Workspace Access 中的運作方式。如果啟用 JIT,請輸入 JIT 目錄的目錄和網域名稱。
    使用者 選取包含可使用此身分識別提供者進行驗證之使用者的目錄。
    網路 列出了服務中設定的現有網路範圍。

    根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。

    驗證方法

    輸入要與此第三方身分識別提供者建立關聯的驗證方法名稱。您可以輸入多種與第三方身分識別提供者建立關聯的驗證方法。為每種驗證方法提供一個識別驗證方法的易記名稱。您可以在存取原則中選取驗證方法名稱,以設定第三方 IDP 驗證方法的規則。

    將驗證方法名稱對應至第三方身分識別提供者在 SAML 回應中傳送的 SAML 驗證內容。在下拉式功能表中,從常用字串清單中選取 SAML 驗證內容類別字串,也可以輸入自訂字串。

    單一登出組態

    當使用者從第三方身分識別提供者 (IDP) 登入 Workspace ONE 時,系統會開啟兩個工作階段,其中一個適用於第三方身分識別提供者,另一個則適用於 Workspace ONE 的 Identity Manager 服務提供者。您可以分別管理這些工作階段的存留期。當使用者登出 Workspace ONE 時,隨即會關閉 Workspace ONE 工作階段,但第三方 IDP 工作階段仍可能處於開啟狀態。視您的安全性需求而定,您可以啟用單一登出並設定單一登出以同時登出兩個工作階段,或者可以讓第三方 IDP 工作階段保持不變。

    組態選項 1

    • 當您設定第三方身分識別提供者時,可以啟用單一登出。如果第三方身分識別提供者支援 SAML 式單一登出通訊協定 (SLO),則使用者登出 Workspace ONE 入口網站時,即會同時登出兩個工作階段。未設定 [重新導向 URL] 文字方塊。
    • 如果第三方 IDP 不支援 SAML 式單一登出,您可以啟用單一登出,並在 [重新導向 URL] 文字方塊中指定 IDP 單一登出端點 URL。您也可以新增重新導向參數,以附加至將使用者傳送至特定端點的 URL。當使用者登出 Workspace ONE 入口網站且從 IDP 登出時,系統會將使用者重新導向至此 URL。

    組態選項 2

    • 另一個單一登出選項是讓使用者登出 Workspace ONE 入口網站,並將其重新導向至自訂的端點 URL。您可以啟用單一登出、在 [重新導向 URL] 文字方塊中指定 URL,以及自訂端點的重新導向參數。當使用者登出 Workspace ONE 入口網站時,系統會將其導向這個可以顯示自訂訊息的頁面。第三方 IDP 工作階段仍可能處於開啟狀態。URL 輸入的形式為 https://<vidm-access-url>/SAAS/auth/federation/slo

    如果未啟用 [啟用單一登出],則當使用者登出時,Workspace ONE Access 服務中的預設組態會將使用者導向至 Workspace ONE 入口網站登入頁面。第三方 IDP 工作階段仍可能處於開啟狀態。

    SAML 簽署憑證 按一下服務提供者 (SP) 中繼資料,以查看Workspace ONE Access SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 Workspace ONE Access使用者時會設定此 URL。
    IdP 主機名稱 如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。
  3. 按一下新增

下一步

  • 在主控台中,移至 [資源] > [原則] 頁面,然後編輯預設存取原則,以新增原則規則,從而選取 SAML 驗證方法名稱作為要使用的驗證方法。請參閱 在 Workspace ONE Access 服務中管理存取原則
  • 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。