為您的 Workspace ONE Access 部署新增和設定新的 SAML 身分識別提供者執行個體時,您可以提供高可用性、支援其他使用者驗證方法,以及以您根據使用者 IP 位址範圍管理使用者驗證程序的方式增加彈性。

必要條件

新增第三方身分識別提供者執行個體之前,請先完成下列工作。

  • 確認第三方執行個體與 SAML 2.0 相容,並且 Workspace ONE Access 服務可以連線至第三方執行個體。
  • 協調與第三方身分識別提供者的整合。視身分識別提供者而定,您可能需要同時設定這兩個設定。
  • Workspace ONE Access 主控台中設定身分識別提供者時,取得要新增之適當的第三方中繼資料資訊。從第三方執行個體取得的中繼資料資訊可以是中繼資料的 URL,也可以是實際的中繼資料。

程序

  1. Workspace ONE Access 管理主控台的 [身分識別與存取管理] 索引標籤中,選取身分識別提供者
  2. 按一下新增身分識別提供者,然後選取建立 SAML IDP
  3. 設定 SAML 身分識別提供者設定。
    表單項目 說明
    身分識別提供者名稱 輸入此身分識別提供者執行個體的名稱。
    SAML 中繼資料

    新增第三方身分識別提供者 XML 式中繼資料文件,以建立與身分識別提供者的信任關係。

    1. 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。按一下處理 IdP 中繼資料
    2. 選取識別使用者的方式。在輸入 SAML 判斷提示中傳送的識別碼,可透過主體或屬性元素來傳送。
      • NameID 元素。從 [主旨] 元素的 NameID 元素中擷取使用者識別碼。
      • SAML 屬性。從特定屬性或 AttributeStatement 元素中擷取使用者識別碼。
    3. 如果您選取 NameID 元素,則會從中繼資料擷取身分識別提供者支援的 NameID 格式,並新增至顯示的 [名稱識別碼格式] 表格。
      • 名稱識別碼值資料行中,選取在 Workspace ONE Access 服務中設定的使用者屬性,以對應至顯示的 NameID 格式。您可以新增自訂第三方名稱識別碼格式,並將其對應至 Workspace ONE Access 服務中的使用者屬性值。
      • 選取要使用的 SAML 要求中的名稱識別碼原則回應識別碼字串格式。此格式必須符合第三方 IDP 的特定名稱識別碼原則格式組態,該組態用於建立與 Workspace ONE Access 服務的信任。
      • 選取當資訊可用時,將主體資訊傳送至 SAML 要求的選項。
    4. 如果您選取 SAML 屬性,請包含屬性格式和屬性名稱。在 Workspace ONE Access 服務中選取要對應至 SAML 屬性的使用者屬性。
    即時佈建 透過即時佈建而建立的使用者會在登入時,根據身分識別提供者所傳送的 SAML 判斷提示進行動態建立及更新。請參閱即時使用者佈建在 Workspace Access 中的運作方式。如果啟用 JIT,請輸入 JIT 目錄的目錄和網域名稱。
    使用者 選取包含可使用此身分識別提供者進行驗證之使用者的目錄。
    網路 列出了服務中設定的現有網路範圍。

    根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。

    驗證方法 新增第三方身分識別提供者支援的驗證方法。選取支援驗證方法的 SAML 驗證內容類別。
    單一登出組態

    當使用者從第三方身分識別提供者 (IDP) 登入 Workspace ONE 時,系統會開啟兩個工作階段,其中一個適用於第三方身分識別提供者,另一個則適用於 Workspace ONE 的 Identity Manager 服務提供者。您可以分別管理這些工作階段的存留期。當使用者登出 Workspace ONE 時,隨即會關閉 Workspace ONE 工作階段,但第三方 IDP 工作階段仍可能處於開啟狀態。視您的安全性需求而定,您可以啟用單一登出並設定單一登出以同時登出兩個工作階段,或者可以讓第三方 IDP 工作階段保持不變。

    組態選項 1

    • 當您設定第三方身分識別提供者時,可以啟用單一登出。如果第三方身分識別提供者支援 SAML 式單一登出通訊協定 (SLO),則使用者登出 Workspace ONE 入口網站時,即會同時登出兩個工作階段。未設定 [重新導向 URL] 文字方塊。
    • 如果第三方 IDP 不支援 SAML 式單一登出,您可以啟用單一登出,並在 [重新導向 URL] 文字方塊中指定 IDP 單一登出端點 URL。您也可以新增重新導向參數,以附加至將使用者傳送至特定端點的 URL。當使用者登出 Workspace ONE 入口網站且從 IDP 登出時,系統會將使用者重新導向至此 URL。

    組態選項 2

    • 另一個單一登出選項是讓使用者登出 Workspace ONE 入口網站,並將其重新導向至自訂的端點 URL。您可以啟用單一登出、在 [重新導向 URL] 文字方塊中指定 URL,以及自訂端點的重新導向參數。當使用者登出 Workspace ONE 入口網站時,系統會將其導向這個可以顯示自訂訊息的頁面。第三方 IDP 工作階段仍可能處於開啟狀態。URL 輸入的形式為 https://<vidm-access-url>/SAAS/auth/federation/slo

    如果未啟用 [啟用單一登出],則當使用者登出時,Workspace ONE Access 服務中的預設組態會將使用者導向至 Workspace ONE 入口網站登入頁面。第三方 IDP 工作階段仍可能處於開啟狀態。

    SAML 簽署憑證 按一下服務提供者 (SP) 中繼資料,以查看Workspace ONE Access SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 判斷提示以對應 Workspace ONE Access使用者時會設定此 URL。
    IdP 主機名稱 如果顯示 [主機名稱] 文字方塊,請輸入身分識別提供者重新導向到的主機名稱,以進行驗證。如果使用的是 443 以外的非標準連接埠,您可以將主機名稱設定為「主機名稱:連接埠」。例如 myco.example.com:8443。
  4. 按一下新增

後續步驟

  • 將第三方身分識別提供者驗證方法新增至 Workspace ONE 預設存取原則。請參閱 管理存取原則
  • 編輯第三方身分識別提供者的組態,以新增您儲存的 SAML 簽署憑證 URL。