為 Workspace ONE 承租人啟用 VMware Identity Services 後,可設定與 Microsoft Entra ID 之間的整合。

  1. VMware Identity Services 的 [開始使用] 精靈中,按一下步驟 2 整合以 SCIM 2.0 為基礎的身分識別提供者中的啟動""
  2. 按一下 Microsoft Entra ID 卡上的設定
    ""
  3. 遵循精靈來設定與 Microsoft Entra ID 之間的整合。

步驟 1:建立目錄

使用 VMware Identity Services 來設定使用者佈建和身分識別聯盟的第一個步驟是,在 Workspace ONE Cloud 主控台中,針對從身分識別提供者所佈建的使用者和群組,建立一個目錄。

注意: 一旦建立目錄後,就無法變更您的身分識別提供者選擇。在繼續進行之前,請確定您選取的是適當的身分識別提供者。

程序

  1. 在精靈的步驟 1 一般資訊中,輸入您想要用於 Workspace ONE 中已佈建目錄的名稱。
    名稱的長度上限是 128 個字元。僅允許使用以下字元:字母 (a-z 或其他語言中的對等字母)、數字 (0-9)、空格、連字號 (-) 和底線 (_)。
    重要: 一旦建立目錄後,就無法變更該目錄的名稱。
  2. 對於網域名稱,請輸入來源目錄的主要網域名稱,且其中包含 .com.net 等之類的延伸。
    VMware Identity Services 目前僅支援一個網域。所佈建的使用者和群組將與 Workspace ONE 服務中的這個網域相關聯。

    網域名稱的長度上限是 100 個字元。僅允許使用以下字元:字母 (a-z 或其他語言中的對等字母)、數字 (0-9)、空格、連字號 (-)、底線 (_) 和句號 (.)。

    例如:

    在此範例中,目錄名稱為 Demo,網域名稱為 example.com。
  3. 按一下儲存,並確認您的選擇。

下一步

設定使用者和群組佈建。

步驟 2:設定使用者和群組佈建

VMware Identity Services 中建立目錄後,可設定使用者和群組佈建。在 VMware Identity Services 中產生佈建所需的管理員認證,來開始此程序,然後在 Microsoft Entra ID 中建立佈建應用程式,以將使用者和群組佈建到 Workspace ONE。

必要條件

您在 Microsoft Entra ID 中具有一個管理員帳戶,且該帳戶具有設定佈建所需的權限。

程序

  1. 在 Workspace ONE Cloud 主控台中,建立目錄後,檢閱並複製精靈的步驟 2 設定 Microsoft Entra Enterprise 應用程式中產生的值。
    您需要這些值,才能在 Microsoft Entra ID 中設定佈建應用程式。
    • 承租人 URLVMware Identity Services 承租人的 SCIM 2.0 端點。複製該值。
    • 權杖週期:密碼權杖的有效期。

      依預設,VMware Identity Services 會產生權杖,且其週期是 6 個月。若要變更權杖週期,請按一下向下箭頭,選取其他選項,然後按一下重新產生,以使用新的值來重新產生權杖。

      重要: 每當您更新權杖週期時,先前的權杖將變成無效,且從 Microsoft Entra ID 佈建使用者和群組時將會失敗。您必須重新產生新權杖,然後複製新權杖並貼到 Microsoft Entra ID 應用程式中。
    • 密碼權杖Microsoft Entra ID 將使用者佈建到 Workspace ONE 時所需使用的權杖。按一下複製圖示以複製該值。
      重要: 請確定在您按 下一步之前已先複製權杖。按 下一步後,該權杖就不再可見,您必須產生新的權杖。如果您重新產生權杖,先前的權杖會變成無效,且佈建將失敗。請確定您已複製新權杖並貼到 Microsoft Entra ID 應用程式中。

    例如:

    步驟 2 顯示承租人 URL、週期為 6 個月的權杖,以及密碼權杖。
    當權杖即將到期時,Workspace ONE Cloud 主控台中會顯示橫幅通知。如果您還希望收到電子郵件通知,請確保為 Workspace ONE Access 和 Identity Services 的 密碼權杖到期設定選取 電子郵件核取方塊。您可以在 Workspace ONE Cloud 主控台的 [通知設定] 頁面上找到此設定。
  2. Microsoft Entra ID 中建立佈建應用程式。
    1. 登入 Microsoft Entra 管理中心。
    2. 在左側導覽窗格中選取企業應用程式
    3. 在 [企業應用程式 > 所有應用程式] 頁面上,按一下 + 新增應用程式
      ""
    4. 在 [瀏覽 Microsoft Entra 資源庫] 頁面上的搜尋方塊中輸入 VMware Identity Services,然後從搜尋結果中選取 VMware Identity Services 應用程式。
      ""
    5. 在顯示的窗格中,輸入佈建應用程式的名稱,然後按一下建立
      例如:
      此範例會建立一個名為 [VMware Identity Services - Demo] 的新應用程式。
      應用程式建立後,將顯示應用程式的 [概觀] 頁面。
    6. 管理功能表中,選取佈建,然後按一下開始使用
      ""
    7. 在 [佈建] 頁面上,將佈建模式設定為自動
      [佈建模式] 選項包含 [手動] 和 [自動]。選取 [自動]。
    8. 管理員認證下,輸入您在 Workspace ONE VMware Identity Services 精靈的設定 Microsoft Entra Enterprise 應用程式步驟中所複製的承租人 URL 和密碼權杖。
      例如:
      佈建模式為 [自動]。[承租人 URL] 和 [密碼權杖] 文字方塊含有從 Workspace ONE 所複製的值。
    9. 按一下測試連線
    10. 請確定會顯示以下訊息: 
      已授權所提供的認證以啟用佈建。

      如果出現錯誤:

      • 請確認您已從 VMware Identity Services 精靈正確複製並貼上承租人 URL。
      • VMware Identity Services 精靈中重新產生密碼權杖,然後再次複製並貼上至應用程式中。

      然後,再次按一下測試連線

    11. 按一下儲存,以儲存應用程式。

下一步

返回到 Workspace ONE Cloud 主控台,以繼續執行 VMware Identity Services 精靈。

步驟 3:對應 SCIM 使用者屬性

將要從 Microsoft Entra ID 同步的使用者屬性對應至 Workspace ONE 服務。在 Microsoft Entra 管理中心,新增 SCIM 使用者屬性,並將其對應到 Microsoft Entra ID 屬性。最起碼請同步 VMware Identity Services 和 Workspace ONE 服務所需的屬性。

VMware Identity Services 和 Workspace ONE 服務需要以下的 SCIM 使用者屬性:

Microsoft Entra ID 屬性 SCIM 使用者屬性 (必要)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
備註: 此資料表顯示所需 SCIM 屬性與 Microsoft Entra ID 屬性之間的一般對應。您可以將 SCIM 屬性對應至有別於此處列出的 Microsoft Entra ID 屬性。但是,如果要透過 VMware Identity ServicesWorkspace ONE UEMMicrosoft Entra ID 整合,您必須將 externalId 對應至 objectId。

如需這些屬性以及如何將其對應到 Workspace ONE 屬性的詳細資訊,請參閱VMware Identity Services 的使用者屬性對應

除了必要屬性外,您還可以同步選用屬性和自訂屬性。如需支援的選用屬性和自訂屬性清單,請參閱 VMware Identity Services 的使用者屬性對應

程序

  1. 在 Workspace ONE Cloud 主控台中,在精靈的步驟 3 對應 SCIM 使用者屬性中,檢閱 VMware Identity Services 支援的屬性清單。
  2. 在 Microsoft Entra 管理中心,導覽至您為了將使用者佈建至 VMware Identity Services 而建立的佈建應用程式。
  3. 管理功能表中,選取佈建
  4. 管理佈建下,按一下編輯屬性對應

    ""
  5. 在 [佈建] 頁面上的對應區段中,進行下列選擇。
    • 佈建 Azure Active Directory 群組設定為
    • 佈建 Azure Active Directory 使用者設定為
    • 佈建狀態設定為開啟

    ""
  6. 按一下佈建 Azure Active Directory 使用者連結。
  7. 在 [屬性對應] 頁面上,指定 Microsoft Entra ID 屬性與 SCIM 屬性 (VMware Identity Services 屬性) 之間的必要屬性對應。
    依預設,必要屬性會包含在 [屬性對應] 資料表中。視需要檢閱並更新對應。
    重要: 如果要透過 VMware Identity ServicesWorkspace ONE UEMMicrosoft Entra ID 整合,您必須將 externalId 對應至 objectId。

    若要更新對應:

    1. 按一下屬性對應資料表中的屬性。
    2. 編輯對應。對於來源屬性,請選取 Microsoft Entra ID 屬性,對於目標屬性,請選取 SCIM 屬性 (VMware Identity Services 屬性)。

      例如:


      選取了 objectId 作為來源屬性,選取了 externalId 作為目標屬性。
  8. 必要時,可對應 VMware Identity Services 和 Workspace ONE 服務支援的選用使用者屬性。
    • 部分選用屬性已顯示在 [屬性對應] 資料表中。如果該屬性顯示在資料表中,請按一下該屬性來編輯對應。否則,請按一下新增對應,並指定對應。對於來源屬性,請選取 Microsoft Entra ID 屬性,對於目標屬性,請選取 SCIM 屬性。
      例如:
      [來源屬性] 為 department。[目標屬性] 為 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division。
    • 若要新增屬於 VMware Identity Services 架結構描述延伸模組 (其路徑中含有 urn:ietf:params:scim:schemas:extension:ws1b: 的屬性),請按一下新增對應,然後指定該屬性的對應。對於來源屬性,請選取 Microsoft Entra ID 屬性,對於目標屬性,請選取 SCIM 屬性。
    請參閱 VMware Identity Services 的使用者屬性對應,以瞭解 VMware Identity Services 支援的選用 SCIM 屬性清單,以及如何將其對應到 Workspace ONE 屬性。
  9. 必要時,可對應 VMware Identity Services 和 Workspace ONE 服務支援的自訂使用者屬性。
    1. 在 [屬性對應] 頁面上,按一下新增對應
    2. 指定對應。對於來源屬性,請選取 Microsoft Entra ID 屬性,對於目標屬性,請選取 VMware Identity Services 自訂屬性。VMware Identity Services 自訂屬性名為 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#VMware Identity Services 最多支援五個自訂屬性。
      例如:
      [來源屬性] 是 employeeHireDate,[目標屬性] 是 VMware Identity Services customAttribute1。
    請參閱 VMware Identity Services 的使用者屬性對應,以瞭解 VMware Identity Services 支援的自訂 SCIM 屬性清單,以及如何將其對應到 Workspace ONE 屬性。

下一步

返回到 Workspace ONE Cloud 主控台,以繼續執行 VMware Identity Services 精靈。

步驟 4:選取驗證通訊協定

Workspace ONE Cloud 主控台中,選取要用於聯盟驗證的通訊協定。VMware Identity Services 支援 OpenID Connect 和 SAML 通訊協定。

注意: 請謹慎做出選擇。在您選取通訊協定並設定驗證後,如果不刪除目錄,則您無法變更通訊協定類型。

程序

  1. VMware Identity Services 精靈的步驟 4 選取驗證通訊協定中,選取 OpenID ConnectSAML
  2. 下一步
    此時將顯示精靈的下一個步驟,其中含有用來設定您所選通訊協定所需的值。

下一步

設定 VMware Identity Services 和身分識別提供者,以進行聯盟驗證。

步驟 5:設定驗證

若要使用 Microsoft Entra ID 來設定聯盟驗證,請使用 VMware Identity Services 中的服務提供者中繼資料,在 Microsoft Entra ID 中設定 OpenID Connect 或 SAML 應用程式,並使用應用程式中的值來設定 VMware Identity Services

OpenID Connect

如果您選取 OpenID Connect 作為驗證通訊協定,請遵循以下步驟。

  1. VMware Identity Services 精靈的步驟 5 設定 OpenID Connect,複製重新導向 URI 值。

    當您在 Microsoft Entra 管理中心中建立 OpenID Connect 應用程式時,在下一個步驟中需要此值。


    [重新導向 URI] 值旁邊有一個複製圖示。
  2. 在 Microsoft Entra 管理中心,導覽至企業應用程式 > 應用程式登錄
    ""
  3. 按一下新增登錄
  4. 登錄應用程式頁面中,輸入應用程式的名稱。
  5. 對於重新導向 URI,請選取 Web,然後複製並貼上您從 VMware Identity Services 精靈的設定 OpenID Connect 區段中所複製的重新導向 URI 值。

    例如:


    ""
  6. 按一下登錄

    此時會顯示已成功建立應用程式 name 訊息。

  7. 為該應用程式建立用戶端密碼。
    1. 按一下用戶端認證:新增憑證或密碼連結。
    2. 按一下 + 新增用戶端密碼
    3. 新增用戶端密碼窗格中,輸入密碼的說明和到期期限。
    4. 按一下新增

      此時會產生密碼,且該密碼會顯示在用戶端密碼索引標籤上。

    5. 按一下密碼值旁邊的複製圖示,以複製該值。

      如果您沒有複製密碼就離開頁面,您必須產生新的密碼。

      您將在 VMware Identity Services 精靈的後續步驟中輸入密碼。


      [憑證和密碼] 頁面將密碼顯示在 [用戶端密碼] 索引標籤中。
  8. 授與應用程式呼叫 VMware Identity Services API 的權限。
    1. 管理下,選取 API 權限
    2. 按一下針對 organization 授與管理員同意,然後按一下確認方塊中的
  9. 複製用戶端識別碼。
    1. 從應用程式頁面的左側窗格中,選取概觀
    2. 複製應用程式 (用戶端) 識別碼值。

      您將在 VMware Identity Services 精靈的後續步驟中輸入該用戶端識別碼。


      [應用程式 (用戶端) 識別碼] 值位於 [基本資訊] 區段中,且旁邊有一個複製圖示。
  10. 複製 OpenID Connect 中繼資料文件值。
    1. 在應用程式的 [概觀] 頁面上,按一下端點
    2. 端點窗格中,複製 OpenID Connect 中繼資料文件值。
      ""

    您將在 VMware Identity Services 精靈的下一個步驟中輸入該用戶端識別碼。

  11. 返回到 Workspace ONE Cloud 主控台中的 VMware Identity Services 精靈,然後完成設定 OpenID Connect 區段中的組態。
    應用程式 (用戶端) 識別碼 貼上您從 Microsoft Entra ID OpenID Connect 應用程式所複製的 [應用程式 (用戶端) 識別碼] 值。
    用戶端密碼 貼上您從 Microsoft Entra ID OpenID Connect 應用程式所複製的用戶端密碼。
    組態 URL 貼上您從 Microsoft Entra ID OpenID Connect 應用程式所複製的 OpenID Connect 中繼資料文件值。
    OIDC 使用者識別碼屬性 將電子郵件屬性對應到 Workspace ONE 屬性,以供使用者查閱。
    Workspace ONE 使用者識別碼屬性 指定要對應到 OpenID Connect 屬性的 Workspace ONE 屬性,以供使用者查閱。
  12. 按一下完成,以完成設定 VMware Identity ServicesMicrosoft Entra ID 之間的整合。

SAML

如果選取 SAML 作為驗證通訊協定,請執行以下步驟。

  1. 從 Workspace ONE Cloud 主控台取得服務提供者中繼資料。

    VMware Identity Services 精靈的步驟 5 設定 SAML 單一登入中,複製 SAML 服務提供者中繼資料,然後下載該資料。


    ""
    備註: 使用中繼資料檔案時,無需個別複製並貼上 實體識別碼單點登入 URL簽署憑證值。
  2. Microsoft Entra ID 中設定應用程式。
    1. 在 Microsoft Entra 管理中心內,選取左側窗格中的企業應用程式
    2. 搜尋並選取您在 步驟 2:設定使用者和群組佈建 中所建立的佈建應用程式。
    3. 管理功能表中,選取單一登入
    4. 選取 SAML 作為單一登入方法。
      ""
    5. 按一下上傳中繼資料檔案,選取您從 Workspace ONE Cloud 主控台所複製的中繼資料檔案,然後按一下新增
      [上傳中繼資料檔案] 選項位於 [使用 SAML 設定單一登入] 頁面的頂端。
    6. 基本 SAML 組態窗格中,驗證以下值:
      • 識別碼 (實體識別碼) 值應與 VMware Identity Services 精靈的步驟 5 中顯示的實體識別碼值相符。

        例如 https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • 回覆 URL (判斷提示取用者服務 URL) 值應與 VMware Identity Services 精靈的步驟 5 中顯示的單一登入 URL 值相符。

        例如 https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Microsoft Entra ID 取得聯盟中繼資料。
    1. Microsoft Entra ID 內的 SAML 應用程式中,捲動至 SAML 憑證區段。
    2. 按一下聯盟中繼資料 XML 下載連結以下載中繼資料。
      ""
  4. 在 Workspace ONE Cloud 主控台中,將您從 Microsoft Entra ID 所下載的檔案中的聯盟中繼資料,複製並貼上到 VMware Identity Services 精靈的步驟 5 中的身分識別提供者中繼資料文字方塊中。
    在精靈的步驟 5 中,[身分識別提供者中繼資料] 文字方塊顯示聯盟中繼資料 XML。
  5. 設定 SAML 單一登入區段中,設定其餘的選項。
    • 繫結通訊協定:選取 SAML 繫結通訊協定 (HTTP POSTHTTP 重新導向)。
    • 名稱識別碼格式:使用名稱識別碼格式名稱識別碼值設定在 Microsoft Entra ID 與 VMware Identity Services 之間對應使用者。對於名稱識別碼格式,請指定 SAML 回應中使用的名稱識別碼格式。
    • 名稱識別碼值:選取要將 SAML 回應中收到的名稱識別碼值對應至的 VMware Identity Services 使用者屬性。
    • 進階選項 > 使用 SAML 單一登出:如果您要在使用者登出 Workspace ONE 服務後登出其身分識別提供者工作階段,請選取此選項。
  6. 按一下完成,以完成設定 VMware Identity ServicesMicrosoft Entra ID 之間的整合。

結果

VMware Identity ServicesMicrosoft Entra ID 之間的整合已完成。

將在 VMware Identity Services 中建立目錄,當您從 Microsoft Entra ID 中的佈建應用程式推送使用者和群組時,會填入該目錄。所佈建的使用者和群組會自動顯示在您選擇與 Microsoft Entra ID 整合的 Workspace ONE 服務 (例如 Workspace ONE Access 和 Workspace ONE UEM) 中。

您無法在 Workspace ONE Access 主控台和 Workspace ONE UEM Console 中編輯目錄。目錄、使用者、使用者群組、使用者屬性和身分識別提供者頁面都是唯讀的。

後續步驟

接下來,選取 Workspace ONE 服務,以將使用者和群組佈建到其中。

如果 Workspace ONE UEM 是您選取的其中一項服務,請在 Workspace ONE UEM Console 中設定其他設定

然後,從 Microsoft Entra ID 佈建應用程式推送使用者和群組。請參閱 將使用者佈建到 Workspace ONE