為 Workspace ONE 承租人啟用 VMware Identity Services 後,可設定與 Okta 之間的整合。

  1. VMware Identity Services 的 [開始使用] 精靈中,按一下步驟 2 整合以 SCIM 2.0 為基礎的身分識別提供者中的啟動""
  2. 按一下 Okta 卡上的設定

    ""

  3. 遵循精靈來設定與 Okta 之間的整合。

步驟 1:建立目錄

使用 VMware Identity Services 來設定使用者佈建和身分識別聯盟的第一個步驟是,在 Workspace ONE Cloud 主控台中,針對透過 Okta 所佈建的使用者和群組,建立一個目錄。

注意: 一旦建立目錄後,就無法變更您的身分識別提供者選擇。在繼續進行之前,請確定您選取的是適當的身分識別提供者。

程序

  1. 在精靈的步驟 1 一般資訊中,輸入您想要用於 Workspace ONE 中已佈建目錄的名稱。
    名稱的長度上限是 128 個字元。僅允許使用以下字元:字母 (a-z 或其他語言中的對等字母)、數字 (0-9)、空格、連字號 (-) 和底線 (_)。
    重要: 一旦建立目錄後,就無法變更該目錄的名稱。
  2. 對於網域名稱,請輸入來源目錄的主要網域名稱,且其中包含 .com.net 等之類的延伸。
    VMware Identity Services 目前僅支援一個網域。所佈建的使用者和群組將與 Workspace ONE 服務中的這個網域相關聯。

    網域名稱的長度上限是 100 個字元。僅允許使用以下字元:字母 (a-z 或其他語言中的對等字母)、數字 (0-9)、空格、連字號 (-)、底線 (_) 和句號 (.)。

    例如:

    在此範例中,目錄名稱為 Demo,網域名稱為 example.com。
  3. 按一下儲存,並確認您的選擇。

下一步

設定使用者和群組佈建。

設定使用者和群組佈建 (Okta)

VMware Identity Services 中建立目錄後,可設定使用者和群組佈建。在 VMware Identity Services 中產生佈建所需的管理員認證,來開始此程序,然後在 Okta 中建立佈建應用程式,以將使用者和群組佈建到 Workspace ONE。

必要條件

您在 Okta 中具有一個管理員帳戶,且該帳戶具有設定佈建所需的權限。

程序

  1. 在 Workspace ONE Cloud 主控台中,建立目錄後,檢閱並複製精靈的步驟 2 設定 Okta 應用程式中產生的值。
    您需要這些值,才能在 Okta 中設定佈建應用程式。
    • 承租人 URLVMware Identity Services 承租人的 SCIM 2.0 端點。複製該值。
    • 權杖週期:密碼權杖的有效期。

      依預設,VMware Identity Services 會產生權杖,且其週期是 6 個月。若要變更權杖週期,請按一下向下箭頭,選取其他選項,然後按一下重新產生,以使用新的值來重新產生權杖。

      重要: 每當您更新權杖週期時,先前的權杖將變成無效,且從 Okta 佈建使用者和群組時將會失敗。您必須重新產生新權杖,然後複製新權杖並貼到 Okta 應用程式中。
    • 密碼權杖:Okta 將使用者佈建到 Workspace ONE 時所需使用的權杖。按一下複製圖示以複製該值。
      重要: 請確定在您按 下一步之前已先複製權杖。按 下一步後,該權杖就不再可見,您必須產生新的權杖。如果您重新產生權杖,先前的權杖會變成無效,且佈建將失敗。請確定您已複製新權杖並貼到 Okta 應用程式中。

    例如:

    承租人 URL 使用 https://FQDN/usergroup/scim/v2 格式,權杖週期為 12 個月。

    當權杖即將到期時,Workspace ONE Cloud 主控台中會顯示橫幅通知。如果您還希望收到電子郵件通知,請確保為 Workspace ONE Access 和 Identity Services 的 密碼權杖到期設定選取 電子郵件核取方塊。您可以在 Workspace ONE Cloud 主控台的 [通知設定] 頁面上找到此設定。
  2. 在 Okta 中建立佈建應用程式。
    1. 登入 Okta 管理主控台。
    2. 在左側導覽窗格中,選取應用程式 > 應用程式
    3. 按一下瀏覽應用程式目錄
    4. 搜尋 SCIM 2.0 測試應用程式 (OAuth 持有人權杖)
    5. 在應用程式頁面中,按一下新增整合
    6. 新增 SCIM 2.0 測試應用程式 (OAuth 持有人權杖) 頁面的一般設定索引標籤中,在應用程式標籤文字方塊中輸入應用程式的名稱。例如,VMware Identity Services - SCIM
      範例應用程式名稱為 VMware Identity Services - SCIM。
    7. 下一步
    8. 登入選項索引標籤中,按一下頁面底端的完成
      此時會顯示應用程式頁面。
    9. 在應用程式頁面中,選取佈建索引標籤。
    10. 按一下設定 API 整合
      ""
    11. 選取啟用 API 整合核取方塊。
    12. 透過從 VMware Identity Services 精靈中複製並貼上資訊來完成 [整合] 區段。
      1. 從 VMware Identity Services 精靈複製承租人 URL 值,並將其貼到 Okta 管理主控台的 SCIM 2.0 基本 URL 文字方塊中。
      2. 從 VMware Identity Services 精靈複製密碼權杖值,並將其貼到 Okta 管理主控台的 OAuth 持有人權杖文字方塊中。
      3. 按一下測試 API 認證按鈕以測試連線。
        ""
      4. 確保您看到已成功驗證 SCIM 2.0 測試應用程式 (OAuth 持有人權杖)!訊息,然後再繼續。
      5. 按一下儲存

        此時將顯示 [佈建到應用程式] 頁面。

    13. 在 [佈建到應用程式] 頁面中,按一下編輯,然後為以下選項選取啟用
      • 建立使用者
      • 更新使用者屬性
      • 停用使用者
      ""
    14. 按一下儲存

下一步

返回到 Workspace ONE Cloud 主控台,以繼續執行 VMware Identity Services 精靈。

步驟 3:對應 SCIM 使用者屬性

將要從 Okta 同步的使用者屬性對應至 Workspace ONE 服務。在 Okta 管理主控台中,新增所需的 SCIM 使用者屬性,並將其對應至 Okta 屬性。最起碼請同步 VMware Identity Services 和 Workspace ONE 服務所需的屬性。

VMware Identity Services 和 Workspace ONE 服務需要以下的 SCIM 使用者屬性:

Okta 屬性 SCIM 使用者屬性 (必要)
userName userName
user.email emails[type eq "work"].value
user.firstName name.givenName
user.lastName name.familyName
externalId externalId
active active
備註: 此資料表顯示所需 SCIM 屬性與 Okta 屬性之間的一般對應。您可以將 SCIM 屬性對應至有別於此處列出的 Okta 屬性。

如需這些屬性以及如何將其對應到 Workspace ONE 屬性的詳細資訊,請參閱VMware Identity Services 的使用者屬性對應

除了必要屬性外,您還可以同步選用屬性和自訂屬性。如需支援的選用屬性和自訂屬性清單,請參閱 VMware Identity Services 的使用者屬性對應

重要: 您無法在 Okta 中指定群組屬性對應來同步到 VMware Identity Services。您只能對應使用者屬性。

程序

  1. 在 Workspace ONE Cloud 主控台中,在 VMware Identity Services 精靈的步驟 3 對應 SCIM 使用者屬性中,檢閱 VMware Identity Services 支援的屬性清單。
  2. 在 Okta 管理主控台中,導覽至您建立的佈建應用程式,以將使用者佈建到 VMware Identity Services
  3. 選取佈建索引標籤。
  4. 捲動至 AppName 屬性對應區段,然後按一下移至設定檔編輯器
  5. 在 [設定檔編輯器] 頁面中的屬性下,按一下對應
    ""
  6. 選取 Okta 使用者到 AppName 索引標籤。
    ""
  7. 將所需的 SCIM 使用者屬性對應至 Okta 屬性,然後按一下儲存對應
    備註: externalId 屬性會隱含設定。
  8. 必要時,可新增並對應選用和自訂的 SCIM 使用者屬性。
    若要新增自訂屬性,請執行下列動作:
    1. VMware Identity Services 精靈的步驟 3:對應 SCIM 使用者屬性中,按一下顯示其他屬性連結。
      自訂屬性區段列出了您可以在 Okta 中新增為自訂屬性的 SCIM 屬性。 VMware Identity Services 自訂屬性名為 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#VMware Identity Services 最多支援五個自訂屬性。
      ""
    2. 在 Okta 管理主控台的 [設定檔編輯器] 頁面上,按一下 + 新增屬性
      ""
    3. 新增屬性視窗中,輸入下列資訊:
      顯示名稱:輸入屬性的顯示名稱。例如, customAttribute3

      變數名稱:輸入 VMware Identity Services 精靈中的屬性名稱。例如,customAttribute3

      外部名稱:輸入 VMware Identity Services 精靈中的屬性名稱。例如,customAttribute3

      外部命名空間:輸入 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User。您也可以從 VMware Identity Services 精靈中列出的任何自訂 SCIM 屬性中複製此值。複製不含 :customAttribute# 尾碼的 SCIM 屬性名稱。


      ""

      例如:


      ""
    4. 按一下儲存
      新的自訂屬性將顯示在 屬性資料表中。
    5. 按一下對應,然後選取 Okta 使用者到 AppName 索引標籤。
    6. 在右側資料行中找到新的自訂屬性,然後選取要將其對應至的屬性。
      例如:
      將 customAttribute3 對應至 user.title。
    7. 按一下儲存對應
    8. 按一下立即套用更新

下一步

返回到 Workspace ONE Cloud 主控台,以繼續執行 VMware Identity Services 精靈。

步驟 4:選取驗證通訊協定

選取要用於聯盟驗證的通訊協定。VMware Identity Services 支援 OpenID Connect 和 SAML 通訊協定。

注意: 請謹慎做出選擇。在您選取通訊協定並設定驗證後,如果不刪除目錄,則您無法變更通訊協定類型。

程序

  1. 在精靈的步驟 4 選取驗證通訊協定中,選取 OpenID ConnectSAML
  2. 下一步
    此時將顯示精靈的下一個步驟,其中含有用來設定您所選通訊協定所需的值。

下一步

設定 VMware Identity Services 和 Okta 以進行聯盟驗證。

步驟 5:設定驗證 (Okta)

若要使用 Okta 來設定聯盟驗證,請使用 VMware Identity Services 中的服務提供者中繼資料,在 Okta 中設定 OpenID Connect 或 SAML 應用程式,並使用應用程式中的值來設定 VMware Identity Services

重要: 確保在 Okta 管理主控台中為使用者佈建和身分識別提供者組態建立個別的應用程式。您不能使用同一個應用程式來進行使用者佈建及驗證。

OpenID Connect

如果您選取 OpenID Connect 作為驗證通訊協定,請遵循以下步驟。
備註: 另請參閱 Okta 說明文件 建立 OIDC 應用程式整合,以瞭解其他資訊及參考最新的使用者介面。
  1. VMware Identity Services 精靈的步驟 5 設定 OpenID Connect,複製重新導向 URI 值。

    當您在下一個步驟中,於 Okta 管理主控台中建立 OpenID Connect 應用程式時,需用到此值。

    ""
  2. 在 Okta 中建立 OpenID Connect 應用程式。
    1. 在 Okta 管理主控台中,選取左側窗格中的應用程式 > 應用程式,然後按一下建立應用程式整合
    2. 建立新應用程式整合視窗中,選取 OIDC - OpenID Connect
    3. 對於應用程式類型,請選取 Web 應用程式,然後按下一步
    4. 在 [新增 Web 應用程式整合] 頁面中,指定以下值。

      應用程式整合名稱:輸入應用程式的名稱。

      授與類型:選取授權碼

      登入重新導向 URI:複製並貼上從 重新導向 VMware Identity Services 精靈的步驟 5 中複製的重新導向 URI 值。

      指派 - 受控存取:您可以選擇立即將應用程式指派給群組,也可以稍後進行指派。

      例如:

      ""
    5. 按一下儲存
  3. 尋找 Okta OpenID Connect 應用程式的用戶端識別碼和用戶端密碼。
    1. 選取一般索引標籤。
    2. 尋找用戶端識別碼用戶端密碼值。
      ""

    您將在下一個步驟中使用這些值。

  4. 返回到 Workspace ONE Cloud 主控台中的 VMware Identity Services 精靈,然後完成設定 OpenID Connect 區段中的組態。
    用戶端識別碼 複製並貼上 Okta OpenID Connect 應用程式中的用戶端識別碼值。
    用戶端密碼 複製並貼上 Okta OpenID Connect 應用程式中的用戶端密碼值。
    組態 URL 複製並貼上 Okta 應用程式的 OpenID Connect 已知組態 URL。例如:https://yourOktaOrg/well-known/openid-configuration
    OIDC 使用者識別碼屬性 指定要對應到 Workspace ONE 屬性的 OpenID Connect 屬性,以供使用者查閱。
    Workspace ONE 使用者識別碼屬性 指定要對應到 OpenID Connect 屬性的 Workspace ONE 屬性,以供使用者查閱。
    ""
  5. 按一下完成,以完成設定 VMware Identity Services 與 Okta 之間的整合。

SAML

如果選取 SAML 作為驗證通訊協定,請執行以下步驟。

重要: 確保為身分識別提供者組態建立新的應用程式。您不能使用同一個應用程式來進行使用者佈建及驗證。
  1. 在 Okta 中建立 SAML 應用程式。
    1. 在 Okta 管理主控台中,選取應用程式 > 應用程式,然後按一下建立應用程式整合
      ""
    2. 建立新應用程式整合視窗中,選取 SAML 2.0,然後按下一步
    3. 建立 SAML 整合視窗的一般設定索引標籤中,在應用程式名稱文字方塊中輸入 SAML 應用程式的名稱,然後按下一步
    4. 在新應用程式的設定 SAML 索引標籤中,複製並貼上 VMware Identity Services 中的值。
      • 複製 VMware Identity Services 精靈步驟 5 中的單一登入 URL 值,並將其貼到 SAML 設定下的單一登入 URL 文字方塊中。
      • 複製 VMware Identity Services 精靈步驟 5 中的實體識別碼值,並將其貼到對象 URI (SP 實體識別碼) 文字方塊中。
      圖 1. VMware Identity Services 步驟 5
      ""
      圖 2. Okta SAML 應用程式
      ""
    5. 名稱識別碼格式選取一個值。
    6. 按一下顯示進階設定,對於簽章憑證選項,請上傳 VMware Identity Services 精靈步驟 5 中的簽署憑證
    7. 下一步並完成應用程式設定。
  2. 從 Okta 取得聯盟中繼資料。
    1. 建立應用程式後,在登入索引標籤上,按一下右側窗格中的檢視 SAML 設定指示
    2. 選用區段下,複製步驟 1:向 SP 提供者提供以下 IDP 中繼資料文字方塊中的中繼資料。
      ""
  3. 在 Workspace ONE Cloud 主控台中,在 VMware Identity Services 精靈的步驟 5 中,將中繼資料貼至身分識別提供者中繼資料文字方塊中。
    ""
  4. 視需要,在設定 SAML 單一登入區段中,設定其餘的選項。
    • 繫結通訊協定:選取 SAML 繫結通訊協定 (HTTP POSTHTTP 重新導向)。
    • 名稱識別碼格式:使用名稱識別碼格式名稱識別碼值設定在身分識別提供者與 VMware Identity Services 之間對應使用者。對於名稱識別碼格式,請指定 SAML 回應中使用的名稱識別碼格式。
    • 名稱識別碼值:選取要將 SAML 回應中收到的名稱識別碼值對應至的 VMware Identity Services 使用者屬性。
    • 在 SAML 要求中傳送主體 (可用時):如果您要將主體作為登入提示傳送至身分識別提供者以改善使用者登入體驗 (可用時),請選取此選項。
    • 針對主體使用名稱識別碼格式對應:如果您要將名稱識別碼格式名稱識別碼值對應套用於 SAML 要求中的主體,請選取此選項。此選項與在 SAML 要求中傳送主體 (可用時) 選項一起使用。
      注意: 如果啟用此選項,稱為使用者列舉的安全性弱點的風險可能提高。
    • 使用 SAML 單一登出:如果您要在使用者登出 Workspace ONE 服務後登出其身分識別提供者工作階段,請選取此選項。
    • 身分識別提供者單一登出 URL:如果您的身分識別提供者不支援 SAML 單一登出,則可以使用此選項指定使用者登出 Workspace ONE 服務後要將其重新導向至的 URL。如果使用此選項,還要選取使用 SAML 單一登出核取方塊。

      如果將此選項留空,則將使用 SAML 單一登出將使用者重新導向至身分識別提供者。

    • 加密憑證:如果您計劃在 Okta 中啟用 SAML 加密,請將此憑證上傳到 Okta SAML 應用程式。
  5. 按一下完成,以完成設定 VMware Identity Services 與 Okta 之間的整合。

結果

VMware Identity Services 與 Okta 之間的整合已完成。

將在 VMware Identity Services 中建立目錄,當您從 Okta 中的佈建應用程式推送使用者和群組時,會填入該目錄。所佈建的使用者和群組會自動顯示在您選擇與 VMware Identity Services 搭配使用的 Workspace ONE 服務中,例如 Workspace ONE AccessWorkspace ONE UEM

您無法在 Workspace ONE Access 主控台和 Workspace ONE UEM Console 中編輯目錄。目錄、使用者、使用者群組、使用者屬性和身分識別提供者頁面都是唯讀的。

後續步驟

接下來,請選取 Workspace ONE 服務,以將使用者和群組佈建到其中。

然後,從 Okta 推送使用者和群組。請參閱將使用者佈建到 Workspace ONE