為 Workspace ONE 承租人啟用 VMware Identity Services 後,可設定與 Okta 之間的整合。
- 在 VMware Identity Services 的 [開始使用] 精靈中,按一下步驟 2 整合以 SCIM 2.0 為基礎的身分識別提供者中的啟動。
- 按一下 Okta 卡上的設定。
- 遵循精靈來設定與 Okta 之間的整合。
步驟 1:建立目錄
使用 VMware Identity Services 來設定使用者佈建和身分識別聯盟的第一個步驟是,在 Workspace ONE Cloud 主控台中,針對透過 Okta 所佈建的使用者和群組,建立一個目錄。
程序
下一步
設定使用者和群組佈建。
設定使用者和群組佈建 (Okta)
在 VMware Identity Services 中建立目錄後,可設定使用者和群組佈建。在 VMware Identity Services 中產生佈建所需的管理員認證,來開始此程序,然後在 Okta 中建立佈建應用程式,以將使用者和群組佈建到 Workspace ONE。
必要條件
您在 Okta 中具有一個管理員帳戶,且該帳戶具有設定佈建所需的權限。
程序
下一步
返回到 Workspace ONE Cloud 主控台,以繼續執行 VMware Identity Services 精靈。
步驟 3:對應 SCIM 使用者屬性
將要從 Okta 同步的使用者屬性對應至 Workspace ONE 服務。在 Okta 管理主控台中,新增所需的 SCIM 使用者屬性,並將其對應至 Okta 屬性。最起碼請同步 VMware Identity Services 和 Workspace ONE 服務所需的屬性。
VMware Identity Services 和 Workspace ONE 服務需要以下的 SCIM 使用者屬性:
Okta 屬性 | SCIM 使用者屬性 (必要) |
---|---|
userName | userName |
user.email | emails[type eq "work"].value |
user.firstName | name.givenName |
user.lastName | name.familyName |
externalId | externalId |
active | active |
如需這些屬性以及如何將其對應到 Workspace ONE 屬性的詳細資訊,請參閱VMware Identity Services 的使用者屬性對應。
除了必要屬性外,您還可以同步選用屬性和自訂屬性。如需支援的選用屬性和自訂屬性清單,請參閱 VMware Identity Services 的使用者屬性對應。
程序
下一步
返回到 Workspace ONE Cloud 主控台,以繼續執行 VMware Identity Services 精靈。
步驟 4:選取驗證通訊協定
選取要用於聯盟驗證的通訊協定。VMware Identity Services 支援 OpenID Connect 和 SAML 通訊協定。
程序
下一步
設定 VMware Identity Services 和 Okta 以進行聯盟驗證。
步驟 5:設定驗證 (Okta)
若要使用 Okta 來設定聯盟驗證,請使用 VMware Identity Services 中的服務提供者中繼資料,在 Okta 中設定 OpenID Connect 或 SAML 應用程式,並使用應用程式中的值來設定 VMware Identity Services。
OpenID Connect
- 從 VMware Identity Services 精靈的步驟 5 設定 OpenID Connect,複製重新導向 URI 值。
當您在下一個步驟中,於 Okta 管理主控台中建立 OpenID Connect 應用程式時,需用到此值。
- 在 Okta 中建立 OpenID Connect 應用程式。
- 在 Okta 管理主控台中,選取左側窗格中的建立應用程式整合。 ,然後按一下
- 在建立新應用程式整合視窗中,選取 OIDC - OpenID Connect。
- 對於應用程式類型,請選取 Web 應用程式,然後按下一步。
- 在 [新增 Web 應用程式整合] 頁面中,指定以下值。
應用程式整合名稱:輸入應用程式的名稱。
授與類型:選取授權碼。
登入重新導向 URI:複製並貼上從 重新導向 VMware Identity Services 精靈的步驟 5 中複製的重新導向 URI 值。
指派 - 受控存取:您可以選擇立即將應用程式指派給群組,也可以稍後進行指派。
例如:
- 按一下儲存。
- 尋找 Okta OpenID Connect 應用程式的用戶端識別碼和用戶端密碼。
- 選取一般索引標籤。
- 尋找用戶端識別碼和用戶端密碼值。
您將在下一個步驟中使用這些值。
- 返回到 Workspace ONE Cloud 主控台中的 VMware Identity Services 精靈,然後完成設定 OpenID Connect 區段中的組態。
用戶端識別碼 複製並貼上 Okta OpenID Connect 應用程式中的用戶端識別碼值。 用戶端密碼 複製並貼上 Okta OpenID Connect 應用程式中的用戶端密碼值。 組態 URL 複製並貼上 Okta 應用程式的 OpenID Connect 已知組態 URL。例如:https://yourOktaOrg/well-known/openid-configuration OIDC 使用者識別碼屬性 指定要對應到 Workspace ONE 屬性的 OpenID Connect 屬性,以供使用者查閱。 Workspace ONE 使用者識別碼屬性 指定要對應到 OpenID Connect 屬性的 Workspace ONE 屬性,以供使用者查閱。 - 按一下完成,以完成設定 VMware Identity Services 與 Okta 之間的整合。
SAML
如果選取 SAML 作為驗證通訊協定,請執行以下步驟。
- 在 Okta 中建立 SAML 應用程式。
- 在 Okta 管理主控台中,選取建立應用程式整合。 ,然後按一下
- 在建立新應用程式整合視窗中,選取 SAML 2.0,然後按下一步。
- 在建立 SAML 整合視窗的一般設定索引標籤中,在應用程式名稱文字方塊中輸入 SAML 應用程式的名稱,然後按下一步。
- 在新應用程式的設定 SAML 索引標籤中,複製並貼上 VMware Identity Services 中的值。
- 複製 VMware Identity Services 精靈步驟 5 中的單一登入 URL 值,並將其貼到 SAML 設定下的單一登入 URL 文字方塊中。
- 複製 VMware Identity Services 精靈步驟 5 中的實體識別碼值,並將其貼到對象 URI (SP 實體識別碼) 文字方塊中。
- 為名稱識別碼格式選取一個值。
- 按一下顯示進階設定,對於簽章憑證選項,請上傳 VMware Identity Services 精靈步驟 5 中的簽署憑證。
- 按下一步並完成應用程式設定。
- 從 Okta 取得聯盟中繼資料。
- 建立應用程式後,在登入索引標籤上,按一下右側窗格中的檢視 SAML 設定指示。
- 在選用區段下,複製步驟 1:向 SP 提供者提供以下 IDP 中繼資料文字方塊中的中繼資料。
- 在 Workspace ONE Cloud 主控台中,在 VMware Identity Services 精靈的步驟 5 中,將中繼資料貼至身分識別提供者中繼資料文字方塊中。
- 視需要,在設定 SAML 單一登入區段中,設定其餘的選項。
- 繫結通訊協定:選取 SAML 繫結通訊協定 (HTTP POST 或 HTTP 重新導向)。
- 名稱識別碼格式:使用名稱識別碼格式和名稱識別碼值設定在身分識別提供者與 VMware Identity Services 之間對應使用者。對於名稱識別碼格式,請指定 SAML 回應中使用的名稱識別碼格式。
- 名稱識別碼值:選取要將 SAML 回應中收到的名稱識別碼值對應至的 VMware Identity Services 使用者屬性。
- 在 SAML 要求中傳送主體 (可用時):如果您要將主體作為登入提示傳送至身分識別提供者以改善使用者登入體驗 (可用時),請選取此選項。
- 針對主體使用名稱識別碼格式對應:如果您要將名稱識別碼格式和名稱識別碼值對應套用於 SAML 要求中的主體,請選取此選項。此選項與在 SAML 要求中傳送主體 (可用時) 選項一起使用。
注意: 如果啟用此選項,稱為使用者列舉的安全性弱點的風險可能提高。
- 使用 SAML 單一登出:如果您要在使用者登出 Workspace ONE 服務後登出其身分識別提供者工作階段,請選取此選項。
- 身分識別提供者單一登出 URL:如果您的身分識別提供者不支援 SAML 單一登出,則可以使用此選項指定使用者登出 Workspace ONE 服務後要將其重新導向至的 URL。如果使用此選項,還要選取使用 SAML 單一登出核取方塊。
如果將此選項留空,則將使用 SAML 單一登出將使用者重新導向至身分識別提供者。
- 加密憑證:如果您計劃在 Okta 中啟用 SAML 加密,請將此憑證上傳到 Okta SAML 應用程式。
- 按一下完成,以完成設定 VMware Identity Services 與 Okta 之間的整合。
結果
VMware Identity Services 與 Okta 之間的整合已完成。
將在 VMware Identity Services 中建立目錄,當您從 Okta 中的佈建應用程式推送使用者和群組時,會填入該目錄。所佈建的使用者和群組會自動顯示在您選擇與 VMware Identity Services 搭配使用的 Workspace ONE 服務中,例如 Workspace ONE Access 和 Workspace ONE UEM。
您無法在 Workspace ONE Access 主控台和 Workspace ONE UEM Console 中編輯目錄。目錄、使用者、使用者群組、使用者屬性和身分識別提供者頁面都是唯讀的。
後續步驟
接下來,請選取 Workspace ONE 服務,以將使用者和群組佈建到其中。
然後,從 Okta 推送使用者和群組。請參閱將使用者佈建到 Workspace ONE。