Guide de configuration de la fédération d'entreprise avec VMware Cloud Services. VMware Cloud services

(1)

d'entreprise avec VMware Cloud Services

VMware Cloud services

(2)

Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse : https://docs.vmware.com/fr/

VMware, Inc.

3401 Hillview Ave.

Palo Alto, CA 94304 www.vmware.com

VMware France SAS.

Tour Franklin

100-101 Terrasse Boieldieu 92042 Paris La Défense 8 Cedex France

www.vmware.com/fr

Guide de configuration de la fédération d'entreprise avec VMware Cloud Services

(3)

1

Qu'est-ce que la fédération d'entreprise et comment fonctionne-t-elle ? 4

Démarrage de la configuration de la fédération en libre-service 6 Portée de la configuration d'une fédération d'entreprise 7 Gestion de l'organisation de fédération spéciale 9

2

Avant de commencer la configuration de la fédération en libre-service 11

3

Questions fréquemment posées sur la fédération d'entreprise 14

4

Présentation des étapes de configuration d'une fédération dynamique (sans connecteur) 20

Étape 1 : vérifier les domaines 21

Étape 2 : configurer le fournisseur d'identité 23 Étape 3 : terminer la configuration 26

Étape 4 : lier votre compte ID VMware 28

5

Présentation des étapes de la configuration de fédération basée sur un connecteur 29

Étape 1 : vérifier les domaines 31

Étape 2 : Installer Workspace ONE Access Connector 33 Étape 3 : synchroniser les groupes et les utilisateurs 37 Étape 4 : configurer le fournisseur d'identité 40 Étape 5 : terminer la configuration 43

Étape 6 : lier votre compte ID VMware 45

6

Dépannage de la fédération 46

Obtenir un support 48

7

Modification de la configuration de la fédération d'entreprise 50

Apporter des modifications aux groupes et utilisateurs synchronisés 51 Modifier les paramètres de votre annuaire 53

Ajouter de nouveaux domaines pour la fédération d'entreprise 56

8

Gouvernance et administration d'identité 57

Activer les fonctionnalités avancées d'administration de gouvernance et d'identité pour les

(4)

Qu'est-ce que la fédération d'entreprise et comment

fonctionne-t-elle ? 1

Les utilisateurs des VMware Cloud services disposant d'un domaine fédéré utilisent leurs

informations d'identification d'entreprise pour se connecter à la Cloud Services Console dans les organisations. La configuration d'une fédération d'entreprise pour votre domaine d'entreprise est un processus en libre-service qui implique plusieurs étapes, utilisateurs et rôles.

En tant que propriétaire d'organisation, vous lancez le workflow de fédération en libre-service pour le compte de votre organisation et vous invitez un Administrateur d'entreprise à effectuer la configuration. L'Administrateur d'entreprise doit déterminer le type de configuration de fédération qui convient le mieux à votre entreprise. Le tableau suivant explique les différences entre les deux options de configuration.

Configuration de la fédération Méthode d'authentification

Provisionnement d'utilisateurs et de groupes

Configuration de l'authentification dynamique (sans connecteur)

Fournisseur d'identité SAML 2.0 Provisionnement dynamique : SAML JIT

Configuration de l'authentification basée sur le connecteur

Méthodes d'authentification du fournisseur d'identité SAML 2.0 OU du connecteur Workspace ONE Access

Préprovisionnement : synchronisation des utilisateurs et des groupes à partir de l’annuaire Active Directory du client

Configuration de l'authentification dynamique (sans connecteur)

Lorsque la fédération d'entreprise pour votre domaine d'entreprise est configurée pour utiliser votre fournisseur d'identité tiers, les utilisateurs qui accèdent à VMware Cloud services à partir du domaine fédéré sont redirigés vers l'écran de connexion du fournisseur d'identité de votre entreprise. Les utilisateurs s'authentifient directement auprès de votre fournisseur d'identité via le provisionnement dynamique SAML JIT.

(5)

Redirection du navigateur vers la page de connexion

ID d'utilisateur

E-mail/ Utilisateur@domaine/UPN Locataire de Workspace ONE

Access pour le client

HTTPS/443 console.cloud.vmware.com HTTPS/443

1 2

1 2 3

Identification de l'utilisateur avec e-mail, nomutilisateur@domaine, ou UPN Utilisateur redirigé vers la page de connexion du fournisseur d'identité L'utilisateur s'authentifie avec les informations d'identification d'entreprise.

Provisionnement dynamique d'utilisateurs/groupes 4

Broker d'identité tiers du client

okta PingIdentity Microsoft ADFS

OneLogin Azure Active Directory

L'utilisateur s'authentifie HTTPS/443

3 SAML JIT Provisionnement dynamique

de groupes et d'utilisateurs 4 du fournisseur d'identité

Fournisseur d'identité

Configuration de l'authentification basée sur le connecteur

Dans cette configuration de fédération, une instance sur site du connecteur Workspace ONE Access synchronise les utilisateurs et les groupes de votre annuaire Active Directory avec une instance dédiée d'un locataire Workspace ONE Access. Seuls les groupes et les utilisateurs synchronisés peuvent se connecter à VMware Cloud services avec leurs identifiants d'entreprise.

L'authentification utilisateur peut être configurée pour utiliser un fournisseur d'identité basé sur SAML 2.0 ou les méthodes d'authentification du connecteur Workspace ONE Access.

Redirection du navigateur vers la page de connexion

Synchroniser et authentifier

tiers du client SAML

Connecteur Workspace ONE Access sur site

Client AD

okta PingIdentity Microsoft ADFS

OneLogin Azure Active Directory ID d'utilisateur

E-mail/ Utilisateur@domaine/UPN Locataire de Workspace ONE

Access pour le client

HTTPS/443 HTTPS/443

console.cloud.vmware.com

1 2

A

3 L'utilisateur s'authentifie

HTTPS/443

1 2 A

3

Synchronisation des utilisateurs et des groupes à intervalles configurés Identification de l'utilisateur avec e-mail, nomutilisateur@domaine, ou UPN Utilisateur redirigé vers la page de connexion du fournisseur d'identité L'utilisateur s'authentifie avec les informations d'identification d'entreprise.

Broker d'identité du fournisseur d'identité

Fournisseur d'identité

Une fois la configuration terminée, la fédération d'entreprise devient disponible pour tous les utilisateurs de votre domaine d'entreprise et s'applique à tous les services de toutes les organisations.

Ce chapitre contient les rubriques suivantes :

n Démarrage de la configuration de la fédération en libre-service

n Portée de la configuration d'une fédération d'entreprise

n Gestion de l'organisation de fédération spéciale

(6)

Démarrage de la configuration de la fédération en libre- service

En tant que propriétaire d'organisation, vous démarrez le workflow de fédération en libre-service à partir de Cloud Services Console.

1 Dans la barre de menus Cloud Services Console, cliquez sur votre nom d'utilisateur.

2 Sélectionnez Afficher l'organisation.

3 Ouvrez ensuite l'onglet Fédération d'entreprise.

4 Cliquez sur Configuration.

(7)

5 Ensuite, vous êtes invité à sélectionner la manière dont vous souhaitez intégrer votre fournisseur d'identité lors de la configuration de la fédération pour votre entreprise.

Option Workflow

Provisionnement dynamique d'utilisateurs et de groupes (sans connecteur)

Cette option vous guide à travers un workflow en 3 étapes qui implique la configuration de votre fournisseur d'identité (IdP) SAML 2.0 tiers pour le provisionnement direct avec VMware Cloud Services.

Pour obtenir des informations détaillées, reportez-vous à la section Chapitre 4 Présentation des étapes de configuration d'une fédération dynamique (sans connecteur).

Préprovisionnement basé sur le connecteur

Cette option vous guide à travers les 5 étapes suivantes :

n Installation et configuration d'une instance sur site du connecteur Workspace ONE Access.

n Création d'un annuaire interne pour stocker les utilisateurs et les groupes que vous synchroniserez à partir de votre annuaire Active Directory.

n (Facultatif) Configuration d'un fournisseur d'identité SAML 2.0 tiers.

Pour obtenir des informations détaillées, reportez-vous à la section Chapitre 5 Présentation des étapes de la configuration de fédération basée sur un connecteur.

6 Identifiez un Administrateur d'entreprise qui sera invité à terminer la configuration de la fédération pour votre entreprise.

L'administrateur d'entreprise que vous avez identifié reçoit un e-mail avec un lien. Lorsqu'il clique sur le lien et se connecte à VMware Cloud Services, il accède à l'organisation de fédération spéciale qui contient le workflow de fédération en libre-service. En savoir plus sur Gestion de l'organisation de fédération spéciale.

Note Le propriétaire de l'organisation qui a lancé le workflow de fédération en libre-service peut accéder à l'organisation de fédération spéciale, mais il ne pourra pas accéder au workflow de fédération, sauf s'il s'accorde le rôle d'accès Administrateur d'entreprise.

Portée de la configuration d'une fédération d'entreprise

La configuration d'une fédération d'entreprise pour votre domaine d'entreprise est un processus en libre-service qui implique plusieurs étapes, utilisateurs et rôles.

Voici qui et quoi sont impliqués dans la fédération de votre domaine d'entreprise avec VMware Cloud services.

Propriétaire d'organisation

(8)

Les propriétaires d'organisation qui détiennent des rôles d'administrateur système dans leur entreprise et ont des connaissances suffisantes sur le service d'annuaire d'entreprise et la configuration d'un fournisseur d'identité peuvent agir en tant qu'administrateurs d'entreprise pour la configuration de la fédération.

Administrateur d'entreprise

L'administrateur d'entreprise est un administrateur système faisant partie de l'équipe de sécurité centrale de votre entreprise, et gère les services d'annuaire et les fournisseurs d'identité. En tant que personne désignée pour configurer la fédération d'entreprise de votre domaine d'entreprise, l'administrateur d'entreprise exécute les étapes de configuration et de validation du processus de configuration en libre-service. La configuration de la

fédération d'entreprise peut impliquer des représentants de différentes équipes de sécurité.

L'administrateur d'entreprise désigné peut inviter d'autres administrateurs pour l'aider dans la configuration.

Organisation de la fédération d'entreprise

Lorsqu'un propriétaire d'organisation lance le workflow de fédération en libre-service pour son domaine d'entreprise en invitant un ou plusieurs administrateurs d'entreprise, une organisation de fédération spéciale devient disponible pour la configuration. Toute personne impliquée dans le processus de fédération en libre-service reçoit une notification par e-mail avec un lien permettant d'accéder à l'organisation de la fédération spéciale. L'objectif de cette organisation est de configurer la fédération d'entreprise pour le domaine de l'entreprise et de modifier la configuration initiale.

Liaison de comptes d'entreprise à des ID VMware

Les utilisateurs existants de VMware Cloud services dont les comptes sont fédérés doivent lier leurs comptes d'entreprise à leurs comptes ID VMware afin d'accéder aux services dans leur organisation. Les nouveaux utilisateurs qui s'intègrent à VMware Cloud services après l'activation de la configuration de la fédération pour leurs domaines n'ont pas besoin de créer un ID VMware, sauf s'ils doivent afficher des informations de facturation ou déposer des tickets de support.

VMware impose que les utilisateurs de VMware Cloud services qui travaillent avec VMware à des fins de facturation et de support, disposent d'un ID VMware et lient leur compte d'entreprise à leur ID VMware.

Locataire de VMware Workspace ONE Access

La configuration de la gestion des identités fédérées nécessite que le client configure et gère un locataire VMware Workspace ONE Access. Le locataire est créé dans le cadre du processus de fédération en libre-service. Le locataire Workspace ONE Access agit comme un Broker d'identité (fournisseur de services) pour votre fournisseur d'identité et n'est pas impliqué dans l'authentification d'utilisateur réelle.

Workflow de configuration de la fédération en libre-service

(9)

La configuration de la fédération en libre-service implique plusieurs étapes qui peuvent être exécutées à diverses reprises par différents administrateurs d'entreprise. Le workflow regagne l'emplacement qu'il occupait au moment de sa dernière sortie. Les administrateurs d'entreprise impliqués dans la configuration doivent disposer détenir des comptes VMware Cloud services avec un ID VMware. Toutes les étapes de la configuration de la fédération sont effectuées via le workflow Configurer la fédération d'entreprise dans l'organisation de fédération spéciale.

Gestion de l'organisation de fédération spéciale

Lorsqu'un propriétaire d'organisation initie la configuration de la fédération en libre-service pour son domaine d'entreprise en invitant un ou plusieurs administrateurs d'entreprise, l'organisation de fédération est créée et devient immédiatement disponible pour le propriétaire de l'organisation qui a démarré la fédération et pour tous les administrateurs d'entreprise invités à terminer la configuration.

L'objectif de cette organisation de fédération spéciale est de fournir le workflow de configuration initiale de la fédération pour votre domaine d'entreprise. Après avoir effectué la configuration initiale, les administrateurs d'entreprise peuvent accéder à l'organisation de fédération pour modifier la configuration de la fédération.

Important Ne supprimez pas l'organisation de fédération spéciale et n'ajoutez pas de services à cette organisation. Il offre un ensemble limité de fonctionnalités liées à la configuration de la fédération pour vos domaines d'entreprise. Seuls les administrateurs d'entreprise ou les membres de l'organisation responsables de la configuration de la fédération doivent obtenir l'accès à l'organisation de fédération.

Demande d'accès à l'organisation de fédération spéciale

L'accès est accordé par le propriétaire de l'organisation ou un administrateur d'entreprise. Ce sont les rôles responsables de la configuration de la fédération d'entreprise pour votre domaine.

En tant que propriétaire d'organisation d'un domaine en cours de fédéré, vous pouvez contacter le propriétaire de l'organisation de la fédération et demander un rôle d'accès au sein de

l'organisation. Pour identifier la personne à contacter dans votre entreprise, procédez comme suit :

1 Dans le menu Cloud Services Console, cliquez sur le nom d'utilisateur et sélectionnez Afficher l'organisation.

2 Sur la page Paramètres de l'organisation, cliquez sur l'onglet Fédération d'entreprise . La page Fédération d'entreprise affiche les informations d'état de la configuration de la fédération de votre domaine d'entreprise. Si l'opération est en cours, vous pouvez voir l'e-mail

(10)

Accès à l'organisation de fédération spéciale

Si vous avez déjà un rôle d'accès de propriétaire d'organisation ou d'administrateur d'entreprise dans l'organisation de fédération, vous pouvez passer de votre organisation active à l'organisation de fédération en cliquant sur la flèche vers le bas à côté de votre nom d'utilisateur dans la

barre de menus principale. Vous pouvez également accéder à l'onglet Organisation > Fédération d'entreprise et cliquez sur le bouton Lancer.

Pour distinguer l'organisation de fédération des autres organisations de votre entreprise, le nom complet de l'organisation dans le menu Cloud Services Console présente une icône bouclier devant le nom de votre entreprise et le mot « Fédération » après celui-ci. Voir l'exemple ci- dessous.

Qui peut être administrateur d'entreprise ?

Tout administrateur système qui appartient à l'équipe de sécurité centrale de votre entreprise, et qui gère les services d'annuaire et les fournisseurs d'identité, peut être invité en tant

qu'administrateur d'entreprise. La configuration de la fédération d'entreprise peut impliquer des représentants de différentes équipes de sécurité. En tant que personne désignée pour configurer la fédération d'entreprise de votre domaine d'entreprise, l'administrateur d'entreprise exécute les étapes de configuration et de validation du processus de configuration en libre-service.

L'administrateur d'entreprise peut également inviter d'autres administrateurs pour l'aider dans la configuration.

Les propriétaires d'organisation qui détiennent des rôles d'administrateur système dans leur entreprise et ont des connaissances suffisantes sur le service d'annuaire d'entreprise et la configuration d'un fournisseur d'identité peuvent agir en tant qu'administrateurs d'entreprise pour la configuration de la fédération.

Les administrateurs d'entreprise impliqués dans la configuration doivent détenir des comptes VMware Cloud services avec un ID VMware.

(11)

configuration de la fédération en

libre-service 2

En tant qu'administrateur d'entreprise, vous accédez au workflow de fédération en libre-service depuis l'organisation de fédération créée pour votre entreprise lors du lancement. Vous recevez le lien d'accès à l'organisation de fédération dans le cadre de l'e-mail d'invitation qui vous a été envoyé par le propriétaire de l'organisation qui a initié la fédération ou par un autre administrateur d'entreprise qui vous a invité à participer.

Conditions préalables

Le workflow de configuration de fédération en libre-service comporte plusieurs étapes et plusieurs administrateurs d'entreprise peuvent les suivre pendant une période donnée. Avant de commencer, assurez-vous d'avoir lu et compris les conditions préalables et requises pour la configuration de la fédération d'entreprise.

Attention Votre entreprise doit posséder les domaines que vous souhaitez fédérer pour accéder à VMware Cloud services et vous devez vérifier la propriété lors de la première étape du workflow en libre-service. Vous ne pouvez pas fédérer les domaines qui appartiennent à un fournisseur de services.

n La configuration d'une fédération via le workflow en libre-service nécessite un accès d'administrateur d'entreprise.

n Pour afficher toutes les étapes du workflow correctement affichées dans votre navigateur, vous devez activer des cookies tiers.

Note Lorsque vous utilisez le workflow de configuration de fédération, assurez-vous de ne pas utiliser le mode incognito du navigateur.

n Vérifiez que vous pouvez accéder aux enregistrements DNS des domaines fédérés et les modifier pour la vérification de domaine.

Attention Votre entreprise doit posséder les domaines que vous souhaitez fédérer pour accéder à VMware Cloud services et vous devez vérifier la propriété lors de la première étape du workflow en libre-service. Vous ne pouvez pas fédérer les domaines qui appartiennent à un

(12)

n Les conditions préalables basées sur la configuration de fédération en libre-service sélectionnée sont les suivantes :

Pour la configuration de l'authentification dynamique (sans connecteur), vous devez

n Vérifiez que vous pouvez accéder à la console de votre fournisseur d'identité et à l'URL des métadonnées du fournisseur d'identité.

Pour la configuration de l'authentification basée sur le connecteur, vous devez

n Vérifiez que vous pouvez accéder aux

enregistrements DNS des domaines fédérés et les modifier pour la vérification de domaine.

n Votre machine hôte est installée avec MS Windows Server 2012 R2 ou version ultérieure, et vous pouvez accéder à votre annuaire d'entreprise.

n La machine Windows hôte doit avoir une adresse IP statique et un nom de domaine complet DNS pouvant être résolu.

n Le connecteur doit avoir un accès réseau à Active Directory sur les ports 389/636.

n Votre pare-feu d'entreprise est configuré pour établir une connexion sortante entre le connecteur Workspace ONE Access et le port 443 pour permettre l'interaction avec le service de locataire hébergé.

n Si vous souhaitez ajouter des domaines à la liste Autoriser, vous devez ajouter les domaines

*.workspaceoneaccess.com (URL de locataire de production Workspace ONE Access) à votre liste de domaines autorisés.

La machine virtuelle ou la machine serveur Windows hôte peut être déployée sur site, sur VMware Cloud on AWS ou peut être une instance de Elastic Compute Cloud. L'hôte sur lequel le connecteur Workspace ONE Access est installé doit pouvoir accéder à votre annuaire d'entreprise sur LDAP/

LDAPS.

Pour plus d'informations sur l'installation du connecteur Workspace ONE Access, passez en revue les exigences système de Workspace ONE Access Connector 20.01

n Vérifiez que vous avez un compte d'utilisateur ou de service avec des autorisations de lecture sur Active Directory et un mot de passe sans expiration pour le nom unique/nom de l'utilisateur de liaison AD pour synchroniser des groupes et des utilisateurs. Le Guide de configuration de la fédération d'entreprise avec VMware Cloud Services

(13)

compte de service doit avoir les attributs suivants : prénom, nom de famille, nom complet et adresse e-mail. L'adresse e-mail du compte de service peut être une valeur factice.

Note Si vous utilisez un compte de service ayant une stratégie de mot de passe avec expiration et si un mot de passe expire avant le renouvellement, les groupes et les utilisateurs ne peuvent être synchronisés que si vous rétablissez la connexion entre Active Directory et le connecteur Workspace ONE Access.

n Les attributs requis pour synchroniser les utilisateurs afin d'accéder aux VMware Cloud services sont prénom, nom de famille, adresse e-mail, nom d'utilisateur et domaine. Si votre entreprise utilise un nom principal de l'utilisateur (UPN) pour l'authentification, il doit être disponible en tant qu'attribut de profil d'utilisateur.

Important Les mots de passe utilisateur ne sont jamais synchronisés.

(14)

Questions fréquemment posées

sur la fédération d'entreprise 3

Cette rubrique traite des questions fréquemment posées sur la fédération d'entreprise de domaines d'entreprise avec VMware Cloud services.

Q : Puis-je toujours accéder à my.vmware.com avec mon compte ID VMware (My VMware) après la configuration de la fédération d'entreprise pour mon domaine d'entreprise ?

R : Oui. Si votre ou vos domaines sont fédérés, vous pouvez accéder à VMware Cloud services uniquement à l'aide de votre compte d'entreprise, mais vous pouvez continuer à accéder à my.vmware.com avec votre compte My VMware.

Q : Dois-je toujours créer un compte avec VMware si mon compte d'entreprise est fédéré ?

R : En tant qu'utilisateur d'un compte fédéré, vous devez créer un compte My VMware

uniquement si vous souhaitez déposer un ticket de support ou effectuer des opérations liées à la facturation et à l'abonnement.

Q : Puis-je continuer à utiliser mon compte ID VMware pour me connecter au portail VMware Cloud Services après la configuration de la fédération pour mon entreprise ?

R : Non. Une fois la fédération d'entreprise définie avec votre fournisseur d'identité d'entreprise, vous devez utiliser vos informations d'identification d'entreprise pour toutes les connexions suivantes à VMware Cloud services.

Q : La liaison de mon compte ID VMware à mon compte d'entreprise entraîne-t-elle des modifications à mon compte d'entreprise ?

R : Votre compte d'entreprise n'est pas modifié suite à sa liaison à votre compte My VMware. La liaison crée un mappage interne qui ne modifie aucun attribut de votre compte d'entreprise.

(15)

Q : Puis-je appliquer l'authentification multifacteur (MFA) pour accéder à VMware Cloud Services après la

configuration de la fédération d'entreprise ?

A : Cela dépend de votre configuration d'entreprise. Si le fournisseur d'identité utilisé par votre entreprise est configuré pour effectuer une authentification multifacteur, la réponse est oui. Vous serez invité à effectuer une authentification multifacteur pour accéder à VMware Cloud services lors de la connexion.

Q : La fédération d'entreprise est-elle liée à une organisation ou un service particulier dans VMware Cloud Services ?

R : Non. La fédération d'entreprise est mise en œuvre à l'échelle du domaine. Tout utilisateur disposant de domaines enregistrés et vérifiés peut accéder à n'importe organisation VMware Cloud services et aux services pour lesquels cette organisation est abonnée.

En outre, si vous vous abonnez à des services cloud supplémentaires auprès de VMware, vous continuez à accéder aux nouveaux services avec vos informations d'identification d'entreprise.

Q : Puis-je annuler la fédération d'entreprise après son activation ?

R : Oui. Pour annuler la configuration de la fédération pour vos domaines, déposez un ticket de support dans la Cloud Services Console. Si le support VMware annule la configuration de la fédération d'entreprise, tous les droits d'accès, utilisateurs et groupes qui ont été ajoutés après la configuration de la fédération peuvent être perdus.

Q : Pourquoi les services de mon organisation sont-ils invisibles après la connexion à mon compte d'entreprise ?

Avant la configuration de la fédération d'entreprise pour votre entreprise, vous utilisiez votre compte My VMware pour vous authentifier auprès de VMware Cloud services. Une fois la

fédération activée, vous utilisez votre compte d'entreprise pour vous connecter à VMware Cloud services et vous vous authentifiez directement auprès de votre fournisseur d'identité d'entreprise.

Pour accéder aux services que vous utilisiez précédemment en vous connectant à votre compte My VMware, vous devez lier votre compte d'entreprise à votre ID VMware. Ce n'est que lorsque les deux comptes sont liés que les services deviennent visibles et accessibles en fonction de l'accès aux rôles d'organisation et de service dont vous disposez dans l'organisation.

(16)

Q : Pourquoi puis-je voir deux comptes sous l'onglet Identité et accès une fois la fédération d'entreprise activée ?

Vous aviez initialement accès à VMware Cloud services à l'aide de votre compte My VMware.

Supposons que vous avez utilisé joe@acme.com pour créer un compte My VMware et vous connecter à VMware Cloud services à l'aide de ce compte. Après la fédération, vous accédez à VMware Cloud services en utilisant votre compte fédéré et liez votre compte ID My VMware.

L'adresse joe@acme.com initiale est grisée et marquée d'une étiquette « ID VMware » pour indiquer le compte My VMware que vous n'utilisez plus, mais il reste visible en tant que « compte fantôme ».

Vous ne pouvez pas modifier des comptes fantômes en termes d'attributions de rôles d'organisation ou de service. Il est préférable de conserver ces entrées pendant au moins quelques mois après la configuration de la fédération, au cas où vous décidiez d'annuler la configuration de la fédération d'entreprise.

Q : Quel type de fournisseurs d’identité tiers est pris en charge ?

R : Tout fournisseur d'identité tiers compatible SAML 2.0 est pris en charge pour la fédération d'entreprise avec VMware Cloud services.

Q : Je n'ai pas de fournisseur d'identité tiers compatible SAML 2.0 et je souhaite m'authentifier directement auprès de mon annuaire Active Directory (AD) d'entreprise. Est-ce pris en charge ?

Oui. Vous pouvez utiliser les méthode d'authentification intégrées du connecteur Workspace ONE Access sur site pour authentifier les utilisateurs directement auprès de votre annuaire AD d'entreprise.

Q : Puis-je utiliser une machine virtuelle Windows créée à l'aide de la technologie VMware pour installer le connecteur Workspace ONE Access sur site ?

R : Oui. Vous pouvez utiliser les technologies VMware pour créer une machine virtuelle Windows qui peut être utilisée pour installer le connecteur Windows Workspace ONE Access.

(17)

Q : Workspace ONE Access Connector doit-il être installé sur site ?

R : Le connecteur Windows Workspace ONE Access est un composant sur site qui est

généralement installé dans l'intranet ou la zone verte d'une entreprise. Cependant, les clients peuvent installer le connecteur sur un cloud, à condition qu'il puisse communiquer avec l'annuaire Active Directory de l'entreprise sur le protocole LDAP/LDAPS, ports 389, 636.

Mon entreprise a déjà un locataire Workspace ONE Access configuré dans le cadre d'autres produits achetés via

VMware. Puis-je utiliser l'instance de locataire existante au lieu d'en créer une pour la configuration de la fédération en libre-service ?

Non, vous ne pouvez pas utiliser les locataires Workspace ONE Access existants (anciennement appelés VMware Identity Manager) dont vous disposez. Un locataire Workspace ONE Access sera créé dans le cadre de la configuration de la fédération en libre-service. Il sera exclusivement utilisé pour VMware Cloud Services. L'utilisation du nouveau locataire Workspace ONE Access pour accéder à VMware Cloud Services n'entraîne aucun coût et n'impose pas l'attribution d'une licence.

Il en va de même pour l'utilisation d'un connecteur Workspace ONE Access existant. La configuration de la fédération en nécessite un nouveau.

Mon entreprise dispose déjà d'un connecteur Workspace ONE Access sur site. Puis-je utiliser le connecteur existant au lieu d'en créer un pour la configuration de la fédération en libre-service ?

Non. La configuration de la fédération en libre-service nécessite que votre entreprise installe et configure un connecteur Workspace ONE Access dédié qui sera utilisé uniquement pour la fédération avec VMware Cloud Services.

Il en va de même pour l'utilisation d'un locataire Workspace ONE Access existant. La configuration de la fédération en nécessite un nouveau.

(18)

Q : Dois-je ouvrir des ports de pare-feu pour Workspace ONE Access Connector afin d'établir une relation de confiance avec l'instance du service Workspace ONE Access ?

R : Le connecteur Workspace ONE Access communique sur le canal HTTPS/443 sortant vers l'instance du service Workspace ONE Access qui agit en tant que broker d'identité. Si le pare-feu bloque l'accès à des domaines externes, certains domaines VMware doivent se voir attribuer l'accès.

Q : Quelles données sont synchronisées par le connecteur Workspace ONE Access sur site ?

R : Le connecteur Workspace ONE Access sur site est utilisé pour la synchronisation des

utilisateurs et des groupes dans l'instance du service Workspace ONE Access (broker d'identité) au fournisseur d'identité du client. Seuls les noms uniques d'utilisateur et de groupe configurés lors de la configuration en libre-service sont synchronisés, pas l'intégralité de votre annuaire AD. Seul un ensemble d'attributs requis est synchronisé : prénom, nom de famille, e-mail, nom d'utilisateur et domaine. Si votre entreprise utilise le nom principal de l'utilisateur (UPN) pour authentifier les utilisateurs, cet attribut doit également avoir une valeur pour la synchronisation.

Important Les mots de passe utilisateur ne sont jamais synchronisés.

Q : Dans quelles régions l'instance du service Workspace ONE Access (broker d'identité) est-elle hébergée ?

R : L'instance du service Workspace ONE Access est hébergée sur AWS dans la région des États-Unis.

Q : Des utilisateurs de différents domaines que je possède (par exemple, acme.com, ext.acme.com, company.com) peuvent-ils s'authentifier auprès de mon fournisseur d'identité ?

R : Oui. Si vous pouvez vérifier tous les domaines publics que vous possédez, les utilisateurs de ces domaines peuvent s'authentifier auprès de VMware Cloud services avec leurs informations d'identification d'entreprise. Les utilisateurs de tous ces domaines doivent d'abord être

synchronisés dans l'instance du service Workspace ONE Access (broker d'identité).

(19)

Q : Puis-je ajouter des services à l'organisation de la fédération d'entreprise ?

R : Non. Vous ne pouvez pas et ne devez pas ajouter de services à l'organisation de la

fédération d'entreprise. Vous accédez à l'organisation de la fédération d'entreprise dans le seul but d'effectuer des opérations qui ont un impact sur tous les services et toutes les organisations d'un domaine donné.

Existe-t-il un compte bris de glace que je peux utiliser pour accéder à VMware Cloud Services si je ne peux pas me connecter avec mes informations d'identification d'entreprise ?

Vous pouvez ajouter un compte My VMware à votre organisation avec un domaine qui n'est pas fédéré. Par exemple, si le domaine acme.com est fédéré, n'importe quel compte My VMware disposant d'un domaine non-acme.com peut être utilisé pour se connecter à VMware Cloud services. L'utilisateur disposant du compte My VMware doit être ajouté à l'organisation en tant que propriétaire de l'organisation ou membre de l'organisation.

Les attributs, synchronisés à partir de mon annuaire

Active Directory d'entreprise, sont-ils chiffrés lorsqu'ils sont conservés sur une instance du service Workspace ONE

Access et sur VMware Cloud Services on AWS ?

Non. Les attributs utilisateur prénom, nom de famille, e-mail, nom d'utilisateur, domaine et UPN ne sont pas chiffrés lorsqu'ils sont conservés par VMware Cloud services On AWS.

Quel est l'impact sur les utilisateurs accédant à Cloud Services Console si le serveur de connecteur est hors service ? Puis-je configurer le connecteur en mode HA ?

Si votre entreprise utilise l'authentification de fournisseur d'identité tiers et non les méthodes d'authentification basées sur connecteur, toutes les authentifications des utilisateurs sont effectuées directement auprès de votre fournisseur d'identité. Dans ce cas, si le connecteur est en panne, la connexion de l'utilisateur ne sera pas affectée pour les utilisateurs déjà synchronisés.

Étant donné que le connecteur est utilisé uniquement pour la synchronisation des utilisateurs et des groupes, le connecteur en mode HA peut ne pas être nécessaire.

(20)

Présentation des étapes de

configuration d'une fédération

dynamique (sans connecteur) 4

Le type de configuration de fédération dynamique (sans connecteur) implique la configuration de votre fournisseur d'identité tiers basé sur SAML pour le provisionnement dynamique d'utilisateurs et de groupes basé sur JIT.

La liste suivante présente l'aperçu de haut niveau des étapes du workflow de configuration de la fédération. Pour voir un exemple de scénario de chaque étape de fédération d'un domaine d'entreprise, cliquez sur un lien d'étape.

Étape 1 : vérifier les domaines

Dans cette étape, vous vérifiez la propriété des domaines que vous souhaitez fédérer. Le processus de vérification implique l'ajout d'enregistrements TXT DNS pour vos domaines.

Avant de commencer, vérifiez que vous pouvez modifier les enregistrements DNS de vos domaines d'entreprise.

Les domaines que vous ajoutez à cette étape sont les domaines publics de niveau supérieur que vos employés d'entreprise utilisent pour accéder à VMware Cloud services. Ces domaines ne sont pas vos domaines Active Directory internes.

Note La vérification n'est pas automatique. Après l'envoi des enregistrements TXT, il faut compter jusqu'à 72 heures pour que les modifications prennent effet.

Étape 2 : configurer le fournisseur d'identité

Dans cette étape, vous configurez le fournisseur d'identité. Vous pouvez activer la fédération pour votre entreprise avec n'importe quel fournisseur d'identité tiers basé sur SAML 2.0. Le processus de configuration de fédération en libre-service fournit une prise en charge de la configuration guidée pour les fournisseurs d'identité suivants : Okta, PingIdentity, Microsoft Active Directory Federation Services, OneLogin et Azure Active Directory. Pour configurer votre fournisseur d'identité tiers pour une fédération d'entreprise, vous devez avoir accès à la console du fournisseur d'identité et à l'URL des métadonnées du fournisseur d'identité.

Attention Vous ne pouvez pas modifier le fournisseur d'identité que vous configurez à cette étape, une fois la fédération configurée activée. Si vous devez modifier ultérieurement votre fournisseur d'identité, déposez un ticket de support.

Étape 3 : terminer la configuration

(21)

Dans cette dernière étape de la configuration de la fédération, vous devez effectuer une liste d'actions.

n Confirmez que les utilisateurs de votre entreprise peuvent se connecter à VMware Cloud services en utilisant votre fournisseur d'identité d'entreprise.

n Informez les utilisateurs d'entreprise des domaines que vous avez spécifiés dans Étape 1 : vérifier les domaines qu'ils doivent se connecter à VMware Cloud services à l'aide de leurs informations d'identification d'entreprise.

n Reconnaissez les modifications et activez la fédération pour votre entreprise.

Une fois la configuration de la fédération terminée, le workflow en libre-service n'est plus disponible pour les modifications. Les administrateurs d'entreprise peuvent modifier la configuration initiale dans le tableau de bord Fédération d'entreprise.

Important Une fois la fédération d'entreprise activée, les utilisateurs disposant de

domaines fédérés ne peuvent accéder à VMware Cloud services qu'en utilisant leurs comptes d'entreprise. Ils ne peuvent plus utiliser leurs comptes My VMware pour se connecter à VMware Cloud services.

Étape 4 : lier votre compte ID VMware

Dans la dernière étape du workflow, vous liez votre compte fédéré à votre ID VMware. Cette étape est nécessaire pour les rôles suivants :

n administrateurs d'entreprise, propriétaires d'organisation qui ont pris part à la configuration de la fédération en libre-service.

n propriétaires et membres d'organisation qui ont besoin d'accéder aux informations de facturation.

n propriétaires et membres d'organisation qui souhaitent être en mesure de déposer des demandes de support.

n Étape 1 : vérifier les domaines

n Étape 2 : configurer le fournisseur d'identité

n Étape 3 : terminer la configuration

n Étape 4 : lier votre compte ID VMware

Étape 1 : vérifier les domaines

Dans cet exemple, vous vérifiez que vous possédez les domaines publics pour ACME Enterprise

(22)

Dans cette étape, vous allez entrer les noms de domaine public et de sous-domaine que vous souhaitez fédérer. Lorsque vous accédez pour la première fois à l'organisation de fédération ACME, la configuration de la fédération est configurée par défaut sur le domaine de niveau supérieur à partir de l'e-mail que vous avez utilisé pour vous connecter à VMware Cloud services.

Si les employés ACME accèdent à VMware Cloud services à partir d'un autre domaine ou sous- domaine, vous devez entrer et vérifier tous ces domaines pour la fédération avec VMware Cloud services.

n Vérifiez que vous êtes connecté à l'organisation de fédération ACME en tant qu'administrateur d'entreprise.

n Vérifiez que vous pouvez accéder à la console d'administration d'hôte d'acme.com.

n Vérifiez que vous disposez des autorisations requises pour modifier les enregistrements DNS d'acme.com.

Procédure

1 À l'étape Vérifier les domaines du workflow, cliquez sur Démarrer.

2 Dans la zone de texte Domaines qui s'ouvre, entrez acme.com. 3 Cliquez sur Suivant.

Un code .txt est généré pour le domaine acme.com et s'affiche dans la section Ajouter des enregistrements TXT de l'étape Vérifier les domaines.

4 Dans le workflow de fédération en libre-service, accédez à Vérifier les domaines > Ajouter des enregistrements TXT.

5 Copiez le code qui s'affiche en regard du nom de domaine acme.com.

Ce code long est composé de lettres, de chiffres et de symboles dont vous avez besoin lorsque vous ouvrez la console d'administration hôte du domaine. Si vous changez de périphérique pour terminer l'étape suivante, assurez-vous de coller et d'enregistrer le code dans un fichier texte, afin de l'avoir sous la main lorsque vous modifiez les enregistrements DNS de votre domaine.

6 Ouvrez la console d'administration de l'hôte pour acme.com.

a Dans la console d'administration de l'hôte, accédez à la page des enregistrements DNS.

b Ajoutez un nouvel enregistrement de type TXT aux enregistrements DNS et entrez la valeur que vous avez copiée.

Note Si vos enregistrements DNS contiennent déjà d'autres enregistrements TXT VMware, ne les modifiez pas.

(23)

7 Revenez à l'étape Vérifier les domaines > Ajouter des enregistrements TXT dans le workflow de fédération en libre-service et cliquez sur Suivant.

La section Vérifier du workflow se développe et vous invite à envoyer votre domaine à des fins de vérification.

8 Cliquez sur Vérifier.

Étape suivante

Vous avez modifié les enregistrements DNS de votre domaine d'entreprise acme.com et vous l'avez soumis pour vérification avec VMware Cloud services. La modification de l'enregistrement de texte DNS peut prendre jusqu'à 72 heures. Vous pouvez poursuivre le workflow de fédération en libre-service après que l'état du domaine que vous avez soumis pour la fédération est passé à Vérifié.

Étape 2 : configurer le fournisseur d'identité

Dans cette étape, vous configurez la fédération avec votre fournisseur d'identité d'entreprise et configurez les paramètres de fournisseur d'identité sur le Workspace ONE Access tenant créé pour votre entreprise.

Vous pouvez utiliser n'importe quel fournisseur d'identité tiers conforme à SAML 2.0 pour configurer la fédération d'entreprise avec VMware Cloud services. La configuration simplifiée est disponible dans le cadre du workflow de fédération en libre-service pour les fournisseurs suivants : Okta, PingIdentity, Microsoft Active Directory Federation Services (ADFS), OneLogin et Azure Active Directory.

Note Si vous souhaitez configurer Azure Active Directory pour la fédération d'entreprise avec VMware Cloud Services, vous devez avoir sélectionné sAMAccountName pour la réclamation de groupe supplémentaire. Il est nécessaire d'extraire les détails du groupe après l'activation de la configuration de la fédération.

Pour configurer un autre fournisseur d'identité tiers conforme à SAML 2.0 qui ne fait pas partie de cette liste, sélectionnez Autre.

Pour cet exemple, l'entreprise ACME utilise Okta. En tant qu'administrateur d'entreprise configurant la fédération pour ACME, vous configurez Okta.

Note Si votre fournisseur d'identité prend en charge l'envoi d'informations de groupe dans la réponse SAML, vous pouvez inclure des attributs de groupe à votre configuration de fédération.

À cette étape, vous devez définir la préférence d'identification de l'utilisateur : indiquez comment

(24)

comme préférence d'identification de l'utilisateur pour votre entreprise, vous devez connaître la restriction suivante.

Restriction Une fois que le fournisseur d'identité est configuré avec la préférence d'identification Utilisateur@Domaine, vous ne pourrez pas revenir à l'étape Étape 1 : Vérifier les domaines ni ajouter d'autres domaines lors de la configuration. Vous devez ajouter tous les domaines que vous souhaitez fédérer avant de démarrer cette étape du flux de fédération en libre-service. Si vous souhaitez ajouter un autre domaine une fois cette étape terminée, vous devez créer un ticket de support.

Procédure

1 Dans la section Configurer le fournisseur d'identité de la page Configurer la fédération d'entreprise, cliquez sur Démarrer.

La section Sélectionner votre fournisseur d'identité s'affiche.

2 Dans la liste des fournisseurs d'identité tiers disponibles, cliquez sur Okta.

3 Cliquez sur Suivant.

La section Configurer SAML dans votre fournisseur d'identité se développe.

4 Cliquez sur le lien Afficher les métadonnées du fournisseur de services SAML et téléchargez le fichier de métadonnées.

Si votre fournisseur d'identité prend en charge un format d'URL, vous pouvez également copier l'URL des métadonnées. Vous utilisez le fichier de métadonnées ou l'URL pour configurer votre fournisseur d'identité afin d'établir une relation de confiance avec le Workspace ONE Access tenant.

5 Copiez l'URL Single Sign-On et le chemin d'accès à l'URI du public.

6 Ouvrez la console d'administration du fournisseur d'identité.

a Collez l'URL Single Sign-On et l'URI du public que vous avez copiées à l'étape précédente.

b Téléchargez le fichier de métadonnées que vous avez téléchargé à l'étape 4.

c Copiez l'ID de nom configuré sur votre fournisseur d'identité et conservez-le pour y faire référence ultérieurement.

d Téléchargez le fichier de métadonnées du groupe d'IdP.

7 Lorsque vous êtes prêt à procéder à la configuration de votre fournisseur d'identité, revenez au workflow de fédération en libre-service, développez la section Configurer SAML dans votre fournisseur d'identité et cliquez sur Suivant.

La section Configurer votre fournisseur d'identité du workflow se développe.

(25)

8 Pour configurer votre fournisseur d'identité sur le Workspace ONE Access tenant, fournissez les informations suivantes :

a Dans la zone de texte Nom complet du fournisseur d'identité, entrez un nom convivial pour votre fournisseur d'identité.

Ce nom sera affiché aux utilisateurs de VMware Cloud services lors de la connexion et de la déconnexion.

b Dans la zone de texte Métadonnées , entrez l'URL des métadonnées du fournisseur d'identité ou sélectionnez XML et collez le fichier XML de métadonnées du fournisseur d'identité.

La validation des métadonnées démarre automatiquement. À la fin de la validation, une icône de case à cocher verte indique que le fichier a été correctement lu et analysé. Si la validation renvoie une erreur, vérifiez l'URL que vous avez entrée. Assurez-vous qu'il n'y a pas d'espaces ou de caractères supplémentaires dans le fichier XML de métadonnées du fournisseur d'identité.

c Sélectionnez le format d'ID de nom dans le menu déroulant.

Le format de l'ID du nom est la valeur de la réponse SAML pour identifier l'utilisateur authentifié.

d Sélectionnez le Format de l'ID du nom et la Valeur de l'ID du nom dans le menu déroulant le cas échéant pour votre fournisseur d'identité.

La méthode d'authentification est automatiquement remplie.

e Dans le menu déroulant Contexte SAML, sélectionnez le type d'authentification utilisateur sur le fournisseur d'identité.

f Cliquez sur Suivant.

La section Attributs utilisateur se développe pour afficher la liste des attributs utilisateur obligatoires et non obligatoires que vous pouvez rechercher dans la réponse SAML de votre fournisseur d'identité.

9 (Facultatif) Pour ajouter un attribut d'utilisateur personnalisé qui ne figure pas dans la liste, cliquez sur Ajout un attribut d'utilisateur et entrez une valeur correspondant exactement à son nom sur votre fournisseur d'identité.

10 Cliquez sur Suivant. section Attributs de groupe du workflow.

Si vous avez indiqué votre configuration avec un fournisseur d'identité qui prend en charge l'attribut de groupe dans la réponse SAML, la section Attributs de groupe du workflow se développe, dans laquelle vous ajoutez un attribut de groupe et des noms de groupe à appeler dans la demande SAML.

(26)

12 Dans la section Définir la préférence d'identification de l'utilisateur indiquez comment les utilisateurs de votre entreprise vont s'identifier lors de l'accès à VMware Cloud Services sur la page de découverte de Cloud Services.

L'identification de l'utilisateur est différente du mode d'authentification de l'utilisateur auprès du fournisseur d'identité d'entreprise.

Important Si vous sélectionnez l'option de préférence d'identification Nom

d'utilisateur@Domaine, l'attribut Domaine doit être présent dans la réponse SAML lors de la connexion à VMware Cloud services.

13 Cliquez sur Configurer.

Résultats

À cette étape, vous avez ajouté votre fournisseur d'identité à la configuration du locataire

Workspace ONE Access, configuré le locataire Workspace ONE Access en tant que fournisseur de services sur votre fournisseur d'identité, sélectionné la valeur à utiliser pour identifier l'utilisateur dans la réponse SAML et spécifié la méthode d'authentification à utiliser pour authentifier l'utilisateur auprès du fournisseur d'identité.

Étape suivante

Validez la connexion à votre fournisseur d'identité et activez la fédération.

Étape 3 : terminer la configuration

En tant qu'administrateur d'entreprise configurant la fédération en libre-service, vous avez terminé toutes les étapes de configuration et êtes maintenant prêt à valider et activer la configuration de la fédération.

n Confirmez que vous êtes connecté à l'organisation de fédération ACME avec le domaine principal de niveau supérieur acme.com.

n Pour valider des domaines ou des sous-domaines différents de votre compte, vous devez envoyer un lien de validation à un employé qui dispose des informations d'identification de compte appropriées et lui demander de tester la configuration.

n Vérifiez que les paramètres de votre navigateur autorisent les fenêtres contextuelles.

Procédure

1 Dans la section Terminer la configuration de la page Configurer la fédération d'entreprise, cliquez sur Démarrer.

La section Valider la connexion du workflow se développe.

2 Cliquez sur le bouton Valider la connexion en regard du domaine acme.com.

L'écran VMware Cloud services Bienvenue s'affiche dans une fenêtre contextuelle.

(27)

3 Entrez l'e-mail, username@domain ou l'UPN.

Sur l'écran VMware Cloud services Bienvenue, vous vous identifiez en tant qu'utilisateur avec votre adresse e-mail, nomutilisateur@domaine ou UPN. Il ne s'agit pas de la connexion proprement dite. Vous vous authentifiez et vous vous connectez à partir de la page du fournisseur d'identité que vous avez configurée dans le cadre de la configuration de la fédération en libre-service.

Si la configuration de la fédération d'entreprise a été correctement configurée, votre navigateur vous redirige vers la page de connexion de votre fournisseur d'identité.

4 Sur la page de connexion du fournisseur d'identité, entrez vos informations d'identification d'entreprise.

5 Après vous être connecté, fermez la fenêtre contextuelle et revenez au workflow de fédération en libre-service.

Une fois la connexion réussie, l'état du domaine acme.com dans la section Valider la connexion du workflow change pour indiquer que le domaine a été validé.

6 Cliquez sur Suivant pour développer la section Informer les utilisateurs de la fédération du workflow.

a Téléchargez le modèle d'e-mail et modifiez-le si nécessaire selon les besoins de votre communication avec les utilisateurs des domaines enregistrés et vérifiés de votre organisation et de toute autre organisation qui a des utilisateurs de ces domaines.

b Téléchargez la liste des utilisateurs d'entreprise dont les comptes ont été synchronisés avec VMware Cloud services et qui doivent être informés de la modification de leur connexion.

8 Examinez et reconnaissez la liste des modifications qui entrent en vigueur lorsque la fédération est activée.

9 Cliquez sur Activer.

Vous êtes redirigé vers une page d'état qui vous informe que votre fédération d'entreprise a été activée.

10 Déconnectez-vous de Cloud Services Console et de tous les autres VMware Cloud services auxquels vous êtes connecté.

11 Effacer tous les cookies du navigateur ou ouvrir un nouveau navigateur incognito.

12 Connectez-vous à VMware Cloud services avec vos informations d'identification d'entreprise.

Résultats

(28)

Étape suivante

Liez votre compte fédéré à votre ID VMware. Cette étape est requise pour tous les utilisateurs existants de VMware Cloud services. Les utilisateurs existants d'acme.com qui utilisaient

précédemment un compte ID VMware pour accéder à leurs services ne pourront pas le faire une fois la fédération activée. Leur accès est restauré uniquement après avoir lié le nouveau compte fédéré qu'ils utilisaient pour se connecter à VMware Cloud services à leur compte ID VMware existant.

Étape 4 : lier votre compte ID VMware

Tous les utilisateurs existants de VMware Cloud services qui accédaient à leurs services à l'aide d'un compte ID VMware, doivent lier leur ID VMware à leur compte fédéré.

Cette étape doit être effectuée lorsque vous vous connectez pour la première fois à Cloud Services Console avec votre compte fédéré une fois la configuration de la fédération de votre domaine d'entreprise terminée. Les nouveaux utilisateurs synchronisés avec votre domaine d'entreprise après fédération n'ont pas besoin d'un ID VMware sauf s'ils doivent afficher des informations de facturation ou déposer des tickets de support. Dans ce cas, ils doivent d'abord créer un compte VMware, puis lier leur ID VMware à leur compte fédéré.

Connectez-vous à VMware Cloud Services Console avec votre compte fédéré.

Procédure

1 Cliquez sur votre nom d'utilisateur dans le menu Cloud Services Console.

2 Cliquez sur Mon compte.

3 Sur la page Détails de l'ID VMware de la page Mon compte > Profil, cliquez sur Lier un ID VMware.

4 Fournissez l'adresse e-mail de votre ID VMware et suivez les invites pour terminer la liaison du compte.

Étape suivante

Lorsque vous vous connectez à l'organisation de fédération pour acme.com en tant

qu'administrateur d'entreprise, vous voyez le tableau de bord Fédération d'entreprise qui vous permet de modifier la configuration initiale de la fédération. Pour plus d'informations, reportez- vous à la section Chapitre 7 Modification de la configuration de la fédération d'entreprise.

(29)

configuration de fédération basée

sur un connecteur 5

La configuration d'une fédération d'entreprise pour votre domaine d'entreprise est un processus en libre-service qui implique plusieurs étapes, utilisateurs et rôles.

La liste suivante présente l'aperçu de haut niveau des étapes du workflow de configuration de la fédération. Pour voir un exemple de scénario de chaque étape de fédération d'un domaine d'entreprise, cliquez sur un lien d'étape.

Étape 1 : vérifier les domaines

Dans cette étape, vous vérifiez la propriété des domaines que vous souhaitez fédérer. Le processus de vérification implique l'ajout d'enregistrements TXT DNS pour vos domaines.

Avant de commencer, vérifiez que vous pouvez modifier les enregistrements DNS de vos domaines d'entreprise.

Les domaines que vous ajoutez à cette étape sont les domaines publics de niveau supérieur que vos employés d'entreprise utilisent pour accéder à VMware Cloud services. Ces domaines ne sont pas des domaines Active Directory internes. Vous pouvez ajouter des utilisateurs et des groupes à partir de domaines Active Directory internes dans Étape 3 : synchroniser les groupes et les utilisateurs de la configuration de la fédération. Les domaines Active Directory internes que vous ajoutez pour la synchronisation ne sont pas visibles en externe pour l'accès depuis VMware Cloud services.

Note La vérification n'est pas automatique. Après l'envoi des enregistrements TXT, il faut compter jusqu'à 72 heures pour que les modifications prennent effet.

Étape 2 : Installer Workspace ONE Access Connector

Dans cette étape, vous téléchargez le fichier exécutable du connecteur Workspace ONE Access et l'installez sur une machine Windows ayant accès à votre annuaire d'entreprise.

Note Du fait que votre entreprise n'utilise pas de fournisseur d'identité basé sur SAML 2.0, les méthodes d'authentification prises en charge par le connecteur Workspace ONE Access peuvent être utilisées pour authentifier les utilisateurs. Cette configuration est effectuée à

(30)

Le connecteur Workspace ONE Access est un composant sur site de Workspace ONE Access (anciennement appelé VMware Identity Manager) qui s'intègre à votre infrastructure sur site, telle qu'Active Directory, RADIUS et RSA SecurID. Dans la configuration de la fédération, le connecteur est utilisé pour synchroniser en continu les utilisateurs et les groupes configurés par l'administrateur d'entreprise avec un locataire Workspace ONE Access hébergé créé pour l'entité d'entreprise dans le cadre de la fédération d'entreprise.

Étape 3 : synchroniser les groupes et les utilisateurs

Dans cette étape, vous vous liez à l'annuaire Active Directory de votre entreprise. Si nécessaire, téléchargez des certificats de sécurité pour la communication SSL/TLS entre le connecteur Workspace ONE Access et Active Directory. Vous recherchez ensuite dans votre annuaire d'entreprise des utilisateurs et des groupes pour les synchroniser avec le locataire Workspace ONE Access. La synchronisation de groupes et d'utilisateurs supplémentaires peut se poursuivre une fois la configuration de la fédération terminée.

Étape 4 : configurer le fournisseur d'identité

À cette étape, vous configurez le connecteur Workspace ONE Access pour qu'il serve de fournisseur d'identité et vous activez l'authentification utilisateur directe auprès de votre annuaire Active Directory. Vous activez la méthode d'authentification Kerberos pour des interactions sécurisées entre les navigateurs des utilisateurs et le service Workspace ONE Access.

Pour obtenir des informations détaillées sur l'authentification Kerberos, reportez-vous à la section Configuration de l'authentification Kerberos dans Workspace ONE Access.

Attention Vous ne pouvez pas modifier le fournisseur d'identité que vous configurez à cette étape, une fois la fédération configurée activée. Si vous devez modifier ultérieurement votre fournisseur d'identité, déposez un ticket de support.

Étape 5 : terminer la configuration

Dans cette dernière étape de la configuration de la fédération, vous devez effectuer une liste d'actions.

n Confirmez que les utilisateurs de votre entreprise peuvent se connecter à VMware Cloud services en utilisant votre fournisseur d'identité d'entreprise.

n Informez les utilisateurs d'entreprise des domaines que vous avez spécifiés dans Étape 1 : vérifier les domaines qu'ils doivent se connecter à VMware Cloud services à l'aide de leurs informations d'identification d'entreprise.

n Reconnaissez les modifications et activez la fédération pour votre entreprise.

(31)

Une fois la configuration de la fédération terminée, le workflow en libre-service n'est plus disponible pour les modifications. Les administrateurs d'entreprise peuvent modifier la configuration initiale dans le tableau de bord Fédération d'entreprise.

Important Une fois la fédération d'entreprise activée, les utilisateurs disposant de

domaines fédérés ne peuvent accéder à VMware Cloud services qu'en utilisant leurs comptes d'entreprise. Ils ne peuvent plus utiliser leurs comptes My VMware pour se connecter à VMware Cloud services.

Étape 6 : lier votre compte ID VMware

Dans la dernière étape du workflow, vous liez votre compte fédéré à votre ID VMware. Cette étape est nécessaire pour les rôles suivants :

n administrateurs d'entreprise, propriétaires d'organisation qui ont pris part à la configuration de la fédération en libre-service.

n propriétaires et membres d'organisation qui ont besoin d'accéder aux informations de facturation.

n propriétaires et membres d'organisation qui souhaitent être en mesure de déposer des demandes de support.

n Étape 1 : vérifier les domaines

n Étape 2 : Installer Workspace ONE Access Connector

n Étape 3 : synchroniser les groupes et les utilisateurs

n Étape 4 : configurer le fournisseur d'identité

n Étape 5 : terminer la configuration

n Étape 6 : lier votre compte ID VMware

Étape 1 : vérifier les domaines

Dans cet exemple, vous vérifiez que vous possédez les domaines publics pour ACME Enterprise que vous allez fédérer en tant qu'administrateur d'entreprise.

Dans cette étape, vous allez entrer les noms de domaine public et de sous-domaine que vous souhaitez fédérer. Lorsque vous accédez pour la première fois à l'organisation de fédération ACME, la configuration de la fédération est configurée par défaut sur le domaine de niveau supérieur à partir de l'e-mail que vous avez utilisé pour vous connecter à VMware Cloud services.

Si les employés ACME accèdent à VMware Cloud services à partir d'un autre domaine ou sous- domaine, vous devez entrer et vérifier tous ces domaines pour la fédération avec VMware Cloud

(32)

n Vérifiez que vous êtes connecté à l'organisation de fédération ACME en tant qu'administrateur d'entreprise.

n Vérifiez que vous pouvez accéder à la console d'administration d'hôte d'acme.com.

n Vérifiez que vous disposez des autorisations requises pour modifier les enregistrements DNS d'acme.com.

Procédure

1 À l'étape Vérifier les domaines du workflow, cliquez sur Démarrer.

2 Dans la zone de texte Domaines qui s'ouvre, entrez acme.com.