VMware 动手练习 - HOL-1957-02-UEM


实验室概述 - HOL-1957-02-UEM - Workspace ONE UEM - 身份管理

实验室指导


注意:本实验室总时长可能会超过 90 分钟。体验期间,您最好只完成 2 到 3 个单元。这些单元彼此独立,因此您可以从任一单元开始学起。您可以使用目录访问所选择的任何单元。

目录可以从实验室手册的右上角访问。

了解 VMware Identity Manager 如何能够充当主要身份提供方,或将您的身份验证与其他第三方身份提供方联合,以便为您的员工提供单点登录功能和丰富的访问策略。了解如何为“软件即服务”(SaaS) 和本地部署场景配置并管理 VMware Identity Manager。最后,了解 VMware Identity Manager REST API 如何帮助自动执行常见任务和规程。

实验室单元列表:

实验室负责人:

  • Roger Deane,美国技术市场推广高级经理
  • Shardul Navare,美国高级技术市场推广架构师
  • Chris Halstead,美国 EUC 主管架构师
  • Andreano Lanusse,美国 EUC 主管架构师
  • Justin Sheets,美国高级技术市场推广架构师

领域专家:

  • Camilo Lotero,美国高级技术市场推广经理

本实验室手册可以从动手实验室文档站点下载,网址为:

http://docs.hol.vmware.com

本实验室可能提供其他语言版本。要设置语言首选项并在实验室中部署本地化手册,可以在以下文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。实验室手册位于主控制台右侧的选项卡上。
  2. 个别实验室可能会用到左上角独立选项卡上的其他控制台。如有需要,系统将引导您打开其他的特定控制台。
  3. 实验室时间为 90 分钟,由计时器计时。实验室结果无法保存。所有操作都必须在实验室课程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您可以将实验室时间延长两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将实验室时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击实验室手册内容并拖放到控制台的活动窗口

 
 

您也可以单击实验室手册中的文本和命令行界面 (CLI) 命令,并将其直接拖放到主控制台中的活动窗口。 

 

 

访问在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

在活动的控制台窗口中单击一下

 

在本例中,您将使用在线键盘输入电子邮件地址中所使用的“@”符号。在美式键盘布局中,输入“@”符号需要按住 Shift 并按 2。

  1. 在活动的控制台窗口中单击一下。
  2. 单击 Shift 键。

 

 

单击 @ 键

 

  1. 单击 @ 键。

您会发现,“@”符号已在活动控制台窗口中输入。

 

 

激活提示或水印

 

首次启动实验室时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手实验室利用了这一优势,我们可以运行多个数据中心内的实验室。但是,这些数据中心的处理器可能不同,因此会通过 Internet 触发 Microsoft 激活检查。

请放心,VMware 和这些动手实验室完全符合 Microsoft 的许可要求。您使用的实验室是一个独立的单元,不具备对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的实验室。 

 

 

查看屏幕右下部分

 

请检查是否完成实验室的所有启动例程,以及是否准备好开始。如果您看到的内容并非“Ready”(准备就绪),请等待几分钟。如果 5 分钟后,您的实验室仍未变为“Ready”(准备就绪)状态,请寻求帮助。

 

第 1 单元 - 安装、配置和管理 VMware Identity Manager

简介


本实验室将讨论如何安装、配置和管理 VMware Identity Manager。这些练习包括:

  1. 设置和安装 VMware Identity Manager Connector
  2. 配置、同步并管理 Directory 和用户
  3. 为 Kerberos 和 Radius 配置身份提供方 (IdP) 和身份验证方法
  4. 配置应用并进行授权

连接到 Conn-01a 服务器


 

双击桌面上的“conn-01a.rdp”链接,以连接到 Conn-01a 服务器。

在本实验室的初始部分,您会在指定服务器上安装 VMware Identity Manager Connector。建议在专用服务器或虚拟机 (VM) 上安装 VMware Identity Manager Connector。


安装和配置 VMware Identity Manager Connector


已为您下载 VMware Enterprise Systems Connector。VMware Enterprise Systems Connector 包含 AirWatch Cloud Controller (ACC) 和 VMware Identity Manager Connector 服务。对于本实验室,您只需安装 VMware Identity Manager Connector 服务,以便对 Active Directory 用户进行身份验证并使其与 VMware Identity Manager 租户同步。


 

启动 VMware Enterprise Systems Connector 安装程序

 

  1. 单击任务栏中的文件资源管理器图标
  2. 单击“Documents”(文档)。
  3. 单击“HOL”。
  4. 双击“VMware Enterprise Systems Connector 9.4.0.0 Installer.exe”文件。

 

返回主控制台


 

安装 VMware Identity Manager Connector 后,您需要在主控制台中配置本实验室的其余要求。

单击屏幕顶部远程桌面连接程序边条上的关闭 (X) 按钮。

注意:如果看不到远程桌面连接程序的边条,可能是因为已将该边条取消固定。将鼠标悬停在屏幕顶部中间可显示该边条。


登录 Workspace ONE UEM 控制台


要执行实验室中的大部分操作,您需要登录 Workspace ONE UEM 管理控制台。


 

启动 Chrome 浏览器

 

在实验室桌面上,双击 Chrome 浏览器。

 

 

向 Workspace ONE UEM 管理控制台进行身份验证

 

浏览器的默认主页是 https://labs.awmdm.com。输入您的 Workspace ONE UEM 管理员帐户信息,然后单击“Login”(登录)按钮。

注意 - 如果您看到“Captcha”(验证码),请注意它是区分大小写的!

  1. 输入您的用户名。此用户名就是您关联到 VMware Learning Platform (VLP) 帐户电子邮件地址
  2. 对于“Password”(密码)字段,请输入 VMware1!
  3. 单击“Login”(登录)按钮。

注意 - 鉴于实验室的限制条件,您可能需要等待一分钟左右,动手实验室客户端将在此期间与 Workspace ONE UEM 动手实验室服务器联系。

 

 

接受最终用户许可协议

 

注意 - 只有在初次登录管理控制台时,才需要完成以下登录控制台的步骤。

您将看到 Workspace ONE UEM 使用条款。单击“Accept”(接受)按钮。

 

 

处理初始安全设置

 

接受“Terms of Use”(使用条款)后,系统会显示“Security Settings”(安全设置)弹出框。密码恢复问题是为了防备您忘记管理员密码而设置的,安全 PIN 码则用于在控制台中保护某些特定的管理功能。

  1. 您可能需要向下滚动以查看“Password Recovery Questions”(密码恢复问题)和“Security PIN”(安全 PIN 码)部分。
  2. 从“Password Recovery Question”(密码恢复问题)下拉框中选择一个问题(此处使用默认选择的问题即可)。
  3. 在“Password Recovery Answer”(密码恢复答案)字段中,请输入 VMware1!
  4. 在“Confirm Password Recovery Answer”(确认密码恢复答案)字段中,请输入 VMware1!
  5. 在“Security PIN”(安全 PIN 码)字段中,输入 1234
  6. 在“Confirm Security PIN”(确认安全 PIN 码)字段中,输入 1234
  7. 完成后,单击“Save”(保存)按钮。

 

 

关闭欢迎消息

 

完成安全设置后,系统会显示“Workspace ONE UEM Console Highlights”(Workspace ONE UEM 控制台功能亮点)弹出框。

  1. 单击“Don't show this message on login”(登录时不显示此消息)复选框。
  2. 单击右上角的“X”,关闭弹出框。

 

登录 VMware Identity Manager 控制台


已为您生成一个临时 VMware Identity Manager 租户,以供在本实验室期间使用。VMware Identity Manager 租户 URL 和登录详细信息已在本实验室开始时上传到 Workspace ONE UEM 控制台的“Content”(内容)部分。


 

在 Workspace ONE UEM 控制台中访问租户详细信息

 

在 Workspace ONE UEM 控制台中:

  1. 单击“Content”(内容)
  2. 展开“Content Locker”
  3. 单击“List View”(列表视图)
  4. 找到名为 vIDM Tenant Details for your@email.shown.here.txt 的文本文件,然后单击该名称旁的单选按钮选择该文件。
  5. 单击“Download”(下载)

 

 

登录 VMware Identity Manager 租户

现在,您需要登录 VMware Identity Manager 租户以执行以下步骤。

 

配置 VMware Identity Manager 租户


在 AirWatch 控制台中配置 Directory 服务和 VMware Identity Manager 设置之前,您需要对 VMware Identity Manager 租户进行一些配置,以确保根据我们的配置正确导入并映射 Active Directory 用户。 

继续执行下一步。


 

编辑用户属性

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“User Attributes”(用户属性)
  4. 单击“distinguishedName”字段旁的复选框以将其启用
  5. 单击“userPrincipalName”字段旁的复选框以将其启用
    注意 - 您可能需要向下滚动才能找到“distinguishedName”和“userPrincipalName”属性。

 

 

保存用户属性更改

 

  1. 向下滚动到页面底部。
  2. 单击“Save”(保存)

 

创建和配置 VMware Identity Manager Connector


 

在 VMware Identity Manager 管理员控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“Connectors”
  4. 单击“Add Connector”(添加 Connector)

 

生成 Connector 激活码

 

  1. 对于“Connector ID Name”(Connector ID 名称),请输入 Lab
  2. 单击“Generate Activation Code”(生成激活码)

 

 

激活 Connector

 

要激活 VMware Identity Manager Connector,您可以通过端口 8443 连接到安装了 VMware Identity Manager Connector 服务的主机。在之前的步骤中,您在 conn-01a.corp.local 上安装了 VMware Identity Manager Connector 服务。

  1. 单击选项按钮
  2. 单击“New Tab”(打开新的标签页)
  3. 输入 https://conn-01a.corp.local:8443/cfg,然后按 ENTER

 

 

确认 Connector 已激活

 

返回 VMware Identity Manager 控制台,

  1. 单击浏览器中的刷新按钮。
  2. 单击“Identity & Access Management”(身份和访问管理)
  3. 单击“Setup”(设置)
  4. 单击“Connectors”
  5. 确认 Connector 的“Hostname”(主机名)显示为 conn-01a.corp.local 且“Worker”名为“Lab”

这可以确认您已成功设置并安装 VMware Identity Manager Windows Connector。

 

 

将 Directory 用户同步至 VMware Identity Manager


本部分将讨论如何在 VMware Identity Manager 中添加一个新 Directory,然后将 Active Directory 用户同步到 VMware Identity Manager 租户。


 

通过 LDAP 添加 Active Directory

 

在 VMware Identity Manager 管理员控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Directories”
  3. 单击“Add Directory”(添加 Directory)
  4. 单击“Add Active Directory over LDAP/IWA”(通过 LDAP/IWA 添加 Active Directory)

 

 

确认存在已同步用户

 

  1. 单击“Users & Groups”(用户和组)
  2. 确认“corp.local”用户已同步并在此处显示。

这可以确认您已成功向 VMware Identity Manager 租户添加 Directory,并且您可以使用之前安装的 Connector 将 Active Directory 用户同步到该 Directory。

 

设置身份提供方以使用密码云部署


本部分将讨论如何配置内置身份提供方 (IdP) 以允许 corp.local 域用户提供其 AD 凭证,从而登录到 VMware Identity Manager 租户。


 

配置内置身份提供方

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Identity Providers”(身份提供方)
  3. 单击“Built-In”(内置)

 

 

配置访问策略

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Policies”(策略)
  3. 单击“Edit Default Policy”(编辑默认策略)

 

 

验证 corp.local 用户是否可以登录

 

  1. 单击选项图标
  2. 单击“New incognito window”(打开新的无痕窗口)
  3. 输入 https://{yourtenant}.vidmpreview.com 以导航回到 VMware Identity Manager 租户的登录屏幕
    注意 - 将 {yourtenant} 替换为您的租户名称!

 

设置 Weblink 应用并向用户授权


本部分将讨论如何创建 Weblink 应用以及如何授权您的已同步用户访问该应用。 


 

 

在 VMware Identity Manager 管理员控制台中,

  1. 单击“Catalog”(目录)
  2. 单击“New”(新建)

 

 

 

  1. 单击选项图标
  2. 单击“New incognito window”(打开新的无痕窗口)
  3. 输入 https://{yourtenant}.vidmpreview.com 以导航回到您的 VMware Identity Manager 租户的登录屏幕
    注意 - 将 {yourtenant} 替换为您的租户名称!

 

设置 Kerberos 身份验证适配器


此部分将讨论如何通过 IDM Connector 配置 Kerberos 身份验证,以启用 Windows 单点登录。


 

在 Connector 上启用 Kerberos 身份验证适配器

 

要针对 VMware Identity Manager Connector 启用 Kerberos 身份验证,需要运行 setupKerberos.bat 文件,该文件位于安装 VMware Identity Manager Connector 服务的服务器中,即 conn-01a.corp.local

双击主控制台桌面上的“conn-01a.rdp”链接,以连接到 conn-01a 服务器。

 

 

更新策略规则

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Manage”(管理)
  3. 单击“Policies”(策略)
  4. 单击“Edit Default Policy”(编辑默认策略)

 

 

使用 Workspace ONE 应用进行 Kerberos 身份验证

 

从桌面中,双击“Win10-01a.rdp”快捷方式

 

 

返回主控制台

 

单击屏幕上方远程桌面会话上的“X”以返回主控制台。

 

设置 RADIUS 身份验证


此部分将详细介绍如何为 Windows 安装和配置 RADIUS 服务器和客户端,以及如何通过启用“RADIUS 云部署”身份验证方法将 RADIUS 与 IDM 集成。


 

连接到 Conn-01a 服务器

 

在本练习中,您将要在 conn-01a.corp.local 服务器上配置 RADIUS 服务器和客户端。

双击桌面上的“conn-01a.rdp”链接,以连接到 Conn-01a 服务器。

 

 

安装并配置 RADIUS Server for Windows

 

  1. 在任务栏中单击“Server Manager”
  2. 单击“Manage”(管理)
  3. 单击“Add Roles and Features”(添加角色和功能)

 

 

返回主控制台

 

配置完 RADIUS 客户端后,您将要从主控制台中配置其余要求。

单击屏幕顶部远程桌面连接程序边条上的关闭 (X) 按钮。

注意:如果看不到远程桌面连接程序的边条,可能是因为已将该边条取消固定。将鼠标悬停在屏幕顶部中间可显示该边条。

 

 

为 VMware Identity Manager 配置 RADIUS 身份验证方法

 

在 VMware Identity Manager 管理控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“Connectors”
  4. 单击“Lab”(实验室)

 

 

配置身份提供方

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Identity Providers”(身份提供方)
  3. 单击“Built-In”(内置)

 

 

配置策略规则

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Policies”(策略)
  3. 单击“Edit Default Policy”(编辑默认策略)

 

 

在 Web 浏览器中测试 RADIUS 身份验证

 

  1. 单击选项图标
  2. 单击“New incognito window”(打开新的无痕窗口)
  3. 输入 https://{yourtenant}.vidmpreview.com 以导航回到您的 VMware Identity Manager 租户的登录屏幕
    注意 - 将 {yourtenant} 替换为您的租户名称!

 

关于学习其他实验室单元的说明


 

如果您有意学习本实验室中的其他单元,请在 VMware Learning Platform 中单击“END”(结束)按钮,然后重新启动实验室。

由于本实验室中的每个单元都针对不同的用户场景配置 VMware Identity Manager 和 VMware Identity Manager Connector,使用干净的基础架构开始完成下一个单元的最快捷方法是重新启动实验室。重启后,使用“实验室指导”部分所示的“目录”导航到下一单元。


结束语


在本练习中,您学习了如何:

这是关于安装、配置和管理 VMware Identity Manager 的初步介绍,向您展示了可以通过灵活的自定义方法,根据企业的需要创建访问策略。您可以将身份提供方和访问策略设置为允许用户以他们熟悉的方式进行身份验证,而不需要花时间从头重新构建这些身份验证策略。

一定要查看其他 VMware Identity Manager 练习,了解其他学习和身份验证可能性。


第 2 单元 - 本地安装 VMware Identity Manager

简介


VMware Identity Manager 是 VMware Workspace ONE 的身份管理组件。此服务以 SaaS(软件即服务)或本地部署服务的形式提供。本地部署发行版可部署为基于 Linux 的 OVA 或安装在 Window 服务器上。

本动手实验室将介绍如何在 Windows 服务器上安装 VMware Identity Manager 服务,以及如何将它集成到本地部署 Active Directory 环境中以执行用户同步和身份验证。

本练习将采用这样一个体系架构:不同的 VMware Identity Manager 组件分布在单独的专用 Windows 服务器上。这样可以打造出一个更加灵活的体系结构,其中的主 VMware Identity Manager 服务置于面向公众的 DMZ 中,而对于 Active Directory 连接器和 SQL 数据库,则在内部网络中维护。

Workspace ONE 平台中 VMware Identity Manager 服务和其他服务的参考体系结构位于 VMware Techzone 中,网址为:https://techzone.vmware.com/resource/vmware-workspace-one-and-vmware-horizon-7-enterprise-edition-premises-reference


实验室体系架构


我们已经简化了体系架构,以便限制此实验室的范围。让我们看一下涉及哪些不同的组件。


 

组件和子系统

 

主控制台 (192.168.110.10)

vidm-01a (192.168.110.14)

conn-01a (192.168.110.15)

sql-01a (192.168.110.13)

 

 

用户场景和要求

本练习适用于以下用户场景:

对于这些用户场景,适用以下要求和决策:

此设置具有以下优势:

 

安装 VMware Identity Manager 服务


在本练习中,我们将运行 VMware Identity Manager 服务应用安装程序来安装 VMware Identity Manager 服务。如简介中所讨论的,我们设置了专用服务器 vidm-01a.corp.local 来托管 VMware Identity Manager 服务,并且会将 VMware Identity Manager 服务安装在该服务器上。


 

连接到 VIDM-01 RPD

 

从桌面中,双击“vidm-01a.rdp”快捷方式

 

 

运行 VMware Identity Manager 服务安装程序

 

  1. 在 vidm-01a.corp.local 服务器上的任务栏中单击文件浏览器图标。
  2. 单击“Documents”(文档)
  3. 单击“HOL”
  4. 右键单击“VMware_Identity_Manager_3.2.0.1_Full_Install.exe”文件。
  5. 单击“Run as administrator”(以管理员身份运行)

 

 

完成 VMware Identity Manager 服务安装

 

单击“Next”(下一步)

注意:系统可能需要几分钟的时间来加载安装程序。

 

 

完成 VMware Identity Manager 设置向导

 

  1. 单击“Advanced”(高级)
  2. 单击“Proceed to vidm-01a.corp.local (unsafe)”(前进到 vidm-01a.corp.local [不安全])

您为什么会遇到证书无效错误?如果您回忆一下,便会知道,我们并没有将 SSL 证书作为 VMware Identity Manager 服务安装程序的一部分提供。在您现在正访问的设置向导运行完毕后,您要上传 SSL 证书。

 

 

在管理控制台中执行初始配置

 

  1. 对于“username”(用户名),请输入 admin
  2. 对于“Password”(密码),请输入 VMware1!
  3. 单击“Sign in”(登录)

这些凭证供您在设置向导中之前的步骤内配置的设备管理员使用。

 

 

返回主控制台

 

您必须返回主控制台,以便完成其他练习。单击屏幕顶部远程桌面连接程序边条上的关闭 (X) 按钮。

 

创建 VMware Identity Manager SQL 数据库


在此练习中,我们将为 VMware Identity Manager 创建 SQL 数据库。在安装 VMware Identity Manager 的过程中,我们将引用此数据库作为目标数据库。


 

复制 CreateVidmDb 脚本

 

  1. 从任务栏中单击文件浏览器图标
  2. 单击“Documents”(文档)
  3. 单击“HOL”
  4. 单击“VMware Identity Manager”
  5. 右键单击“CreateVidmDb.txt”
  6. 单击“Edit with Notepad++”(使用 Notepad++ 编辑)

 

 

运行 CreateVidmDb 脚本

 

从桌面中,双击“SQL Server 2014 Management Studio”

 

导航到 VMware Identity Manager 管理控制台


 

在实验室桌面上,双击 Chrome 浏览器。


 

导航到 VMware Identity Manager 管理控制台

 

  1. 单击选项图标
  2. 单击“New Tab”(打开新的标签页)
  3. 输入 https://vidm-01a.corp.local,然后按 ENTER

您应该记得,您已在主机名为 vidm-01a.corp.local 的服务器上安装了 VMware Identity Manager 服务。您的用户将导航到此处,以便访问管理控制台。

 

 

登录 VMware Identity Manager 管理控制台

 

  1. 对于“Username”(用户名),请输入 admin
  2. 对于“Password”(密码),请输入 VMware1!
  3. 单击“Sign in”(登录)

这些是您在安装 VMware Identity Manager 服务期间创建的管理员凭证。

 

 

确认已成功进行身份验证

 

如果 VMware Identity Manager 管理控制台如上所示进行加载,则您能够成功进行身份验证。您将要在后续步骤中返回到管理控制台,以便进行其他配置。

 

安装 VMware Identity Manager Connector


VMware Identity Manager Connector 负责将 VMware Identity Manager 与本地部署 Active Directory 集成。本练习将指导您安装使用正确配置的 VMware Identity Manager Connector,以适应我们在简介中讨论的用户场景和要求。


 

连接到 Conn-01a 服务器

 

双击桌面上的“conn-01a.rdp”链接,以连接到 Conn-01a 服务器。

您将在指定服务器上安装 VMware Identity Manager Connector。建议在专用服务器或虚拟机 (VM) 上安装 VMware Identity Manager Connector。

 

 

启动计算机浏览器服务

 

从 conn-01a 服务器上的任务栏中单击 Windows 开始按钮

 

 

启用基于 TCP/IP 的 NetBIOS

 

  1. 右键单击“Network”(网络)图标。
  2. 单击“Open Network and Sharing Center”(打开网络和共享中心)
  3. 单击“Network and Sharing Center”(网络和共享中心)中的“Ethernet0 2”

 

 

启动 VMware Enterprise Systems Connector 安装程序

 

  1. 单击任务栏中的文件资源管理器图标
  2. 单击“Documents”(文档)
  3. 单击“HOL”
  4. 右键单击“VMware Enterprise Systems Connector Installer.exe”文件。
  5. 单击“Run as Administrator”(以管理员身份运行)

 

 

返回主控制台

 

安装完 VMware Identity Manager Connector 之后,您将要从主控制台中配置本练习的其余要求。

单击屏幕顶部远程桌面连接程序边条上的关闭 (X) 按钮。

注意:如果看不到远程桌面连接程序的边条,可能是因为已将该边条取消固定。将鼠标悬停在屏幕顶部中间可显示该边条。

 

激活 VMware Identity Manager Connector


在前面的练习中,我们完成了 VMware Identity Manager Connector 的安装,但尚未激活该 Connector。在本练习中,我们将从 VMware Identity Manager 管理控制台中激活并注册 VMware Identity Manager Connector。


 

添加 Connector

 

返回 Google Chrome。在 VMware Identity Manager 管理员控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“Connectors”
  4. 单击“Add Connector”(添加 Connector)

 

 

激活 Connector

 

要激活 VMware Identity Manager Connector,您可以通过端口 8443 连接到安装了 VMware Identity Manager Connector 服务的主机。在之前的步骤中,您在 conn-01a.corp.local 上安装了 VMware Identity Manager Connector 服务。

  1. 单击选项按钮
  2. 单击“New Tab”(打开新的标签页)
  3. 输入 https://conn-01a.corp.local:8443/cfg,然后按 ENTER

 

 

确认 Connector 已激活

 

返回 VMware Identity Manager 控制台,

  1. 单击浏览器中的刷新按钮。
  2. 单击“Identity & Access Management”(身份和访问管理)
  3. 单击“Setup”(设置)
  4. 单击“Connectors”
  5. 确认 Connector 的“Hostname”(主机名)显示为 conn-01a.corp.local 且“Worker”名为“Lab”

这可以确认您已成功设置并安装 VMware Identity Manager Windows Connector。

 

 

将 Directory 用户同步至 VMware Identity Manager


本部分将讨论如何在 VMware Identity Manager 中添加一个新 Directory,然后将 Active Directory 用户同步到 VMware Identity Manager 租户。


 

通过 LDAP 添加 Active Directory

 

在 VMware Identity Manager 管理员控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Directories”
  3. 单击“Add Directory”(添加 Directory)
  4. 单击“Add Active Directory over LDAP/IWA”(通过 LDAP/IWA 添加 Active Directory)

 

 

确认存在已同步用户

 

  1. 单击“Users & Groups”(用户和组)
  2. 确认“corp.local”用户已同步并在此处显示。

这将确认您已成功地将 Directory 添加到了 VMware Identity Manager 租户,并且您可以使用之前安装的 Connector 将 Active Directory 用户同步到该 Directory。

 

以域用户身份登录


现在,您已经使用 VMware Identity Manager Connector 成功地将 corp.local 域用户同步到了 VMware Identity Manager,接下来您要确认您能够通过为 corp.local 域用户提供凭证来针对 VMware Identity Manager 验证用户身份。


 

验证 corp.local 用户是否可以登录

 

  1. 单击选项图标
  2. 单击“New incognito window”(打开新的无痕窗口)
  3. 输入 https://vidm-01a.corp.local 以导航回到 VMware Identity Manager 控制台的登录屏幕。

 

 

关闭无痕会话

 

单击无痕会话右上角的关闭按钮,以返回到 VMware Identity Manager 管理控制台。

 

设置 Kerberos 身份验证适配器


此部分将讨论如何通过 IDM Connector 配置 Kerberos 身份验证,以启用 Windows 单点登录。


 

使用批处理文件设置 Kerberos 身份验证

 

需要运行 setupKerberos.bat 文件,该文件位于安装 VMware Identity Manager Connector 服务的服务器中,即 conn-01a.corp.local

双击桌面上的“conn-01a.rdp”链接,以连接到 conn-01a 服务器。

 

 

在 Connector 上启用 Kerberos 身份验证适配器

 

在 VMware Identity Manager 管理控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“Connectors”
  4. 单击“Lab”(实验室)工作链接

 

 

更新策略规则

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Manage”(管理)
  3. 单击“Policies”(策略)
  4. 单击“Edit Default Policy”(编辑默认策略)

 

 

使用 Workspace ONE 应用进行 Kerberos 身份验证

 

从桌面中,双击“Win10-01a.rdp”快捷方式

 

 

返回主控制台

 

单击屏幕上方远程桌面会话上的“X”以返回主控制台。

 

关于学习其他实验室单元的说明


 

如果您有意学习本实验室中的其他单元,请在 VMware Learning Platform 中单击“END”(结束)按钮,然后重新启动实验室。

由于本实验室中的每个单元都针对不同的用户场景配置 VMware Identity Manager 和 VMware Identity Manager Connector,使用干净的基础架构开始完成下一个单元的最快捷方法是重新启动实验室。重启后,使用“实验室指导”部分所示的“目录”导航到下一单元。


结束语


在本练习中,您完成了在本地部署 VMware Identity Manager 的过程。此部署采用标准体系架构,其中,不同的 VMware Identity Manager 组件安装在单独的专用服务器上。此体系架构包括:运行未加入域的 Windows 服务器的主 VMware Identity Manager 服务,以及在加入域的专用 Windows 服务器上运行的 VMware Identity Manager Connector 和 SQL 数据库。

成功安装不同组件后,VMware Identity Manager 集成到了本地部署 Active Directory 服务器中,以用于执行用户同步和身份验证。已成功配置并测试了 LDAP 和 Kerberos 协议身份验证。

本实验室到此结束。


第 3 单元 - 第三方身份提供方与 ADFS 集成

安装和配置 AD FS(视频讲解示范)


在本次练习中,您将需要安装和配置 AD FS 以对我们的域用户进行身份验证。由于此次练习重点是,将 VMware Identity Manager 与现有的 AD FS 部署进行集成,您将无需从头开始安装 AD FS 实例。

以下视频将展示如何安装和配置基本 AD FS 部署(我们已为您配置好)。如果您有兴趣了解初始安装流程,请观看以下视频,其中提供了对该流程的逐步讲解。如果暂无兴趣,请执行下一个步骤,继续该练习。

 
 

下载 ADFS 联合元数据 XML


要在 VMware Identity Manager 和我们的 ADFS 实例之间建立信任关系,您需要下载 ADFS 联合元数据。 


 

下载联合元数据 XML

 

在实验室桌面上,双击 Chrome 浏览器。

 

 

查找联合元数据端点

继续操作之前,您可能想知道如何获取联合元数据端点。请查看后续步骤,了解如何从您的 ADFS 服务器中检索联合元数据端点。

 

AD FS 概述


 

AD FS 利用基于声明的授权实施身份联合。默认情况下,VMware Identity Manager 使用的是安全断言标记语言 (SAML),这是一种基于断言的授权形式。从概念上讲,SAML 和 AD FS 之间有许多相似之处。可以以这些相似之处(如上表中所述)为基础,来了解 VMware Identity Manager 与 AD FS 的集成。


 

AD FS 声明

声明是指关于用户的表述,包括关于用户的值(例如:用户主体名称 (UPN)、电子邮件地址、角色、组、Windows 帐户名称等)。这些都包含在受信任的令牌中。受信任方,也称为依赖方,使用声明中存储的值来确定如何授权请求。

声明提供程序(例如您的 Active Directory),会生成并签署这些声明。联合服务代理通过在声明提供程序和依赖方之间处理和交换声明,在它们之间建立信任关系,从而允许基于声明表述做出授权决策。

  1. 客户端请求一个受信任的令牌,以访问依赖方(例如 Web 托管的应用)。
  2. 客户端基于 AD FS 进行身份验证(根据受信任的属性存储确认)。
  3. 身份验证成功后,系统便会向客户端返回一个受信任的令牌,然后客户端会向依赖方提供该受信任的令牌。
  4. 依赖方验证受信任的令牌并允许访问。

 

简介


Active Directory Federation Services (AD FS) 是一个 Windows Server 组件,借助它,使用基于声明的身份验证的用户可以通过单点登录访问应用和系统。您可以配置 VMware Identity Manager,以将 Active Directory Federation Service (AD FS) 用作第三方身份提供方进行身份验证。在本实验室中,我们将了解如何在 VMware Identity Manager 中安装和配置 AD FS,以及如何将 AD FS 添加为第三方身份提供方 (IdP)。


 

先决条件

在此练习中,我们将为您提供所有先决软件。

 

连接到 Conn-01a 服务器


 

双击桌面上的“conn-01a.rdp”链接,以连接到 Conn-01a 服务器。

在本实验室的初始部分,您会在指定服务器上安装 VMware Identity Manager Connector。建议在专用服务器或虚拟机 (VM) 上安装 VMware Identity Manager Connector。


安装和配置 VMware Identity Manager Connector


已为您下载 VMware Enterprise Systems Connector。VMware Enterprise Systems Connector 包含 AirWatch Cloud Controller (ACC) 和 VMware Identity Manager Connector 服务。对于本实验室,您只需安装 VMware Identity Manager Connector 服务,以便对 Active Directory 用户进行身份验证并使其与 VMware Identity Manager 租户同步。


 

启动 VMware Enterprise Systems Connector 安装程序

 

  1. 单击任务栏中的文件资源管理器图标
  2. 单击“Documents”(文档)
  3. 单击“HOL”
  4. 双击 VMware Enterprise Systems Connector Installer.exe 文件。

 

返回主控制台


 

安装 VMware Identity Manager Connector 后,您需要在主控制台中配置本实验室的其余要求。

单击屏幕顶部远程桌面连接程序边条上的关闭 (X) 按钮。

注意 - 如果看不到远程桌面连接程序的边条,您可能取消固定了该边条。将鼠标悬停在屏幕顶部中间可显示该边条。


登录 Workspace ONE UEM 控制台


要执行实验室中的大部分操作,您需要登录 Workspace ONE UEM 管理控制台。


 

启动 Chrome 浏览器

 

在实验室桌面上,双击 Chrome 浏览器。

 

 

向 Workspace ONE UEM 管理控制台进行身份验证

 

浏览器的默认主页是 https://labs.awmdm.com。输入您的 Workspace ONE UEM 管理员帐户信息,然后单击“Login”(登录)按钮。

注意 - 如果您看到“Captcha”(验证码),请注意它是区分大小写的!

  1. 输入您的用户名。此用户名就是您关联到 VMware Learning Platform (VLP) 帐户电子邮件地址
  2. 对于“Password”(密码)字段,请输入 VMware1!
  3. 单击“Login”(登录)按钮。

注意 - 鉴于实验室的限制条件,您可能需要等待一分钟左右,动手实验室客户端将在此期间与 Workspace ONE UEM 动手实验室服务器联系。

 

 

接受最终用户许可协议

 

注意 - 只有在初次登录管理控制台时,才需要完成以下登录控制台的步骤。

您将看到 Workspace ONE UEM 使用条款。单击“Accept”(接受)按钮。

 

 

处理初始安全设置

 

接受“Terms of Use”(使用条款)后,系统会显示“Security Settings”(安全设置)弹出框。密码恢复问题是为了防备您忘记管理员密码而设置的,安全 PIN 码则用于在控制台中保护某些特定的管理功能。

  1. 您可能需要向下滚动以查看“Password Recovery Questions”(密码恢复问题)和“Security PIN”(安全 PIN 码)部分。
  2. 从“Password Recovery Question”(密码恢复问题)下拉框中选择一个问题(此处使用默认选择的问题即可)。
  3. 对于“Password”(密码)字段,请输入 VMware1!
  4. 对于“Password”(密码)字段,请输入 VMware1!
  5. 在“Security PIN”(安全 PIN 码)字段中,输入 1234
  6. 在“Confirm Security PIN”(确认安全 PIN 码)字段中,输入 1234
  7. 完成后,单击“Save”(保存)按钮。

 

 

关闭欢迎消息

 

完成安全设置后,系统会显示“Workspace ONE UEM Console Highlights”(Workspace ONE UEM 控制台功能亮点)弹出框。

  1. 单击“Don't show this message on login”(登录时不显示此消息)复选框。
  2. 单击右上角的“X”,关闭弹出框。

 

登录 VMware Identity Manager 控制台


已为您生成一个临时 VMware Identity Manager 租户,以供在本实验室期间使用。VMware Identity Manager 租户 URL 和登录详细信息已在本实验室开始时上传到 Workspace ONE UEM 控制台的“Content”(内容)部分。


 

在 Workspace ONE UEM 控制台中访问租户详细信息

 

在 Workspace ONE UEM 控制台中:

  1. 单击“Content”(内容)
  2. 展开“Content Locker”
  3. 单击“List View”(列表视图)
  4. 找到名为 vIDM Tenant Details for your@email.shown.here.txt 的文本文件,然后单击该名称旁的单选按钮选择该文件。
  5. 单击“Download”(下载)

 

 

登录 VMware Identity Manager 租户

现在,您需要登录 VMware Identity Manager 租户以执行以下步骤。

 

配置 VMware Identity Manager 租户


在 AirWatch 控制台中配置 Directory 服务和 VMware Identity Manager 设置之前,您需要对 VMware Identity Manager 租户进行一些配置,以确保根据我们的配置正确导入并映射 Active Directory 用户。 

继续执行下一步。


 

编辑用户属性

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“User Attributes”(用户属性)
  4. 单击“distinguishedName”字段旁的复选框以将其启用
  5. 单击“userPrincipalName”字段旁的复选框以将其启用
    注意 - 您可能需要向下滚动才能找到“distinguishedName”和“userPrincipalName”属性。

 

 

保存用户属性更改

 

  1. 向下滚动到页面底部。
  2. 单击“Save”(保存)

 

创建和配置 VMware Identity Manager Connector


 

在 VMware Identity Manager 管理员控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Setup”(设置)
  3. 单击“Connectors”
  4. 单击“Add Connector”(添加 Connector)

 

生成 Connector 激活码

 

  1. 对于“Connector ID Name”(Connector ID 名称),请输入 Lab
  2. 单击“Generate Activation Code”(生成激活码)

 

 

激活 Connector

 

要激活 VMware Identity Manager Connector,您可以通过端口 8443 连接到安装了 VMware Identity Manager Connector 服务的主机。在之前的步骤中,您在 conn-01a.corp.local 上安装了 VMware Identity Manager Connector 服务。

  1. 单击选项按钮
  2. 单击“New Tab”(打开新的标签页)
  3. 输入 https://conn-01a.corp.local:8443/cfg,然后按 ENTER

 

 

确认 Connector 已激活

 

返回 VMware Identity Manager 控制台,

  1. 单击浏览器中的刷新按钮。
  2. 单击“Identity & Access Management”(身份和访问管理)
  3. 单击“Setup”(设置)
  4. 单击“Connectors”
  5. 确认 Connector 的“Hostname”(主机名)显示为 conn-01a.corp.local 且“Worker”名为“Lab”

这可以确认您已成功设置并安装 VMware Identity Manager Windows Connector。

 

 

将 Directory 用户同步至 VMware Identity Manager


本部分将讨论如何在 VMware Identity Manager 中添加一个新 Directory,然后将 Active Directory 用户同步到 VMware Identity Manager 租户。


 

通过 LDAP 添加 Active Directory

 

在 VMware Identity Manager 管理员控制台中,

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Directories”
  3. 单击“Add Directory”(添加 Directory)
  4. 单击“Add Active Directory over LDAP/IWA”(通过 LDAP/IWA 添加 Active Directory)

 

 

确认存在已同步用户

 

  1. 单击“Users & Groups”(用户和组)
  2. 确认“corp.local”用户已同步并在此处显示。

这将确认您已成功地将 Directory 添加到了 VMware Identity Manager 租户,并且您可以使用之前安装的 Connector 将 Active Directory 用户同步到该 Directory。

 

创建第三方身份提供方


为了使用 AD FS 对用户进行身份验证,我们需要在 VMware Identity Manager 中创建一个第三方身份提供方 (IdP),并使用从我们的联合服务中下载的 FederationMetadata.xml,在 AD FS(作为身份提供方)和 VMware Identity Manager(作为服务提供方)之间建立信任关系。 


 

复制 ADFS 联合元数据 XML

 

  1. 单击任务栏中的文件资源管理器图标
  2. 单击“Documents”(文档)
  3. 右键单击“FederationMetadata.xml”
  4. 单击“Edit with Notepad++”(使用 Notepad++ 编辑)

 

 

在 VMware Identity Manager 中创建第三方身份提供方

 

在 Chrome 中导航至 VMware Identity Manager 管理控制台。

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Identity Providers”(身份提供方)
  3. 单击“Add Identity Provider”(添加身份提供方)
  4. 单击“Create Third Party IDP”(创建第三方 IDP)

 

在 VMware Identity Manager 中配置访问策略


现在,我们已在 VMware Identity Manager 中为 AD FS 创建了第三方 IDP,需要使用在访问策略中创建的身份验证方法,对采用第三方 IDP 身份验证方法的域用户进行身份验证,而非使用默认的访问策略规则对采用密码 (AirWatch Connector) 方法的域用户进行身份验证。


 

编辑访问策略

 

  1. 单击“Identity & Access Management”(身份和访问管理)
  2. 单击“Policies”(策略)
  3. 单击“default_access_policy_set”,以对其进行编辑

 

 

为域用户创建一个新的策略规则

 

  1. 单击“Configuration”(配置)选项卡。
  2. 单击“Add Policy Rule”(添加策略规则)

 

 

保存更新的策略规则

 

单击“Save”(保存)

 

在 AD FS 中配置依赖方信任


借助我们在 VMware Identity Manager 中配置的第三方 IDP 和已有的服务提供方元数据,我们现在便可以在 AD FS 中为 VMware Identity Manager 租户配置依赖方信任。这将利用我们的服务提供方元数据在 AD FS(作为身份提供方)和 VMware Identity Manager 租户(作为服务提供方)之间建立信任关系。


 

连接至 adfs-01a 服务器

 

双击桌面上的 adfs-01a.rdp 链接。

您需要修改 ADFS 配置才能与 VMware Identity Manager 建立信任关系,而这必须通过安装了 ADFS 的服务器完成。

 

 

粘贴 sp.xml 文件

 

  1. 单击任务栏中的“File Explorer”(文件浏览器)图标。
  2. 单击“Downloads”(下载)
  3. 右键单击“Downloads”(下载)文件夹中的任何位置,然后选择“Paste”(粘贴)

 

 

添加依赖方信任

 

返回“AD FS Management”(AD FS 管理)。如果它已关闭,您可以导航至“Server Manager”并依次单击“Tools”(工具)>“AD FS Management”(AD FS 管理),也可以从“开始”菜单搜索“AD FS Management”。

  1. 展开“Trust Relationships”(信任关系)
  2. 单击“Relying Party Trusts”(依赖方信任)
  3. 单击“Add Relying Party Trust”(添加依赖方信任)

此时将打开“Add Relying Party Trust Wizard”(添加依赖方信任向导)该向导显示后,单击“Start”(开始)以开始此流程。

 

 

为依赖方添加声明规则

为了对用户进行适当的身份验证,我们需要为依赖方添加声明规则。声明规则控制着声明流,负责接管一个或多个传入声明,向这些声明应用条件,然后生成一个或多个传出声明。声明规则和声明引擎负责确定接收到传入声明时是否应让其通过、是否应对其进行过滤以满足特定的业务逻辑标准,或是否应先将其转换为新的声明集,然后再作为传出声明发出。 

简而言之,将声明规则视为检查、处理传入声明以及将其转换为传出声明的逻辑,而传出声明决定了对哪些用户进行身份验证以及如何进行身份验证。有关更详细的文档,请查看声明规则的作用

在本实验室中,我们需要创建两种类型的声明规则。 

  1. 将 LDAP 属性作为声明发送:意味着传出声明将包含来自属性存储(在本例中为 Active Directory)的 LDAP 属性值,这些值可用于进行身份验证。
  2. 使用自定义规则发送声明:将使用声明规则语言来生成和转换我们的声明,以处理在 VMware Identity Manager 中对用户进行身份验证所需的特定业务逻辑要求。

 

 

返回主控制台

 

单击远程桌面连接程序边条上的关闭 (X) 按钮以返回主控制台。

 

以域用户身份登录


我们已经在 AD FS(作为身份提供方)和 VMware Identity Manager 租户(作为服务提供方)之间建立信任,配置“依赖方声明规则”以将传入声明转换为我们的 VMware Identity Manager 租户可以处理的格式并将其发出,现在,我们需要尝试以 corp.local 域用户身份登录并验证我们的配置是否正常运行。


 

连接到 Windows 10 虚拟机

 

双击桌面上的“Win10-01a.rdp”远程桌面连接快捷方式。

 

 

在浏览器中以域用户身份进行身份验证

 

  1. 打开 Google Chrome
  2. 导航到您的 VMware Identity Manager 租户 URL (https://{yourtenant}.vidmpreview.com)。
    注意:{yourtenant} 替换为您的实际租户的名称!
  3. 输入 holuser 作为用户名,该用户是我们同步的 corp.local 域用户之一。这也是当前登录到您所连接的 win10-01a 虚拟机的用户帐户。
  4. 取消选中“Remember this setting”(记住此设置)
  5. 单击“Next”(下一步)

注意:请在单击“Next”(下一步)后耐心等待,可能需要几秒钟时间来完成身份验证。

 

 

在 VMware Workspace ONE 应用中以域用户身份进行身份验证

 

  1. 启动 VMware Workspace ONE 应用
  2. 输入您的 VMware Identity Manager 租户 URL (https://{yourtenant}.vidmpreview.com)。
    注意:{yourtenant} 替换为您的实际租户的名称!
  3. 单击“Continue”(继续)

 

 

 

向 VMware Identity Manager 进行身份验证后,授权 Cookie 将持续 8 小时。如果您需要重新进行身份验证以执行测试,可以缩短您配置的访问策略规则的重新身份验证计时器,也可以清除授权 Cookie,以便删除强制用户再次执行身份验证的浏览器和 VMware Workspace ONE 应用会话。

  1. 打开 Google Chrome,并单击选项按钮。
  2. 单击“Settings”(设置)

 

故障排除


本部分将讨论您在尝试将第三方 IDP 与 VMware Identity Manager 集成时可能遇到的一些问题,以及可以采取的故障排除步骤。


 

无法登录 VMware Identity Manager 租户

解决方案:

如果访问策略配置不正确,部分或全部用户的身份验证可能会失败。这甚至可能会导致您的本地帐户无法登录租户来解决问题。

解决方案:

要登录租户并绕过导致身份验证问题的已配置访问策略,请将 ?login 附加到您的默认登录 URL:

https://<tenantURL>/SAAS/auth/login?login

 

 

VMware Identity Manager:错误:无法更新身份提供方

解决方案:

在添加或编辑身份提供方,并尝试添加或更新身份验证方法时,您看到错误“Cannot update Identity Provider”(无法更新身份提供方)。这会阻止您在单击“Save”(保存)时添加或编辑身份验证方法。

解决方案:

SAML 上下文名称必须在 VMware Identity Manager 租户中具有唯一性,包括默认的身份验证方法使用的名称。为已选择的身份验证方法重命名 SAML 上下文名称,然后单击“Save”(保存)。

 

 

VMware Identity Manager:404.idp.not.found/未找到 federationArtifact.not.found 联合构件

解决方案:

尝试登录 VMware Identity Manager 时,显示一条包含“404.idp.not.found”、“federationArtifact.not.found Federation Artifact not found”(未找到 federationArtifact.not.found 联合构件)的错误消息,或者显示另一个错误,指示无法找到身份提供方或联合构件来对用户进行身份验证。如果没有设置访问策略来处理对网络范围、设备类型、用户组或尝试的身份验证方法的身份验证,或者依赖方的声明规则配置错误,则会出现该情况。

解决方案:

 

 

AD FS 错误:请与管理员联系

解决方案:

当用户尝试使用基于声明的身份验证向 AD FS 进行身份验证时,他们会看到登录页面显示“Error: Contact your administrator”(错误:请与管理员联系)。出现该问题的原因是,AD FS 无法对声明进行正确的身份验证。

解决方案:

 

 

AD FS:验证请求和查看日志失败

 

 

解决方案:

当用户尝试从 VMware Identity Manager 使用基于声明的身份验证对 AD FS 进行身份验证时,系统会将他们重定向到 AD FS 以正确获取凭据,但随后会收到一条显示无法对其进行身份验证的错误。AD FS 可能配置不正确,导致消耗传入声明、生成传出声明的问题,或其他可能导致身份验证失败的问题。

解决方案:

这两种解决方案都将让您能够查看身份验证尝试的跟踪信息。通常会记录严重性级别为“错误”或“严重”的故障和问题,因此请尝试检查日志以了解导致身份验证失败的原因。典型的身份验证问题包括:

 

关于学习其他实验室单元的说明


 

如果您有意学习本实验室中的其他单元,请在 VMware Learning Platform 中单击“END”(结束)按钮,然后重新启动实验室。

由于本实验室中的每个单元都针对不同的用户场景配置 VMware Identity Manager 和 VMware Identity Manager Connector,使用干净的基础架构开始完成下一个单元的最快捷方法是重新启动实验室。重启后,使用“实验室指导”部分所示的“目录”导航到下一单元。


总结


VMware Identity Manager 可以利用 AD FS 作为第三方身份提供方,以通过基于声明的访问控制授权模式安全地对用户进行身份验证。考虑如何利用现有的 AD FS 部署与 VMware Identity Manager 来提供对组织内系统和应用的单点登录访问,而无需重新创建已建立的身份验证策略。

可通过 Microsoft 文档找到其他 AD FS 文档。


第 4 单元 - VMware Identity Manager REST API

简介


VMware Identity Manager REST API 允许您自动执行各种管理任务。在本实验室中,我们将讨论您可以使用 REST API 执行的一些示例操作,以及如何使用 oAuth 进行正确的身份验证。目标是在 Identity Manager 中新建一个的本地用户帐户,创建 Weblink 应用,然后更新此应用以授权给我们创建的用户。 

最后,我们应该能够使用我们生成的用户登录 Workspace ONE 控制台,并成功启动我们的 Weblink 应用。


登录 Workspace ONE UEM 控制台


要执行实验室中的大部分操作,您需要登录 Workspace ONE UEM 管理控制台。


 

启动 Chrome 浏览器

 

在实验室桌面上,双击 Chrome 浏览器。

 

 

向 Workspace ONE UEM 管理控制台进行身份验证

 

浏览器的默认主页是 https://labs.awmdm.com。输入您的 Workspace ONE UEM 管理员帐户信息,然后单击“Login”(登录)按钮。

注意 - 如果您看到“Captcha”(验证码),请注意它是区分大小写的!

  1. 输入您的用户名。此用户名就是您关联到 VMware Learning Platform (VLP) 帐户电子邮件地址
  2. 对于“Password”(密码)字段,请输入 VMware1!
  3. 单击“Login”(登录)按钮。

注意 - 鉴于实验室的限制条件,您可能需要等待一分钟左右,动手实验室客户端将在此期间与 Workspace ONE UEM 动手实验室服务器联系。

 

 

接受最终用户许可协议

 

注意 - 只有在初次登录管理控制台时,才需要完成以下登录控制台的步骤。

您将看到 Workspace ONE UEM 使用条款。单击“Accept”(接受)按钮。

 

 

处理初始安全设置

 

接受“Terms of Use”(使用条款)后,系统会显示“Security Settings”(安全设置)弹出框。密码恢复问题是为了防备您忘记管理员密码而设置的,安全 PIN 码则用于在控制台中保护某些特定的管理功能。

  1. 您可能需要向下滚动以查看“Password Recovery Questions”(密码恢复问题)和“Security PIN”(安全 PIN 码)部分。
  2. 从“Password Recovery Question”(密码恢复问题)下拉框中选择一个问题(此处使用默认选择的问题即可)。
  3. 在“Password Recovery Answer”(密码恢复答案)字段中,请输入 VMware1!
  4. 在“Confirm Password Recovery Answer”(确认密码恢复答案)字段中,请输入 VMware1!
  5. 在“Security PIN”(安全 PIN 码)字段中,输入 1234
  6. 在“Confirm Security PIN”(确认安全 PIN 码)字段中,输入 1234
  7. 完成后,单击“Save”(保存)按钮。

 

 

关闭欢迎消息

 

完成安全设置后,系统会显示“Workspace ONE UEM Console Highlights”(Workspace ONE UEM 控制台功能亮点)弹出框。

  1. 单击“Don't show this message on login”(登录时不显示此消息)复选框。
  2. 单击右上角的“X”,关闭弹出框。

 

登录 VMware Identity Manager 控制台


已为您生成一个临时 VMware Identity Manager 租户,以供在本实验室期间使用。 VMware Identity Manager 租户 URL 和登录详细信息已在本实验室开始时上传到 Workspace ONE UEM 控制台的“Content”(内容)部分。


 

在 Workspace ONE UEM 控制台中访问租户详细信息

 

在 Workspace ONE UEM 控制台中:

  1. 单击“Content”(内容)
  2. 展开“Content Locker”
  3. 单击“List View”(列表视图)
  4. 找到名为 vIDM Tenant Details for your@email.shown.here.txt 的文本文件,然后单击该名称旁的单选按钮选择该文件。
  5. 单击“Download”(下载)

 

 

登录 VMware Identity Manager 租户

现在,您需要登录 VMware Identity Manager 租户以执行以下步骤。

 

打开 Postman


在本实验室过程中,我们将利用名为 Postman 的 REST 客户端来设置 API 请求并将其发送到 VMware Identity Manager。


 

打开 Postman

 

双击桌面上的“Postman”图标。

注意 - 双击图标后,Postman 可能需要几秒钟时间才能完成启动。请稍候片刻,等待应用启动。

 

 

记录 VMware Identity Manager 域名

Workspace ONE UEM 控制台提供的“vIDM Tenant Details”文本文件包含一个“Tenant URL”(租户 URL)字段。

记下此字段,因为在实验室的进一步说明中,将要求您替换 VMware Identity Manager FQDN(域名全称)以将 API 请求定向到您的租户实例,即“Tenant URL”(租户 URL)字段(例如:https://yourtenantname.vidmpreview.com

 

请求 oAuth SessionToken


 

  1. 选择“POST”作为动词。
  2. 针对“Request URL”(请求 URL)输入 https://{your_tenant_fqdn}/SAAS/API/1.0/REST/auth/system/login
    注意 - 请记住将 {your_tenant_fqdn} 替换为您的 VMware Identity Manager 租户域名全称 (FQDN)。
  3. 单击“Headers”(标题)选项卡。
  4. 在“Key”(键)字段中输入 Content-Type
  5. 在“Value”(值)字段中输入 application/json
  6. 在“Key”(键)字段中输入 Accept
  7. 在“Value”(值)字段中输入 application/json

 

设置请求正文

 

  1. 单击“Body”(正文)选项卡。
  2. 选择“Raw”(原始)
  3. 针对“Body”(正文)输入以下 JSON 数据。
    {"username":"Administrator", "password":"VMware1!","issueToken":"true"}
  4. 单击“Send”(发送)

 

 

 

查看 API 响应

 

  1. 向下滚动以查看响应。
  2. 单击“Pretty”设置格式选项。
  3. 确保已启用自动换行以便更易于阅读响应内容。
  4. 在响应中,您将看到“sessionToken”字段。这是我们将在本实验室的其余部分用于对 API 进行身份验证的 oAuth 密钥。突出显示文本(不包括引号),然后单击右键
  5. 单击“Copy”(复制)

 

 

保存 SessionToken 值

 

  1. 单击 Windows 按钮。
  2. 输入 Notepad 进行搜索。
  3. 在结果列表中单击“Notepad”

 

在 Identity Manager 中本地用户


成功通过身份验证并返回一个有效的 sessionToken 后,让我们来应用此令牌以向 VMware Identity Manager 租户发出经过身份验证的请求,并使用 API 创建一个本地用户。


 

设置请求标题

 

  1. 选择“POST”作为动词。
  2. 针对“Request URL”(请求 URL)输入 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/scim/Users
    注意 - 请记住将 {your_tenant_fqdn} 替换为您的 VMware Identity Manager 租户域名全称 (FQDN)。
  3. 单击“Headers”(标题)选项卡。
  4. 针对“Key”(键)输入 Authorization
  5. 针对“Value”(值)输入 HZN
    注意 - 在“HZN”后添加一个额外空格!我们会将 sessionToken 粘贴到 HZN 后面,粘贴后应显示为 HZN {sessionToken},否则请求将失败!
  6. 单击“Paste”(粘贴)以插入复制的 sessionToken

 

 

设置请求正文

 

  1. 单击“Body”(正文)选项卡。
  2. 选择“Raw”(原始)
  3. 针对“Body”(正文)输入以下 JSON 数据。
    {"schemas": [ "urn:scim:schemas:core:1.0" ], "userName": "apiuser", "name": { "givenName": "API", "familyName": "User" }, "emails": [ { "value": "apiuser@test.com" } ], "password": "VMware1!" }
  4. 单击“Send”(发送)

 

 

查看响应

 

  1. 向下滚动以查看响应。
  2. 确认“Status”(状态)显示“201 Created”(201 已创建)。该状态可确认用户已创建。
  3. 查看 API 请求的响应,以确认创建的用户详细信息与上一步骤中的请求正文中提供的值相一致。找到 apiuser 数据,然后查找 id 字段,突出显示文本(不包括引号)并单击右键
  4. 单击“Copy”(复制)

 

 

保存已创建用户的 ID

 

  1. 在任务栏中单击 Notepad 图标。
  2. Created User ID: 输入到 Notepad 文件中的 sessionToken 下。
  3. 单击右键,然后单击“Paste”(粘贴)

如果后续步骤中要求您提供已创建用户的 ID,请参阅 Notepad 文件中此处的粘贴值。

 

 

在 Identity Manager 管理员控制台中查看已创建的用户

 

返回 VMware Identity Manager 管理员控制台,

  1. 单击“Users & Groups”(用户和组)
  2. 单击“User,API”条目。

 

 

确认用户详细信息

 

  1. 滚动查看用户详细信息,确认它们与我们的 API 请求中输入的值一致。
  2. 单击“Back to User List”(返回用户列表)

 

在 Identity Manager 中列出用户


除了创建用户,您还可以从 Identity Manager 查询用户列表。


 

在 Identity Manager 中列出用户

 

请求 URL 与上一练习中的 URL 相同,即 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/scim/Users

  1. 选择“GET”作为动词。
  2. 单击“Send”(发送)
  3. 向下滚动以查看响应。
  4. 查看查询返回的结果。

可随意滚动查看响应以确认所返回用户的其他详细信息。

 

在 Identity Manager 中创建 Weblink 应用


您还可以使用 API 在 Identity Manager 中管理应用。让我们来了解一下如何使用 API 来创建 Weblink 类型的应用。


 

设置请求标题

 

  1. 选择“POST”作为动词。
  2. 输入 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/catalogitems 作为请求 URL。
    注意 - 请记住将 {your_tenant_fqdn} 替换为您的 VMware Identity Manager 租户域名全称 (FQDN)。
  3. 单击“Headers”(标题)选项卡。
  4. 将 Content-Type 标题对应的更改为 application/vnd.vmware.horizon.manager.catalog.webapplink+json
  5. 将 Accept 标题对应的更改为 application/vnd.vmware.horizon.manager.catalog.webapplink+json

 

 

设置请求正文

 

  1. 单击“Body”(正文)选项卡。
  2. 选择“Raw”(原始)
  3. 将格式设置保留为“Text”(文本)。通常情况下,您会选择“application/json”或“application/xml”,具体取决于您使用的格式,但将该选项更改为“application/json”会将我们刚刚更新的 Content-Type 标题更新回 application/json,这将导致请求失败。该格式设置选择仅供 Postman 用于帮助您正确设置请求,“Text”(文本)格式设置选项对 API 请求本身没有影响。
  4. 对于“Body”(正文),输入以下 JSON 数据。
    { "catalogItemType": "WebAppLink", "uuid": "85c040cf-b389-41a0-9efe-c7ca64f985c4", "packageVersion": "1.0", "name": "API Generated Weblink", "productVersion": null, "description": "Web Link Generated by API Lab", "authInfo": { "type": "WebAppLink", "targetUrl" : "https://www.vmware.com" } }
  5. 单击“Send”(发送)

 

 

查看 API 响应

 

  1. 向下滚动以查看响应。
  2. 确认状态显示“201 Created”(201 已创建),以确定应用已创建。
  3. 单击“Body”(正文)选项卡。
  4. 在响应中找到 uuid 值,它应与我们在请求正文中提供的 uuid (85c040cf-b389-41a0-9efe-c7ca64f985c4) 一致。突出显示该值(不包括引号),然后单击右键
  5. 单击“Copy”(复制)

我们将使用已创建 Weblink 应用的 uuid

 

 

复制已创建应用的 uuid

 

  1. 在任务栏中单击 Notepad 图标。
  2. 输入 Created Application UUID:,并在文本末尾单击右键
  3. 单击“Paste”(粘贴)以插入 uuid。

当后续步骤中提示您使用已创建应用的 uuid 时,请参阅粘贴在此处的值。

 

授权本地用户访问 Weblink 应用


我们创建的 Weblink 应用当前没有授权用户,这意味着当前没有用户能够访问我们创建的应用。我们可以更新该应用的授权,以包含之前创建的本地用户,允许他们在 Identity Manager 中访问应用。


 

设置请求标题

 

  1. 选择“POST”作为动词。
  2. 输入 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/entitlements/definitions 作为请求 URL。
    注意 - 请记住将 {your_tenant_fqdn} 替换为您的 VMware Identity Manager 租户域名全称 (FQDN)。
  3. 单击“Headers”(标题)选项卡。
  4. 对于 Content-Type 标题对应的,输入 application/vnd.vmware.horizon.manager.entitlements.definition.bulk+json
  5. 对于 Accept 标题对应的,输入 application/vnd.vmware.horizon.manager.bulk.sync.response+json

 

 

设置请求正文

 

  1. 单击“Body”(正文)选项卡。
  2. 选择“Raw”(原始)
  3. 将格式设置保留为“Text”(文本)。与之前一样,我们不希望更改此设置,因为 Postman 将自动更新 Content-Type 标题以反映此字段,并且将该设置更改回“application/json”会导致请求失败。
  4. 针对“Body”(正文)输入以下 JSON 数据。
    { "returnPayloadOnError" : true, "operations" : [ { "method" : "POST", "data" : { "catalogItemId" : "{YOUR_WEBLINK_UUID}", "subjectType" : "USERS", "subjectId" : "{YOUR_CREATED_USER_ID}", "activationPolicy" : "AUTOMATIC" } }], "_links" : { } }
  5. {YOUR_WEBLINK_UUID} 文本替换为您的 Notepad 文件中的 Created Application UUID 值。不要删除周围的引号!
  6. {YOUR_CREATED_USER_ID} 文本替换为您的 Notepad 文件中的 Created User ID 值。不要删除周围的引号!
  7. 单击“Send”(发送)

 

 

查看 API 响应

 

  1. 向下滚动以查看 API 响应。
  2. 确保“Status”(状态)显示“200 OK”(200 正常),以确认批量操作请求已成功完成。
  3. 单击“Body”(正文)选项卡。
  4. 确保操作阵列的 code 字段显示 201。这表示我们使用 subjectId 更新 catalogItemId 的操作已成功执行。如果我们在 JSON 正文中包含了多个操作,您将看到每个操作的注明结果的状态响应。

 

 

在 Identity Manager 管理员控制台中确认应用授权

 

返回 Identity Manager 管理员控制台。

  1. 单击“Catalog”(目录)
  2. 单击“API Generated Weblink”(API 生成的 Weblink)旁的复选框以将其选中。
  3. 单击“Assign”(分配)。

 

 

 

  1. 确认 API 用户已包含在用户列表中,并且“Deployment Type”(部署类型)设置为“Automatic”(自动)。此授权是根据我们使用 API 请求在 JSON 正文中包含的规范进行添加。
  2. 单击“Close”(关闭)

 

 

现在,我们将以所创建用户的身份登录 Workspace ONE 门户,以确认我们看到创建的应用并已成功启动。

 

关于学习其他实验室单元的说明


 

如果您有意学习本实验室中的其他单元,请在 VMware Learning Platform 中单击“END”(结束)按钮,然后重新启动实验室。

由于本实验室中的每个单元都针对不同的用户场景配置 VMware Identity Manager 和 VMware Identity Manager Connector,使用干净的基础架构开始完成下一个单元的最快捷方法是重新启动实验室。重启后,使用“实验室指导”部分所示的“目录”导航到下一单元。


总结


在本实验室中,您学习了如何使用 IDM API 来自动执行各种管理任务。有关其他 API 文档,请务必查看 VMware Identity Manager API 参考页面:https://code.vmware.com/apis/57/idm?h=Identity#/


总结

感谢您参加 VMware 动手练习。 请务必访问 http://hol.vmware.com/ 继续完成在线练习。

练习 SKU: HOL-1957-02-UEM

版本: 20190422-204007