MaaS360 设置身份提供商和用户标识符

在线编辑

MaaS360® 将用户信息与 Verify 进行同步,以便对用户进行身份验证和授权,使其能够在设备上访问原生移动应用程序。 发送给 VerifyMaaS360 用户信息来自其自身的本地用户注册表,或来自其他身份提供商的外部用户注册表。 Verify指定默认身份提供商 MaaS360 和唯一用户标识符,以便正确配置和映射用户 MaaS360 。 用户映射可确保用户 MaaS360 能够在受管设备上以及在 Verify 应用程序中以同一用户身份登录。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM® Verify

关于此任务

MaaS360在与 集成 Verify 时,您必须配置以下设置:
默认身份提供者

VerifyVerify 中分配身份提供者 MaaS360 ,以便将该 MaaS360 身份提供者的域值与其在 中的对应身份提供者进行映射。 域值指示从中派生用户信息的用户注册表。

“默认身份提供商 ”选项列出了已配置的 Cloud DirectorySAML Enterprise MaaS360 Cloud Extender 身份提供商。 首次使用时,默认仅配置了云目录
注意: 初始时,云目录中除了被指定为管理员的用户外,其余均为空。 您必须使用户上线来填充 Cloud Directory。
如果您希望使用 SAML 企业版身份提供商来代表外部用户注册表 MaaS360 ,则必须先完成 “设置 MaaS360 身份提供商和用户标识符”的操作。 例如, MaaS360 可以使用 Microsoft Azure Active Directory ( Azure AD)作为其基于云的目录。 若要将 Azure AD用作默认身份提供商,您必须将其添加到“默认身份提供商”选项中。
唯一用户标识

分配唯一用户标识以帮助识别访问 VerifyMaaS360 用户。 该标识符将与域值结合使用,作为参考依据,用于在云目录中 Verify 查找具有这些数据的用户。 如果未找到匹配项,用户的 MaaS360 身份信息将通过云目录 Verify 进行联合。 Verify当这些用户首次登录时,系统会在云目录中为其创建用户配置文件。

唯一用户标识选项包括:
  • 来自 Verify的标准用户属性,其中包括在“目录 > 属性 ”中定义的内置属性。
  • MaaS360 osUserName@domain,它是在 MaaS360 中使用的 osUserName 和域属性的组合。
主要身份提供商
包含已关联身份提供商影子账户的身份提供商
注意: 主身份提供商不能启用身份关联功能。

过程

  1. 选择 “身份验证 ”> “身份提供商 ”。
  2. 选择 “全局设置”
  3. 从菜单中选择主要身份提供商。
  4. “默认身份提供商”中选择默认的身份提供商。

    MaaS360 选择 “云目录 ”或 MaaS360 “云扩展器 ”来表示本地用户注册表。

    或者,选择任何与您 MaaS360 使用的外部用户注册表相对应的、已配置的 SAML 企业版身份提供商

  5. “唯一用户标识符 ”中选择所需的标识符。

    下表定义了 和 MaaS360 用户属性 Verify 之间的映射关系。

    注意: 如果您已配置了本地 Active Directory 与 Azure Active Directory之间的同步,并且希望通过 MaaS360 的直通身份验证实现对 Microsoft 365 应用程序的单点登录,则必须创建一个自定义属性。 Active Directorybase64-encoded objectGUID 属性是Verify中作为用户标识符的字段 ImmutableID 。 Verify 默认不支持该 base64 encoded objectGUID 属性。 您必须创建类型为身份提供者凭证的定制属性,例如,O365SourceAnchor。 请参阅 “管理属性”。 使用您创建的自定义属性映射到“Verify UserID ”属性,并在适用时映射到“即时配置”映射。
    表 1. 用户属性映射
    Verify 用户属性 MaaS360 用户属性
    preferred_username osUserName
    userID osUserName
    given_name userFirstName
    family_name userLastName
    name userFullName
    displayName userFullName
    email userEmail
    emailAddress userEmail
    mobile_number mobileNumber
    employee_id empId
    upn upn
    department dept
    job_title job
    osUserName@domain osUserName@domain
  6. 可选: 如果您的默认身份提供商不是 Cloud Directory,请启用即时配置。
    对于即时供应,无法覆盖这些映射。
    MaaS360 属性 Verify 属性
    userLastName family_name
    mobileNumber mobile_number
    userFullName name
    userFirstName given_name
    userEmail email
    userFullName displayName
  7. 指定属性如何从 MaaS360 同步到 Verify。
    始终
    每次登录时映射属性。
    仅在用户创建时
    在创建帐户时映射属性一次。
    已禁用
    从不映射属性。
  8. 选择 “保存 ”。

结果

VerifyVerify当用户在其 MaaS360 受管设备上访问应用程序并通过 进行身份验证时,用户的身份信息将在 中进行联合身份验证。 您可以在“目录 > 用户与组 > 用户 ”页面中查看联合用户的信息。 这些用户的 Realm 值与您所选 MaaS360 的身份提供商被分配的值相同。