Você deve gerar os metadados SAML no appliance do Unified Access Gateway e trocar metadados com o servidor para estabelecer a confiança mútua necessária para a autenticação de cartão inteligente.

A Security Assertion Markup Language (SAML) é um padrão baseado em XML que é utilizado para descrever e trocar informações de autenticação e autorização entre domínios de segurança diferentes. SAML passa informações sobre usuários entre fornecedores de identidade e fornecedores de serviço em documento chamados de asserções SAML. Neste cenário, o Unified Access Gateway é o fornecedor de identidade e o servidor no provedor de serviços.

Pré-requisitos

  • Configure o relógio (UTC) no appliance do Unified Access Gateway para que ele esteja com a hora correta. Por exemplo, abra uma janela de console na máquina virtual do Unified Access Gateway e utilize os botões de seta para selecionar o fuso horário correto. Verifique também se o horário do host ESXi está sincronizado com um servidor NTP. Verifique se as VMware Tools, executadas na máquina virtual do appliance, sincronizam o horário na máquina virtual com o horário no host ESXi.
    Importante: Se o relógio do appliance do Unified Access Gateway não corresponder ao relógio do host do servidor, a autenticação de cartão inteligente poderá não funcionar.
  • Obtenha um certificado de autenticação SAML que possa utilizar para assinar os metadados do Unified Access Gateway.
    Observação: A VMware recomenda a criação e utilização de um certificado de autenticação SAML específico quando há mais de um appliance do Unified Access Gatewayem sua configuração. Neste caso, todos os appliances devem estar configurados com o mesmo certificado de autenticação para que o servidor possa aceitar as asserções de qualquer um dos appliances do Unified Access Gateway. Com um certificado de autenticação SAML específico, os metadados SAML de todos os appliances são os mesmos.
  • Se você ainda não o fez, converta o certificado de autenticação SAML para arquivos de formato PEM e converta os arquivos .pem para o formato de uma linha. Consulte Converter arquivos de certificado para o formato PEM de uma linha.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Na seção Configurações Avançadas, clique no ícone de engrenagem de Configurações SAML.
  3. Clique na seção Configurações do Provedor de Identidade SAML.
  4. Selecione Fornecer Certificado.
  5. Para adicionar um arquivo de Chave privada, clique em Selecionar e navegue até o arquivo da chave privada para o certificado.
  6. Para adicionar o arquivo de Cadeia de certificados, clique em Selecionar e navegue até o arquivo da cadeia de certificados.
  7. Clique em Salvar.
  8. Na caixa de texto Nome do Host, insira o nome do host e faça o download das configurações do provedor de identidade.
  9. (Opcional) Ative a opção Ativar Emissor Baseado em Host para usar o Nome do Host você forneceu na etapa 8 como o host do emissor nos metadados IDP baixados. Se você desativar essa alternância, o valor padrão de AP.LOCAL será usado como o host do emissor.