Configurando a autenticação de certificado para um cenário de implantação da DMZ

Habilitar a autenticação de certificado para uma implantação local do VMware Identity Manager exige a configuração da passagem de SSL no balanceador de carga. Em um cenário de implantação da DMZ, em que o serviço do VMware Identity Manager está implantado na DMZ e o VMware Identity Manager Connector está implantado na rede interna, se você não quiser permitir o acesso de entrada ao conector, poderá habilitar a autenticação de certificado no conector que está incorporado ao serviço do VMware Identity Manager.

Nesse cenário, use o conector integrado somente para a autenticação de certificado. Use o conector externo para todos os outros métodos de autenticação.

Para usar o conector integrado para autenticação de certificado, crie um novo provedor de identidade do Workspace para o diretório, associe-o ao conector integrado e habilite o adaptador de Autenticação de Certificado no conector integrado. Em seguida, você pode configurar suas políticas para usar o método de autenticação de certificado. As políticas também podem ser configuradas por aplicativo.

Você também precisa configurar uma porta de passagem SSL para a autenticação de certificado para que o handshake de SSL ocorra entre o usuário final e o conector integrado. Defina a porta, carregue o certificado SSL para ela nas páginas de Configurações do Appliance e ative a passagem SSL para a porta no balanceador de carga.

Outro tráfego continua a usar a porta 443.

Observação:

Este recurso não é compatível com diretórios locais. Além disso, esse recurso é aplicável somente para implantações locais da DMZ e não se aplica a nenhum outro cenário de instalação.

Requisitos de implantação

No balanceador de carga na frente do appliance de serviço VMware Identity Manager, ative a passagem SSL na porta que você configurou na porta de passagem SSL para a autenticação de certificado. A porta padrão é 7443.
A porta deve estar no intervalo de 1024-65535 e não pode ser 8443, que é a porta de administração.
Certifique-se de que a porta esteja aberta no balanceador de carga ou firewall.

Pré-requisitos

Para a porta de passagem SSL no servidor do VMware Identity Manager, obtenha um certificado SSL assinado de uma Autoridade de Certificação pública. O nome do host no certificado deve corresponder ao nome do host do balanceador de carga. O certificado também deve ser confiável pelo usuário final.

Procedimento

Defina a porta de passagem SSL para autenticação de certificado.

No console de administração, clique na guia Configurações do Appliance.
Clique em Gerenciar Configuração e insira a senha do usuário administrador.
No painel esquerdo, clique em Instalar Certificados de SSL e selecione a guia Certificado de Passagem .

Insira as informações necessárias.

Opção	Descrição
Porta	Digite a porta que você deseja usar como a porta de passagem SSL para a autenticação de certificado. A porta padrão é 7443. A porta deve estar no intervalo de 1024-65535 e não pode ser 8443, que é a porta de administração. Observação: A porta estará disponível somente se um certificado for adicionado.
Cadeia de Certificados SSL	Copie e cole o certificado SSL. Inclua a cadeia de certificados inteira, na seguinte ordem: Certificado do servidor Certificado intermediário Certificado raiz Para cada certificado, copie tudo que estiver entre as linhas -----INICIAR CERTIFICADO----- e -----FINALIZAR CERTIFICADO----. O certificado deve estar no formato PEM.
Chave privada	Copie e cole a chave privada.

Opção

Descrição

Porta

Digite a porta que você deseja usar como a porta de passagem SSL para a autenticação de certificado. A porta padrão é 7443.

A porta deve estar no intervalo de 1024-65535 e não pode ser 8443, que é a porta de administração.

Observação:

A porta estará disponível somente se um certificado for adicionado.

Cadeia de Certificados SSL

Copie e cole o certificado SSL. Inclua a cadeia de certificados inteira, na seguinte ordem:

Certificado do servidor

Certificado intermediário

Certificado raiz

Para cada certificado, copie tudo que estiver entre as linhas -----INICIAR CERTIFICADO----- e -----FINALIZAR CERTIFICADO----.

O certificado deve estar no formato PEM.

Chave privada

Copie e cole a chave privada.

Clique em Adicionar.

O servidor é reiniciado.

Crie um provedor de identidade do Workspace.

Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique na guia Provedores de Identidade.
Clique em Adicionar provedor de identidade e selecione Criar IDP de Workspace.

Insira as informações para o novo provedor de identidade.

Opção	Descrição
Nome do provedor de identidade	Digite um nome para o provedor de identidade.
Usuários	Selecione o diretório para o qual você deseja habilitar a autenticação de certificado. Observação: Este recurso não é compatível com diretórios locais.
Conector(es)	No menu suspenso Adicionar um Conector, selecione o conector integrado. O conector integrado tem o mesmo nome de host que o serviço. Desmarque a caixa de seleção Associar ao AD. Clique em Adicionar Conector. Importante: Não selecione a opção Associar ao AD.
Rede	Selecione os intervalos de rede dos quais esse provedor de identidade pode ser acessado.

Clique em Adicionar.

Defina a porta para o conector incorporado.
1. Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, em Instalar.
2. Na página Conectores, clique em novo provedor de identidade do Workspace criado para o conector integrado.
3. Na caixa de texto Nome do host IdP, altere o valor de nome do host para nome do host:porta, em que porta é a porta personalizada que você configurou para autenticação de certificado na etapa 1.
4. Clique em Salvar.
Habilite o CertificateAuthAdapter no conector integrado.
1. Clique em Configuração.
2. Na página Conectores, localize o conector integrado.
  
  O conector integrado tem o mesmo nome de host que o serviço.
3. Na linha do conector integrado, clique no link na coluna Trabalhador.
  
  Cada trabalhador está associado a um diretório. Se vários trabalhadores estiverem listados, clique no link do trabalhador para o diretório para o qual você deseja habilitar a autenticação de certificado.
4. Clique na guia Adaptadores de Autenticação.
5. Clique em CertificateAuthAdapter.
6. Configure e habilite o adaptador. Consulte Administração do VMware Identity Manager para obter informações.
7. Clique em Salvar.
Verifique se a página Provedores de Identidade exibe o método de Autenticação de Certificado.
1. Clique em Gerenciar e, em seguida, na guia Provedores de Identidade.
2. Verifique se a Autenticação de Certificado é exibida na coluna Métodos de Autenticação para o novo provedor de identidade que você criou.
Configure as políticas para usar o método de autenticação de certificado de acordo com suas necessidades.
1. Clique em Gerenciar e, em seguida, na guia Provedores de Identidade.
2. Clique na política a ser editada.
3. Configure as regras de política para usar o método de autenticação de certificado conforme necessário.
Consulte Administração do VMware Identity Manager para obter mais informações sobre a criação de políticas.