É possível estabelecer uma federação entre o vRealize Automation Directories Management e sistemas que usam SSO2.

Antes de Iniciar

  • Você configurou tenants para que sua implantação do vRealize Automation configure um link apropriado do Active Directory para oferecer suporte à autenticação básica com senha e ID do usuário do Active Directory.

  • O Active Directory está instalado e configurado para utilização em sua rede.

  • Obtenha os metadados apropriados dos Active Directory Federated Services (ADFS).

  • Faça logon no console do vRealize Automation como administrador de tenant.

Por Que e Quando Desempenhar Esta Tarefa

Estabeleça uma federação entre o Directories Management e o SSO2 criando uma conexão SAML entre as duas partes. Atualmente, o único fluxo completo com suporte é aquele no qual o SSO2 atua como Provedor de Identidade (Idp) e o Directories Management atua como provedor de serviços (SP).

Para que os usuários sejam autenticados pelo SSO2, a mesma conta deve existir no Directories Management e no SSO2. Pelo menos o UPN (UserPrinicpalName) do usuário deve corresponder em ambas as extremidades. Outros atributos podem ser diferentes, pois são necessários para identificar o requerente SAML.

Para usuários locais no SSO2, como admin@vsphere.local, as contas correspondentes devem ser criadas também no Directories Management (onde pelo menos o UPN do usuário seja correspondente). Por agora, isso deve ser feito manualmente ou por um script utilizando as APIs de criação de usuários locais do Directories Management.

Configurar o SAML entre o SSO2 e o Directories Managementenvolve a configuração dos componentes SSO e do Gerenciamento de Diretórios.

Tabela 1. Configuração do componente de federação SAML

Componente

Configuração

Gerenciamento de Diretórios

Configure o SSO2 como um Provedor de Identidade de terceiros no Directories Management e atualize a política de autenticação padrão. É possível criar um script automatizado para configurar o Directories Management.

componente SSO2

Configure o Directories Management como um provedor de serviços importando o arquivo sp.xml do Directories Management. Esse arquivo permite que você configure o SSO2 para utilizar o Directories Management como o Provedor de Serviços (SP).

Procedimento

  1. Baixe metadados do Provedor de Identidade SSO2 por meio da interface de usuário do SSO2.
    1. Faça login no vCenter como Administrador em https://<cloudvm-hostnamte>/.
    2. Clique no link Fazer login no vSphere Web Client
    3. No painel de navegação esquerdo, selecione Administração > Conexão Única > Configuração.
    4. Clique em Download ao lado dos metadados referentes ao título do seu provedor de serviços SAML.

      O arquivo vsphere.local.xml deve começar o download.

    5. Copie o conteúdo do arquivo vsphere.local.xml.
  2. Use a página Provedores de Identidade de Gerenciamento de Diretórios do vRealize Automation para criar um novo Provedor de Identidade.
    1. Faça logon no vRealize Automation como administrador de tenants.
    2. Selecione Administração > Gerenciamento de Diretórios > Provedores de Identidade.
    3. Clique em Adicionar Provedor de Identidade.
    4. Insira um nome para o novo Provedor de Identidade na caixa de texto Nome do Provedor de Identidade.
    5. Cole o conteúdo do seu arquivo de metadados idp.xml do SSO2 na caixa de texto Metadados do Provedor de Identidade (URI ou XML).
    6. Clique em Metadados IDP de Processo.
    7. Insira o seguinte na caixa de texto Política de ID de Nome na Solicitação SAML (Opcional).

      http://schemas.xmlsoap.org/claims/UPN

    8. Selecione os domínios aos quais você deseja que os usuários tenham privilégios de acesso na caixa de texto Usuários.
    9. Selecione os intervalos de rede dos quais você deseja que os usuários tenham privilégios de acesso a este provedor de identidade na caixa de texto Rede.

      Se você quiser autenticar usuários de um endereço IP, selecione Todos os Intervalos.

    10. Insira um nome para o método de autenticação na caixa de texto Métodos de Autenticação.
    11. Use o menu suspenso Contexto SAML à direita da caixa de texto Métodos de Autenticação para mapear o método de autenticação para urn:oasis:names:tc:SAML:2.0:ac:classes:Password.
    12. Clique no link ao lado do título Metadados SAML na caixa de texto Certificado de Assinatura SAML para baixar os metadados do Gerenciamento de Diretórios.
    13. Salve o arquivo de metadados do Gerenciamento de Diretórios como sp.xml.
    14. Clique em Adicionar.
  3. Atualize a política de autenticação relevante usando a página Políticas de Gerenciamento de Diretórios para redirecionar a autenticação ao provedor de identidade SSO2 de terceiros.
    1. Selecione Administração > Gerenciamento de Diretórios > Políticas.
    2. Clique o nome da política padrão.
    3. Clique no método de autenticação sob o título Regras de Política para editar uma regra de autenticação existente.

      Utilize os campos na página Editar uma Regra de Política de alterar o método de autenticação de senha para o método apropriado. Nesse caso, o método deve ser SSO2.

    4. Clique em Salvar para salvar as atualizações da sua política.
  4. No painel de navegação esquerdo, selecione Administração > Conexão Única > Configuração e clique em Atualizar para carregar o arquivo sp.xml no vSphere.