É possível estabelecer uma federação SAML entre o vRealize Automation Directories Management e os sistemas que usam o SSO2 para dar suporte ao single sign-on.

Por Que e Quando Desempenhar Esta Tarefa

Estabeleça uma federação entre o Directories Management e o SSO2 criando uma conexão SAML entre as duas partes. Atualmente, o único fluxo completo com suporte é aquele no qual o SSO2 atua como Provedor de Identidade (IdP) e o Directories Management atua como provedor de serviços (SP).

Para a autenticação de usuários SSO2, a mesma conta deve existir no Directories Management e no SSO2. Pelo menos o UPN (UserPrincipalName) do usuário deve corresponder em ambas as extremidades. Outros atributos podem ser diferentes, pois são necessários para identificar o requerente SAML.

Para usuários locais no SSO2, como admin@vsphere.local, contas correspondentes também devem existir no Directories Management, em que pelo menos o UPN do usuário seja correspondente. Crie essas contas manualmente ou com um script usando as APIs de criação de usuário local do Directories Management.

Configurar o SAML entre o SSO2 e o Directories Managementenvolve a configuração dos componentes SSO e do Gerenciamento de Diretórios.

Tabela 1. Configuração do componente de federação SAML

Componente

Configuração

Gerenciamento de Diretórios

Configure o SSO2 como um Provedor de Identidade de terceiros no Directories Management e atualize a política de autenticação padrão. É possível criar um script automatizado para configurar o Directories Management.

componente SSO2

Configure o Directories Management como um provedor de serviços importando o arquivo sp.xml do Directories Management. Esse arquivo permite que você configure o SSO2 para utilizar o Directories Management como o Provedor de Serviços (SP).

Pré-requisitos

  • Configure tenants para sua implantação do vRealize Automation. Consulte Criar tenants adicionais.

  • Configure um link apropriado do Active Directory para oferecer suporte à autenticação básica com senha e ID do usuário do Active Directory.

  • Faça logon no console do vRealize Automation como administrador de tenant.

Procedimento

  1. Baixe metadados do Provedor de Identidade SSO2 por meio da interface de usuário do SSO2.
    1. Faça login no vCenter como administrador em https://<cloudvm-hostname>/.
    2. Clique no link Fazer login no vSphere Web Client.
    3. No painel de navegação esquerdo, selecione Administração > Conexão Única > Configuração.
    4. Clique em Download ao lado dos metadados referentes ao título do seu provedor de serviços SAML.

      O arquivo vsphere.local.xml deve começar o download.

    5. Copie o conteúdo do arquivo vsphere.local.xml.
  2. Na página Provedores de Identidade de Gerenciamento de Diretórios do vRealize Automation, crie um novo Provedor de Identidade.
    1. Faça logon no vRealize Automation como administrador de tenants.
    2. Selecione Administração > Gerenciamento de Diretórios > Provedores de Identidade.
    3. Clique em Adicionar Provedor de Identidade e forneça as informações de configuração.

      Opção

      Ação

      Nome do Provedor de Identidade

      Insira um nome para o novo Provedor de Identidade.

      Caixa de texto Metadados do Provedor de Identidade (URI ou XML)

      Cole o conteúdo do seu arquivo de metadados idp.xml do SSO2 na caixa de texto e clique em Processar Metadados IDP.

      Política de ID de Nome na Solicitação SAML (Opcional)

      Insira http://schemas.xmlsoap.org/claims/UPN.

      Usuários

      Selecione os domínios aos quais deseja que os usuários tenha privilégios de acesso.

      Rede

      Selecione os intervalos de rede dos quais você deseja que os usuários tenham privilégios de acesso.

      Se você quiser autenticar usuários de um endereço IP, selecione Todos os Intervalos.

      Métodos de Autenticação

      Insira um nome para o método de autenticação. Em seguida, use o menu suspenso Contexto SAML à direita para mapear o método de autenticação para urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

      Certificado de Assinatura SAML

      Clique no link ao lado do cabeçalho Metadados SAML para fazer o download dos metadados do Gerenciador de diretórios.

    4. Salve o arquivo de metadados do Gerenciamento de Diretórios como sp.xml.
    5. Clique em Adicionar.
  3. Atualize a política de autenticação relevante usando a página Políticas de Gerenciamento de Diretórios para redirecionar a autenticação ao provedor de identidade SSO2 de terceiros.
    1. Selecione Administração > Gerenciamento de Diretórios > Políticas.
    2. Clique o nome da política padrão.
    3. Clique no método de autenticação abaixo do título Regras de Política para editar uma regra de autenticação existente.
    4. Na página Editar uma Regra de Política, altere o método de autenticação de senha para o método apropriado.

      Nesse caso, o método deve ser SSO2.

    5. Clique em Salvar para salvar as atualizações da sua política.
  4. No painel de navegação esquerdo, selecione Administração > Single Sign On > Configuração e clique em Atualizar para carregar o arquivo sp.xml no vSphere.