É possível melhorar a segurança do sistema de uma conexão básica entre o Active Directory e o vRealize Automation ao configurar uma relação de confiança bidirecional entre o provedor de identidade e os Serviços federados do Active Directory.

Por Que e Quando Desempenhar Esta Tarefa

Para configurar uma relação de confiança bidirecional entre o vRealize Automation e o Active Directory, você deve criar um provedor de identidade personalizado e adicionar metadados do Active Directory a esse provedor. Além disso, você deve modificar a política padrão usada para implantação do vRealize Automation. Finalmente, você deve configurar o Active Directory para reconhecer o seu provedor de identidade.

Pré-requisitos

  • Verifique se você configurou os tenants na implantação do vRealize Automation. Configure um link apropriado do Active Directory para dar suporte à autenticação básica por ID de usuário e senha do Active Directory.

  • O Active Directory está instalado e configurado para utilização em sua rede.

  • Obtenha os metadados apropriados dos Active Directory Federated Services (ADFS).

  • Faça logon no console do vRealize Automation como administrador de tenant.

Procedimento

  1. Obtenha o arquivo de Metadados de Federação.

    É possível fazer o download desse arquivo em https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml

  2. Pesquise a palavra logout e edite a localização de cada instância a fim de apontar para https://servername.domain/adfs/ls/logout.aspx

    Por exemplo, o seguinte:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    Deve ser alterado para:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Crie um novo Provedor de Identidade para sua implantação.
    1. Selecione Administração > Gerenciamento de Diretórios > Provedores de Identidade.
    2. Clique em Adicionar Provedor de Identidade e preencha os campos como apropriado.

      Opção

      Descrição

      Nome do provedor de identidade

      Digite um nome para o novo provedor de identidade.

      Metadados do Provedor de identidade (URI ou XML)

      Cole os conteúdos do arquivo de metadados de Serviços federados do Active Directory.

      Política de ID de nome na solicitação SAML (opcional)

      Caso aplicável, digite um nome para a solicitação SAML da política de identidade.

      Usuários

      Selecione os domínios aos quais deseja que os usuários tenha privilégios de acesso.

      Processar metadados IDP

      Clique para processar o arquivo de metadados que você adicionou.

      Rede

      Selecione os intervalos de rede aos quais deseja que os usuários tenha privilégios de acesso.

      Métodos de autenticação

      Digite um nome para o método de autenticação utilizado por esse provedor de identidade.

      Contexto SAML

      Selecione o contexto adequado para o sistema.

      Certificado de assinatura SAML

      Clique no link ao lado do cabeçalho Metadados SAML para fazer o download dos metadados do Gerenciador de diretórios.

    3. Salve o arquivo de metadados do Gerenciamento de Diretórios como sp.xml.
    4. Clique em Adicionar.
  4. Adicione uma regra para a política padrão.
    1. Selecione Administração > Gerenciamento de Diretórios > Políticas.
    2. Clique o nome da política padrão.
    3. Clique no ícone + abaixo do título Regras de Política para adicionar uma nova regra.

      Utilize os campos na página Adicionar uma Regra de Política para criar uma regra que especifica os métodos apropriados de autenticação primária e secundária a usar para um intervalo específico de rede e dispositivo.

      Por exemplo, se o intervalo de rede do usuário for "Minha Máquina", e o usuário precisar acessar conteúdos do "Todos os Tipos de Dispositivo", então, no caso de uma implantação típica, o usuário deverá autenticar utilizando este método: Nome de usuário e senha ADFS.

    4. Clique em Salvar para salvar as atualizações da sua política.
    5. Na página Política Padrão, arraste a nova regra para o topo da tabela para que ela tenha precedência sobre as regras existentes.
  5. Utilizando o console de gerenciamento dos Serviços Federados do Active Directory ou outra ferramenta adequada, configure uma relação de confiança de terceira parte confiável com o provedor de identidade do vRealize Automation.

    Para configurar essa confiança, você deve importar os metadados de Gerenciamento de Diretórios que baixou anteriormente. Consulte a documentação do Microsoft Active Directory para obter mais informações sobre a configuração dos Serviços Federados do Active Directory para obter relações de confiança bidirecionais. Como parte deste processo, você deve fazer o seguinte:

    • Configurar uma Terceira Parte Confiável. Ao configurar essa confiança, você deve importar o arquivo XML de metadados do provedor de serviços do Provedor de Identidade VMware que copiou e salvou

    • Criar uma regra de reivindicação que transforma os atributos recuperados do LDAP na regra Obter Atributos para o formato SAML desejado. Após criar a regra, você deve editar a regra adicionando o seguinte texto:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");