Você pode configurar o provisionamento just-in-time (JIT) para suportar a adição de usuários sem sincronizar a partir do seu Active Directory.

Para oferecer suporte ao provisionamento just-in-time, você deve adicionar um provedor de identidade de terceiros e, em seguida, configurar uma conexão com ele na sua implantação do vRealize Automation para integrar o Gerenciamento de Diretórios a outros provedores de SSO por meio de um protocolo SAML. Além disso, você deve criar um novo diretório com o nome apropriado, como o Diretório JIT.

Ao ativar o provisionamento just-in-time, você pode adicionar usuários just-in-time a um grupo personalizado designado. Para oferecer suporte a essa funcionalidade, crie um grupo personalizado com os membros apropriados. Consulte Adicionar usuários just-in-time com regras e grupos personalizados.

Observação: Como prática recomendada, não configure o provisionamento just-in-time no tenant vsphere.local padrão.

Pré-requisitos

Configure um provedor de identidade de terceiros apropriado para uso com o provisionamento JIT.

Procedimento

  1. Crie um provedor de identidade para provisionamento just-in-time.
    1. Selecione Administração > Gerenciamento de diretórios > Provedores de Identidade
    2. Clique em Adicionar Provedor de Identidade e edite as configurações da instância de provedor de identidade apropriada.
      • Para provisionamento just-in-time, crie um provedor de identidade de terceiros.
      • Na seção Criar Diretório Just-in-Time, digite nomes para o diretório e um ou mais domínios.
      • Você deve selecionar uma rede para a configuração do provedor de identidade de terceiros.
      • Se você está usando um VMware Identity Manager externo como seu provedor de identidade de terceiros e está usando o userPrincipleName para autenticar usuários, deverá alterar a configuração de mapeamento de ID de Nome para userPrincipleName do padrão de x509SubjectName para unspecified.

      Consulte Configurar uma conexão de provedor de identidade de terceiros para obter mais informações sobre como criar provedores de identidade.

  2. Configure o SAML no provedor de identidade just-in-time.
    1. Copie metadados do IdP do seu provedor de identidade.
    2. No vRealize Automation, selecione o seu provedor de identidade e cole os metadados do IdP na caixa de texto Metadados do Provedor de Identidade (URL ou XML).
    3. Clique em Salvar.
    4. No menu suspenso Política de ID de Nome na Solicitação SAML (Opcional), selecione o formato apropriado.
      Por exemplo, se você estiver usando o endereço de e-mail como o identificador de usuário exclusivo, selecione urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    5. Selecione o diretório apropriado sob o cabeçalho Usuários.
    6. Selecione as redes a serem usadas por esse provedor de identidade sob o cabeçalho Rede.
    7. Especifique um nome apropriado na caixa de texto Métodos de Autenticação.
    8. No menu suspenso Contexto SAML, selecione urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
    9. Clique com o botão direito do mouse no link Metadados do Provedor de Serviços (SP) e abra-o em uma guia separada do navegador.
    10. Use estes metadados para configurar a conexão SAML no seu provedor de identidade.
    Se você estiver usando o VMware Identity Manager, consulte a documentação VMware Identity Manager para obter instruções completas sobre como configurar o SAML.
  3. Clique em Adicionar.
    O novo diretório é criado usando o Nome de Diretório fornecido.
  4. Configure a Política de Acesso do vRealize Automation.
    1. Selecione Administração > Políticas.
    2. Clique no ícone verde + na parte superior direita da tabela de regras de política.
    3. Defina a regra de política para aplicar a intervalos aplicáveis e tipos de dispositivos.
    4. Selecione o método de autenticação que você criou ao configurar o provedor de identidade de terceiros para provisionamento JIT para o método de autenticação.