O gerenciamento de identidades federadas permite que identidades eletrônicas e atributos de um domínio sejam aceitos e usados para acessar recursos em outros domínios. Você pode ativar o gerenciamento de identidades federadas entre o vRealize Automation, o vRealize Operations Manager e o vSphere Web Client usando o vCenter Single Sign-On e o VMware Identity Manager.

Os ambientes de identidade federada dividem os usuários em categorias denominadas personas com base em como eles interagem com os sistemas de identidade federada. Os usuários utilizam os sistemas para receber serviços. Os administradores configuram e gerenciam a federação entre os sistemas. Os desenvolvedores criam e estendem os serviços consumidos por usuários. A tabela a seguir descreve os benefícios do gerenciamento de identidades federadas oferecidos a essas personas.

Tabela 1. Benefícios para a persona
Tipos de usuário Benefício da identidade federada
Usuários
  • Single sign-on conveniente em vários aplicativos
  • Menos senhas para gerenciar
  • Maior segurança
Administradores
  • Mais controle sobre direitos e acesso a aplicativos
  • Autenticação baseada em contexto e políticas
Desenvolvedores
  • Integração simples
  • Benefícios de multilocatários, gerenciamento de usuários e grupos, autenticação extensível e autorização delegada com pouco esforço

Você pode configurar a federação entre o VMware Identity Manager e o vCenter Single Sign-On criando uma conexão SAML entre as duas partes. O vCenter Single Sign-On atua como o provedor de identidade e o VMware Identity Manager como o provedor de serviços. Um provedor de identidade fornece uma identidade eletrônica. Um provedor de serviços concede acesso a recursos depois de avaliar e aceitar a identidade eletrônica.

Para que os usuários sejam autenticados pelo vCenter Single Sign-On, a mesma conta deve existir no VMware Identity Manager e no vCenter Single Sign-On. No mínimo, o userPrincipalName do usuário deve ser correspondente em ambas as extremidades. Outros atributos podem ser diferentes, porque eles não são utilizados para identificar o sujeito SAML.

Para usuários locais no vCenter Single Sign-On, como admin@vsphere.local, as contas correspondentes devem ser criadas também no VMware Identity Manager, no qual pelo menos o userPrincipalName do usuário seja correspondente. As contas correspondentes devem ser criadas manualmente ou por um script utilizando as APIs de criação de usuários locais do VMware Identity Manager.

Configurar o SAML entre o SSO2 e o vIDM envolve as tarefas a seguir.

  1. Importe o token SAML do vCenter Single Sign-On para o VMware Identity Manager antes de atualizar a autenticação padrão do VMware Identity Manager.
  2. No VMware Identity Manager, configure o vCenter Single Sign-On como um provedor de identidade de terceiros no VMware Identity Manager e atualize a autenticação padrão do VMware Identity Manager.
  3. No vCenter Single Sign-On, configure o VMware Identity Manager como prestador de serviços importando o arquivo sp.xml do VMware Identity Manager.

Consulte a seguinte documentação de produto: