要为 VMware Identity Manager 内部部署启用证书身份验证,需要在负载平衡器上设置 SSL 直通。在 DMZ 部署方案(在 DMZ 中部署 VMware Identity Manager 服务,在内部网络中部署 VMware Identity Manager Connector)中,如果您不希望允许对连接器进行入站访问,则可以在 VMware Identity Manager 服务中嵌入的连接器上启用证书身份验证。

在此方案中,请仅将嵌入式连接器用于证书身份验证。对于所有其他身份验证方法,则使用外部连接器。

要将嵌入式连接器用于证书身份验证,可为您的目录创建新的 Workspace 身份提供程序,将其与嵌入式连接器相关联,并在嵌入式连接器上启用证书身份验证适配器。然后,可以配置用于使用证书身份验证方法的策略。策略也可以按每个应用程序来设置。

您还需要为证书身份验证配置一个 SSL 直通端口,以便在最终用户和嵌入式连接器之间进行 SSL 握手。您可以在“设备设置”页上设置该端口并为其上载 SSL 证书,以及在负载平衡器上为该端口启用 SSL 直通。

其他流量将继续使用端口 443。

注: 此功能不支持使用本地目录。另外,此功能仅适用于 DMZ 内部部署,而不适用于任何其他安装方案。

部署要求

  • 在 VMware Identity Manager 服务设备前面的负载平衡器上,在配置为证书身份验证 SSL 直通端口的端口上启用 SSL 直通。默认端口是 7443。

    该端口必须在 1024-65535 范围内,并且不能为 8443(它是管理端口)。

  • 确认在负载平衡器或防火墙上打开了该端口。

前提条件

对于 VMware Identity Manager 服务器上的 SSL 直通端口,请从公用证书颁发机构获取一个签名的 SSL 证书。该证书上的主机名必须与负载平衡器主机名相匹配。最终用户还必须信任该证书。

过程

  1. 为证书身份验证设置 SSL 直通端口。
    1. 在管理控制台中,单击设备设置选项卡。
    2. 单击管理配置并输入 admin 用户密码。
    3. 在左侧窗格中,单击安装 SSL 证书,然后选择直通证书选项卡。
    4. 输入所需的信息。
      选项 描述
      端口 输入要作为证书身份验证 SSL 直通端口的端口。默认端口是 7443。

      该端口必须在 1024-65535 范围内,并且不能为 8443(它是管理端口)。

      注: 只有添加了证书,才能使用该端口。
      SSL 证书链 复制并粘贴 SSL 证书。请按以下顺序包含整个证书链:

      服务器证书

      中间证书

      根证书

      对于每个证书,请复制 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的所有内容(包括这两行)。

      证书必须采用 PEM 格式。

      私钥 复制并粘贴私钥。
    5. 单击添加
      将重新启动服务器。
  2. 创建新的 Workspace 身份提供程序。
    1. 单击身份和访问管理选项卡,然后单击身份提供程序选项卡。
    2. 单击添加身份提供程序并选择创建 Workspace IDP
    3. 输入新身份提供程序的信息。
      选项 描述
      身份提供程序名称 为身份提供程序输入一个名称。
      用户 选择要为其启用证书身份验证的目录。
      注: 此功能不支持使用本地目录。
      连接器
      1. 添加连接器下拉列表中选择嵌入式连接器。嵌入式连接器的主机名与服务的主机名相同。
      2. 取消选中绑定到 AD 复选框。
      3. 单击添加连接器
      重要事项: 请不要选择 绑定到 AD 选项。
      网络 选择可从中访问身份提供程序的网络范围。
    4. 单击添加
  3. 为嵌入式连接器设置端口。
    1. 单击身份和访问管理选项卡,然后单击设置
    2. 在“连接器”页面中,单击为嵌入式连接器创建的新 Workspace 身份提供程序。
    3. IdP 主机名文本框中,将值从主机名更改为主机名:端口,其中端口是在步骤 1 中为证书身份验证配置的自定义端口。
    4. 单击保存
  4. 在嵌入式连接器上启用 CertificateAuthAdapter。
    1. 单击设置
    2. 在“连接器”页面中,找到嵌入式连接器。
      嵌入式连接器的主机名与服务的主机名相同。
    3. 在嵌入式连接器所在的行中,单击工作线程列中的链接。
      每个工作线程都与一个目录相关联。如果列出了多个工作线程,请单击要为其启用证书身份验证的目录所对应的工作线程链接。
    4. 单击身份验证适配器选项卡。
    5. 单击 CertificateAuthAdapter
    6. 配置并启用该适配器。有关信息,请参阅《VMware Identity Manager 管理》
    7. 单击保存
  5. 确认“身份提供程序”页面显示了证书身份验证方法。
    1. 单击管理,然后单击身份提供程序选项卡。
    2. 确认您创建的新身份提供程序对应的身份验证方法列中显示了证书身份验证
  6. 根据需要配置用于使用证书身份验证方法的策略。
    1. 单击管理,然后单击身份提供程序选项卡。
    2. 单击要编辑的策略。
    3. 根据需要配置用于使用证书身份验证方法的策略规则。
    有关创建策略的详细信息,请参阅 《VMware Identity Manager 管理》