可以在 vRealize Automation Directories Management与使用 SSO2 的系统之间建立联合。

开始之前

  • 您已为 vRealize Automation 部署配置租户,且已设置适当的 Active Directory 链接,可以支持基本的 Active Directory 用户 ID 和密码身份验证。

  • 已安装并配置 Active Directory 供网络上使用。

  • 获取相应的 Active Directory 联合服务 (ADFS) 元数据。

  • 租户管理员身份登录到 vRealize Automation 控制台。

关于此任务

通过在Directories Management与 SSO2 之间创建 SAML 连接,可在双方之间建立联合。目前,唯一支持的端到端流是 SSO2 充当身份提供程序 (Idp),Directories Management充当服务提供程序 (SP)。

如果要由 SSO2 对用户进行身份验证,则同一帐户必须同时位于Directories Management和 SSO2 中。至少用户的 UserPrinicpalName (UPN) 在两个端点上必须匹配。其他属性可以不同,因为需要使用它们来标识 SAML 主题。

对于 SSO2 中的本地用户(例如,admin@vsphere.local),也必须在Directories Management中创建对应帐户(至少用户的 UPN 匹配)。此操作暂时必须手动完成,或者由脚本使用Directories Management本地用户创建 API 完成。

在 SSO2 与Directories Management之间设置 SAML 时,包括在身份目录管理和 SSO 组件上进行配置。

表 1. SAML 联合组件配置

组件

配置

身份目录管理

Directories Management上将 SSO2 配置为第三方身份提供程序,并更新默认身份验证策略。您可以创建自动化脚本以设置Directories Management

SSO2 组件

通过导入Directories Management sp.xml 文件将Directories Management配置为服务提供程序。此文件使您能够将 SSO2 配置为使用Directories Management作为服务提供程序 (SP)。

过程

  1. 通过 SSO2 用户界面下载 SSO2 身份提供程序元数据。
    1. 以管理员身份登录 vCenter(位于 https://<cloudvm-hostnamte>/)。
    2. 单击“登录到 vSphere Web Client”链接
    3. 在左侧导航窗格中,选择管理 > 单点登录 > 配置
    4. 单击与 SAML 服务提供程序标题的元数据相邻的下载

      vsphere.local.xml 文件应当会开始下载。

    5. 复制 vsphere.local.xml 文件的内容。
  2. 使用 vRealize Automation 身份目录管理标识提供程序页面创建新的身份提供程序。
    1. 租户管理员身份登录到 vRealize Automation
    2. 选择管理 > 身份目录管理 > 身份提供程序
    3. 单击添加身份提供程序
    4. 身份提供程序名称文本框中,输入新身份提供程序的名称。
    5. 将 SSO2 idp.xml 元数据文件的内容粘贴到身份提供程序元数据 (URI 或 XML) 文本框中。
    6. 单击处理 IDP 元数据
    7. SAML 请求中的名称 ID 策略 (可选) 文本框中输入以下内容。

      http://schemas.xmlsoap.org/claims/UPN

    8. 用户文本框中,选择您希望用户具有访问特权的域。
    9. 网络文本框中,选择您希望用户对身份提供程序具有访问特权的网络范围。

      如果要通过 IP 地址对用户进行身份验证,请选择所有范围

    10. 身份验证方法文本框中,输入身份验证方法的名称。
    11. 使用身份验证方法文本框右侧的 SAML 上下文下拉菜单将身份验证方法映射到 urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    12. SAML 签名证书文本框下,单击“SAML 元数据”标题旁边的链接,以下载身份目录管理元数据。
    13. 将身份目录管理元数据文件另存为 sp.xml
    14. 单击添加
  3. 使用“身份目录管理策略”页面更新相关身份验证策略,以将身份验证重定向到第三方 SSO2 身份提供程序。
    1. 选择管理 > 身份目录管理 > 策略
    2. 单击默认策略名称。
    3. 单击策略规则标题下的身份验证方法,以编辑现有的身份验证规则。

      使用“编辑策略规则”页面上的字段,将密码中的身份验证方法更改为适当的方法。在这种情况下,该方法应为 SSO2。

    4. 单击保存保存策略更新。
  4. 在左侧导航窗格中,选择管理 > 单点登录 > 配置,然后单击更新,将 sp.xml 文件上载到 vSphere。