您可以通过配置身份提供程序与 Active Directory 联合服务之间的双向信任关系,增强基础 vRealize Automation Active Directory 连接的系统安全性。

开始之前

  • 确认您已为 vRealize Automation 部署配置租户,且已设置适当的 Active Directory 链接,可以支持基本的 Active Directory 用户 ID 和密码身份验证。

  • 已安装并配置 Active Directory 供网络上使用。

  • 获取相应的 Active Directory 联合服务 (ADFS) 元数据。

  • 租户管理员身份登录到 vRealize Automation 控制台。

关于此任务

要在 vRealize Automation 与 Active Directory 之间配置双向信任关系,必须创建自定义身份提供程序并向其添加 Active Directory 元数据。此外,还必须修改 vRealize Automation 部署使用的默认策略。最后,必须配置 Active Directory 以识别身份提供程序。

过程

  1. 获取联合元数据文件。

    您可以从 https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml 下载此文件

  2. 搜索 logout 一词,然后将每个实例的位置编辑为指向 https://servername.domain/adfs/ls/logout.aspx

    例如,以下位置:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    应更改为:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. 为部署创建新的身份提供程序。
    1. 选择管理 > 身份目录管理 > 身份提供程序
    2. 单击添加身份提供程序并根据需要填写字段。

      选项

      描述

      身份提供程序名称

      为新身份提供程序输入一个名称

      身份提供程序元数据(URI 或 XML)

      在此处粘贴 Active Directory 联合服务元数据文件的内容。

      SAML 请求中的名称 ID 策略(可选)

      如果需要,请为身份策略 SAML 请求输入一个名称。

      用户

      选择您希望用户有权访问的域。

      处理 IDP 元数据

      单击以处理您添加的元数据文件。

      网络

      选择您希望用户有权访问的网络范围。

      身份验证方法

      为此身份提供程序使用的身份验证方法输入一个名称。

      SAML 上下文

      为您的系统选择合适的上下文。

      SAML 签名证书

      单击 SAML 元数据标题旁的链接,下载目录管理元数据。

    3. 将身份目录管理元数据文件另存为 sp.xml
    4. 单击添加
  4. 将规则添加到默认策略中。
    1. 选择管理 > 身份目录管理 > 策略
    2. 单击默认策略名称。
    3. 单击策略规则标题下的 + 图标,以添加新规则。

      使用“添加策略规则”页面上的字段创建一个规则,该规则将指定用于特定网络范围和设备的相应主要和辅助身份验证方法。

      例如,如果用户的网络范围是“我的电脑”,且用户需要访问“所有设备类型”中的内容,则对于典型部署,该用户必须使用以下方法进行身份验证:ADFS 用户名和密码

    4. 单击保存以保存策略更新。
    5. 在“默认策略”页面上,将新规则拖动到表的顶部,使其优先于现有规则。
  5. 通过使用 Active Directory 联合服务管理控制台或其他适当工具,与 vRealize Automation 身份提供程序建立依赖方信任关系。

    要建立此信任,必须导入以前下载的身份目录管理元数据。有关为双向信任关系配置 Active Directory 联合服务的详细信息,请参见 Microsoft Active Directory 文档。在此过程中,您必须执行以下操作:

    • 建立依赖方信任。建立此信任时,必须导入您已复制和保存的 VMware 身份提供程序的服务提供程序的元数据 XML 文件。

    • 创建声明规则,将在“获取属性”规则中从 LDAP 检索到的属性转换为所需的 SAML 格式。创建规则之后,必须通过添加以下文本来编辑规则:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");