要支持单点登录,您可以在 vRealize Automation Directories Management与使用 SSO2 的系统之间建立 SAML 联合。

开始之前

  • 为您的 vRealize Automation 部署配置租户。请参见创建其他租户

  • 设置相应的 Active Directory 链接,以支持基本的 Active Directory 用户 ID 和密码身份验证。

  • 租户管理员身份登录到 vRealize Automation 控制台。

关于此任务

通过在Directories Management与 SSO2 之间创建 SAML 连接,可在双方之间建立联合。目前,唯一受支持的端到端流是 SSO2 充当身份提供程序 (IdP),Directories Management 充当服务提供程序 (SP)。

对于 SSO2 用户身份验证,Directories Management 和 SSO2 中必须存在相同的帐户。最起码,用户的 UserPrincipalName (UPN) 必须在两端匹配。其他属性可以不同,因为需要使用它们来标识 SAML 主题。

对于 SSO2 中的本地用户(例如,admin@vsphere.local),也必须在 Directories Management 中存在对应帐户,其中至少用户的 UPN 匹配。手动或利用采用 Directories Management 本地用户创建 API 的脚本创建这些帐户。

在 SSO2 与Directories Management之间设置 SAML 时,包括在身份目录管理和 SSO 组件上进行配置。

表 1. SAML 联合组件配置

组件

配置

身份目录管理

Directories Management上将 SSO2 配置为第三方身份提供程序,并更新默认身份验证策略。您可以创建自动化脚本以设置Directories Management

SSO2 组件

通过导入 Directories Management sp.xml 文件将 Directories Management 配置为服务提供程序。此文件使您能够将 SSO2 配置为使用Directories Management作为服务提供程序 (SP)。

过程

  1. 通过 SSO2 用户界面下载 SSO2 身份提供程序元数据。
    1. 以管理员身份登录到 vCenter,网址:https://<cloudvm-hostname>/
    2. 单击登录到 vSphere Web Client 链接。
    3. 在左侧导航窗格中,选择管理 > 单点登录 > 配置
    4. 单击与 SAML 服务提供程序标题的元数据相邻的下载

      vsphere.local.xml 文件应当会开始下载。

    5. 复制 vsphere.local.xml 文件的内容。
  2. vRealize Automation 身份目录管理标识提供程序页面,创建新的身份提供程序。
    1. 租户管理员身份登录到 vRealize Automation
    2. 选择管理 > 身份目录管理 > 身份提供程序
    3. 单击添加身份提供程序,并提供配置信息。

      选项

      操作

      身份提供程序名称

      为新身份提供程序输入一个名称。

      身份提供程序元数据(URI 或 XML)文本框

      将 SSO2 idp.xml 元数据文件的内容粘贴到文本框中,然后单击处理 IDP 元数据

      SAML 请求中的名称 ID 策略(可选)

      输入 http://schemas.xmlsoap.org/claims/UPN.

      用户

      选择您希望用户有权访问的域。

      网络

      选择您希望用户有权访问的网络范围。

      如果要通过 IP 地址对用户进行身份验证,请选择所有范围

      身份验证方法

      为身份验证方法输入一个名称。然后,使用右侧的 SAML 上下文下拉菜单将身份验证方法映射到 urn:oasis:names:tc:SAML:2.0:ac:classes:Password

      SAML 签名证书

      单击 SAML 元数据标题旁的链接,下载身份目录管理元数据。

    4. 将身份目录管理元数据文件另存为 sp.xml
    5. 单击添加
  3. 使用“身份目录管理策略”页面更新相关身份验证策略,以将身份验证重定向到第三方 SSO2 身份提供程序。
    1. 选择管理 > 身份目录管理 > 策略
    2. 单击默认策略名称。
    3. 单击策略规则标题下的身份验证方法,以编辑现有的身份验证规则。
    4. 在“编辑策略规则”页面上,将密码中的身份验证方法更改为适当的方法。

      在这种情况下,该方法应为 SSO2。

    5. 单击保存保存策略更新。
  4. 在左侧导航窗格中,选择管理 > 单点登录 > 配置,然后单击更新,将 sp.xml 文件上载到 vSphere