要支持单点登录,您可以在 vRealize Automation Directories Management与使用 SSO2 的系统之间建立 SAML 联合。

关于此任务

通过在Directories Management与 SSO2 之间创建 SAML 连接,可在双方之间建立联合。目前,唯一受支持的端到端流是 SSO2 充当身份提供程序 (IdP),Directories Management 充当服务提供程序 (SP)。

对于 SSO2 用户身份验证,Directories Management 和 SSO2 中必须存在相同的帐户。最起码,用户的 UserPrincipalName (UPN) 必须在两端匹配。其他属性可以不同,因为需要使用它们来标识 SAML 主题。

对于 SSO2 中的本地用户(例如,admin@vsphere.local),也必须在 Directories Management 中存在对应帐户,其中至少用户的 UPN 匹配。手动或利用采用 Directories Management 本地用户创建 API 的脚本创建这些帐户。

在 SSO2 与Directories Management之间设置 SAML 时,包括在身份目录管理和 SSO 组件上进行配置。

表 1. SAML 联合组件配置

组件

配置

身份目录管理

Directories Management上将 SSO2 配置为第三方身份提供程序,并更新默认身份验证策略。您可以创建自动化脚本以设置Directories Management

SSO2 组件

通过导入 Directories Management sp.xml 文件将 Directories Management 配置为服务提供程序。此文件使您能够将 SSO2 配置为使用Directories Management作为服务提供程序 (SP)。

先决条件

  • 为您的 vRealize Automation 部署配置租户。请参见创建其他租户

  • 设置相应的 Active Directory 链接,以支持基本的 Active Directory 用户 ID 和密码身份验证。

  • 租户管理员身份登录到 vRealize Automation 控制台。

过程

  1. 通过 SSO2 用户界面下载 SSO2 身份提供程序元数据。
    1. 以管理员身份登录到 vCenter,网址:https://<cloudvm-hostname>/
    2. 单击登录到 vSphere Web Client 链接。
    3. 在左侧导航窗格中,选择管理 > 单点登录 > 配置
    4. 单击与 SAML 服务提供程序标题的元数据相邻的下载

      vsphere.local.xml 文件应当会开始下载。

    5. 复制 vsphere.local.xml 文件的内容。
  2. vRealize Automation 身份目录管理标识提供程序页面,创建新的身份提供程序。
    1. 租户管理员身份登录到 vRealize Automation
    2. 选择管理 > 身份目录管理 > 身份提供程序
    3. 单击添加身份提供程序,并提供配置信息。

      选项

      操作

      身份提供程序名称

      为新身份提供程序输入一个名称。

      身份提供程序元数据(URI 或 XML)文本框

      将 SSO2 idp.xml 元数据文件的内容粘贴到文本框中,然后单击处理 IDP 元数据

      SAML 请求中的名称 ID 策略(可选)

      输入 http://schemas.xmlsoap.org/claims/UPN.

      用户

      选择您希望用户有权访问的域。

      网络

      选择您希望用户有权访问的网络范围。

      如果要通过 IP 地址对用户进行身份验证,请选择所有范围

      身份验证方法

      为身份验证方法输入一个名称。然后,使用右侧的 SAML 上下文下拉菜单将身份验证方法映射到 urn:oasis:names:tc:SAML:2.0:ac:classes:Password

      SAML 签名证书

      单击 SAML 元数据标题旁的链接,下载身份目录管理元数据。

    4. 将身份目录管理元数据文件另存为 sp.xml
    5. 单击添加
  3. 使用“身份目录管理策略”页面更新相关身份验证策略,以将身份验证重定向到第三方 SSO2 身份提供程序。
    1. 选择管理 > 身份目录管理 > 策略
    2. 单击默认策略名称。
    3. 单击策略规则标题下的身份验证方法,以编辑现有的身份验证规则。
    4. 在“编辑策略规则”页面上,将密码中的身份验证方法更改为适当的方法。

      在这种情况下,该方法应为 SSO2。

    5. 单击保存保存策略更新。
  4. 在左侧导航窗格中,选择管理 > 单点登录 > 配置,然后单击更新,将 sp.xml 文件上载到 vSphere