Sie müssen SAML-Metadaten in der Access Point-Appliance generieren und die Metadaten mit dem Server austauschen, um die erforderliche gegenseitige Vertrauensstellung für die Smartcard-Authentifizierung einzurichten.

Warum und wann dieser Vorgang ausgeführt wird

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard, der zur Beschreibung und zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen unterschiedlichen Sicherheitsdomänen verwendet wird. SAML überträgt Informationen zu Benutzern zwischen Identitätsanbietern und Dienstanbietern in XML-Dokumenten namens SAML-Zusicherungen. In diesem Szenario ist Access Point der Identitätsanbieter und der Server der Dienstanbieter.

Voraussetzungen

  • Konfigurieren Sie die Uhr (UTC) der Access Point-Appliance, damit diese über die korrekte Uhrzeit verfügt. Öffnen Sie z. B. ein Konsolenfenster auf der virtuellen Access Point-Maschine, und wählen Sie mit den Pfeilschaltflächen die erforderliche Zeitzone aus. Stellen Sie zudem sicher, dass die Uhrzeit des ESXi-Hosts mit einem NTP-Server synchronisiert ist. Prüfen Sie, ob die VMware Tools, die auf der virtuellen Appliance-Maschine ausgeführt werden, die Uhrzeit auf der virtuellen Maschine mit der Uhrzeit auf dem ESXi-Host synchronisieren.

    Wichtig:

    Wenn die Uhr der Access Point-Appliance nicht der Uhr auf dem Serverhost entspricht, kann die Smartcard-Authentifizierung eventuell nicht durchgeführt werden.

  • Verwenden Sie ein SAML-Signaturzertifikat für das Signieren der Access Point-Metadaten.

    Anmerkung:

    VMware empfiehlt die Erstellung und Verwendung eines spezifischen SAML-Signaturzertifikats, wenn in Ihrer Installation mehr als eine Access Point-Appliance vorhanden ist. In diesem Fall müssen alle Appliances mit demselben Signaturzertifikat konfiguriert werden, damit der Server Assertions von jeder Access Point-Appliance annehmen kann. Mit einem spezifischen SAML-Signaturzertifikat sind die SAML-Metadaten aller Appliances identisch.

  • Sofern noch nicht geschehen, konvertieren Sie das SAML-Signaturzertifikat in PEM-Dateien und die .pem-Dateien in ein einzeiliges Format. Siehe Konvertieren von Zertifikatdateien in das einzeilige PEM-Format.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die SAML-Identitätsanbietereinstellungen.
  3. Aktivieren Sie das Kontrollkästchen Zertifikat bereitstellen.
  4. Um die Datei des privaten Schlüssels hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach der Datei mit dem privaten Schlüssel für das Zertifikat.
  5. Um die Datei der Zertifikatkette hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach der Datei der Zertifikatkette.
  6. Klicken Sie auf Speichern.
  7. Geben Sie im Textfeld „Hostname“ den Hostnamen ein und laden Sie die Einstellungen des Identitätsanbieters herunter.