Sie müssen SAML-Metadaten in der Unified Access Gateway-Appliance generieren und die Metadaten mit dem Server austauschen, um die erforderliche gegenseitige Vertrauensstellung für die Smartcard-Authentifizierung einzurichten.

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard, der zur Beschreibung und zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen unterschiedlichen Sicherheitsdomänen verwendet wird. SAML überträgt Informationen zu Benutzern zwischen Identitätsanbietern und Dienstanbietern in XML-Dokumenten namens SAML-Zusicherungen. In diesem Szenario ist Unified Access Gateway der Identitätsanbieter und der Server der Dienstanbieter.

Voraussetzungen

  • Konfigurieren Sie die Uhr (UTC) der Unified Access Gateway-Appliance, damit diese über die korrekte Uhrzeit verfügt. Öffnen Sie z. B. ein Konsolenfenster auf der virtuellen Unified Access Gateway-Maschine, und wählen Sie mit den Pfeilschaltflächen die erforderliche Zeitzone aus. Stellen Sie zudem sicher, dass die Uhrzeit des ESXi-Hosts mit einem NTP-Server synchronisiert ist. Prüfen Sie, ob die VMware Tools, die auf der virtuellen Appliance-Maschine ausgeführt werden, die Uhrzeit auf der virtuellen Maschine mit der Uhrzeit auf dem ESXi-Host synchronisieren.
    Wichtig: Wenn die Uhr der Unified Access Gateway-Appliance nicht der Uhr auf dem Serverhost entspricht, kann die Smartcard-Authentifizierung eventuell nicht durchgeführt werden.
  • Verwenden Sie ein SAML-Signaturzertifikat für das Signieren der Unified Access Gateway-Metadaten.
    Hinweis: VMware empfiehlt die Erstellung und Verwendung eines spezifischen SAML-Signaturzertifikats, wenn in Ihrer Installation mehr als eine Unified Access Gateway-Appliance vorhanden ist. In diesem Fall müssen alle Appliances mit demselben Signaturzertifikat konfiguriert werden, damit der Server Assertions von jeder Unified Access Gateway-Appliance annehmen kann. Mit einem spezifischen SAML-Signaturzertifikat sind die SAML-Metadaten aller Appliances identisch.
  • Sofern noch nicht geschehen, konvertieren Sie das SAML-Signaturzertifikat in PEM-Dateien und die .pem-Dateien in ein einzeiliges Format. Siehe Konvertieren von Zertifikatdateien in das einzeilige PEM-Format.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie im Bereich Erweiterte Einstellungen auf das Zahnradsymbol SAML-Einstellungen.
  3. Klicken Sie auf den Abschnitt Einstellungen für SAML-Identitätsanbieter.
  4. Wählen Sie Zertifikat bereitstellen aus.
  5. Um die Datei des privaten Schlüssels hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach der Datei mit dem privaten Schlüssel für das Zertifikat.
  6. Um die Datei der Zertifikatkette hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach der Datei der Zertifikatkette.
  7. Klicken Sie auf Speichern.
  8. Geben Sie im Textfeld Hostname den Hostnamen ein und laden Sie die Einstellungen des Identitätsanbieters herunter.
  9. (Optional) Aktivieren Sie die Umschaltoption Hostbasierten Aussteller aktivieren, um den Hostnamen zu verwenden, den Sie in Schritt 8 als Ausstellerhost in den heruntergeladenen IDP-Metadaten angegeben haben. Wenn Sie diese Umschaltoption deaktivieren, wird der Standardwert AP.LOCAL als Ausstellerhost verwendet.