Sie müssen SAML-Metadaten in der Unified Access Gateway-Appliance generieren und die Metadaten mit dem Server austauschen, um die erforderliche gegenseitige Vertrauensstellung für die Smartcard-Authentifizierung einzurichten.
Warum und wann dieser Vorgang ausgeführt wird
Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard, der zur Beschreibung und zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen unterschiedlichen Sicherheitsdomänen verwendet wird. SAML überträgt Informationen zu Benutzern zwischen Identitätsanbietern und Dienstanbietern in XML-Dokumenten namens SAML-Zusicherungen. In diesem Szenario ist Unified Access Gateway der Identitätsanbieter und der Server der Dienstanbieter.
Voraussetzungen
Konfigurieren Sie die Uhr (UTC) der Unified Access Gateway-Appliance, damit diese über die korrekte Uhrzeit verfügt. Öffnen Sie z. B. ein Konsolenfenster auf der virtuellen Unified Access Gateway-Maschine, und wählen Sie mit den Pfeilschaltflächen die erforderliche Zeitzone aus. Stellen Sie zudem sicher, dass die Uhrzeit des ESXi-Hosts mit einem NTP-Server synchronisiert ist. Prüfen Sie, ob die VMware Tools, die auf der virtuellen Appliance-Maschine ausgeführt werden, die Uhrzeit auf der virtuellen Maschine mit der Uhrzeit auf dem ESXi-Host synchronisieren.
Wichtig:Wenn die Uhr der Unified Access Gateway-Appliance nicht der Uhr auf dem Serverhost entspricht, kann die Smartcard-Authentifizierung eventuell nicht durchgeführt werden.
Verwenden Sie ein SAML-Signaturzertifikat für das Signieren der Unified Access Gateway-Metadaten.
Anmerkung:VMware empfiehlt die Erstellung und Verwendung eines spezifischen SAML-Signaturzertifikats, wenn in Ihrer Installation mehr als eine Unified Access Gateway-Appliance vorhanden ist. In diesem Fall müssen alle Appliances mit demselben Signaturzertifikat konfiguriert werden, damit der Server Assertions von jeder Unified Access Gateway-Appliance annehmen kann. Mit einem spezifischen SAML-Signaturzertifikat sind die SAML-Metadaten aller Appliances identisch.
Sofern noch nicht geschehen, konvertieren Sie das SAML-Signaturzertifikat in PEM-Dateien und die .pem-Dateien in ein einzeiliges Format. Siehe Konvertieren von Zertifikatdateien in das einzeilige PEM-Format.
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die SAML-Identitätsanbietereinstellungen.
- Aktivieren Sie das Kontrollkästchen Zertifikat bereitstellen.
- Um die Datei des privaten Schlüssels hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach der Datei mit dem privaten Schlüssel für das Zertifikat.
- Um die Datei der Zertifikatkette hinzuzufügen, klicken Sie auf Auswählen und suchen Sie nach der Datei der Zertifikatkette.
- Klicken Sie auf Speichern.
- Geben Sie im Textfeld „Hostname“ den Hostnamen ein und laden Sie die Einstellungen des Identitätsanbieters herunter.