Sie können einen Verbund zwischen vRealize Automation Directories Management und Systemen herstellen, die SSO2 verwenden.

Vorbereitungen

  • Sie haben Mandanten für Ihre vRealize Automation-Bereitstellung konfiguriert und einen geeigneten Active Directory-Link zur Unterstützung der Standardauthentifizierung von Active Directory-Benutzer-ID und -Kennwort eingerichtet.

  • Active Directory ist für die Verwendung in Ihrem Netzwerk installiert und konfiguriert.

  • Besorgen Sie sich die Metadaten der Active Directory-Verbunddienste (ADFS).

  • Melden Sie sich an der vRealize Automation-Konsole als Mandantenadministrator an.

Warum und wann dieser Vorgang ausgeführt wird

Stellen Sie einen Verbund zwischen Directories Management und SSO2 her, indem Sie eine SAML-Verbindung zwischen den beiden Seiten erstellen. Der einzige gegenwärtig unterstützte End-to-End-Flow ist jener, in dem SSO2 als Identitätsanbieter (Idp) und Directories Management als Dienstanbieter (SP) fungiert.

Damit Benutzer durch SSO2 authentifiziert werden können, muss dasselbe Konto sowohl in Directories Management als auch in SSO2 vorhanden sein. Mindestens der UserPrinicpalName (UPN) des Benutzers muss mit beiden Enden übereinstimmen. Andere Attribute können abweichen, da sie zur Identifizierung des SAML-Objekts benötigt werden.

Für lokale Benutzer in SSO2, wie beispielsweise admin@vsphere.local, müssen auch in Directories Management entsprechende Konten erstellt werden (wobei mindestens der UPN des Benutzers übereinstimmen muss). Gegenwärtig muss dies manuell ausgeführt werden, oder mittels eines Skripts unter Verwendung der Directories Management-APIs zur Erstellung lokaler Benutzer.

Das Einrichten von SAML zwischen SSO2 und Directories Management erfordert auch eine Konfiguration der Verzeichnisverwaltungs- und SSO-Komponenten.

Tabelle 1. Komponentenkonfiguration für SAML-Verbund

Komponente

Konfiguration

Verzeichnisverwaltung

Konfigurieren Sie SSO2 als einen externen Identitätsanbieter in Directories Management und aktualisieren Sie die Standardauthentifizierungsrichtlinie. Sie können ein automatisiertes Skript zum Einrichten von Directories Management erstellen.

SSO2-Komponente

Konfigurieren Sie Directories Management als einen Dienstanbieter, indem Sie die sp.xml-Datei von Directories Management importieren. Diese Datei ermöglicht es Ihnen, SSO2 so zu konfigurieren, dass Directories Management als der Dienstanbieter (SP) verwendet wird.

Prozedur

  1. Laden Sie die SSO2-Identitätsanbieter-Metadaten über die SSO2-Benutzeroberfläche herunter.
    1. Melden Sie sich bei vCenter als Administrator unter https://<cloudvm-hostnamte>/ an.
    2. Klicken Sie auf den Link „Bei vSphere Web Client anmelden“.
    3. Wählen Sie im linken Navigationsfenster Administration > Single Sign On > Konfiguration aus.
    4. Klicken Sie neben den Metadaten für Ihre SAML-Dienstanbieter-Überschrift auf Download.

      Der Download der vsphere.local.xml-Datei sollte beginnen.

    5. Kopieren Sie den Inhalt der vsphere.local.xml-Datei.
  2. Verwenden Sie die Seite für die Identitätsanbieter des vRealize Automation-Verwaltungsdiensts, um einen neuen Identitätsanbieter zu erstellen.
    1. Melden Sie sich bei vRealize Automation als Mandantenadministrator an.
    2. Wählen Sie Administration > Verzeichnisverwaltung > Identitätsanbieter aus.
    3. Klicken Sie auf Identitätsanbieter hinzufügen.
    4. Geben Sie im Textfeld Name des Identitätsanbieters einen Namen für den neuen Identitätsanbieter ein.
    5. Fügen Sie den Inhalt Ihrer SSO2-idp.xml-Metadatendatei im Textfeld Metadaten des Identitätsanbieters (URI oder XML) ein.
    6. Klicken Sie auf IDP-Metadaten verarbeiten.
    7. Geben Sie Folgendes im Textfeld Name ID Policy in SAML Request (Optional) ein.

      http://schemas.xmlsoap.org/claims/UPN

    8. Wählen Sie im Textfeld Benutzer die Domänen aus, über die die Benutzer Zugriffsrechte haben sollen.
    9. Wählen Sie im Textfeld Netzwerk die Netzwerkbereiche aus, über die die Benutzer Zugriffsrechte für diesen Identitätsanbieter haben sollen.

      Wenn Sie Benutzer über IP-Adressen authentifizieren möchten, wählen Sie Alle Bereiche aus.

    10. Geben Sie im Textfeld Authentifizierungsmethoden einen Namen für die Authentifizierungsmethode ein.
    11. Verwenden Sie das Dropdown-Menü SAML-Kontext rechts neben dem Textfeld Authentifizierungsmethoden, um die Authentifizierungsmethode zu urn:oasis:names:tc:SAML:2.0:ac:classes:Password zuzuordnen.
    12. Klicken Sie auf den Link neben der Überschrift der SAML-Metadaten unter dem Textfeld SAML-Signierungszertifikat, um die Metadaten der Verzeichnisverwaltung herunterzuladen.
    13. Speichern Sie die Datei mit den Metadaten der Verzeichnisverwaltung als sp.xml.
    14. Klicken Sie auf Hinzufügen.
  3. Aktualisieren Sie auf der Seite mit den Richtlinien für die Verzeichnisverwaltung die entsprechende Authentifizierungsrichtlinie so, dass eine Umleitung zum externen SSO2-Identitätsanbieter erfolgt.
    1. Wählen Sie Administration > Verzeichnisverwaltung > Richtlinien aus.
    2. Klicken Sie auf den Namen der Standardrichtlinie.
    3. Klicken Sie unter der Überschrift Richtlinienregeln auf „Authentifizierungsmethode“, um die vorhandene Authentifizierungsregel zu bearbeiten.

      Ändern Sie mithilfe der Felder auf der Seite „Richtlinie bearbeiten“ die Authentifizierungsmethode und wählen Sie die anstelle der Kennwortmethode gewünschte Methode. In diesem Fall sollte die Methode SSO2 sein.

    4. Klicken Sie auf Speichern, um Ihre Richtlinienaktualisierungen zu speichern.
  4. Wählen Sie im linken Navigationsfenster Administration > Single Sign On > Konfiguration aus und klicken Sie auf Aktualisieren, um die Datei sp.xml auf vSphere hochzuladen.