Zur Unterstützung der einmaligen Anmeldung können Sie einen SAML-Verbund zwischen vRealize Automation Directories Management und Systemen, die SSO2 nutzen, einrichten.

Vorbereitungen

  • Konfigurieren Sie Mandanten für Ihre vRealize Automation-Bereitstellung. Siehe Erstellen weiterer Mandanten.

  • Richten Sie eine entsprechende Active Directory-Verbindung ein, um die einfache Active Directory-Authentifizierung mit Benutzer-ID und Kennwort zu unterstützen.

  • Melden Sie sich an der vRealize Automation-Konsole als Mandantenadministrator an.

Warum und wann dieser Vorgang ausgeführt wird

Stellen Sie einen Verbund zwischen Directories Management und SSO2 her, indem Sie eine SAML-Verbindung zwischen den beiden Seiten erstellen. Der einzige gegenwärtig unterstützte End-to-End-Flow ist jener, in dem SSO2 als Identitätsanbieter (IdP) und Directories Management als Dienstanbieter (SP) fungiert.

Für die SSO2-Benutzerauthentifizierung muss dasselbe Konto sowohl in Directories Management als auch in SSO2 vorhanden sein. Mindestens der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers muss an beiden Enden übereinstimmen. Andere Attribute können abweichen, da sie zur Identifizierung des SAML-Objekts benötigt werden.

Für lokale Benutzer in SSO2, wie beispielsweise admin@vsphere.local, müssen auch in Directories Management entsprechende Konten vorhanden sein, wobei mindestens der UPN des Benutzers übereinstimmen muss. Erstellen Sie diese Konten manuell oder unter Verwendung eines Skripts mithilfe der APIs von Directories Management zum Erstellen lokaler Benutzer.

Das Einrichten von SAML zwischen SSO2 und Directories Management erfordert auch eine Konfiguration der Verzeichnisverwaltungs- und SSO-Komponenten.

Tabelle 1. Komponentenkonfiguration für SAML-Verbund

Komponente

Konfiguration

Verzeichnisverwaltung

Konfigurieren Sie SSO2 als einen externen Identitätsanbieter in Directories Management und aktualisieren Sie die Standardauthentifizierungsrichtlinie. Sie können ein automatisiertes Skript zum Einrichten von Directories Management erstellen.

SSO2-Komponente

Konfigurieren Sie Directories Management als einen Dienstanbieter, indem Sie die Directories Management-Datei sp.xml importieren. Diese Datei ermöglicht es Ihnen, SSO2 so zu konfigurieren, dass Directories Management als der Dienstanbieter (SP) verwendet wird.

Prozedur

  1. Laden Sie die SSO2-Identitätsanbieter-Metadaten über die SSO2-Benutzeroberfläche herunter.
    1. Melden Sie sich unter https://<cloudvm-hostname>/ als Administrator bei vCenter an.
    2. Klicken Sie auf den Link Bei vSphere Web Client anmelden.
    3. Wählen Sie im linken Navigationsfenster Administration > Single Sign On > Konfiguration aus.
    4. Klicken Sie neben den Metadaten für Ihre SAML-Dienstanbieter-Überschrift auf Download.

      Der Download der vsphere.local.xml-Datei sollte beginnen.

    5. Kopieren Sie den Inhalt der vsphere.local.xml-Datei.
  2. Erstellen Sie auf der Seite für die Identitätsanbieter der vRealize Automation-Verzeichnisverwaltung einen neuen Identitätsanbieter.
    1. Melden Sie sich bei vRealize Automation als Mandantenadministrator an.
    2. Wählen Sie Administration > Verzeichnisverwaltung > Identitätsanbieter aus.
    3. Klicken Sie auf Identitätsanbieter hinzufügen und geben Sie die Konfigurationsinformationen ein.

      Option

      Aktion

      Name des Identitätsanbieters

      Geben Sie einen Namen für den neuen Identitätsanbieter ein.

      Identitätsanbieter-Metadaten (URI oder XML) (Textfeld)

      Fügen Sie den Inhalt Ihrer SSO2-Metadatendatei idp.xml in das Textfeld ein und klicken Sie auf IDP-Metadaten verarbeiten.

      Richtlinien für Namen-ID in SAML-Anforderung (optional)

      Geben Sie http://schemas.xmlsoap.org/claims/UPN.

      Benutzer

      Wählen Sie die Domains aus, auf die Benutzer Zugriff haben sollen.

      Netzwerk

      Wählen Sie die Netzwerkbereiche aus, auf die Benutzer Zugriff haben sollen.

      Wenn Sie Benutzer über IP-Adressen authentifizieren möchten, wählen Sie Alle Bereiche aus.

      Authentifizierungsmethoden

      Geben Sie einen Namen für die Authentifizierungsmethode ein. Verwenden Sie dann das Dropdown-Menü SAML-Kontext auf der rechten Seite, um urn:oasis:names:tc:SAML:2.0:ac:classes:Password die Authentifizierungsmethode zuzuordnen.

      SAML-Signaturzertifikat

      Klicken Sie auf den Link neben der SAML-Metadatenüberschrift, um die Metadaten der Verzeichnisverwaltung herunterzuladen.

    4. Speichern Sie die Datei mit den Metadaten der Verzeichnisverwaltung als sp.xml.
    5. Klicken Sie auf Hinzufügen.
  3. Aktualisieren Sie auf der Seite mit den Richtlinien für die Verzeichnisverwaltung die entsprechende Authentifizierungsrichtlinie so, dass eine Umleitung zum externen SSO2-Identitätsanbieter erfolgt.
    1. Wählen Sie Administration > Verzeichnisverwaltung > Richtlinien aus.
    2. Klicken Sie auf den Namen der Standardrichtlinie.
    3. Klicken Sie unter der Überschrift Richtlinienregeln auf die Authentifizierungsmethode, um die vorhandene Authentifizierungsregel zu bearbeiten.
    4. Ändern Sie auf der Seite „Richtlinie bearbeiten“ die Authentifizierungsmethode und wählen Sie anstelle der Kennwortmethode die gewünschte Methode.

      In diesem Fall sollte die Methode SSO2 sein.

    5. Klicken Sie auf Speichern, um Ihre Richtlinienaktualisierungen zu speichern.
  4. Wählen Sie im linken Navigationsbereich Administration > Single Sign-On > Konfiguration aus und klicken Sie auf Aktualisieren, um die Datei sp.xml nach vSphere hochzuladen.