Sie können die Systemsicherheit einer grundlegenden vRealize Automation Active Directory-Verbindung verbessern, indem Sie eine bidirektionale Vertrauensstellung zwischen Ihrem Identitätsanbieter und den Active Directory-Verbunddiensten konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Um eine bidirektionale Vertrauensstellung zwischen vRealize Automation und Active Directory zu konfigurieren, müssen Sie einen benutzerdefinierten Identitätsanbieter erstellen und diesem die Active Directory-Metadaten hinzufügen. Außerdem müssen Sie die von Ihrer vRealize Automation-Bereitstellung verwendete Standardrichtlinie ändern. Schließlich müssen Sie Active Directory so konfigurieren, dass Ihr Identitätsanbieter erkannt wird.

Voraussetzungen

  • Stellen Sie sicher, dass Sie Mandanten für Ihre vRealize Automation-Bereitstellung konfiguriert haben, um einen entsprechenden Active Directory-Link einzurichten, um eine grundlegende Benutzer-ID- und Kennwortauthentifizierung von Active Directory zu unterstützen.

  • Active Directory ist für die Verwendung in Ihrem Netzwerk installiert und konfiguriert.

  • Besorgen Sie sich die Metadaten der Active Directory-Verbunddienste (ADFS).

  • Melden Sie sich an der vRealize Automation-Konsole als Mandantenadministrator an.

Prozedur

  1. Besorgen Sie sich die Datei mit den Federation-Metadaten.

    Sie können diese Datei über https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml herunterladen.

  2. Suchen Sie nach der Wort-Abmeldung und bearbeiten Sie den Speicherort für jede Instanz, um auf https://servername.domain/adfs/ls/logout.aspx zu verweisen.

    Beispielsweise die Folgende:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    Muss folgendermaßen geändert werden:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Erstellen Sie einen neuen Identitätsanbieter für Ihre Bereitstellung.
    1. Wählen Sie Administration > Verzeichnisverwaltung > Identitätsanbieter aus.
    2. Klicken Sie auf Identitätsanbieter hinzufügen und füllen Sie die Felder entsprechend aus.

      Option

      Beschreibung

      Name des Identitätsanbieters

      Einen Namen für den neuen Identitätsanbieter eingeben

      Metadaten des Identitätsanbieters (URI oder XML)

      Fügen Sie die Inhalte der Metadatendatei der Active Directory-Verbunddienste hier ein.

      Richtlinien für Namen-ID in SAML-Anforderung (optional)

      Geben Sie bei Bedarf einen Namen für die SAML-Anforderung der Identitätsrichtlinien ein.

      Benutzer

      Wählen Sie die Domains aus, auf die Benutzer Zugriff haben sollen.

      IDP-Metadaten verarbeiten

      Klicken Sie, um die hinzugefügte Metadatendatei zu verarbeiten.

      Netzwerk

      Wählen Sie die Netzwerkbereiche aus, auf die Benutzer Zugriff haben sollen.

      Authentifizierungsmethoden

      Geben Sie einen Namen für die Authentifizierungsmethode ein, die von diesem Identitätsanbieter verwendet wird.

      SAML-Kontext

      Wählen Sie für das System den entsprechenden Kontext aus.

      SAML-Signaturzertifikat

      Klicken Sie auf den Link neben der SAML-Metadatenüberschrift, um die Metadaten der Verzeichnisverwaltung herunterzuladen.

    3. Speichern Sie die Datei mit den Metadaten der Verzeichnisverwaltung als sp.xml.
    4. Klicken Sie auf Hinzufügen.
  4. Fügen Sie der Standardrichtlinie eine Regel hinzu.
    1. Wählen Sie Administration > Verzeichnisverwaltung > Richtlinien aus.
    2. Klicken Sie auf den Namen der Standardrichtlinie.
    3. Klicken Sie auf das „+“-Symbol unter der Überschrift Richtlinienregeln, um eine neue Regel hinzuzufügen.

      Erstellen Sie mithilfe der Felder auf der Seite „Richtlinienregel hinzufügen“ eine Regel, die die für einen bestimmten Netzwerkbereich und ein bestimmtes Netzwerkgerät jeweils zu verwendende primäre und sekundäre Authentifizierungsmethode festlegt.

      Wenn beispielsweise Ihr Netzwerkbereich Mein Computer ist und Sie auf Inhalte über Alle Gerätetypen zugreifen müssen, dann müssen Sie sich in einer normalen Bereitstellung unter Verwendung der folgenden Methode authentifizieren: ADFS-Benutzername und Kennwort.

    4. Klicken Sie auf Speichern, um Ihre Richtlinienaktualisierungen zu speichern.
    5. Ziehen Sie die neue Regel auf der Seite „Standardrichtlinie“ in den oberen Bereich der Tabelle, damit diese Vorrang vor anderen vorhandenen Regeln hat.
  5. Richten Sie mit der Verwaltungskonsole der Active Directory-Verbunddienste oder einem anderen geeigneten Tool eine Vertrauensstellung für vertrauende Seiten mithilfe des vRealize Automation-Identitätsanbieters ein.

    Um diese Vertrauensstellung einzurichten, müssen Sie die zuvor heruntergeladenen Metadaten der Verzeichnisverwaltung importieren. Weitere Informationen zum Konfigurieren von Active Directory-Verbunddiensten für bidirektionale Vertrauensstellungen finden Sie in der Dokumentation zu Microsoft Active Directory. Im Rahmen dieses Vorgangs sind folgende Schritte auszuführen:

    • Richten Sie eine Vertrauensstellung für vertrauende Seiten ein. Beim Einrichten dieser Vertrauensstellung müssen Sie die zuvor kopierte und gespeicherte XML-Datei mit den Metadaten des Dienstanbieters für VMware Identity Provider importieren.

    • Erstellen Sie eine Beanspruchungsregel, die die aus LDAP abgerufen Attribute in der „Attribute abrufen“-Regel in das gewünschte SAML-Format umwandeln. Nachdem Sie die Regel erstellt haben, bearbeiten Sie die Regel, indem Sie den folgenden Text hinzufügen:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");