Mithilfe des Identitätenverwaltungsverbunds können elektronische Identitäten und Attribute von einer Domäne für den Zugriff auf Ressourcen in anderen Domänen akzeptiert und verwendet werden. Unter Verwendung von vCenter Single Sign-On und VMware Identity Manager können Sie den Identitätenverwaltungsverbund zwischen vRealize Automation, vRealize Operations Manager und vSphere Web Client aktivieren.

In Umgebungen mit einem Identitätenverbund werden Benutzer in Kategorien aufgeteilt, die als Personae bezeichnet werden und darauf basieren, wie diese mit den Systemen des Identitätenverbunds interagieren. Benutzer verwenden die Systeme, um Dienste zu erhalten. Administratoren konfigurieren und verwalten den Verbund über Systeme hinweg. Entwickler erstellen und erweitern von Benutzern verwendete Dienste. In der folgenden Tabelle werden die Vorteile des Identitätenverwaltungsverbunds beschrieben, die den jeweiligen Personae zukommen.

Tabelle 1. Vorteile für Persona
Benutzertypen Vorteile des Identitätenverbunds
Benutzer
  • Komfortables Single Sign-On für mehrere Anwendungen
  • Weniger zu verwaltende Kennwörter
  • Erhöhte Sicherheit
Administratoren
  • Mehr Kontrolle über Anwendungsberechtigungen und -zugriff
  • Kontext- und richtlinienbasierte Authentifizierung
Entwickler
  • Einfache Integration
  • Vorteile der Mehrmandantenfähigkeit, Benutzer- und Gruppenverwaltung, erweiterbaren Authentifizierung und delegierten Authentifizierung mit geringem Aufwand

Sie können einen Verbund zwischen VMware Identity Manager und vCenter Single Sign-On einrichten, indem Sie eine SAML-Verbindung der beiden Parteien herstellen. vCenter Single Sign-On dient als Identitätsanbieter und VMware Identity Manager als Dienstanbieter. Ein Identitätsanbieter stellt eine elektronische Identität zur Verfügung. Ein Dienstanbieter gewährt nach der Evaluierung und Annahme der elektronischen Identität den Zugriff auf die Ressourcen.

Für durch vCenter Single Sign-On authentifizierte Benutzer muss dasselbe Konto in VMware Identity Manager und vCenter Single Sign-On vorhanden sein. Zumindest muss der userPrinicpalName des Benutzers auf beiden Enden übereinstimmen. Andere Attribute können variieren, da sie nicht für die Identifizierung des SAML-Subjekts verwendet werden.

Für lokale Benutzer in vCenter Single Sign-On, wie beispielsweise admin@vsphere.local, müssen in VMware Identity Manager entsprechende Konten erstellt werden (wobei mindestens der userPrinicpalName des Benutzers übereinstimmen muss). Die entsprechenden Konten müssen manuell erstellt werden, oder mittels eines Skripts unter Verwendung der VMware Identity Manager-APIs zur Erstellung lokaler Benutzer.

Das Einrichten von SAML zwischen SSO2 und vIDM umfasst die folgenden Aufgaben.

  1. Importieren Sie das SAML-Token von vCenter Single Sign-On in VMware Identity Manager, bevor Sie die VMware Identity Manager-Standardauthentifizierung aktualisieren.
  2. In VMware Identity Manager konfigurieren Sie vCenter Single Sign-On als Drittanbieter-Identitätsanbieter in VMware Identity Manager und aktualisieren die VMware Identity Manager-Standardauthentifizierung.
  3. In vCenter Single Sign-On konfigurieren Sie VMware Identity Manager als Dienstanbieter, indem Sie die VMware Identity Managersp.xml-Datei importieren.

Informationen finden Sie in der folgenden Produktinformation: