Para establecer la confianza mutua requerida para la autenticación de tarjeta inteligente, es necesario generar metadatos SAML en el dispositivo de Unified Access Gateway e intercambiarlos con el servidor.
El lenguaje de marcado para confirmaciones de seguridad (Security Assertion Markup Language, SAML) es un estándar basado en XML que se utiliza para describir e intercambiar información de autenticación y autorización entre distintos dominios de seguridad. SAML transmite información sobre los usuarios entre proveedores de identidades y de servicios en documentos XML llamados aserciones SAML. En este caso, Unified Access Gateway es el proveedor de identidades y el servidor es el proveedor de servicios.
Requisitos previos
- Configure el reloj (UTC) en el dispositivo de Unified Access Gateway para que tenga la hora correcta. Por ejemplo, abra una ventana de la consola en la máquina virtual de Unified Access Gateway y seleccione la zona horaria correcta con la ayuda de los botones de flecha. Compruebe también que el nombre del host ESXi esté sincronizado con un servidor NTP y que VMware Tools, que se está ejecutando en la máquina virtual del dispositivo, sincronice la hora de la máquina virtual con la hora del host ESXi.
Importante: Si el reloj del dispositivo de Unified Access Gateway no coincide con el del host del servidor, es posible que la autenticación de tarjeta inteligente no funcione.
- Obtenga un certificado de firma que se pueda utilizar para firmar los metadatos de Unified Access Gateway.
Nota: VMware recomienda crear y utilizar un certificado de firma SAML si hay más de un dispositivo de Unified Access Gateway en la configuración. En este caso, se deben configurar todos los dispositivos con el mismo certificado de firma, para que el servidor pueda aceptar aserciones de cualquiera de los dispositivos de Unified Access Gateway. Con un certificado de firma SAML específico, los metadatos SAML de todos los dispositivos serán los mismos.
- Si aún no lo ha hecho, convierta el certificado de firma SAML en archivos en formato PEM, y convierta los archivos .pem a formato de una línea. Consulte Convertir archivos de certificado al formato PEM de una línea.
Procedimiento
- En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
- En la sección Configuración avanzada, haga clic en el icono de engranaje de Configuración de SAML.
- Haga clic en la sección Configuración del proveedor de identidades SAML.
- Seleccione Proporcionar certificado.
- Para agregar el archivo de clave privada, haga clic en Seleccionar y desplácese hasta el archivo de clave privada del certificado.
- Para agregar el archivo de cadena de certificados, haga clic en Seleccionar y desplácese hasta el archivo de cadena de certificados.
- Haga clic en Guardar.
- En el cuadro de texto Nombre de host, introduzca el nombre de host y descargue la configuración del proveedor de identidades.
- (Opcional) Active la opción Habilitar emisor basado en host para utilizar el valor que proporcionó en Nombre de host en el paso 8 como el host emisor en los metadatos de IDP descargados. Si desactiva esta opción, se utiliza como host emisor el valor predeterminado de AP.LOCAL.