Habilitar la autenticación de certificados de VMware Identity Manager en una implementación local requiere configurar el acceso directo a SSL en el equilibrador de carga. En un escenario de implementación de DMZ, donde se implementa el servicio de VMware Identity Manager en DMZ y el conector de VMware Identity Manager se implementa en la red interna, si no desea permitir el acceso entrante al conector, puede habilitar la autenticación de certificados en el conector integrado en el servicio de VMware Identity Manager.

En este escenario, use el conector integrado solo para la autenticación de certificados. Use el conector externo para los demás métodos de autenticación.

Para usar el conector integrado para la autenticación de certificados, cree un nuevo proveedor de identidades de área de trabajo para el directorio, asócielo con el conector integrado y habilite el adaptador de autenticación de certificados en el conector integrado. A continuación, configure las directivas para utilizar el método de autenticación de certificados. También se pueden establecer las directivas por aplicación.

También debe configurar un puerto de acceso directo a SSL para la autenticación de certificado para que el protocolo de enlace SSL se encuentre entre el usuario final y el conector integrado. Establezca el puerto y cargue el certificado SSL para este en las páginas Configuración de dispositivos y habilite la autenticación del acceso directo a SSL para el puerto en el equilibrador de carga.

Otro tráfico sigue usando el puerto 443.

Nota:

Esta función no es compatible con los directorios locales. Además, esta función se aplica solo a las implementaciones de DMZ locales, no a otros escenarios de instalación.

Requisitos de implementación

  • En el equilibrador de carga al frente del dispositivo del servicio VMware Identity Manager, habilite el acceso directo a SSL en el puerto que configure como el puerto de acceso directo a SSL para la autenticación de certificados. El puerto predeterminado es 7443.

    El puerto debe estar en el rango 1024-65535 y no puede ser 8443, que es el puerto de administración.

  • Compruebe que el puerto esté abierto en el firewall o el equilibrador de carga.

Requisitos previos

Para el puerto de acceso directo a SSL en el servidor de VMware Identity Manager, obtenga un certificado SSL firmado de una entidad de certificación pública. El nombre de host en el certificado debe coincidir con el nombre de host del equilibrador de carga. El certificado también debe ser de confianza para el usuario final.

Procedimiento

  1. Configure el puerto de acceso directo a SSL para la autenticación de certificados.
    1. En la consola de administración, haga clic en la pestaña Configuración de dispositivos.
    2. Haga clic en Administrar configuración e introduzca la contraseña del usuario administrador.
    3. En el panel izquierdo, haga clic en Instalar certificados de SSL y seleccione la pestaña Certificado de acceso directo.
    4. Proporcione la información requerida.

      Opción

      Descripción

      Puerto

      Introduzca el puerto que desea utilizar como el puerto de acceso directo a SSL para la autenticación de certificados. El puerto predeterminado es 7443.

      El puerto debe estar en el rango 1024-65535 y no puede ser 8443, que es el puerto de administración.

      Nota:

      El puerto está disponible solo si se agrega un certificado.

      Cadena de certificados SSL

      Copie y pegue el certificado SSL. Incluya la cadena de certificados completa en el siguiente orden:

      Certificado del servidor

      Certificado intermedio

      Certificado raíz

      Para cada certificado, copie todo lo que haya entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----, incluso estas líneas.

      Los certificados deben estar en formato PEM.

      Clave privada

      Copia y pega la clave privada.

    5. Haga clic en Agregar.

      Se reinicia el servidor.

  2. Cree un nuevo proveedor de identidades de área de trabajo.
    1. Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestaña Proveedores de identidades.
    2. Haga clic en Agregar proveedor de identidades y seleccione Crear IDP de Workspace.
    3. Introduzca la información del nuevo proveedor de identidades.

      Opción

      Descripción

      Nombre del proveedor de identidades

      Escriba un nombre para el proveedor de identidades.

      Usuarios

      Seleccione el directorio para el que desee habilitar autenticación de certificados.

      Nota:

      Esta función no es compatible con los directorios locales.

      Conector(es)

      1. En el menú desplegable Agregar un conector, seleccione el conector integrado. El conector integrado tiene el mismo nombre de host que el servicio.

      2. Desactive la casilla de verificación Enlazar a AD.

      3. Haga clic en Agregar conector.

      Importante:

      No seleccione la opción Enlazar a AD.

      Red

      Seleccione los rangos de redes desde los que se puede acceder al proveedor de identidades.

    4. Haga clic en Agregar.
  3. Establezca el puerto para el conector integrado.
    1. Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Configuración.
    2. En la página de conectores, haga clic en el nuevo proveedor de identidades de área de trabajo que se ha creado para el conector integrado.
    3. En el cuadro de texto Nombre de host de IdP, cambie el valor de hostname a hostname:port, donde port es el puerto personalizado configurado para la autenticación de certificados en el paso 1.
    4. Haga clic en Guardar.
  4. Habilite CertificateAuthAdapter en el conector integrado.
    1. Haga clic en Configurar.
    2. En la página de conectores, busque el conector integrado.

      El conector integrado tiene el mismo nombre de host que el servicio.

    3. En la fila del conector integrado, haga clic en el vínculo de la columna Trabajo.

      Cada trabajo está asociado a un directorio. Si hay varios trabajos enumerados, haga clic en el vínculo de trabajo del directorio para el que desee habilitar autenticación de certificados.

    4. Haga clic en la pestaña Adaptadores de autenticación.
    5. Haga clic en CertificateAuthAdapter.
    6. Configure y habilite al adaptador. Para obtener más información, consulte Administración de VMware Identity Manager.
    7. Haga clic en Guardar.
  5. Compruebe que la página Proveedores de identidades muestra el método de autenticación de certificados.
    1. Haga clic en Administrar y, a continuación, haga clic en la pestaña Proveedores de identidades.
    2. Compruebe que Autenticación de certificados aparece en la columna Métodos de autenticación del nuevo proveedor de identidades que ha creado.
  6. Configure directivas para utilizar el método de autenticación de certificados según sea necesario.
    1. Haga clic en Administrar y, a continuación, haga clic en la pestaña Proveedores de identidades.
    2. Haga clic en la directiva que desee editar.
    3. Configure reglas de directiva para utilizar el método de autenticación de certificados según sea necesario.

    Para obtener más información sobre cómo crear directivas, consulte Administración de VMware Identity Manager.