Puede establecer una federación entre los sistemas vRealize Automation y Directories Management que usan SSO2.

Antes de empezar

  • Deberá haber configurado tenants para su implementación de vRealize Automation y un vínculo adecuado de Active Directory que admita la autenticación básica mediante ID de usuario y contraseña de Active Directory.

  • Active Directory deberá estar instalado y configurado para utilizarse en su red.

  • Obtenga los metadatos apropiados de los Servicios federados de Active Directory (ADFS).

  • Inicie sesión en la consola de vRealize Automation como administrador de tenants.

Por qué y cuándo se efectúa esta tarea

Establezca una federación entre Directories Management y SSO2 creando una conexión de SAML entre las dos partes. Actualmente, el único flujo compatible de un extremo a otro se produce cuando SSO2 actúa como proveedor de identidades (IDP) y Directories Management actúa como proveedor de servicios (SP).

Para autenticar usuarios mediante SSO2, es necesario que exista la misma cuenta en Directories Management y SSO2. Al menos el nombre de usuario principal (UPN) del usuario tiene que coincidir en ambos extremos. Otros atributos pueden diferir ya que son necesarios para identificar el asunto de SAML.

Para usuarios locales en SSO2, como admin@vsphere.local, es necesario crear las cuentas correspondientes también en Directories Management (donde coincide al menos el UPN del usuario). Por ahora, esto debe hacerse de forma manual o con un script que use API de creación de usuarios locales de Directories Management.

La configuración de SAML entre SSO2 y Directories Management requiere configurar los componentes de Administración de directorios y SSO.

Tabla 1. Configuración del componente de federación de SAML

Componente

Configuración

Administración de directorios

Configure SSO2 como proveedor de identidades externo en Directories Management y actualice la política de autenticación predeterminada. Puede crear un script automatizado para configurar Directories Management.

Componente de SSO2

Configure Directories Management como proveedor de servicio importando el archivo sp.xml de Directories Management. Este archivo le permite configurar SSO2 para que use Directories Management como proveedor de servicios (SP).

Procedimiento

  1. Descargue los metadatos del proveedor de identidades de SSO2 a través de la interfaz de usuario de SSO2.
    1. Inicie sesión en vCenter como administrador en https://<cloudvm-hostnamte>/.
    2. Haga clic en el vínculo para iniciar sesión en Sphere Web Client.
    3. En el panel de navegación izquierdo, seleccione Administración > Single Sign On > Configuración.
    4. Haga clic en Descargar junto a los metadatos para su encabezado del proveedor de servicios de SAML.

      Debería comenzar la descarga del archivo vsphere.local.xml.

    5. Copie el contenido del archivo vsphere.local.xml.
  2. Use la página de proveedores de identidad de administración de directorios de vRealize Automation para crear un nuevo proveedor de identidades.
    1. Inicie sesión en vRealize Automation como administrador de tenants.
    2. Seleccione Administración > Administración de directorios > Proveedores de identidades.
    3. Haga clic en Añadir proveedor de identidades.
    4. Escriba un nombre para el nuevo proveedor de identidades en el cuadro de texto Nombre de proveedor de identidades.
    5. Pegue el contenido del archivo de metadatos idp.xml de SSO2 en el cuadro de texto Metadatos del proveedor de identidades (URI o XML).
    6. Haga clic en Procesar metadatos de IDP.
    7. Introduzca lo siguiente en el cuadro de texto Política de ID de nombre en solicitud de SAML (Opcional).

      http://schemas.xmlsoap.org/claims/UPN

    8. Seleccione los dominios para los que desea que los usuarios tengan privilegios de acceso en el cuadro de texto Usuarios.
    9. Seleccione los rangos de redes desde los que desea que los usuarios tengan privilegios de acceso a este proveedor de identidades en el cuadro de texto Red.

      Si desea autenticar usuarios desde una dirección IP, seleccione Todos los rangos.

    10. Escriba un nombre para el método de autenticación en el cuadro de texto Métodos de autenticación.
    11. Use el menú desplegable Contexto de SAML a la derecha del cuadro de texto Métodos de autenticación para asignar el método de autenticación a urn:oasis:names:tc:SAML:2.0:ac:classes:Password.
    12. Haga clic en el vínculo que hay junto al encabezado de metadatos de SAML, bajo el cuadro de texto Certificado de firma de SAML, para descargar los metadatos de Administración de directorios.
    13. Guarde el archivo de metadatos de administración de directorios con el nombre sp.xml.
    14. Haga clic en Agregar.
  3. Actualice la política de autenticación pertinente usando la página de políticas de administración de directorios para redirigirla al proveedor de identidades de SSO2 externo.
    1. Seleccione Administración > Administración de directorios > Políticas.
    2. Haga clic en el nombre de la política predeterminada.
    3. Haga clic en el método de autenticación situado bajo el encabezado Reglas de política para editar la regla de autenticación existente.

      Use los campos de la página Editar una regla de política para cambiar el método de autenticación de contraseña al método adecuado. En este caso, el método debe ser SSO2.

    4. Haga clic en Guardar para guardar las actualizaciones de la política.
  4. En el panel de navegación izquierdo, seleccione Administración > Single Sign On > Configuración, y haga clic en Actualizar para cargar el archivo sp.xml en vSphere.