Puede establecer una federación de SAML entre vRealize Automation Directories Management y los sistemas que utilicen SSO2 para admitir el Single Sign-On.

Antes de empezar

  • Configure tenants para su implementación de vRealize Automation. Consulte Crear tenants adicionales.

  • Establezca un vínculo de Active Directory adecuado que admita la autenticación básica con identificador de usuario y contraseña de Active Directory.

  • Inicie sesión en la consola de vRealize Automation como administrador de tenants.

Por qué y cuándo se efectúa esta tarea

Establezca una federación entre Directories Management y SSO2 creando una conexión de SAML entre las dos partes. Actualmente, el único flujo compatible de un extremo a otro se produce cuando SSO2 actúa como proveedor de identidades (IdP) y Directories Management actúa como proveedor de servicios (SP).

En la autenticación de usuario de SSO2, la misma cuenta debe existir tanto en Directories Management como en SSO2. Como mínimo, el valor de UserPrincipalName (UPN) del usuario tiene que coincidir en ambos extremos. Otros atributos pueden diferir ya que son necesarios para identificar el asunto de SAML.

Para usuarios locales en SSO2, como admin@vsphere.local, las cuentas correspondientes también deben existir en Directories Management (donde coincide al menos el UPN del usuario). Cree esas cuentas de forma manual o mediante un script con las API de creación de usuario local de Directories Management.

La configuración de SAML entre SSO2 y Directories Management requiere configurar los componentes de Administración de directorios y SSO.

Tabla 1. Configuración del componente de federación de SAML

Componente

Configuración

Administración de directorios

Configure SSO2 como proveedor de identidades externo en Directories Management y actualice la política de autenticación predeterminada. Puede crear un script automatizado para configurar Directories Management.

Componente de SSO2

Configure Directories Management como proveedor de servicios importando el archivo sp.xml de Directories Management. Este archivo le permite configurar SSO2 para que use Directories Management como proveedor de servicios (SP).

Procedimiento

  1. Descargue los metadatos del proveedor de identidades de SSO2 a través de la interfaz de usuario de SSO2.
    1. Inicie sesión en vCenter como administrador en https://<cloudvm-hostname>/.
    2. Haga clic en el vínculo para iniciar sesión en vSphere Web Client.
    3. En el panel de navegación izquierdo, seleccione Administración > Single Sign On > Configuración.
    4. Haga clic en Descargar junto a los metadatos para su encabezado del proveedor de servicios de SAML.

      Debería comenzar la descarga del archivo vsphere.local.xml.

    5. Copie el contenido del archivo vsphere.local.xml.
  2. En la página de proveedores de identidades de administración de directorios de vRealize Automation, cree un nuevo proveedor de identidades.
    1. Inicie sesión en vRealize Automation como administrador de tenants.
    2. Seleccione Administración > Administración de directorios > Proveedores de identidades.
    3. Haga clic en Añadir proveedor de identidades y proporcione la información de configuración.

      Opción

      Acción

      Nombre del proveedor de identidades

      Escriba el nombre del nuevo proveedor de identidades.

      Cuadro de texto Metadatos del proveedor de identidades (URI o XML)

      Pegue el contenido del archivo de metadatos idp.xml de SSO2 en el cuadro de texto y haga clic en Procesar metadatos de IDP.

      Política de ID de nombres en la solicitud SAML (opcional)

      Escriba http://schemas.xmlsoap.org/claims/UPN.

      Usuarios

      Seleccione los dominios para los que desea que los usuarios tengan privilegios de acceso.

      Red

      Seleccione los rangos de redes a los que desea que los usuarios tengan privilegios de acceso.

      Si desea autenticar usuarios desde una dirección IP, seleccione Todos los rangos.

      Métodos de autenticación

      Escriba un nombre para el método de autenticación. A continuación, use el menú desplegable Contexto de SAML que se encuentra a la derecha para asignar el método de autenticación a urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

      Certificado de firma de SAML

      Haga clic en el vínculo que hay junto al encabezado de metadatos de SAML para descargar los metadatos de administración de directorios.

    4. Guarde el archivo de metadatos de administración de directorios con el nombre sp.xml.
    5. Haga clic en Agregar.
  3. Actualice la política de autenticación pertinente usando la página de políticas de administración de directorios para redirigirla al proveedor de identidades de SSO2 externo.
    1. Seleccione Administración > Administración de directorios > Políticas.
    2. Haga clic en el nombre de la política predeterminada.
    3. Haga clic en el método de autenticación que se encuentra bajo el encabezado Reglas de política para editar la regla de autenticación existente.
    4. En la página Editar una regla de política, cambie el método de autenticación de contraseña al método adecuado.

      En este caso, el método debe ser SSO2.

    5. Haga clic en Guardar para guardar las actualizaciones de la política.
  4. En el panel de navegación izquierdo, seleccione Administración > Single Sign-On > Configuración y haga clic en Actualizar para cargar el archivo sp.xml en vSphere.