Puede mejorar la seguridad del sistema de una conexión de Active Directory de vRealize Automation básica mediante la configuración de una relación de confianza bidireccional entre el proveedor de identidades y los Servicios federados de Active Directory.

Por qué y cuándo se efectúa esta tarea

Para configurar una relación de confianza bidireccional entre vRealize Automation y Active Directory, debe crear un proveedor de identidades personalizado y añadirle a continuación los metadatos de Active Directory a dicho proveedor. Asimismo, deberá modificar la política predeterminada que utiliza su implementación de vRealize Automation. Por último, deberá configurar Active Directory para que reconozca a su proveedor de identidades.

Requisitos

  • Compruebe que ha configurado tenants para su implementación de vRealize Automation y un vínculo adecuado de Active Directory que admita la autenticación básica mediante ID de usuario y contraseña de Active Directory.

  • Active Directory deberá estar instalado y configurado para utilizarse en su red.

  • Obtenga los metadatos apropiados de los Servicios federados de Active Directory (ADFS).

  • Inicie sesión en la consola de vRealize Automation como administrador de tenants.

Procedimiento

  1. Obtenga el archivo de metadatos de federación.

    Puede descargar el archivo desde https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml.

  2. Busque la palabra "logout" y edite la ubicación de cada instancia para que señale a https://servername.domain/adfs/ls/logout.aspx.

    Por ejemplo, la siguiente:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    Deberá cambiarse por lo siguiente:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Cree un nuevo proveedor de identidades para su implementación.
    1. Seleccione Administración > Administración de directorios > Proveedores de identidades.
    2. Haga clic en Añadir proveedor de identidades y rellene los campos según corresponda.

      Opción

      Descripción

      Nombre de proveedor de identidades

      Escriba el nombre del nuevo proveedor de identidades.

      Metadatos del proveedor de identidades (URI o XML)

      Pegue ahí el contenido del archivo de metadatos de los Servicios federados de Active Directory.

      Política de ID de nombres en la solicitud SAML (opcional)

      Si corresponde, escriba el nombre de la solicitud SAML de la política de identidades.

      Usuarios

      Seleccione los dominios para los que desea que los usuarios tengan privilegios de acceso.

      Procesar metadatos de IDP

      Haga clic para procesar el archivo de metadatos que ha añadido.

      Red

      Seleccione los rangos de redes a los que desea que los usuarios tengan acceso.

      Métodos de autenticación

      Escriba un nombre para el método de autenticación utilizado por este proveedor de identidades.

      Contexto SAML

      Seleccione el contexto apropiado para el sistema.

      Certificado de firma de SAML

      Haga clic en el vínculo que hay junto al encabezado de metadatos de SAML para descargar los metadatos de administración de directorios.

    3. Guarde el archivo de metadatos de administración de directorios con el nombre sp.xml.
    4. Haga clic en Agregar.
  4. Añada una regla a la política predeterminada.
    1. Seleccione Administración > Administración de directorios > Políticas.
    2. Haga clic en el nombre de la política predeterminada.
    3. Haga clic en el icono + situado debajo del encabezado Reglas de políticas para añadir una nueva regla.

      Utilice los campos de la página Añadir una regla de política para crear una regla que especifique los métodos correspondientes de autenticación principal y secundario que se utilizarán para el rango de redes y el dispositivo en cuestión.

      Por ejemplo, si su rango de redes es Mi máquina y necesita acceder a contenido de Todos los tipos de dispositivos, en el caso de una implementación típica, deberá autenticarse con el siguiente método: Nombre de usuario y contraseña de ADFS.

    4. Haga clic en Guardar para guardar los cambios en la política.
    5. En la página Política predeterminada, arrastre la nueva regla hasta la parte superior de la tabla para que tenga prioridad ante las demás reglas existentes.
  5. Mediante la consola de administración de los Servicios federados de Active Directory u otra herramienta apropiada, configure una relación de confianza de receptor con el proveedor de identidades de vRealize Automation.

    Para configurar esta relación de confianza, deberá importar los metadatos de administración de directorios que descargó previamente. Consulte la documentación de Microsoft Active Directory para obtener más información sobre cómo configurar los Servicios federados de Active Directory para relaciones de confianza bidireccionales. Como parte de este proceso, debe hacer lo siguiente:

    • Configurar una relación de confianza de receptor. Cuando configure esta relación de confianza, deberá importar el archivo XML de metadatos del servicio de proveedor de identidades de VMware que había copiado y guardado.

    • Crear una regla de notificación que transforme los atributos recuperados de LDAP de la regla Obtener atributos en el formato deseado de SAML. Después de crear la regla, añada el siguiente texto para editar la regla:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");