La administración de identidad federada permite que las identidades y los atributos electrónicos de un dominio se acepten y se usen para acceder a los recursos de otros dominios. Puede habilitar la administración de identidad federada entre vRealize Automation, vRealize Operations Manager y vSphere Web Client con vCenter Single Sign-On y VMware Identity Manager.

Los entornos de identidad federada dividen a los usuarios en categorías denominados roles en función de cómo interactúen con los sistemas de identidad federada. Los usuarios usan los sistemas para recibir servicios. Los administradores configuran y administran la federación entre los sistemas. Los desarrolladores crean y amplían los servicios consumidos por los usuarios. La siguiente tabla describe las ventajas de la administración de identidad federada que pueden utilizar estos roles.

Tabla 1. Ventajas para los roles
Tipos de usuarios Ventaja de la identidad federada
Usuarios
  • Cómodo inicio de sesión único para varias aplicaciones
  • Menos contraseñas que administrar
  • Seguridad mejorada
Administradores
  • Más control sobre las autorizaciones y el acceso a las aplicaciones
  • Autenticación basada en contextos y directivas
Desarrolladores
  • Integración sencilla
  • Ventajas de la administración de usuarios, grupos y varios tenants, autenticación extensible y autorización delegada con poco esfuerzo

Puede configurar la federación entre VMware Identity Manager y vCenter Single Sign-On creando una conexión de SAML entre las dos partes. vCenter Single Sign-On actúa como proveedor de identidad y VMware Identity Manager como proveedor de servicios. El proveedor de identidad proporciona una identidad electrónica. El proveedor de servicios concede acceso a los recursos después de evaluar y aceptar la identidad electrónica.

Para que los usuarios realicen la autenticación con vCenter Single Sign-On, debe existir la misma cuenta en VMware Identity Manager y vCenter Single Sign-On. Como mínimo, el valor userPrincipalName del usuario debe coincidir en los dos extremos. Los demás atributos pueden ser diferentes porque no se usan para identificar el firmante de SAML.

Para usuarios locales en vCenter Single Sign-On, como admin@vsphere.local, es necesario crear las cuentas correspondientes en VMware Identity Manager, donde coincide al menos el userPrincipalName del usuario. Las cuentas correspondientes deberán crearse de forma manual o con un script que use API de creación de usuarios locales de VMware Identity Manager.

La configuración de SAML entre SSO2 y vIDM requiere las siguientes tareas.

  1. Importe el token de SAML de vCenter Single Sign-On a VMware Identity Manager antes de actualizar la autenticación predeterminada de VMware Identity Manager.
  2. En VMware Identity Manager, configure vCenter Single Sign-On como proveedor de identidad de terceros en VMware Identity Manager y actualice la autenticación predeterminada de VMware Identity Manager.
  3. En vCenter Single Sign-On, configure VMware Identity Manager como proveedor de servicios importando el archivo VMware Identity Managersp.xml.

Consulte la siguiente documentación del producto: