Vous devez générer des métadonnées SAML sur le dispositif Unified Access Gateway et échanger des métadonnées avec le serveur afin d'établir l'approbation mutuelle requise pour l'authentification par carte à puce.

Le langage SAML (Security Assertion Markup Language) est une norme XML utilisée pour décrire et échanger des informations d'authentification et d'autorisation entre différents domaines de sécurité. SAML transmet des informations sur les utilisateurs entre les fournisseurs d'identité et les fournisseurs de services dans des documents XML nommés assertions SAML. Dans ce scénario, Unified Access Gateway est le fournisseur d'identité et le serveur est le fournisseur de services.

Conditions préalables

  • Configurez l'horloge (UTC) sur le dispositif Unified Access Gateway pour qu'il soit à l'heure exacte. Par exemple, ouvrez une fenêtre de console sur la machine virtuelle Unified Access Gateway et utilisez les flèches pour sélectionner le bon fuseau horaire. De plus, vérifiez que l'heure de l'hôte ESXi est synchronisée avec un serveur NTP. Vérifiez que VMware Tools, qui est exécuté dans la machine virtuelle de dispositif, synchronise l'heure sur la machine virtuelle avec celle sur l'hôte ESXi.
    Important : Si l'heure sur le dispositif Unified Access Gateway ne correspond pas à l'heure sur l'hôte du serveur, il est possible que l'authentification par carte à puce ne fonctionne pas.
  • Obtenez un certificat de signature SAML que vous pouvez utiliser pour signer les métadonnées Unified Access Gateway.
    Note : VMware vous recommande de créer et d'utiliser un certificat de signature SAML spécifique lorsque vous avez plusieurs dispositifs Unified Access Gateway dans votre configuration. Dans ce cas, tous les dispositifs doivent être configurés avec le même certificat de signature pour que le serveur puisse accepter les assertions de n'importe quel dispositif Unified Access Gateway. Avec un certificat de signature SAML spécifique, les métadonnées SAML de tous les dispositifs sont identiques.
  • Si vous ne l'avez pas déjà fait, convertissez le certificat de signature SAML en fichiers au format PEM et convertissez les fichiers .pem au format sur une seule ligne. Reportez-vous à la section Convertir des fichiers de certificat au format PEM sur une ligne.

Procédure

  1. Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans la section Paramètres avancés, cliquez sur l'icône en forme d'engrenage Paramètres SAML.
  3. Cliquez sur la section Paramètres du fournisseur d'identité SAML.
  4. Sélectionnez Fournir un certificat.
  5. Pour ajouter le fichier de clé privée, cliquez sur Sélectionner et accédez au fichier de clé privée du certificat.
  6. Pour ajouter le fichier de chaîne de certificat, cliquez sur Sélectionner et accédez au fichier de chaîne de certificat.
  7. Cliquez sur Enregistrer.
  8. Dans la zone de texte Nom d'hôte, entrez le nom d'hôte.
  9. (Facultatif) Activez l'option Activer l'émetteur basé sur l'hôte pour utiliser le nom d'hôte que vous avez fourni à l'étape 8 en tant qu'hôte de l'émetteur dans les métadonnées IDP téléchargées. Si vous désactivez cette option, la valeur par défaut de AP.LOCAL est utilisée comme hôte de l'émetteur.
  10. Cliquez sur Télécharger pour générer les métadonnées des paramètres du fournisseur d'identité.
    Les métadonnées des paramètres du fournisseur d'identité sont fournies.

Que faire ensuite

Reportez-vous aux sections Création d'un authentificateur SAML utilisé par d'autres fournisseurs de services et Copier les métadonnées SAML du fournisseur de services.