Configuration de l'authentification par certificat pour un scénario de déploiement de zone DMZ

L'activation de l'authentification par certificat pour un déploiement sur site de VMware Identity Manager requiert la définition d'un relais SSL au niveau de l'équilibrage de charge. Dans un scénario de déploiement de zone DMZ, où le service VMware Identity Manager est déployé dans la zone DMZ et le VMware Identity Manager Connector est déployé dans le réseau interne, si vous ne souhaitez pas autoriser l'accès entrant vers le connecteur, vous pouvez activer l'authentification par certificat sur le connecteur intégré dans le service VMware Identity Manager.

Dans ce scénario, utilisez le connecteur intégré pour l'authentification par certificat uniquement. Utilisez le connecteur externe pour toutes les autres méthodes d'authentification.

Pour utiliser le connecteur intégré pour l'authentification par certificat, créez un fournisseur d'identité Workspace pour votre annuaire, associez-le au connecteur intégré et activez l'adaptateur d'authentification par certificat sur le connecteur intégré. Vous pouvez ensuite configurer vos stratégies pour utiliser la méthode d'authentification par certificat. Les stratégies peuvent également être définies par application.

Vous devez également configurer un port relais SSL pour l'authentification du certificat de sorte que la négociation SSL se fasse entre l'utilisateur final et le connecteur intégré. Vous définissez le port et téléchargez le certificat SSL pour ce port dans les pages Paramètres du dispositif, puis vous activez le relais SSL pour le port sur l'équilibrage de charge.

Le trafic restant continue d'utiliser le port 443.

Note : Cette fonctionnalité ne prend pas en charge les annuaires locaux. De plus, cette fonctionnalité n'est applicable que pour les déploiements de zone DMZ sur site et ne s'applique pas aux autres installations.

Exigences de déploiement

Sur l'équilibrage de charge devant le dispositif de service VMware Identity Manager, activez le relais SSL sur le port que vous configurez en tant que port relais SSL pour l'authentification du certificat. Le port par défaut est 7443.
Le port doit être dans la plage comprise entre 1024 et 65535 et doit être différent de 8443, qui est le port d'administration.
Vérifiez que le port est ouvert sur l'équilibrage de charge ou le pare-feu.

Conditions préalables

Pour le port relais SSL sur le serveur VMware Identity Manager, obtenez un certificat SSL signé auprès d'une autorité de certification publique. Le nom d'hôte sur le certificat doit correspondre au nom d'hôte de l'équilibrage de charge. Le certificat doit également être approuvé par l'utilisateur final.

Procédure

Définissez le port relais SSL pour l'authentification du certificat.

Dans la console d'administration, cliquez sur l'onglet Paramètres du dispositif
Cliquez sur Gérer la Configuration et entrez le mot de passe de l'administrateur.
Dans le volet de gauche, cliquez sur Installer des certificats SSL et sélectionnez l'onglet Certificat de relais.

Entrez les informations requises.

Option	Description
Port	Entrez le port que vous souhaitez utiliser comme port relais SSL pour l'authentification du certificat. Le port par défaut est 7443. Le port doit être dans la plage comprise entre 1024 et 65535 et doit être différent de 8443, qui est le port d'administration. Note : Le port est disponible uniquement si un certificat est ajouté.
Chaîne de certificat SSL	Copiez et collez le certificat SSL. Incluez la chaîne de certificats complète, dans l'ordre suivant : Certificat de serveur Certificat intermédiaire Certificat racine Pour chaque certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----, en incluant celles-ci. Les certificats doivent être au format PEM.
Clé privée	Copiez et collez la clé privée.

Option

Description

Port

Entrez le port que vous souhaitez utiliser comme port relais SSL pour l'authentification du certificat. Le port par défaut est 7443.

Le port doit être dans la plage comprise entre 1024 et 65535 et doit être différent de 8443, qui est le port d'administration.

Note : Le port est disponible uniquement si un certificat est ajouté.

Chaîne de certificat SSL

Copiez et collez le certificat SSL. Incluez la chaîne de certificats complète, dans l'ordre suivant :

Certificat de serveur

Certificat intermédiaire

Certificat racine

Pour chaque certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----, en incluant celles-ci.

Les certificats doivent être au format PEM.

Clé privée

Copiez et collez la clé privée.

Cliquez sur Ajouter.
Le serveur est redémarré.

Créez un fournisseur d'identité Workspace.

Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Fournisseurs d'identité.
Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP Workspace.

Entrez les informations du nouveau fournisseur d'identité.

Option	Description
Nom du fournisseur d'identité	Entrez un nom pour le fournisseur d'identité.
Utilisateurs	Sélectionnez l'annuaire pour lequel vous voulez activer l'authentification par certificat. Note : Cette fonctionnalité ne prend pas en charge les annuaires locaux.
Connecteur(s)	Dans le menu déroulant Ajouter un connecteur, sélectionnez le connecteur intégré. Le connecteur intégré a le même nom d'hôte que le service. Désactivez la case Lier à AD. Cliquez sur Ajouter un connecteur. Important : Ne sélectionnez pas l'option Lier à AD.
Réseau	Sélectionnez les plages réseau depuis lesquelles vous pouvez accéder au fournisseur d'identité.

Cliquez sur Ajouter.

Définir le port du connecteur intégré.
1. Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Configuration.
2. Sur la page Connecteurs, cliquez sur le nouveau fournisseur d'identité Workspace que vous avez créé pour le connecteur intégré.
3. Dans la zone de texte Nom d'hôte IdP, remplacez la valeur hostname par hostname:port, où port est le port personnalisé que vous avez configuré pour l'authentification du certificat à l'étape 1.
4. Cliquez sur Enregistrer.
Activez le CertificateAuthAdapter sur le connecteur intégré.
1. Cliquez sur Configuration.
2. Sur la page Connecteurs, recherchez le connecteur intégré.
  Le connecteur intégré a le même nom d'hôte que le service.
3. Dans la ligne du connecteur intégré, cliquez sur le lien dans la colonne Employé.
  Chaque employé est associé à un annuaire. Si plusieurs employés sont répertoriés, cliquez sur le lien de l'employé pour l'annuaire pour lequel vous voulez activer l'authentification par certificat.
4. Cliquez sur l'onglet Adaptateurs d'authentification.
5. Cliquez sur CertificateAuthAdapter.
6. Configurez et activez l'adaptateur. Pour plus d'informations, consultez Administration de VMware Identity Manager.
7. Cliquez sur Enregistrer.
Vérifiez que la page Fournisseurs d'identité affiche la méthode d'authentification par certificat.
1. Cliquez sur Gérer, puis sur l'onglet Fournisseurs d'identité.
2. Vérifiez que Authentification par certificat s'affiche dans la colonne Méthodes d'authentification pour le nouveau fournisseur d'identité que vous avez créé.
Configurez des stratégies pour utiliser la méthode d'authentification par certificat en fonction de vos besoins.
1. Cliquez sur Gérer, puis sur l'onglet Fournisseurs d'identité.
2. Cliquez sur la stratégie pour la modifier.
3. Configurez des règles de stratégie pour utiliser la méthode d'authentification par certificat en fonction des besoins.
Consultez Administration de VMware Identity Manager pour plus d'informations sur la création de stratégies.