Vous pouvez améliorer la sécurité du système d'une connexion Active Directory vRealize Automation de base en configurant une relation de confiance bidirectionnelle entre votre fournisseur d'identité et Active Directory Federated Services.

Avant de commencer

  • Vérifiez que vous avez configuré des locataires pour votre déploiement de vRealize Automation et défini un lien Active Directory approprié pour prendre en charge l'authentification de base de l'ID et du mot de passe utilisateur Active Directory.

  • Active Directory est installé et configuré pour être utilisé sur votre réseau.

  • Obtenez les métadonnées Active Directory Federated Services (ADFS) appropriées.

  • Connectez-vous à la console de vRealize Automation en tant qu'administrateur de locataire.

Pourquoi et quand exécuter cette tâche

Pour configurer une relation de confiance bidirectionnelle entre vRealize Automation et Active Directory, vous devez créer un fournisseur d'identité personnalisé et ajouter des métadonnées Active Directory à ce fournisseur. Vous devez également modifier la stratégie par défaut utilisée par votre déploiement de vRealize Automation. Enfin, vous devez configurer Active Directory pour reconnaître votre fournisseur d'identité.

Procédure

  1. Obtenez le fichier de métadonnées de fédération.

    Vous pouvez télécharger ce fichier sur https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml

  2. Recherchez le mot « logout » et modifiez l'emplacement de chaque instance pour pointer vers https://servername.domain/adfs/ls/logout.aspx

    Par exemple, l'élément suivant :

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    Doit être remplacé par :

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Créez un nouveau fournisseur d'identité pour votre déploiement.
    1. Sélectionnez Administration > Directories Management > Fournisseurs d'identité.
    2. Cliquez sur Ajouter un fournisseur d'identité et remplissez les champs nécessaires.

      Option

      Description

      Nom du fournisseur d'identité

      Entrez un nom pour le nouveau fournisseur d'identité

      Métadonnées du fournisseur d'identité (URI ou XML)

      Collez ici le contenu de votre fichier de métadonnées d'Active Directory Federated Services.

      Nommer la stratégie d'ID dans la demande SAML (facultatif)

      Le cas échéant, entrez un nom pour la demande SAML de stratégie d'identité.

      Utilisateurs

      Sélectionnez les domaines pour lesquels vous souhaitez que les utilisateurs disposent de privilèges d'accès.

      Traiter les métadonnées IDP

      Cliquez pour traiter le fichier de métadonnées que vous avez ajouté.

      Réseau

      Sélectionnez les plages réseau auxquelles vous souhaitez que les utilisateurs aient accès.

      Méthodes d'authentification

      Entrez un nom pour la méthode d'authentification utilisée pour ce fournisseur d'identité.

      Contexte SAML

      Sélectionnez le contexte approprié à votre système.

      Certificat de signature SAML

      Cliquez sur le lien à côté du titre des métadonnées SAML pour télécharger les métadonnées Gestion des répertoires.

    3. Enregistrez le fichier de métadonnées Directories Management sous le nom sp.xml.
    4. Cliquez sur Ajouter.
  4. Ajoutez une règle à la stratégie par défaut.
    1. Sélectionnez Administration > Directories Management > Stratégies.
    2. Cliquez sur le nom de la stratégie par défaut.
    3. Cliquez sur l'icône + sous l'en-tête Règles de stratégie pour ajouter une nouvelle règle.

      Utilisez les champs de la page Ajouter une règle de stratégie pour créer une règle qui détermine les méthodes d'authentification primaire et secondaire à utiliser pour une plage réseau et un périphérique spécifiques.

      Par exemple, si la plage réseau de l'utilisateur est « Ma machine » et si l'utilisateur doit pouvoir accéder au contenu depuis « Tous les types de périphériques », alors cet utilisateur devra, dans le cas d'un déploiement type, s'authentifier en utilisant la méthode suivante : Nom d'utilisateur et mot de passe ADFS.

    4. Cliquez sur Enregistrer pour enregistrer vos stratégies mises à jour.
    5. Sur la page Stratégie par défaut, faites glisser la nouvelle règle vers le haut du tableau pour qu'elle soit prioritaire sur les règles existantes.
  5. À l'aide de la console de gestion Active Directory Federated Services, ou d'un autre outil approprié, définissez une relation de partie de confiance avec le fournisseur d'identité vRealize Automation.

    Pour configurer cette relation de confiance, vous devez importer les métadonnées Gestion des répertoires que vous avez précédemment téléchargées. Reportez-vous à la documentation Microsoft Active Directory pour obtenir des informations supplémentaires sur la configuration d'Active Directory Federated Services pour les relations de confiance bidirectionnelles. Dans le cadre de ce processus, vous pouvez également :

    • Définir une confiance tierce relais. Lorsque vous configurez cette confiance, vous devez importer le fichier XML de métadonnées du fournisseur de services du fournisseur d'identité VMware que vous avez copié et enregistré.

    • Créez une règle de réclamation qui transforme les attributs récupérés depuis LDAP en règle Obtenir des attributs dans le format SAML souhaité. Après avoir créé la règle, vous devez l'éditer en ajoutant le texte suivant :

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");