Vous pouvez établir une fédération SAML entre vRealize Automation Directories Management et des systèmes qui utilisent SSO2 pour prendre en charge l’authentification unique.

Avant de commencer

  • Configurez des locataires pour votre déploiement vRealize Automation. Reportez-vous à Créer des locataires supplémentaires.

  • Configurez un lien Active Directory approprié pour prendre en charge l'authentification de base d'ID utilisateur et de mot de passe Active Directory.

  • Connectez-vous à la console de vRealize Automation en tant qu'administrateur de locataire.

Pourquoi et quand exécuter cette tâche

Établissez la fédération entre Directories Management et SSO2 en créant une connexion SAML entre les deux parties. Actuellement, le seul flux de bout en bout pris en charge est celui où SSO2 agit comme le fournisseur d'identité (IdP) et Directories Management comme le fournisseur de service (SP).

Pour l'authentification utilisateur SSO2, le même compte doit exister dans Directories Management et dans SSO2. Au minimum, l'UPN (UserPrincipalName) de l'utilisateur doit être identique sur les deux extrémités. Les autres attributs peuvent être différents, car ils sont nécessaires pour identifier le sujet SAML.

Pour les utilisateurs locaux de SSO2, comme admin@vsphere.local, des comptes correspondants doivent également exister dans Directories Management, où au moins l'UPN de l'utilisateur est identique. Créez ces comptes manuellement ou avec un script utilisant les API de création d'utilisateurs locaux Directories Management.

Configurer SAML entre SSO2 et Directories Management implique de le configurer sur les composants Directories Management et SSO.

Tableau 1. Configuration de composant de fédération SAML

Composant

Configuration

Gestion des annuaires

Configurez SSO2 en tant que fournisseur d'identité tiers sur Directories Management et mettez à jour la stratégie d'authentification par défaut. Vous pouvez créer un script automatisé permettant de configurer Directories Management.

Composant SSO2

Configurez Directories Management en tant que fournisseur de service en important le fichier Directories Management sp.xml. Ce fichier vous permet de configurer SSO2 pour utiliser Directories Management en tant que fournisseur de service.

Procédure

  1. Téléchargez les métadonnées du fournisseur d'identité SSO2 via l'interface utilisateur SSO2.
    1. Connectez-vous à vCenter en tant qu’administrateur à l’adresse https://<cloudvm-hostname>/ .
    2. Klik op de koppeling Aanmelden bij vSphere Web Client.
    3. Dans le volet de navigation gauche, sélectionnez Administration > Single Sign-On > Configuration.
    4. Cliquez sur l'option Télécharger en regard de l'en-tête Métadonnées pour votre fournisseur de service SAML.

      Le téléchargement du fichier vsphere.local.xml doit commencer.

    5. Copiez le contenu du fichier vsphere.local.xml.
  2. Sur la page Fournisseurs d'identité de gestion des annuaires de vRealize Automation, créez un nouveau fournisseur d'identité.
    1. Connectez-vous à vRealize Automation en tant qu'administrateur de locataire.
    2. Sélectionnez Administration > Directories Management > Fournisseurs d'identité.
    3. Cliquez sur Ajouter un fournisseur d'identité et entrez les informations de configuration.

      Option

      Action

      Nom du fournisseur d'identité

      Entrez un nom pour le nouveau fournisseur d'identité.

      Zone de texte Métadonnées du fournisseur d'identité (URI ou XML)

      Collez le contenu de votre fichier de métadonnées idp.xml SSO2 dans la zone de texte et cliquez sur Traiter les métadonnées IDP.

      Nommer la stratégie d'ID dans la demande SAML (facultatif)

      Entrez http://schemas.xmlsoap.org/claims/UPN.

      Utilisateurs

      Sélectionnez les domaines pour lesquels vous souhaitez que les utilisateurs disposent de privilèges d'accès.

      Réseau

      Sélectionnez les plages réseau pour lesquelles vous souhaitez que les utilisateurs disposent de privilèges d'accès.

      Si vous souhaitez authentifier les utilisateurs depuis une adresse IP, sélectionnez Toutes les plages.

      Méthodes d'authentification

      Entrez un nom pour la méthode d'authentification. Utilisez ensuite le menu déroulant Contexte SAML à droite pour mapper la méthode d'authentification sur urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

      Certificat de signature SAML

      Cliquez sur le lien à côté du titre des métadonnées SAML pour télécharger les métadonnées Gestion des répertoires.

    4. Enregistrez le fichier de métadonnées Directories Management sous le nom sp.xml.
    5. Cliquez sur Ajouter.
  3. Mettez à jour la stratégie d'authentification pertinente sur la page Stratégies Directories Management pour rediriger l'authentification vers le fournisseur d'identité SSO2 tiers.
    1. Sélectionnez Administration > Directories Management > Stratégies.
    2. Cliquez sur le nom de la stratégie par défaut.
    3. Cliquez sur la méthode d'authentification sous l'en-tête Règles de stratégie pour modifier la règle d'authentification existante.
    4. Sur la page Modifier une règle de stratégie, remplacez la méthode d'authentification à partir du mot de passe par une méthode appropriée.

      Dans ce cas, la méthode doit être SSO2.

    5. Cliquez sur Enregistrer pour enregistrer vos stratégies mises à jour.
  4. Dans le volet de navigation gauche, sélectionnez Administration > Single Sign-On > Configuration et cliquez sur Mettre à jour pour télécharger le fichier sp.xml dans vSphere.