La gestion d'identités fédérées permet d'accepter des identités et des attributs électroniques dans le domaine et de les utiliser pour accéder à des ressources dans d'autres domaines. Vous pouvez activer la gestion d'identités fédérées entre vRealize Automation, vRealize Operations Manager et vSphere Web Client en utilisant vCenter Single Sign-On et VMware Identity Manager.

Les environnements d'identités fédérées divisent les utilisateurs en catégories nommées personas en fonction de leur mode d'interaction avec les systèmes d'identités fédérées. Les utilisateurs utilisent les systèmes pour recevoir des services. Les administrateurs configurent et gèrent la fédération entre systèmes. Les développeurs créent et étendent les services consommés par les utilisateurs. Le tableau suivant décrit les avantages de la gestion d'identités fédérées dont bénéficient ces personas.

Tableau 1. Avantage pour les personas
Types d'utilisateurs Avantage des identités fédérées
Utilisateurs
  • Authentification unique pratique pour plusieurs applications
  • Moins de mots de passe à gérer
  • Sécurité améliorée
Administrateurs
  • Plus de contrôle sur les droits d'accès aux applications
  • Authentification basée sur le contexte et sur la stratégie
Développeurs
  • Intégration simple
  • Avantages de l'architecture mutualisée, de la gestion des utilisateurs et des groupes, de l'authentification extensible et de l'autorisation déléguée avec peu d'effort

Vous pouvez configurer une fédération entre VMware Identity Manager et vCenter Single Sign-On en créant une connexion SAML entre les deux parties. vCenter Single Sign-On agit comme le fournisseur d'identités et VMware Identity Manager comme le fournisseur de services. Un fournisseur d'identités fournit une identité électronique. Un fournisseur de services attribue l'accès à des ressources après évaluation et acceptation de l'identité électronique.

Pour que les utilisateurs puissent être authentifiés par vCenter Single Sign-On, le même compte doit exister dans VMware Identity Manager et dans vCenter Single Sign-On. Au minimum, le nom d'utilisateur principal doit correspondre aux deux extrémités. D'autres attributs peuvent différer, car ils ne sont pas utilisés pour identifier l'objet SAML.

Pour les utilisateurs locaux de vCenter Single Sign-On, comme admin@vsphere.local, des comptes correspondants doivent être créés dans VMware Identity Manager où le nom d'utilisateur principal au moins est identique. Les comptes correspondants doivent être créés manuellement ou à l'aide d'un script en utilisant les API de création d'utilisateurs locaux de VMware Identity Manager.

La configuration de SAML entre SSO2 et vIDM implique les tâches suivantes.

  1. Importer le jeton SAML de vCenter Single Sign-On vers VMware Identity Manager avant de mettre à jour l'authentification par défaut de VMware Identity Manager.
  2. Dans VMware Identity Manager, configurez vCenter Single Sign-On en tant que fournisseur d'identité tiers sur VMware Identity Manager et mettez à jour l'authentification par défaut de VMware Identity Manager.
  3. Sur vCenter Single Sign-On, configurez VMware Identity Manager en tant que fournisseur de services en important le fichier VMware Identity Managersp.xml.

Reportez-vous à la documentation de produit suivante :