Configurazione dell'autenticazione del certificato per uno scenario di distribuzione DMZ

L'abilitazione dell'autenticazione del certificato per una distribuzione locale di VMware Identity Manager richiede l'impostazione del pass-through SSL nel programma di bilanciamento del carico. In uno scenario di distribuzione DMZ, dove il servizio VMware Identity Manager viene distribuito in DMZ e di VMware Identity Manager Connector viene distribuito nella rete interna, se si desidera impedire l'accesso in entrata al connettore, è possibile abilitare l'autenticazione del certificato nel connettore incorporato nel servizio VMware Identity Manager.

In questo scenario, utilizzare il connettore incorporato solo per l'autenticazione del certificato. Utilizzare il connettore esterno per tutti gli altri metodi di autenticazione.

Per utilizzare il connettore incorporato per l'autenticazione del certificato, creare un nuovo provider di identità Workspace per la directory, associarlo al connettore incorporato e abilitare l'adattatore di autenticazione del certificato nel connettore incorporato. È quindi possibile configurare i criteri per utilizzare il metodo di autenticazione del certificato. I criteri possono anche essere configurati per app.

È inoltre necessario configurare una porta di pass-through SSL per l'autenticazione del certificato in modo che l'handshake SSL venga eseguito tra l'utente finale e il connettore incorporato. Impostare la porta e caricare il certificato SSL per essa nelle pagine Impostazioni appliance e abilitare il pass-through SSL per la porta sul bilanciamento del carico.

Il resto del traffico continua a utilizzare la porta 443.

Nota:

Questa funzionalità non supporta le directory locali. Inoltre, questa funzionalità è applicabile solo per le distribuzioni DMZ locali e non è applicabile a qualsiasi altro scenario di installazione.

Requisiti di distribuzione

Sul bilanciamento del carico davanti all'appliance del servizio VMware Identity Manager, abilitare il pass-through SSL sulla porta configurata come porta di pass-through SSL per l'autenticazione del certificato. La porta predefinita è 7443.
La porta deve essere compresa nell'intervallo da 1024 a 65535 e non può essere 8443, ovvero la porta di amministrazione.
Verificare che la porta sia aperta sull'unità di bilanciamento del carico o sul firewall.

Prerequisiti

Per la porta di pass-through SSL sul server VMware Identity Manager, ottenere un certificato SSL firmato da un'autorità di certificazione pubblica. Il nome host del certificato deve corrispondere al nome host dell'unità di bilanciamento del carico. Il certificato deve essere attendibile anche per l'utente finale.

Procedura

Impostare la porta di pass-through SSL per l'autenticazione del certificato.

Nella console di amministrazione, selezionare la scheda Impostazioni dell'appliance.
Fare clic su Gestisci configurazione e inserire la password dell'utente amministratore.
Nel riquadro a sinistra, fare clic su Installa certificati SSL e selezionare la scheda Certificato PassThrough.

Immettere le informazioni richieste.

Opzione	Descrizione
Porta	Specificare la porta da utilizzare come porta di pass-through SSL per l'autenticazione del certificato. La porta predefinita è 7443. La porta deve essere compresa nell'intervallo da 1024 a 65535 e non può essere 8443, ovvero la porta di amministrazione. Nota: La porta è disponibile solo se viene aggiunto un certificato.
Catena di certificati SSL	Copiare e incollare il certificato SSL. Includere l'intera catena di certificati, nell'ordine seguente: Certificato server Certificato intermedio Certificato root Per ciascun certificato, copiare tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE----. Il formato dei certificati deve essere PEM.
Chiave privata	Copiare e incollare la chiave privata.

Opzione

Descrizione

Porta

Specificare la porta da utilizzare come porta di pass-through SSL per l'autenticazione del certificato. La porta predefinita è 7443.

La porta deve essere compresa nell'intervallo da 1024 a 65535 e non può essere 8443, ovvero la porta di amministrazione.

Nota:

La porta è disponibile solo se viene aggiunto un certificato.

Catena di certificati SSL

Copiare e incollare il certificato SSL. Includere l'intera catena di certificati, nell'ordine seguente:

Certificato server

Certificato intermedio

Certificato root

Per ciascun certificato, copiare tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE----.

Il formato dei certificati deve essere PEM.

Chiave privata

Copiare e incollare la chiave privata.

Fare clic su Aggiungi.

Il server viene riavviato.

Creare un nuovo provider di identità Workspace.

Selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità.
Fare clic su Aggiungi provider di identità e selezionare Crea IDP Workspace.

Immettere le informazioni del nuovo provider di identità.

Opzione	Descrizione
Nome del provider di identità	Immettere un nome per il provider di identità.
Utenti	Selezionare la directory per cui si desidera abilitare l'autenticazione del certificato. Nota: Questa funzionalità non supporta le directory locali.
Connettori	Dal menu a discesa Aggiungere un connettore, selezionare il connettore incorporato. Il nome host del connettore incorporato è uguale al nome host del servizio. Deselezionare la casella di controllo Esegui binding ad AD. Fare clic su Aggiungi connettore. Importante: Non selezionare l'opzione Esegui binding ad AD.
Rete	Selezionare gli intervalli di rete da cui è possibile accedere al provider di identità.

Fare clic su Aggiungi.

Impostare la porta per il connettore incorporato.
1. Fare clic sulla scheda Gestione identità e accessi e su Configura.
2. Nella pagina Connettori, fare clic sul nuovo provider di identità Workspace creato per il connettore incorporato.
3. Nella casella di testo Nome host IdP, modificare il valore dal nome host in nomehost:porta, dove porta è la porta personalizzata configurata per l'autenticazione del certificato al passaggio 1.
4. Fare clic su Salva.
Abilitare CertificateAuthAdapter nel connettore incorporato.
1. Fare clic su Configura.
2. Nella pagina Connettori, individuare il connettore incorporato.
  
  Il nome host del connettore incorporato è uguale al nome host del servizio.
3. Nella riga del connettore incorporato, fare clic sul collegamento nella colonna Worker.
  
  Ciascun worker è associato a una directory. Se sono elencati più worker, fare clic sul collegamento del worker per la directory per cui si desidera abilitare l'autenticazione del certificato.
4. Fare clic sulla scheda Adattatori autenticazione.
5. Fare clic su CertificateAuthAdapter.
6. Configurare e abilitare l'adattatore. Per informazioni, vedere Amministrazione di VMware Identity Manager.
7. Fare clic su Salva.
Verificare che nella pagina Provider di identità venga visualizzato il metodo di autenticazione del certificato.
1. Fare clic su Gestione e quindi sulla scheda Provider di identità.
2. Verificare che la voce Autenticazione del certificato sia presente nella colonna Metodi di autenticazione per il nuovo provider di identità che è stato creato.
Configurare i criteri per utilizzare il metodo di autenticazione del certificato in base alle proprie esigenze.
1. Fare clic su Gestione e quindi sulla scheda Provider di identità.
2. Fare clic sul criterio da modificare.
3. Configurare le regole dei criteri per utilizzare il metodo di autenticazione del certificato in base alle proprie esigenze.
Vedere Amministrazione di VMware Identity Manager per ulteriori informazioni sulla creazione dei criteri.