È possibile migliorare la sicurezza di sistema di una connessione Active Directory vRealize Automation di base configurando una relazione di trust bidirezionale tra il provider di identità e Active Directory Federated Services.

Prima di iniziare

  • Verificare che siano stati configurati i tenant per la distribuzione vRealize Automation e un collegamento Active Directory appropriato per supportare l'autenticazione ID utente e password di base di Active Directory.

  • Active Directory è installato e configurato per l'uso nella rete esistente.

  • Ottenere i metadati ADFS (Active Directory Federated Services) appropriati.

  • Accedere alla console vRealize Automation come amministratore tenant.

Informazioni su questa attività

Per configurare una relazione di trust bidirezionale tra vRealize Automation e Active Directory, è necessario creare una provider di identità personalizzato e aggiungere metadati di Active Directory a questo provider. Inoltre è necessari omodificare il criterio predefinito utilizzato dalla distribuzione di vRealize Automation. Infine è necessario configurare Active Directory per riconoscere il provider di identità.

Procedura

  1. Ottenere il file Federation Metadata.

    È possibile scaricare questo file da https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml

  2. Cercare la parola logout e modificare la posizione di tutte le istanze che puntano a https://servername.domain/adfs/ls/logout.aspx

    Ad esempio, la seguente:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    Deve essere cambiata in:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Creare un nuovo provider di identità per la distribuzione.
    1. Selezionare Amministrazione > Gestione directory > Provider di identità.
    2. Fare clic su Aggiungi provider di identità e completare i campi come appropriato.

      Opzione

      Descrizione

      Nome del provider di identità

      Immettere il nome del nuovo provider di identità.

      Metadati del provider di identità (URI o XML)

      Incollare il contenuto del file di metadati di Active Directory Federated Services qui.

      Nome del criterio ID nome nella richiesta SAML (facoltativo)

      Se appropriato, immettere un nome per la richiesta SAML del criterio di identità.

      Utenti

      Selezionare i domini per i quali si desidera assegnare privilegi di accesso agli utenti

      Metadati IDP processo

      Fare clic per elaborare il file di metadati aggiunto.clic

      Rete

      Selezionare gli intervalli di rete ai quali si desidera che gli utenti accedano.

      Metodi di autenticazione

      Immettere un nome per il metodo di autenticazione usato dal provider di identità.

      Contesto SAML

      Selezionare il contesto appropriato per il sistema.

      Certificato della firma SAML

      Fare clic sul collegamento accanto all'intestazione Metadati SAML per scaricare i metadati di Gestione directory.

    3. Salvare il file dei metadati di Gestione directory come sp.xml.
    4. Fare clic su Aggiungi.
  4. Aggiungere un ruolo al criterio predefinito.
    1. Selezionare Amministrazione > Gestione directory > Criteri.
    2. Fare clic sul nome del criterio predefinito.
    3. Fare clic sull'icona + sotto l'intestazione Regole criterio per aggiungere una nuova regola.

      Utilizzare i campi della pagina Aggiungi regola criterio per creare una regola che specifichi i metodi di autenticazione primario e secondario appropriati da utilizzare per un intervallo di rete e un dispositivo specifici.

      Ad esempio, se l'intervallo di rete dell'utente è "Mie macchine" e l'utente ha necessità di accedere ai contenuti provenienti da "Tutti i tipi di dispositivi", per una distribuzione tipica l'utente dovrà autenticarsi con il metodo seguente: Nome utente e password ADFS.

    4. Fare clic su Salva per salvare gli aggiornamenti al criterio.
    5. Nella pagina Criterio predefinito, trascinare la nuova regola all'inizio della tabella, così da porla in precedenza rispetto alle altre regole esistenti.
  5. Utilizzando la console di gestione di Active Directory Federated Services, o un altro strumento appropriato, impostare una relazione di trust relying party con il provider di identità di vRealize Automation.

    Per impostare questa relazione di trust, è necessario importare i metadati di Gestione directory precedentemente scaricati. Consultare la documentazione di Microsoft Active Directory per ulteriori informazioni sulla configurazione di ADFS (Active Directory Federated Services) per le relazioni di trust bidirezionali. Come parte del processo, è necessario eseguire le operazioni seguenti:

    • Impostare una relazione di trust relying party. Nell'impostazione di questa relazione di trust, è necessario importare il file XML dei metadati del provider di servizi del provider di identità di VMware copiato e salvato.

    • Creare una regola attestazioni che trasforma gli attributi recuperati da LDAP nella regola Ottieni attributi nel formato SAML desiderato. Dopo aver creato la regola sarà necessario modificarla aggiungendo il seguente testo:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");