È possibile stabilire una federazione SAML tra vRealize Automation Directories Management e i sistemi che utilizzano SSO2 per supportare il Single Sign-On.

Informazioni su questa attività

La federazione tra Directories Management e SSO2 può essere stabilita creando una connessione SAML tra le due parti. Attualmente, l'unico flusso end-to-end supportato prevede che SSO2 agisca come provider di identità (IdP) e Directories Management come provider di servizi (SP).

Per l’autenticazione utente SSO2, lo stesso account deve esistere sia in Directories Management sia in SSO2. Almeno l'UPN (UserPrincipalName) dell'utente deve corrispondere su entrambe le estremità. Gli altri attributi possono essere differenti in quanto devono identificare l'oggetto SAML.

Per gli utenti locali in SSO2, come ad esempio admin@vsphere.local, è necessario che esistano account corrispondenti anche in Directories Management, dove almeno l'UPN dell'utente deve coincidere. Creare tali account manualmente o con uno script utilizzando le API di creazione di utenti locali di Directories Management

L'impostazione di SAML tra SSO2 e Directories Management prevede la configurazione dei componenti Gestione directory e SSO.

Tabella 1. Configurazione dei componenti della federazione SAML

Componente

Configurazione

Gestione directory

Configurare SSO2 come provider di identità di terze parti su Directories Management e aggiornare il criterio di autenticazione predefinito. Per impostare Directories Management è possibile creare uno script automatizzato.

Componente SSO2

Configurare Directories Management come provider di servizi importando il file sp.xml di Directories Management . Questo file consente di configurare SSO2 per utilizzare Directories Management come provider di servizi (SP).

Prerequisiti

  • Configurare i tenant per la distribuzione di vRealize Automation Vedere Creazione di tenant aggiuntivi.

  • Impostare un collegamento Active Directory appropriato per supportare l’autenticazione di base ad Active Directory con ID utente e password.

  • Accedere alla console vRealize Automation come amministratore tenant.

Procedura

  1. Scaricare i metadati del provider di identità SSO2 tramite l'interfaccia utente di SSO2.
    1. Accedere a vCenter come amministratore all’indirizzo https://<cloudvm-hostname>/.
    2. Fare clic sul collegamento per accedere a vSphere Web Client.
    3. Nel riquadro di navigazione a sinistra selezionare Amministrazione > Single Sign-On > Configurazione.
    4. Fare clic sul controllo Scarica accanto all'intestazione Metadati per il provider di servizi SAML.

      Dovrebbe iniziare il download del file vsphere.local.xml.

    5. Copiare il contenuto del file vsphere.local.xml.
  2. Nella pagina Provider di identità del componente Gestione directory di vRealize Automation, creare un nuovo provider di identità.
    1. Accedere a vRealize Automation come amministratore tenant.
    2. Selezionare Amministrazione > Gestione directory > Provider di identità.
    3. Fare clic su Aggiungi provider di identità e specificare le informazioni di configurazione.

      Opzione

      Azione

      Nome del provider di identità

      Immettere il nome del nuovo provider di identità.

      Casella di testo Metadati provider di identità (URI o XML)

      Incollare i contenuti del file di metadati idp.xml di SSO2 nella casella di testo e fare clic su Elabora metadati IDP.

      Nome del criterio ID nome nella richiesta SAML (facoltativo)

      Immettere http://schemas.xmlsoap.org/claims/UPN.

      Utenti

      Selezionare i domini per i quali si desidera assegnare privilegi di accesso agli utenti

      Rete

      Selezionare gli intervalli di rete dai quali si desidera che gli utenti abbiano privilegi di accesso.

      Per autenticare gli utenti da indirizzi IP, selezionare Tutti gli intervalli.

      Metodi di autenticazione

      Immettere il nome del metodo di autenticazione. Quindi, utilizzare il menu a discesa Contesto SAML a destra per definire la corrispondenza tra il metodo di autenticazione e urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

      Certificato della firma SAML

      Fare clic sul collegamento accanto all'intestazione Metadati SAML per scaricare i metadati di Gestione directory.

    4. Salvare il file dei metadati di Gestione directory come sp.xml.
    5. Fare clic su Aggiungi.
  3. Aggiornare il relativo criterio di autenticazione utilizzando la pagina dei criteri di Gestione directory per reindirizzare l'autenticazione al provider di identità SSO2 di terze parti.
    1. Selezionare Amministrazione > Gestione directory > Criteri.
    2. Fare clic sul nome del criterio predefinito.
    3. Fare clic sul metodo di autenticazione sotto l’intestazione Regole criterio per modificare la regola di autenticazione esistente.
    4. Nella pagina Modifica regola criterio, cambiare il metodo di autenticazione da password al metodo appropriato.

      In questo caso, il metodo dovrebbe essere SSO2.

    5. Fare clic su Salva per salvare gli aggiornamenti al criterio.
  4. Nel riquadro di navigazione a sinistra selezionare Amministrazione > Single Sign-On > Configurazione e fare clic su Aggiorna per caricare il file sp.xml in vSphere.