È possibile configurare il provisioning Just-in-Time (JIT) per supportare l'aggiunta di utenti senza eseguire la sincronizzazione da Active Directory.

Per supportare il provisioning Just-in-Time, è necessario aggiungere un provider di identità di terze parti e quindi configurare una connessione a tale provider all'interno della distribuzione di vRealize Automation per integrare Gestione directory con gli altri provider SSO tramite un protocollo SAML. Inoltre, è necessario creare una nuova directory con il nome appropriato, ad esempio Directory JIT.

Quando si abilita il provisioning Just-in-Time, è possibile aggiungere utenti Just-in-Time a un determinato gruppo personalizzato. Per supportare questa funzionalità, creare un gruppo personalizzato con i membri appropriati. Vedere Aggiunta di utenti JIT con regole e gruppi personalizzati.

Nota: È consigliabile non configurare il provisioning Just-in-Time nel tenant vsphere.local predefinito.

Prerequisiti

Configurare un provider di identità di terze parti appropriato per l'utilizzo con il provisioning JIT.

Procedura

  1. Creare un provider di identità per il provisioning Just-in-Time.
    1. Selezionare Amministrazione > Gestione directory > Provider di identità.
    2. Fare clic su Aggiungi provider di identità e modificare le impostazioni dell'istanza del provider di identità.
      • Per il provisioning Just-in-Time, creare un provider di identità di terze parti.
      • Nella sezione Crea directory Just-in-Time, immettere i nomi delle directory e uno o più domini.
      • È necessario selezionare una rete per la configurazione del provider di identità di terze parti.
      • Se si utilizza un'istanza di VMware Identity Manager esterna come provider di identità di terze parti e si usa userPrincipleName per eseguire l'autenticazione degli utenti, è necessario modificare la configurazione della mappatura dell'ID nome per userPrincipleName dal valore predefinito di x509SubjectName a unspecified.

      Vedere Configurazione di una connessione a un provider di identità di terze parti per ulteriori informazioni sulla creazione dei provider di identità.

  2. Configurare SAML nel provider di identità Just-in-Time.
    1. Copiare i metadati del provider di identità dal provider di identità.
    2. In vRealize Automation, selezionare il provider di identità e incollare i metadati del provider di identità nella casella di testo Metadati provider di identità (URL o XML).
    3. Fare clic su Salva.
    4. Nel menu a discesa Criterio ID nome nella richiesta SAML (facoltativo), selezionare il formato appropriato.
      Ad esempio, se si utilizza l'indirizzo email come identificatore univoco dell’utente, selezionare urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    5. Sotto l'intestazione Utenti selezionare la directory appropriata.
    6. Sotto l'intestazione Rete selezionare le reti che il provider di identità deve utilizzare.
    7. Specificare un nome appropriato nella casella di testo Metodi di autenticazione.
    8. Nell'elenco a discesa Contesto SAML, selezionare urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport.
    9. Fare clic con il pulsante destro del mouse sul collegamento Metadati del provider di servizi e aprirlo in una scheda del browser separata.
    10. Utilizzare questi metadati per configurare la connessione SAML nel provider di identità.
    Se si utilizza VMware Identity Manager vedere la documentazione di VMware Identity Manager per istruzioni complete sulla configurazione di SAML.
  3. Fare clic su Aggiungi.
    La nuova directory viene creata utilizzando il nome di directory specificato.
  4. Configurare il criterio di accesso di vRealize Automation.
    1. Selezionare Amministrazione > Criteri.
    2. Fare clic sull'icona + verde nella parte superiore destra della tabella delle regole dei criteri.
    3. Impostare la regola del criterio da applicare agli intervalli e ai tipi di dispositivi pertinenti.
    4. Selezionare il metodo di autenticazione creato durante la configurazione del provider di identità di terze parti per il provisioning JIT per il metodo di autenticazione.