È possibile migliorare la sicurezza di sistema di una connessione Active Directory vRealize Automation di base configurando una relazione di trust bidirezionale tra il provider di identità e Active Directory Federated Services.
Per configurare una relazione di trust bidirezionale tra vRealize Automation e Active Directory, è necessario creare una provider di identità personalizzato e aggiungere metadati di Active Directory a questo provider. Inoltre è necessari omodificare il criterio predefinito utilizzato dalla distribuzione di vRealize Automation. Infine è necessario configurare Active Directory per riconoscere il provider di identità.
Procedura
- Ottenere il file Federation Metadata.
È possibile scaricare questo file da https://
servername.domain/FederationMetadata/2007-06/FederationMetadata.xml
- Cercare la parola logout e modificare la posizione di tutte le istanze che puntano a https://servername.domain/adfs/ls/logout.aspx
Ad esempio, la seguente:
SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://servername.domain/adfs/ls/ "/>
Deve essere cambiata in:
SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://servername.domain/adfs/ls/logout.aspx"/>
- Creare un nuovo provider di identità per la distribuzione.
- Selezionare .
- Fare clic su Aggiungi provider di identità e completare i campi come appropriato.
Opzione |
Descrizione |
Nome del provider di identità |
Immettere il nome del nuovo provider di identità. |
Metadati del provider di identità (URL o XML) |
Incollare il contenuto del file di metadati di Active Directory Federated Services qui. |
Nome del criterio ID nome nella richiesta SAML (facoltativo) |
Se appropriato, immettere un nome per la richiesta SAML del criterio di identità. |
Utenti |
Selezionare i domini per i quali si desidera assegnare privilegi di accesso agli utenti |
Metadati IDP processo |
Fare clic per elaborare il file di metadati aggiunto. |
Rete |
Selezionare gli intervalli di rete ai quali si desidera che gli utenti accedano. |
Metodi di autenticazione |
Immettere un nome per il metodo di autenticazione usato dal provider di identità. |
Contesto SAML |
Selezionare il contesto appropriato per il sistema. |
Certificato della firma SAML |
Fare clic sul collegamento accanto all'intestazione Metadati SAML per scaricare i metadati di Gestione directory. |
- Salvare il file dei metadati di Gestione directory come sp.xml.
- Fare clic su Aggiungi.
- Aggiungere un ruolo al criterio predefinito.
- Selezionare .
- Fare clic sul nome del criterio predefinito.
- Fare clic sull’icona + nell’intestazione Regole criterio per aggiungere una nuova regola.
Utilizzare le opzioni della pagina Aggiungi regola criterio per creare una regola che specifichi i metodi di autenticazione primario e secondario appropriati da utilizzare per un intervallo di rete e un dispositivo specifici.
Ad esempio, se l'intervallo di rete è
Mie macchine e occorre accedere ai contenuti provenienti da
Tutti i tipi di dispositivi, per una distribuzione tipica sarà necessario autenticarsi con il metodo seguente:
Nome utente e password ADFS.
- Fare clic su OK per salvare gli aggiornamenti del criterio.
- Nella pagina Criterio predefinito, trascinare la nuova regola all'inizio della tabella, così da porla in precedenza rispetto alle altre regole esistenti.
- Utilizzando la console di gestione di Active Directory Federated Services, o un altro strumento appropriato, impostare una relazione di trust relying party con il provider di identità di vRealize Automation.
Per impostare questa relazione di trust, è necessario importare i metadati di Gestione directory precedentemente scaricati. Consultare la documentazione di Microsoft Active Directory per ulteriori informazioni sulla configurazione di ADFS (Active Directory Federated Services) per le relazioni di trust bidirezionali. Come parte del processo, è necessario eseguire le operazioni seguenti:
- Impostare una relazione di trust relying party. Nell'impostazione di questa relazione di trust, è necessario importare il file XML dei metadati del provider di servizi del provider di identità di VMware copiato e salvato.
- Creare una regola attestazioni che trasforma gli attributi recuperati da LDAP nella regola Ottieni attributi nel formato SAML desiderato. Dopo aver creato la regola, modificarla aggiungendo il testo seguente:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");