È possibile migliorare la sicurezza di sistema di una connessione Active Directory vRealize Automation di base configurando una relazione di trust bidirezionale tra il provider di identità e Active Directory Federated Services.

Per configurare una relazione di trust bidirezionale tra vRealize Automation e Active Directory, è necessario creare una provider di identità personalizzato e aggiungere metadati di Active Directory a questo provider. Inoltre è necessari omodificare il criterio predefinito utilizzato dalla distribuzione di vRealize Automation. Infine è necessario configurare Active Directory per riconoscere il provider di identità.

Prerequisiti

  • Verificare che siano stati configurati i tenant per la distribuzione vRealize Automation e un collegamento Active Directory appropriato per supportare l'autenticazione ID utente e password di base di Active Directory.
  • Active Directory è installato e configurato per l'uso nella rete esistente.
  • Ottenere i metadati ADFS (Active Directory Federated Services) appropriati.

  • Accedere a vRealize Automation come amministratore tenant.

Procedura

  1. Ottenere il file Federation Metadata.
    È possibile scaricare questo file da https:// servername.domain/FederationMetadata/2007-06/FederationMetadata.xml
  2. Cercare la parola logout e modificare la posizione di tutte le istanze che puntano a https://servername.domain/adfs/ls/logout.aspx
    Ad esempio, la seguente: 
    SingleLogoutService
				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
				Location="https://servername.domain/adfs/ls/ "/>

    Deve essere cambiata in: 

    SingleLogoutService
				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
				Location="https://servername.domain/adfs/ls/logout.aspx"/>
  3. Creare un nuovo provider di identità per la distribuzione.
    1. Selezionare Amministrazione > Gestione directory > Provider di identità.
    2. Fare clic su Aggiungi provider di identità e completare i campi come appropriato.
      Opzione Descrizione
      Nome del provider di identità Immettere il nome del nuovo provider di identità.
      Metadati del provider di identità (URL o XML) Incollare il contenuto del file di metadati di Active Directory Federated Services qui.
      Nome del criterio ID nome nella richiesta SAML (facoltativo) Se appropriato, immettere un nome per la richiesta SAML del criterio di identità.
      Utenti Selezionare i domini per i quali si desidera assegnare privilegi di accesso agli utenti
      Metadati IDP processo Fare clic per elaborare il file di metadati aggiunto.
      Rete Selezionare gli intervalli di rete ai quali si desidera che gli utenti accedano.
      Metodi di autenticazione Immettere un nome per il metodo di autenticazione usato dal provider di identità.
      Contesto SAML Selezionare il contesto appropriato per il sistema.
      Certificato della firma SAML Fare clic sul collegamento accanto all'intestazione Metadati SAML per scaricare i metadati di Gestione directory.
    3. Salvare il file dei metadati di Gestione directory come sp.xml.
    4. Fare clic su Aggiungi.
  4. Aggiungere un ruolo al criterio predefinito.
    1. Selezionare Amministrazione > Gestione directory > Criteri.
    2. Fare clic sul nome del criterio predefinito.
    3. Fare clic sull’icona + nell’intestazione Regole criterio per aggiungere una nuova regola.
      Utilizzare le opzioni della pagina Aggiungi regola criterio per creare una regola che specifichi i metodi di autenticazione primario e secondario appropriati da utilizzare per un intervallo di rete e un dispositivo specifici.
      Ad esempio, se l'intervallo di rete è Mie macchine e occorre accedere ai contenuti provenienti da Tutti i tipi di dispositivi, per una distribuzione tipica sarà necessario autenticarsi con il metodo seguente: Nome utente e password ADFS.
    4. Fare clic su OK per salvare gli aggiornamenti del criterio.
    5. Nella pagina Criterio predefinito, trascinare la nuova regola all'inizio della tabella, così da porla in precedenza rispetto alle altre regole esistenti.
  5. Utilizzando la console di gestione di Active Directory Federated Services, o un altro strumento appropriato, impostare una relazione di trust relying party con il provider di identità di vRealize Automation.
    Per impostare questa relazione di trust, è necessario importare i metadati di Gestione directory precedentemente scaricati. Consultare la documentazione di Microsoft Active Directory per ulteriori informazioni sulla configurazione di ADFS (Active Directory Federated Services) per le relazioni di trust bidirezionali. Come parte del processo, è necessario eseguire le operazioni seguenti:
    • Impostare una relazione di trust relying party. Nell'impostazione di questa relazione di trust, è necessario importare il file XML dei metadati del provider di servizi del provider di identità di VMware copiato e salvato.
    • Creare una regola attestazioni che trasforma gli attributi recuperati da LDAP nella regola Ottieni attributi nel formato SAML desiderato. Dopo aver creato la regola, modificarla aggiungendo il testo seguente: 
      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");