La gestione delle identità federate consente di accettare e utilizzare identità elettroniche e attributi provenienti da un dominio per accedere a risorse in altri domini. È possibile abilitare la gestione delle identità federate tra vRealize Automation, vRealize Operations Manager e vSphere Web Client utilizzando vCenter Single Sign-On e VMware Identity Manager.

Gli ambienti di identità federate suddividono gli utenti in categorie chiamate identità in base a come essi interagiscono con i sistemi di identità federate. Gli utenti utilizzano i sistemi per ricevere servizi. Gli amministratori configurano e gestiscono la federazione tra sistemi. Gli sviluppatori creano ed estendono i servizi utilizzati dagli utenti. Nella tabella seguente sono descritti i vantaggi della gestione delle identità federate per queste identità.

Tabella 1. Vantaggi per l'identità
Tipi di utenti Vantaggi delle identità federate
Utenti
  • Comodità di Single Sign-On per applicazioni multiple
  • Meno password da gestire
  • Maggiore sicurezza
Amministratori
  • Più controllo su permessi delle applicazioni e accessi
  • Autenticazione basata su contesto e criterio
Sviluppatori
  • Semplice integrazione
  • Vantaggi di multi-tenancy, gestione utenti e gruppi, autenticazione estendibile e autorizzazione delegata con minimo sforzo

È possibile impostare la federazione tra VMware Identity Manager e vCenter Single Sign-On creando una connessione SAML tra le due parti. vCenter Single Sign-On agisce come provider di identità e VMware Identity Manager come provider di servizi. Un provider di identità fornisce un'identità elettronica. Un provider di servizi concede accesso alle risorse dopo aver valutato e accettato l'identità elettronica.

Per gli utenti da autenticare tramite vCenter Single Sign-On, lo stesso account deve esistere in VMware Identity Manager e vCenter Single Sign-On. Almeno lo userPrincipalName dell'utente deve coincidere in entrambe le estremità. Gli altri attributi possono essere diversi perché non utilizzati per identificare il soggetto SAML.

Per gli utenti locali in vCenter Single Sign-On, come ad esempio admin@vsphere.local, è necessario creare account corrispondenti in VMware Identity Manager, dove almeno lo userPrincipalName dell'utente deve coincidere). Gli account corrispondenti devono essere creati manualmente o tramite uno script che utilizza le API di creazione utenti locali di VMware Identity Manager.

L'impostazione di SAML tra SSO2 e vIDM implica le seguenti attività.

  1. Importazione del token SAML da vCenter Single Sign-On a VMware Identity Manager prima di aggiornare l'autenticazione predefinita di VMware Identity Manager.
  2. In VMware Identity Manager, configurare vCenter Single Sign-On come provider di identità di terze parti su VMware Identity Manager e aggiornare l'autenticazione predefinita di VMware Identity Manager.
  3. Su vCenter Single Sign-On, configurare VMware Identity Manager come provider di servizi importando il file sp.xml di VMware Identity Manager.

Vedere la documentazione di prodotto seguenti: