ID プロバイダと Active Directory フェデレーション サービス間の双方向信頼関係を構成することによって、基本的な vRealize Automation Active Directory 接続のシステム セキュリティを強化できます。

始める前に

  • Active Directory の基本的なユーザー ID とパスワード認証をサポートする、適切な Active Directory リンクが設定された vRealize Automation 環境でテナントを構成したことを確認します。

  • 使用するネットワークに Active Directory をインストールおよび構成します。

  • 適切な Active Directory フェデレーション サービス (AD FS) メタデータを取得します。

  • テナント管理者として vRealize Automation コンソールにログインします。

このタスクについて

vRealize Automation と Active Directory 間の双方向の信頼関係を構成するには、カスタム ID プロバイダを作成し、このプロバイダに Active Directory のメタデータを追加する必要があります。また、vRealize Automation 環境で使用するデフォルト ポリシーの変更も必要です。最後に、ID プロバイダを認識するように Active Directory を構成します。

手順

  1. フェデレーション メタデータ ファイルを取得します。

    このファイルは次のリンクからダウンロードできます。 https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml

  2. logout という用語を検索し、https://servername.domain/adfs/ls/logout.aspx を指し示すように各インスタンスの場所を編集します。

    たとえば、

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    上記のアドレスを次のように変更します。

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. 環境に適した新しい ID プロバイダを作成します。
    1. 管理 > ディレクトリ管理 > ID プロバイダ の順に選択します。
    2. ID プロバイダの追加 をクリックして、必要に応じてフィールドに記入します。

      オプション

      説明

      ID プロバイダ名

      新しい ID プロバイダの名前を入力します。

      ID プロバイダ メタデータ(URI または XML)

      Active Directory フェデレーション サービスのメタデータ ファイルのコンテンツをここに貼り付けます。

      SAML 要求の名前 ID ポリシー(オプション)

      必要に応じて、ID ポリシーの SAML 要求の名前を入力します。

      ユーザー

      ユーザーにアクセス権限を許可するドメインを選択します。

      IDP メタデータの処理

      クリックして、追加したメタデータ ファイルを処理します。

      ネットワーク

      ユーザーにアクセスを許可するネットワーク範囲を選択します。

      認証方法

      この ID プロバイダが使用する認証方法の名前を入力します。

      SAML コンテキスト

      システムに適切なコンテキストを選択します。

      SAML 署名証明書

      SAML メタデータの見出しの横のリンクをクリックして、ディレクトリ管理メタデータをダウンロードします。

    3. ディレクトリ管理メタデータ ファイルは sp.xml として保存します。
    4. 追加 をクリックします。
  4. デフォルト ポリシーにルールを追加します。
    1. 管理 > ディレクトリ管理 > ポリシー の順に選択します。
    2. デフォルトのポリシー名をクリックします。
    3. ポリシー ルール の見出しの下にある + アイコンをクリックし、新しいルールを追加します。

      [ポリシー ルールの追加] ページのフィールドを使用し、特定のネットワーク範囲とデバイスでの使用に適したプライマリ認証方法およびセカンダリ認証方法を指定するルールを作成します。

      たとえば、ネットワーク範囲が「マイ マシン」の場合、ユーザーは、「すべてのデバイス タイプ」のコンテンツにアクセスする必要があります。一般的な展開の場合、ユーザーは AD FS のユーザー名とパスワードで認証する必要があります。

    4. ポリシーの更新を保存するには 保存 をクリックします。
    5. [デフォルト ポリシー] ページで、既存のルールよりも優先されるように新しいルールを表の先頭にドラッグします。
  5. Active Directory フェデレーション サービスの管理コンソールまたは他の適切なツールを使用して、vRealize Automation ID プロバイダとの証明書利用者信頼を設定します。

    これを設定するには、以前にダウンロードしたディレクトリ管理メタデータをインポートする必要があります。Active Directory フェデレーション サービスで双方向の信頼関係を構成する際の詳細については、Microsoft Active Directory のドキュメントを参照してください。この手順では、次の項目を実行する必要があります。

    • 証明書利用者信頼を設定します。これを設定した場合は、コピーおよび保存しておいた、VMware ID プロバイダのサービス プロバイダ メタデータ XML ファイルをインポートする必要があります。

    • 属性取得ルールで LDAP から取得した属性を指定した SAML 形式に変換する要求ルールを作成します。ルールを作成したら、次のテキストを追加してルールを編集します。

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");