U kunt een federatie tot stand brengen tussen vRealize Automation Directories Management en systemen die SSO2 gebruiken.

Voordat u begint

  • U hebt tenants voor uw vRealize Automation-implementatie geconfigureerd en een geschikte Active Directory-verbinding ingesteld ter ondersteuning van Active Directory-verificatie van gebruikers-id's en wachtwoorden.

  • Active Directory is geïnstalleerd en geconfigureerd voor gebruik op uw netwerk.

  • Haal de juiste ADFS-metagegevens (Active Directory Federated Services) op.

  • Meld u aan bij de vRealize Automation-console als tenantbeheerder.

Over deze taak

Breng federatie tot stand tussen Directories Management en SSO2 door een SAML-verbinding te maken tussen de twee partijen. Momenteel is de enige end-to-end stroom die waarbij SSO2 optreedt als identiteitsprovider (Idp) en Directories Management als de serviceprovider (SP).

Voor gebruikers die met SSO2 moeten worden geverifieerd, moet dezelfde account bestaan in zowel Directories Management als SSO2. Ten minste de UserPrincipalName (UPN) van de gebruiker moet op beide locaties overeenkomen. Andere eigenschappen kunnen afwijken, omdat ze zijn vereist om het SAML-onderwerp te identificeren.

Voor lokale gebruikers in SSO2, zoals admin@vsphere.local, moeten ook overeenkomende accounts worden gemaakt in Directories Management (waarbij minimaal de UPN van de gebruiker overeenkomt). Voorlopig moet dit handmatig worden gedaan of met behulp van een script met de API's van Directories Management voor het maken van lokale gebruikers.

Voor het instellen van SAML tussen SSO2 en Directories Management moeten de onderdelen Beheer van directory's en SSO worden geconfigureerd.

Tabel 1. Configuratie van onderdeel van SAML-federatie

Onderdeel

Configuratie

Beheer van directory's

Configureer SSO2 als externe identiteitsprovider op Directories Management en werk het standaardverificatiebeleid bij. U kunt een geautomatiseerd script maken voor het instellen van Directories Management.

SSO2-onderdeel

Configureer Directories Management als serviceprovider door het bestand Directories Management sp.xml te importeren. Met dit bestand kunt u SSO2 configureren voor het gebruik van Directories Management als de serviceprovider (SP).

Procedure

  1. Download de metagegevens voor de SSO2-identiteitsprovider via de SSO2-gebruikersinterface.
    1. Meld u als beheerder aan bij vCenter op https://<cloudvm-hostnaam>/.
    2. Klik op de aanmeldkoppeling voor vSphere Web Client
    3. Selecteer in het linkernavigatievenster de optie Beheer > Single Sign On > Configuratie.
    4. Klik op Downloaden naast de metagegevens voor de kop van uw SAML-serviceprovider.

      Het vsphere.local.xml-bestand moet nu worden gedownload.

    5. Kopieer de inhoud van het bestand vsphere.local.xml.
  2. Gebruik de pagina Identiteitproviders van Beheer van directory's van vRealize Automation om een nieuwe identiteitsprovider te maken.
    1. Meld u bij vRealize Automation aan als tenantbeheerder.
    2. Selecteer Beheer > Beheer van directory's > Identiteitsproviders.
    3. Klik op Identiteitsprovider toevoegen.
    4. Voeg een naam voor de nieuwe identiteitsprovider in het tekstvak Naam van identiteitsprovider in.
    5. Plak de inhoud van het bestand idp.xml met SSO2-metagegevens in het tekstvak Metagegevens van identiteitsprovider (URI of XML).
    6. Klik op IDP-metagegevens verwerken.
    7. Voer in het tekstvak Naam id-beleid in SAML-aanvraag (optioneel) de volgende informatie in.

      http://schemas.xmlsoap.org/claims/UPN

    8. Selecteer de domeinen waarvoor u gebruikers toegangsrechten wilt verlenen in het tekstvak Gebruikers.
    9. Selecteer de netwerkbereiken waarin u de gebruikers toegangsrechten wilt verlenen tot deze identiteitsprovider in het tekstvak Netwerk.

      Als u gebruikers wilt verifiëren op basis van een IP-adres, selecteert u Alle bereiken.

    10. Voer een naam in voor de verificatiemethode in het tekstvak Verificatiemethoden.
    11. Gebruik het vervolgkeuzemenu SAML-context aan de rechterkant van het tekstvak Verificatiemethoden om de verificatiemethode toe te wijzen aan urn:oasis:names:tc:SAML:2.0:ac:classes:Password.
    12. Klik op de koppeling naast de kop SAML-metagegevens onder het tekstvak SAML-handtekeningcertificaat, zodat u de metagegevens voor Beheer van directory's kunt downloaden.
    13. Sla het metagegevensbestand van Beheer van directory's op als sp.xml.
    14. Klik op Toevoegen.
  3. Werk het betreffende verificatiebeleid bij op de beleidspagina in Beheer van directory's, zodat verificatie wordt doorverwezen naar de externe SSO2-identiteitsprovider.
    1. Selecteer Beheer > Beheer van directory's > Beleid.
    2. Klik op de naam van het standaardbeleid.
    3. Klik op de verificatiemethode onder de kop Beleidsregels om de bestaande verificatieregel te bewerken.

      Gebruik de velden op de pagina Een beleidsregel bewerken om de verificatiemethode te wijzigen van wachtwoordverificatie in de gewenste methode. In dit geval moet de methode SSO2 zijn.

    4. Klik op Opslaan om het bijgewerkte beleid op te slaan.
  4. Selecteer in het linkernavigatievenster de optie Beheer > Single Sign On > Configuratie en klik op Bijwerken om het bestand sp.xml naar vSphere te uploaden.