U kunt een SAML-federatie tot stand brengen tussen vRealize Automation Directories Management en systemen die SSO2 gebruiken om Single Sign-On te ondersteunen.

Voordat u begint

  • Configureer tenants voor uw vRealize Automation-implementatie. Zie Aanvullende tenants maken.

  • Breng een geschikte Active Directory-koppeling tot stand om basisverificatie voor Active Directory gebruikers-ID's en wachtwoorden te ondersteunen.

  • Meld u aan bij de vRealize Automation-console als tenantbeheerder.

Over deze taak

Breng federatie tot stand tussen Directories Management en SSO2 door een SAML-verbinding te maken tussen de twee partijen. Momenteel worden uitsluitend end-to-end-stromen ondersteund waarbij SSO2 als identiteitsprovider (IdP) dient en waarbij Directories Management als serviceprovider (SP) dient.

Voor SSO2-gebruikersverificatie moet hetzelfde account aanwezig zijn in zowel Directories Management als SSO2. De UserPrincipalName (UPN) van de gebruiker moet minimaal overeenkomen. Andere eigenschappen kunnen afwijken, omdat ze zijn vereist om het SAML-onderwerp te identificeren.

Voor lokale gebruikers in SSO2, zoals admin@vsphere.local, moeten er tevens overeenkomende accounts aanwezig zijn in Directories Management, waarbij de UPN van de gebruiker minimaal moet overeenkomen. Maak deze accounts handmatig of met behulp van een script en de lokale Directories Management-API's om gebruikers te maken.

Voor het instellen van SAML tussen SSO2 en Directories Management moeten de onderdelen Beheer van directory's en SSO worden geconfigureerd.

Tabel 1. Configuratie van onderdeel van SAML-federatie

Onderdeel

Configuratie

Beheer van directory's

Configureer SSO2 als externe identiteitsprovider op Directories Management en werk het standaardverificatiebeleid bij. U kunt een geautomatiseerd script maken voor het instellen van Directories Management.

SSO2-onderdeel

Configureer Directories Management als serviceprovider door het bestand Directories Management sp.xml te importeren. Met dit bestand kunt u SSO2 configureren voor het gebruik van Directories Management als de serviceprovider (SP).

Procedure

  1. Download de metagegevens voor de SSO2-identiteitsprovider via de SSO2-gebruikersinterface.
    1. Meld u als beheerder aan bij vCenter via https://<cloudvm-hostname>/.
    2. Klik op de koppeling Aanmelden bij vSphere Web Client.
    3. Selecteer in het linkernavigatievenster de optie Beheer > Single Sign On > Configuratie.
    4. Klik op Downloaden naast de metagegevens voor de kop van uw SAML-serviceprovider.

      Het vsphere.local.xml-bestand moet nu worden gedownload.

    5. Kopieer de inhoud van het bestand vsphere.local.xml.
  2. Op de pagina vRealize AutomationBeheer van directory's Identiteitsproviders maakt u een nieuwe Identiteitsprovider.
    1. Meld u bij vRealize Automation aan als tenantbeheerder.
    2. Selecteer Beheer > Beheer van directory's > Identiteitsproviders.
    3. Klik op Identiteitsprovider toevoegen en geef de configuratiegegevens op.

      Optie

      Actie

      Naam van identiteitsprovider

      Geef een naam op voor de nieuwe identiteitsprovider.

      Tekstvak Metagegevens van identiteitsprovider (URI of XML)

      Plak de inhoud van uw SSO2 idp.xml-metagegevensbestand in het tekstvak en klik op IDP-metagegevens verwerken.

      Beleid inzake naam-ID in SAML-verzoek (Optioneel)

      Voer http://schemas.xmlsoap.org/claims/UPN

      Gebruikers

      Selecteer de domeinen waarvoor u gebruikers toegangsrechten wilt verlenen.

      Netwerk

      Selecteer de netwerkbereiken van waaruit u gebruikers toegangsprivileges wilt geven.

      Als u gebruikers wilt verifiëren op basis van een IP-adres, selecteert u Alle bereiken.

      Verificatiemethoden

      Geef een naam op voor de verificatiemethode. Gebruik vervolgens het vervolgkeuzemenu SAML-context aan de rechterkant om de verificatiemethode te koppelen aan urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

      SAML-ondertekeningscertificaat

      Klik op de koppeling naast de kop SAML-metagegevens om de metagegevens voor Beheer van directory's te downloaden.

    4. Sla het metagegevensbestand van Beheer van directory's op als sp.xml.
    5. Klik op Toevoegen.
  3. Werk het betreffende verificatiebeleid bij op de beleidspagina in Beheer van directory's, zodat verificatie wordt doorverwezen naar de externe SSO2-identiteitsprovider.
    1. Selecteer Beheer > Beheer van directory's > Beleid.
    2. Klik op de naam van het standaardbeleid.
    3. Klik op de verificatiemethode onder de kop Beleidsregels om de bestaande verificatieregel te bewerken.
    4. Op de pagina Een beleidsregel bewerken wijzigt u de verificatiemethode van wachtwoord in de gewenste methode.

      In dit geval moet de methode SSO2 zijn.

    5. Klik op Opslaan om het bijgewerkte beleid op te slaan.
  4. In het linkernavigatievenster selecteert u Beheer > Single Sign On > Configuratie, en klikt u op Bijwerken om het sp.xml-bestand te uploaden naar vSphere.