Door een vertrouwensrelatie in twee richtingen te configureren tussen uw identiteitsprovider en Active Directory Federated Services kunt u de systeembeveiliging van een vRealize Automation Active Directory-basisverbinding verbeteren.

Voordat u begint

  • Controleer of u tenants hebt geconfigureerd voor uw vRealize Automation-implementatie en een geschikte Active Directory-verbinding hebt ingesteld ter ondersteuning van Active Directory-verificatie van gebruikers-id's en wachtwoorden.

  • Active Directory is ge├»nstalleerd en geconfigureerd voor gebruik op uw netwerk.

  • Haal de juiste ADFS-metagegevens (Active Directory Federated Services) op.

  • Meld u aan bij de vRealize Automation-console als tenantbeheerder.

Over deze taak

Als u een vertrouwensrelatie in twee richtingen tussen vRealize Automation en Active Directory wilt configureren, moet u een aangepaste identiteitsprovider maken en Active Directory-metagegevens toevoegen aan deze provider. U moet tevens het standaardbeleid wijzigen dat wordt gebruikt door uw vRealize Automation-implementatie. Ten slotte moet u Active Directory configureren voor het herkennen van uw identiteitsprovider.

Procedure

  1. Haal het bestand met federatieve metagegevens op.

    U kunt dit bestand downloaden van https://servernaam.domein/FederationMetadata/2007-06/FederationMetadata.xml

  2. Zoek het woord logout en bewerk de locatie van elke instantie, zodat deze wijst naar https://servernaam.domein/adfs/ls/logout.aspx

    De volgende vermelding:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    Moet bijvoorbeeld worden gewijzigd in:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Maak een nieuwe identiteitsprovider voor uw implementatie.
    1. Selecteer Beheer > Beheer van directory's > Identiteitsproviders.
    2. Klik op Identiteitsprovider toevoegen en vul in de velden de vereiste gegevens in.

      Optie

      Beschrijving

      Naam van identiteitsprovider

      Geef een naam op voor de nieuwe identiteitsprovider

      Metagegevens van identiteitsprovider (URI of XML)

      Plak hier de inhoud van het bestand met metagegevens van Active Directory Federated Services.

      Beleid voor naam-id in SAML-aanvraag (optioneel)

      Voer indien vereist een naam in voor het identiteitsbeleid in de SAML-aanvraag.

      Gebruikers

      Selecteer de domeinen waarvoor u gebruikers toegangsrechten wilt verlenen.

      IDP-metagegevens verwerken

      Klik hier om het door u toegevoegde metagegevensbestand te verwerken.

      Netwerk

      Selecteer de netwerkbereiken waartoe u gebruikers toegang wilt verlenen.

      Verificatiemethoden

      Voer een naam in voor de verificatiemethode die wordt gebruikt door deze identiteitsprovider.

      SAML-context

      Selecteer de juiste context voor uw systeem.

      SAML-handtekeningcertificaat

      Klik op de koppeling naast de kop SAML-metagegevens om de metagegevens voor Beheer van directory's te downloaden.

    3. Sla het metagegevensbestand van Beheer van directory's op als sp.xml.
    4. Klik op Toevoegen.
  4. Voeg een regel toe aan het standaardbeleid.
    1. Selecteer Beheer > Beheer van directory's > Beleid.
    2. Klik op de naam van het standaardbeleid.
    3. Klik op het pictogram + onder de kop Beleidsregels om een nieuwe regel toe te voegen.

      Gebruik de velden op de pagina Een beleidsregel toevoegen om een regel te maken waarmee de juiste primaire en secundaire verificatiemethoden worden opgegeven voor een specifiek netwerkbereik en apparaat.

      Als het netwerkbereik van de gebruiker bijvoorbeeld "Mijn machine" is en de gebruiker toegang moet krijgen tot inhoud op "Alle apparaattypen", moet de gebruiker in een typische implementatie verificatie uitvoeren via de volgende methode: ADFS-gebruikersnaam en -wachtwoord.

    4. Klik op Opslaan om het bijgewerkte beleid op te slaan.
    5. Sleep de nieuwe regel op de pagina Standaardbeleid naar de bovenkant van de tabel, zodat deze voorrang krijgt boven de bestaande regels.
  5. Gebruik de beheerconsole van Active Directory Federated Services, of een ander geschikt hulpprogramma, om een Relying Party-vertrouwensrelatie in te stellen met de vRealize Automation-identiteitsprovider.

    Voor het instellen van deze vertrouwensrelatie moet u de metagegevens van Directory's beheren importeren die u eerder hebt gedownload. Zie de Microsoft Active Directory-documentatie voor meer informatie over het configureren van Active Directory Federated Services voor vertrouwensrelaties in twee richtingen. Als onderdeel van dit proces moet u het volgende doen:

    • Een Relying Party-vertrouwensrelatie instellen. Bij het instellen van deze vertrouwensrelatie moet u het XML-metagegevensbestand van de VMware Identity Provider-serviceprovider importeren die u hebt gekopieerd en opgeslagen.

    • Maak een claimregel die de kenmerken die worden opgehaald uit LDAP in de regel Get Attributes omzet in de gewenste SAML-indeling. Nadat u de regel hebt gemaakt, moet u deze bewerken door de volgende tekst toe te voegen:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");