U kunt Just-in-Time (JIT) provisioning configureren om te ondersteunen dat gebruikers toegevoegd kunnen worden zonder te synchroniseren met uw Active Directory.
Om Just-in-Time-provisioning te ondersteunen, moet u een externe identiteitsprovider toevoegen en daarmee een verbinding configureren binnen uw vRealize Automation-implementatie, om het beheer van directory's te integreren met andere SSO-providers via een SAML-protocol. Daarnaast moet u een nieuwe directory maken met de juiste naam, bijvoorbeeld JIT Directory.
Wanneer u Just-in-Time-provisioning inschakelt, kunt u Just-in-Time-gebruikers toevoegen aan een aangewezen aangepaste groep. Om deze functionaliteit te ondersteunen, maakt u een aangepaste groep met de juiste leden. Zie Just-in-time-gebruikers met aangepaste groepen en regels toevoegen.
Opmerking: Het is een best practice om Just-in-Time-provisioning niet te configureren op de standaard vsphere.local-tenant.
Voorwaarden
Configureer een geschikte externe identiteitsprovider om te gebruiken met JIT-provisioning.
Procedure
- Maak een identiteitsprovider voor Just-in-Time-provisioning.
- Selecteer
- Klik op Identiteitsprovider toevoegen en bewerk de instellingen van de identiteitsproviderinstantie waar relevant.
- Maak voor Just-in-Time-provisioning een externe identiteitsprovider.
- In de sectie Just-in-Time-directory maken, voer namen in voor de directory en een of meer domeinen.
- U moet een netwerk selecteren om de externe identiteitsprovider te configureren.
- Als u gebruikmaakt van een externe VMware Identity Manager identiteitsprovider, en u gebruikt
userPrincipleName
om gebruikers te verifiëren, moet u de configuratie van de naam-ID-toewijzing wijzigen voor userPrincipleName
van de standaardwaarde x509SubjectName
naar unspecified
.
Zie Een verbinding met een externe identiteitsprovider configureren voor meer informatie over het maken van identiteitsproviders.
- Configureer SAML op de Just-in-Time-identiteitsprovider.
- Kopieer de IdP-metagegevens van uw identiteitsprovider.
- Selecteer uw identiteitsprovider in vRealize Automation, en plak de IdP-metagegevens in het tekstvak Metagegevens van Identiteitsprovider (URL of XML).
- Klik op Opslaan.
- Selecteer de juiste indeling in het vervolgkeuzemenu Naam id-beleid in SAML-aanvraag (optioneel).
Bijvoorbeeld: als u het e-mailadres gebruikt als de unieke gebruikers-id, selecteert u
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
.
- Selecteer de gewenste directory onder de titel Gebruikers.
- Selecteer de netwerken waarvan deze identiteitsprovider gebruik moet maken onder de titel Netwerk.
- Geef een geschikte naam op in het tekstvak Verificatiemethoden.
- Selecteer
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
in de vervolgkeuzelijst SAML-Context
- Klik met de rechtermuisknop op de koppeling Metagegevens van de serviceprovider (SP) en open deze in een tabblad van een nieuw browservenster.
- Gebruik deze metagegevens om de SAML-verbinding naar uw identiteitsprovider te configureren.
Als u gebruikmaakt van
VMware Identity Manager, zie dan de
VMware Identity Manager-documentatie voor volledige instructies over het configureren van SAML.
- Klik op Toevoegen.
De nieuwe directory wordt gemaakt met de Directorynaam die wordt opgegeven.
- Configureer het vRealize Automation-toegangsbeleid.
- Selecteer .
- Klik op het groene +-pictogram aan de rechterbovenkant van de tabel beleidsregels.
- Stel de beleidsregel in die van toepassing moeten zijn op de relevante bereiken en apparaattypes.
- Selecteer de verificatiemethode die u hebt gemaakt bij het configureren van de externe identiteitsprovider voor JIT-provisioning voor de verificatiemethode.