U kunt Just-in-Time (JIT) provisioning configureren om te ondersteunen dat gebruikers toegevoegd kunnen worden zonder te synchroniseren met uw Active Directory.

Om Just-in-Time-provisioning te ondersteunen, moet u een externe identiteitsprovider toevoegen en daarmee een verbinding configureren binnen uw vRealize Automation-implementatie, om het beheer van directory's te integreren met andere SSO-providers via een SAML-protocol. Daarnaast moet u een nieuwe directory maken met de juiste naam, bijvoorbeeld JIT Directory.

Wanneer u Just-in-Time-provisioning inschakelt, kunt u Just-in-Time-gebruikers toevoegen aan een aangewezen aangepaste groep. Om deze functionaliteit te ondersteunen, maakt u een aangepaste groep met de juiste leden. Zie Just-in-time-gebruikers met aangepaste groepen en regels toevoegen.

Opmerking: Het is een best practice om Just-in-Time-provisioning niet te configureren op de standaard vsphere.local-tenant.

Voorwaarden

Configureer een geschikte externe identiteitsprovider om te gebruiken met JIT-provisioning.

Procedure

  1. Maak een identiteitsprovider voor Just-in-Time-provisioning.
    1. Selecteer Beheer > Beheer van directory's > Identiteitsproviders
    2. Klik op Identiteitsprovider toevoegen en bewerk de instellingen van de identiteitsproviderinstantie waar relevant.
      • Maak voor Just-in-Time-provisioning een externe identiteitsprovider.
      • In de sectie Just-in-Time-directory maken, voer namen in voor de directory en een of meer domeinen.
      • U moet een netwerk selecteren om de externe identiteitsprovider te configureren.
      • Als u gebruikmaakt van een externe VMware Identity Manager identiteitsprovider, en u gebruikt userPrincipleName om gebruikers te verifiëren, moet u de configuratie van de naam-ID-toewijzing wijzigen voor userPrincipleName van de standaardwaarde x509SubjectName naar unspecified.

      Zie Een verbinding met een externe identiteitsprovider configureren voor meer informatie over het maken van identiteitsproviders.

  2. Configureer SAML op de Just-in-Time-identiteitsprovider.
    1. Kopieer de IdP-metagegevens van uw identiteitsprovider.
    2. Selecteer uw identiteitsprovider in vRealize Automation, en plak de IdP-metagegevens in het tekstvak Metagegevens van Identiteitsprovider (URL of XML).
    3. Klik op Opslaan.
    4. Selecteer de juiste indeling in het vervolgkeuzemenu Naam id-beleid in SAML-aanvraag (optioneel).
      Bijvoorbeeld: als u het e-mailadres gebruikt als de unieke gebruikers-id, selecteert u urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    5. Selecteer de gewenste directory onder de titel Gebruikers.
    6. Selecteer de netwerken waarvan deze identiteitsprovider gebruik moet maken onder de titel Netwerk.
    7. Geef een geschikte naam op in het tekstvak Verificatiemethoden.
    8. Selecteer urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport in de vervolgkeuzelijst SAML-Context
    9. Klik met de rechtermuisknop op de koppeling Metagegevens van de serviceprovider (SP) en open deze in een tabblad van een nieuw browservenster.
    10. Gebruik deze metagegevens om de SAML-verbinding naar uw identiteitsprovider te configureren.
    Als u gebruikmaakt van VMware Identity Manager, zie dan de VMware Identity Manager-documentatie voor volledige instructies over het configureren van SAML.
  3. Klik op Toevoegen.
    De nieuwe directory wordt gemaakt met de Directorynaam die wordt opgegeven.
  4. Configureer het vRealize Automation-toegangsbeleid.
    1. Selecteer Beheer > Beleid.
    2. Klik op het groene +-pictogram aan de rechterbovenkant van de tabel beleidsregels.
    3. Stel de beleidsregel in die van toepassing moeten zijn op de relevante bereiken en apparaattypes.
    4. Selecteer de verificatiemethode die u hebt gemaakt bij het configureren van de externe identiteitsprovider voor JIT-provisioning voor de verificatiemethode.