Door een vertrouwensrelatie in twee richtingen te configureren tussen uw identiteitsprovider en Active Directory Federated Services kunt u de systeembeveiliging van een vRealize Automation Active Directory-basisverbinding verbeteren.

Als u een vertrouwensrelatie in twee richtingen tussen vRealize Automation en Active Directory wilt configureren, moet u een aangepaste identiteitsprovider maken en Active Directory-metagegevens toevoegen aan deze provider. U moet tevens het standaardbeleid wijzigen dat wordt gebruikt door uw vRealize Automation-implementatie. Ten slotte moet u Active Directory configureren voor het herkennen van uw identiteitsprovider.

Voorwaarden

  • Controleer of u tenants hebt geconfigureerd voor uw vRealize Automation-implementatie en een geschikte Active Directory-verbinding hebt ingesteld ter ondersteuning van Active Directory-verificatie van gebruikers-id's en wachtwoorden.
  • Active Directory is geïnstalleerd en geconfigureerd voor gebruik op uw netwerk.
  • Haal de juiste ADFS-metagegevens (Active Directory Federated Services) op.

  • Meld u bij vRealize Automation aan als tenantbeheerder.

Procedure

  1. Haal het bestand met federatieve metagegevens op.
    U kunt dit bestand downloaden van https:// servernaam.domein/FederationMetadata/2007-06/FederationMetadata.xml
  2. Zoek het woord logout en bewerk de locatie van elke instantie, zodat deze wijst naar https://servernaam.domein/adfs/ls/logout.aspx
    De volgende vermelding: 
    SingleLogoutService
				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
				Location="https://servername.domain/adfs/ls/ "/>

    Moet bijvoorbeeld worden gewijzigd in: 

    SingleLogoutService
				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
				Location="https://servername.domain/adfs/ls/logout.aspx"/>
  3. Maak een nieuwe identiteitsprovider voor uw implementatie.
    1. Selecteer Beheer > Beheer van directory's > Identiteitsproviders.
    2. Klik op Identiteitsprovider toevoegen en vul in de velden de vereiste gegevens in.
      Optie Beschrijving
      Naam van identiteitsprovider Geef een naam op voor de nieuwe identiteitsprovider
      Identiteitsprovider metadata (URL of XML) Plak hier de inhoud van het bestand met metagegevens van Active Directory Federated Services.
      Beleid voor naam-id in SAML-aanvraag (optioneel) Voer indien vereist een naam in voor het identiteitsbeleid in de SAML-aanvraag.
      Gebruikers Selecteer de domeinen waarvoor u gebruikers toegangsrechten wilt verlenen.
      IDP-metagegevens verwerken Klik hier om het door u toegevoegde metagegevensbestand te verwerken.
      Netwerk Selecteer de netwerkbereiken waartoe u gebruikers toegang wilt verlenen.
      Verificatiemethoden Voer een naam in voor de verificatiemethode die wordt gebruikt door deze identiteitsprovider.
      SAML-context Selecteer de juiste context voor uw systeem.
      SAML-handtekeningcertificaat Klik op de koppeling naast de kop SAML-metagegevens om de metagegevens voor Beheer van directory's te downloaden.
    3. Sla het metagegevensbestand van Beheer van directory's op als sp.xml.
    4. Klik op Toevoegen.
  4. Voeg een regel toe aan het standaardbeleid.
    1. Selecteer Beheer > Beheer van directory's > Beleid.
    2. Klik op de naam van het standaardbeleid.
    3. Klik op het pictogram + onder de kop Beleidsregels om een nieuwe regel toe te voegen.
      Gebruik de opties op de pagina Een beleidsregel toevoegen om een regel te maken waarmee de juiste primaire en secundaire verificatiemethoden worden opgegeven voor een specifiek netwerkbereik en apparaat.
      Als uw netwerkbereik bijvoorbeeld Mijn machine is en u toegang moet krijgen tot inhoud op Alle apparaattypen, moet u in een typische implementatie verificatie uitvoeren via de volgende methode: ADFS-gebruikersnaam en -wachtwoord.
    4. Klik op OK om het bijgewerkte beleid op te slaan.
    5. Sleep de nieuwe regel op de pagina Standaardbeleid naar de bovenkant van de tabel, zodat deze voorrang krijgt boven de bestaande regels.
  5. Gebruik de beheerconsole van Active Directory Federated Services, of een ander geschikt hulpprogramma, om een Relying Party-vertrouwensrelatie in te stellen met de vRealize Automation-identiteitsprovider.
    Voor het instellen van deze vertrouwensrelatie moet u de metagegevens van Directory's beheren importeren die u eerder hebt gedownload. Zie de Microsoft Active Directory-documentatie voor meer informatie over het configureren van Active Directory Federated Services voor vertrouwensrelaties in twee richtingen. Als onderdeel van dit proces moet u het volgende doen:
    • Een Relying Party-vertrouwensrelatie instellen. Bij het instellen van deze vertrouwensrelatie moet u het XML-metagegevensbestand van de VMware Identity Provider-serviceprovider importeren die u hebt gekopieerd en opgeslagen.
    • Maak een claimregel die de kenmerken die worden opgehaald uit LDAP in de regel Get Attributes omzet in de gewenste SAML-indeling. Nadat u de regel hebt gemaakt, bewerkt u de regel door de volgende tekst toe te voegen: 
      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");