Door een vertrouwensrelatie in twee richtingen te configureren tussen uw identiteitsprovider en Active Directory Federated Services kunt u de systeembeveiliging van een vRealize Automation Active Directory-basisverbinding verbeteren.
Als u een vertrouwensrelatie in twee richtingen tussen vRealize Automation en Active Directory wilt configureren, moet u een aangepaste identiteitsprovider maken en Active Directory-metagegevens toevoegen aan deze provider. U moet tevens het standaardbeleid wijzigen dat wordt gebruikt door uw vRealize Automation-implementatie. Ten slotte moet u Active Directory configureren voor het herkennen van uw identiteitsprovider.
Procedure
- Haal het bestand met federatieve metagegevens op.
U kunt dit bestand downloaden van https://
servernaam.domein/FederationMetadata/2007-06/FederationMetadata.xml
- Zoek het woord logout en bewerk de locatie van elke instantie, zodat deze wijst naar https://servernaam.domein/adfs/ls/logout.aspx
De volgende vermelding:
SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://servername.domain/adfs/ls/ "/>
Moet bijvoorbeeld worden gewijzigd in:
SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://servername.domain/adfs/ls/logout.aspx"/>
- Maak een nieuwe identiteitsprovider voor uw implementatie.
- Selecteer .
- Klik op Identiteitsprovider toevoegen en vul in de velden de vereiste gegevens in.
Optie |
Beschrijving |
Naam van identiteitsprovider |
Geef een naam op voor de nieuwe identiteitsprovider |
Identiteitsprovider metadata (URL of XML) |
Plak hier de inhoud van het bestand met metagegevens van Active Directory Federated Services. |
Beleid voor naam-id in SAML-aanvraag (optioneel) |
Voer indien vereist een naam in voor het identiteitsbeleid in de SAML-aanvraag. |
Gebruikers |
Selecteer de domeinen waarvoor u gebruikers toegangsrechten wilt verlenen. |
IDP-metagegevens verwerken |
Klik hier om het door u toegevoegde metagegevensbestand te verwerken. |
Netwerk |
Selecteer de netwerkbereiken waartoe u gebruikers toegang wilt verlenen. |
Verificatiemethoden |
Voer een naam in voor de verificatiemethode die wordt gebruikt door deze identiteitsprovider. |
SAML-context |
Selecteer de juiste context voor uw systeem. |
SAML-handtekeningcertificaat |
Klik op de koppeling naast de kop SAML-metagegevens om de metagegevens voor Beheer van directory's te downloaden. |
- Sla het metagegevensbestand van Beheer van directory's op als sp.xml.
- Klik op Toevoegen.
- Voeg een regel toe aan het standaardbeleid.
- Selecteer .
- Klik op de naam van het standaardbeleid.
- Klik op het pictogram + onder de kop Beleidsregels om een nieuwe regel toe te voegen.
Gebruik de opties op de pagina Een beleidsregel toevoegen om een regel te maken waarmee de juiste primaire en secundaire verificatiemethoden worden opgegeven voor een specifiek netwerkbereik en apparaat.
Als uw netwerkbereik bijvoorbeeld
Mijn machine is en u toegang moet krijgen tot inhoud op
Alle apparaattypen, moet u in een typische implementatie verificatie uitvoeren via de volgende methode:
ADFS-gebruikersnaam en -wachtwoord.
- Klik op OK om het bijgewerkte beleid op te slaan.
- Sleep de nieuwe regel op de pagina Standaardbeleid naar de bovenkant van de tabel, zodat deze voorrang krijgt boven de bestaande regels.
- Gebruik de beheerconsole van Active Directory Federated Services, of een ander geschikt hulpprogramma, om een Relying Party-vertrouwensrelatie in te stellen met de vRealize Automation-identiteitsprovider.
Voor het instellen van deze vertrouwensrelatie moet u de metagegevens van Directory's beheren importeren die u eerder hebt gedownload. Zie de Microsoft Active Directory-documentatie voor meer informatie over het configureren van Active Directory Federated Services voor vertrouwensrelaties in twee richtingen. Als onderdeel van dit proces moet u het volgende doen:
- Een Relying Party-vertrouwensrelatie instellen. Bij het instellen van deze vertrouwensrelatie moet u het XML-metagegevensbestand van de VMware Identity Provider-serviceprovider importeren die u hebt gekopieerd en opgeslagen.
- Maak een claimregel die de kenmerken die worden opgehaald uit LDAP in de regel Get Attributes omzet in de gewenste SAML-indeling. Nadat u de regel hebt gemaakt, bewerkt u de regel door de volgende tekst toe te voegen:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");