Federatief identiteitsbeheer maakt het mogelijk om elektronische identiteiten en kenmerken van één domein te accepteren en te gebruiken voor toegang tot bronnen in andere domeinen. U kunt federatief identiteitsbeheer inschakelen tussen vRealize Automation, vRealize Operations Manager en vSphere Web Client met behulp van vCenter Single Sign-On en VMware Identity Manager.

Federatieve identiteitsomgevingen delen gebruikers in in categorieën, die persona's worden genoemd, op basis van hoe ze werken met federatieve identiteitssystemen. Gebruikers gebruiken de systemen om services te ontvangen. Beheerders configureren en beheren federatie tussen de systemen. Ontwikkelaars maken services die door gebruikers worden gebruikt en kunnen die uitbreiden. In de volgende tabel beschrijven we de voordelen van federatief identiteitsbeheer waarvan deze persona gebruikmaakt.

Tabel 1. Voordelen voor persona

Gebruikerstypen

Voordeel van federatieve identiteit

Gebruikers

  • Handige Single Sign-On voor meerdere toepassingen

  • Minder wachtwoorden te beheren

  • Verbeterde beveiliging

Beheerders

  • Meer controle over toepassingsrechten en toegang

  • Context en authenticatie op basis van beleid

Ontwikkelaars

  • Eenvoudige integratie

  • Voordelen van meerdere tenants, gebruikers- en groepsbeheer, uitbreidbare verificatie en gedelegeerde autorisatie met een minimum aan inspanning

U kunt federatie tussen VMware Identity Manager en vCenter Single Sign-On instellen door een SAML-verbinding te maken tussen de twee partijen. vCenter Single Sign-On fungeert als de identiteitsprovider en VMware Identity Manager als de serviceprovider. Een identiteitsprovider levert een elektronische identiteit. Een serviceprovider verleent toegang tot bronnen na beoordeling en acceptatie van de elektronische identiteit.

Voor de verificatie van gebruikers door vCenter Single Sign-On moet hetzelfde account bestaan in VMware Identity Manager en vCenter Single Sign-On. De userPrinicpalName van de gebruiker moet aan beide uiteinden overeenkomen. Overige kenmerken kunnen verschillen omdat ze niet worden gebruikt om het SAML Subject te identificeren.

Voor lokale gebruikers in vCenter Single Sign-On, zoals admin@vsphere.local, moeten ook overeenkomende accounts worden gemaakt in VMware Identity Manager waarbij minimaal de userPrincipalName van de gebruiker overeenkomt. De overeenkomende accounts moeten handmatig worden gemaakt of met behulp van een script met de API's van VMware Identity Manager voor het maken van lokale gebruikers.

De volgende taken moeten worden voltooid om SAML tussen SSO2 en vIDM in te stellen.

  1. Importeer het SAML-token van vCenter Single Sign-On in VMware Identity Manager voordat u de VMware Identity Manager-standaardverificatie bijwerkt.

  2. Configureer in VMware Identity Manager vCenter Single Sign-On als een identiteitsprovider voor VMware Identity Manager en werk de VMware Identity Manager-standaardverificatie bij.

  3. Configureer voor vCenter Single Sign-On VMware Identity Manager als serviceprovider door het VMware Identity Manager sp.xml-bestand te importeren.

Raadpleeg de volgende productdocumentatie: