Можно повысить уровень системной безопасности обычного подключенияvRealize Automation Active Directory с помощью настройки двунаправленных отношений доверия между поставщиком удостоверений и службами федерации Active Directory.

Для настройки двунаправленных отношений доверия между vRealize Automation и Active Directory необходимо создать специального поставщика удостоверений и добавить в него метаданные Active Directory. Кроме того, необходимо изменить политику по умолчанию, используемую развертыванием vRealize Automation. Наконец, следует настроить Active Directory для распознавания поставщика удостоверений.

Необходимые условия

  • Убедитесь, что вы настроили арендаторов для развертывания vRealize Automation и создали соответствующий канал связи с Active Directory для поддержки обычной проверки подлинности по идентификатору пользователя Active Directory и паролю.
  • Служба Active Directory установлена и настроена для использования в вашей сети.
  • Получите соответствующие метаданные служб федерации Active Directory (ADFS).
  • Войдите в vRealize Automation в качестве администратора арендатора.

Процедура

  1. Получите файл Federation Metadata.
    Этот файл можно загрузить по ссылке https:// servername.domain/FederationMetadata/2007-06/FederationMetadata.xml
  2. Найдите слово «logout» (выход из системы) и измените расположение каждого экземпляра так, чтобы был указан адрес https://servername.domain/adfs/ls/logout.aspx
    Например,
    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    необходимо изменить на

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. Создайте нового поставщика удостоверений для развертывания.
    1. Выберите Администрирование > Управление каталогами > Поставщики удостоверений.
    2. Щелкните Добавить поставщика удостоверений и заполните поля соответствующим образом.
      Параметр Описание
      Имя поставщика удостоверений Введите имя нового поставщика удостоверений.
      Метаданные поставщика удостоверений (URL-адрес или XML) Вставьте содержимое файла метаданных служб федерации Active Directory здесь.
      Политика идентификатора имени в запросе SAML (необязательно) При необходимости введите имя для запроса политики удостоверений SAML.
      Пользователи Выберите домены, для доступа к которым необходимо предоставить пользователям привилегии.
      IDP-метаданные процесса Щелкните, чтобы обработать добавленный файл метаданных.
      Сеть Выберите диапазоны сети, доступ к которым необходимо предоставить пользователям.
      Способы проверки подлинности Введите имя способа проверки подлинности, который использует этот поставщик удостоверений.
      Контекст SAML Выберите подходящий контекст для системы.
      Сертификат подписи SAML Перейдите по ссылке рядом с заголовком «Метаданные SAML», чтобы загрузить метаданные службы управления каталогами.
    3. Сохраните файл метаданных службы управления каталогами как sp.xml.
    4. Нажмите кнопку Добавить.
  4. Добавьте правило в политику по умолчанию.
    1. Выберите Администрирование > Управление каталогами > Политики.
    2. Щелкните имя политики по умолчанию.
    3. Для добавления нового правила щелкните значок + под заголовком Правила политики.
      Для создания правила, указывающего соответствующие основной и дополнительный методы проверки подлинности для конкретного сетевого диапазона и устройства, используйте параметры на странице «Добавить правило политики».
      Например, если сетевой диапазон пользователя — «Мой компьютер», и пользователю нужно получать доступ к содержимому из «Всех типов устройств», то для типового развертывания проверка подлинности этого пользователя должна выполняться с помощью следующего метода: Имя пользователя ADFS и пароль.
    4. Щелкните OK, чтобы сохранить измененную политику.
    5. На странице «Политика по умолчанию» перетащите новое правило в верхнюю часть таблицы, чтобы оно имело более высокий приоритет, чем существующие правила.
  5. С помощью консоли управления службами федерации Active Directory или другого соответствующего средства установите отношения доверия между проверяющей стороной и поставщиком удостоверений vRealize Automation.
    Для установки таких отношений доверия необходимо импортировать предварительно загруженные метаданные службы управления каталогами. Дополнительные сведения о настройке консоли служб федерации Active Directory для двунаправленных отношений доверия см. в документации по Microsoft Active Directory. В рамках этого процесса необходимо выполнить следующие действия.
    • Установите отношения доверия с проверяющей стороной. При этом необходимо импортировать XML-файл метаданных поставщика услуг VMware Identity Provider, который вы скопировали и сохранили.
    • Создайте правило утверждения, которое преобразует атрибуты, полученные из LDAP в правиле Get Attributes (Получение атрибутов) в требуемый формат SAML. После создания правила измените его, добавив следующий текст:
      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");