Между vRealize AutomationDirectories Management и системами, в которых для поддержки единого входа используется SSO2, можно установить федерацию SAML.

Установите федерацию между Directories Management и SSO2 путем создания подключения SAML между двумя этими объектами. В настоящее время единственным поддерживаемым сквозным потоком является поток, где SSO2 действует как поставщик удостоверений (IdP), а Directories Management — как поставщик услуг (SP).

Для проверки подлинности пользователя SSO2 должна существовать одинаковая учетная запись в Directories Management и SSO2. По крайней мере имя UserPrincipalName (UPN) пользователя должно совпадать. Другие атрибуты могут отличаться, так как они требуются для идентификации субъекта SAML.

Для локальных пользователей в SSO2, например admin@vsphere.local, в Directories Management также должны существовать соответствующие учетные записи (по крайней мере с совпадающими именами UPN пользователей). Создайте эти учетные записи вручную или с помощью сценария, в котором используются интерфейсы API для создания локального пользователя Directories Management.

При настройке SAML между SSO2 и Directories Management выполняется настройка компонентов управления каталогами и службы единого входа.

Табл. 1. Конфигурация компонента федерации SAML
Компонент Конфигурация
Управление каталогами Настройте SSO2 в качестве стороннего поставщика удостоверений в разделе Directories Management и обновите политику проверки подлинности по умолчанию. Для настройки Directories Management можно создать автоматизированный сценарий.
Компонент SSO2 Настройте Directories Management в качестве поставщика услуг, выполнив импорт файла Directories Managementsp.xml. Этот файл позволяет настроить SSO2 для использования Directories Management в качестве поставщика услуг (SP).

Необходимые условия

  • Настройте арендаторов для развертывания vRealize Automation. См. раздел Создание дополнительных арендаторов.
  • Задайте подходящую ссылку Active Directory для поддержки стандартной проверки подлинности идентификатора и пароля пользователя Active Directory.
  • Войдите в vRealize Automation в качестве администратора арендатора.

Процедура

  1. Загрузите метаданные поставщика удостоверений SSO2 через интерфейс пользователя SSO2.
    1. а. Войдите в vCenter в качестве администратора по адресу https://<cloudvm-hostname>/.
    2. б. Щелкните ссылку Вход в vSphere Web Client.
    3. в. На панели навигации слева выберите Администрирование > Single Sign On > Конфигурация.
    4. г. Щелкните Загрузить рядом с заголовком «Метаданные для поставщика услуг SAML».
      Должен начать загружаться файл vsphere.local.xml.
    5. д. Скопируйте содержимое файла vsphere.local.xml.
  2. На странице «Поставщики удостоверений управления каталогамиvRealize Automation» создайте новый поставщик удостоверений.
    1. а. Войдите в vRealize Automation в качестве администратора арендатора.
    2. б. Выберите Администрирование > Управление каталогами > Поставщики удостоверений.
    3. в. Щелкните Добавить поставщика удостоверений и предоставьте сведения конфигурации.
      Параметр Действие
      Имя поставщика удостоверений Введите имя нового поставщика удостоверений.
      Текстовое поле Метаданные поставщика удостоверений (URI или XML) Вставьте содержимое файла метаданных SSO2 idp.xml в текстовое поле и нажмите кнопку Обработать метаданные пост. удост.
      Политика идентификатора имени в запросе SAML (необязательно) Введите http://schemas.xmlsoap.org/claims/UPN.
      Пользователи Выберите домены, для доступа к которым необходимо предоставить пользователям привилегии.
      Сеть

      Выберите диапазоны сети, в которых пользователям необходимо предоставить привилегии доступа.

      Если нужно проверять подлинность пользователей с IP-адресов, выберите Все диапазоны.

      Способы проверки подлинности Введите имя способа проверки подлинности. Затем используйте раскрывающееся меню Контекст SAML справа для сопоставления способа проверки подлинности с urn:oasis:names:tc:SAML:2.0:ac:classes:Password.
      Сертификат подписи SAML Перейдите по ссылке рядом с заголовком «Метаданные SAML», чтобы загрузить метаданные службы управления каталогами.
    4. г. Сохраните файл метаданных службы управления каталогами как sp.xml.
    5. д. Щелкните Добавить.
  3. Обновите соответствующую политику проверки подлинности на странице «Политики управления каталогами» для перенаправления проверки подлинности на стороннего поставщика удостоверений SSO2.
    1. а. Выберите Администрирование > Управление каталогами > Политики.
    2. б. Щелкните имя политики по умолчанию.
    3. в. Щелкните способ проверки подлинности под заголовком Правила политики для редактирования существующего правила проверки подлинности.
    4. г. На странице «Изменить правило политики» установите другой способ проверки подлинности (не по паролю).
      В этом случае должен быть метод SSO2.
    5. д. Щелкните Сохранить, чтобы сохранить внесенные изменения в политике.
  4. На панели навигации слева выберите Администрирование > Single Sign On > Конфигурация и щелкните Обновить, чтобы передать файл sp.xml в vSphere.