Управление федеративными удостоверениями позволяет подтверждать и использовать электронные удостоверения и другие атрибуты одного домена для доступа к ресурсам в других доменах. Можно включить управление федеративными удостоверениями между vRealize Automation, vRealize Operations Manager и vSphere Web Client, используя vCenter Single Sign-On и VMware Identity Manager.

В среде федеративных удостоверений пользователи делятся по категориям на основе способа их взаимодействия с системами федеративных удостоверений. Эти системы используются для получения служб. Администраторы настраивают федерацию и управляют ей между системами. Разработчики создают и расширяют службы, используемые пользователями. В следующей таблице описаны преимущества управления федеративными удостоверениями, которые понравились пользователям.

Табл. 1. Преимущества для пользователей
Типы пользователей Преимущество федеративного удостоверения
Пользователи
  • Удобный единый вход в различные приложения
  • Управление меньшим количеством паролей
  • Улучшенная система безопасности
Администраторы
  • Улучшенный контроль над предоставлением прав на работу с приложениями и доступа к приложениям
  • Проверка подлинности на основе контекста и политик
Разработчики
  • Простая интеграция
  • Преимущества поддержки нескольких арендаторов, управление пользователями и группами, расширяемая проверка подлинности и упрощенная делегированная авторизация

Можно настроить федерацию между VMware Identity Manager и vCenter Single Sign-On с помощью создания подключения SAML между двумя сторонами. vCenter Single Sign-On выступает в качестве поставщика удостоверений, а VMware Identity Manager — в качестве поставщика служб. Поставщик удостоверений предоставляет электронное удостоверение. Поставщик служб предоставляет доступ к ресурсам после оценки и принятия электронного удостоверения.

У пользователей, прошедших проверку подлинности vCenter Single Sign-On, та же самая учетная запись должна быть в VMware Identity Manager и vCenter Single Sign-On. По крайней мере, атрибут userPrinicpalName для пользователя должен совпадать с обеих сторон. Другие атрибуты могут различаться, так как они не используются для идентификации субъекта SAML.

Для локальных пользователей в vCenter Single Sign-On, например admin@vsphere.local, в VMware Identity Manager также должны быть созданы соответствующие учетные записи (где совпадает, по крайней мере, атрибут userPrinicpalName пользователя). Соответствующие учетные записи необходимо создать вручную или посредством сценария с помощью интерфейсов API для создания локальных пользователей VMware Identity Manager.

Настройка SAML между SSO2 и vIDM предусматривает следующие задачи.

  1. Нужно импортировать маркер SAML из vCenter Single Sign-On в VMware Identity Manager перед обновлением проверки подлинности VMware Identity Manager по умолчанию.
  2. В VMware Identity Manager нужно установить vCenter Single Sign-On в качестве стороннего поставщика удостоверений в VMware Identity Manager и обновить проверку подлинности VMware Identity Manager по умолчанию.
  3. В vCenter Single Sign-On нужно настроить VMware Identity Manager в качестве поставщика служб с помощью импорта файла VMware Identity Manager с путем sp.xml.

См. следующую документацию по продуктам.