Управление федеративными удостоверениями

Управление федеративными удостоверениями позволяет подтверждать и использовать электронные удостоверения и другие атрибуты одного домена для доступа к ресурсам в других доменах. Можно включить управление федеративными удостоверениями между vRealize Automation, vRealize Operations Manager и vSphere Web Client, используя vCenter Single Sign-On и VMware Identity Manager.

В среде федеративных удостоверений пользователи делятся по категориям на основе способа их взаимодействия с системами федеративных удостоверений. Эти системы используются для получения служб. Администраторы настраивают федерацию и управляют ей между системами. Разработчики создают и расширяют службы, используемые пользователями. В следующей таблице описаны преимущества управления федеративными удостоверениями, которые понравились пользователям.

Табл. 1. Преимущества для пользователей
Типы пользователей	Преимущество федеративного удостоверения
Пользователи	Удобный единый вход в различные приложения Управление меньшим количеством паролей Улучшенная система безопасности
Администраторы	Улучшенный контроль над предоставлением прав на работу с приложениями и доступа к приложениям Проверка подлинности на основе контекста и политик
Разработчики	Простая интеграция Преимущества поддержки нескольких арендаторов, управление пользователями и группами, расширяемая проверка подлинности и упрощенная делегированная авторизация

Можно настроить федерацию между VMware Identity Manager и vCenter Single Sign-On с помощью создания подключения SAML между двумя сторонами. vCenter Single Sign-On выступает в качестве поставщика удостоверений, а VMware Identity Manager — в качестве поставщика служб. Поставщик удостоверений предоставляет электронное удостоверение. Поставщик служб предоставляет доступ к ресурсам после оценки и принятия электронного удостоверения.

У пользователей, прошедших проверку подлинности vCenter Single Sign-On, та же самая учетная запись должна быть в VMware Identity Manager и vCenter Single Sign-On. По крайней мере, атрибут userPrinicpalName для пользователя должен совпадать с обеих сторон. Другие атрибуты могут различаться, так как они не используются для идентификации субъекта SAML.

Для локальных пользователей в vCenter Single Sign-On, например [email protected], в VMware Identity Manager также должны быть созданы соответствующие учетные записи (где совпадает, по крайней мере, атрибут userPrinicpalName пользователя). Соответствующие учетные записи необходимо создать вручную или посредством сценария с помощью интерфейсов API для создания локальных пользователей VMware Identity Manager.

Настройка SAML между SSO2 и vIDM предусматривает следующие задачи.

Нужно импортировать маркер SAML из vCenter Single Sign-On в VMware Identity Manager перед обновлением проверки подлинности VMware Identity Manager по умолчанию.
В VMware Identity Manager нужно установить vCenter Single Sign-On в качестве стороннего поставщика удостоверений в VMware Identity Manager и обновить проверку подлинности VMware Identity Manager по умолчанию.
В vCenter Single Sign-On нужно настроить VMware Identity Manager в качестве поставщика служб с помощью импорта файла VMware Identity Manager с путем sp.xml.

См. следующую документацию по продуктам.

Сведения о настройке SSO2 в качестве поставщика удостоверений для vRealize Automation см. в разделе Использование VMware vCenter SSO 5.5 U2 с VMware vCloud Automation Center 6.1.
Документацию по vRealize AutomationVMware Identity Manager см. в разделе Обновление пароля Single Sign-On для VMware Identity Manager.
Сведения о способе настройки федерации между управлением каталогами и SSO2 см. в разделе Настройка федерации SAML между функцией управления каталогами и SSO2.
Документацию по vRealize Operations Manager SSO см. в разделе Настройка источника Single Sign-On в vRealize Operations Manager.