Управление федеративными удостоверениями позволяет подтверждать и использовать электронные удостоверения и другие атрибуты одного домена для доступа к ресурсам в других доменах. Можно включить управление федеративными удостоверениями между vRealize Automation, vRealize Operations Manager и vSphere Web Client, используя vCenter Single Sign-On и VMware Identity Manager.

В среде федеративных удостоверений пользователи делятся по категориям на основе способа их взаимодействия с системами федеративных удостоверений. Эти системы используются для получения служб. Администраторы настраивают федерацию и управляют ей между системами. Разработчики создают и расширяют службы, используемые пользователями. В следующей таблице описаны преимущества управления федеративными удостоверениями, которые понравились пользователям.

Таблица 1. Преимущества для пользователей

Типы пользователей

Преимущество федеративного удостоверения

Пользователи

  • Удобный единый вход в различные приложения

  • Управление меньшим количеством паролей

  • Улучшенная система безопасности

Администраторы

  • Улучшенный контроль над предоставлением прав на работу с приложениями и доступа к приложениям

  • Проверка подлинности на основе контекста и политик

Разработчики

  • Простая интеграция

  • Преимущества поддержки нескольких арендаторов, управление пользователями и группами, расширяемая проверка подлинности и упрощенная делегированная авторизация

Можно настроить федерацию между VMware Identity Manager и vCenter Single Sign-On с помощью создания подключения SAML между двумя сторонами. vCenter Single Sign-On выступает в качестве поставщика удостоверений, а VMware Identity Manager — в качестве поставщика служб. Поставщик удостоверений предоставляет электронное удостоверение. Поставщик служб предоставляет доступ к ресурсам после оценки и принятия электронного удостоверения.

У пользователей, прошедших проверку подлинности vCenter Single Sign-On, та же самая учетная запись должна быть в VMware Identity Manager и vCenter Single Sign-On. По крайней мере, атрибут userPrinicpalName для пользователя должен совпадать с обеих сторон. Другие атрибуты могут различаться, так как они не используются для идентификации субъекта SAML.

Для локальных пользователей в vCenter Single Sign-On, например [email protected], в VMware Identity Manager также должны быть созданы соответствующие учетные записи (где совпадает, по крайней мере, атрибут userPrinicpalName пользователя). Соответствующие учетные записи необходимо создать вручную или посредством сценария с помощью интерфейсов API для создания локальных пользователей VMware Identity Manager.

Настройка SAML между SSO2 и vIDM предусматривает следующие задачи.

  1. Нужно импортировать маркер SAML из vCenter Single Sign-On в VMware Identity Manager перед обновлением проверки подлинности VMware Identity Manager по умолчанию.

  2. В VMware Identity Manager нужно установить vCenter Single Sign-On в качестве стороннего поставщика удостоверений в VMware Identity Manager и обновить проверку подлинности VMware Identity Manager по умолчанию.

  3. В vCenter Single Sign-On нужно настроить VMware Identity Manager в качестве поставщика служб с помощью импорта файла VMware Identity Manager с путем sp.xml.

См. следующую документацию по продуктам.