若要啟用 VMware Identity Manager 內部部署的憑證驗證,則必須在負載平衡器上設定 SSL 傳遞。在 VMware Identity Manager 服務部署於 DMZ,且 VMware Identity Manager Connector 部署於內部網路的 DMZ 部署案例中,如果您不想允許連接器的輸入存取,則可以在內嵌於 VMware Identity Manager 服務中的連接器上啟用憑證驗證。
在此案例中,針對憑證驗證僅會使用內嵌連接器。而針對所有其他驗證方法皆會使用外部連接器。
若要將內嵌連接器用於憑證驗證,則需要為目錄建立新的工作區身分識別提供者,並使其與內嵌連接器建立關聯,然後在內嵌連接器上啟用憑證驗證配接器。接著,您可以設定使用憑證驗證方法的原則。您也可以針對個別的應用程式設定原則。
您也需要為憑證驗證設定 SSL 傳遞連接埠,以便在使用者與內嵌連接器之間進行 SSL 信號交換。您必須在 [應用裝置設定] 頁面上設定連接埠,並上傳其 SSL 憑證,然後為負載平衡器上的連接埠啟用 SSL 傳遞。
其他流量會繼續使用連接埠 443。
備註:
此功能不支援本機目錄。此外,此功能僅適用於內部部署 DMZ 部署,而不適用於任何其他安裝案例。
部署需求
先決條件
針對 VMware Identity Manager 伺服器上的 SSL 傳遞連接埠,從公用憑證授權機構取得已簽署的 SSL 憑證。憑證上的主機名稱必須符合負載平衡器的主機名稱。憑證也必須受到使用者的信任。
程序
- 設定憑證驗證的 SSL 傳遞連接埠。
- 在管理主控台中,按一下應用裝置設定索引標籤。
- 按一下管理組態,然後輸入管理員使用者密碼。
- 在左窗格中按一下安裝 SSL 憑證,然後選取傳遞憑證索引標籤。
- 輸入必要的資訊。
選項 |
說明 |
連接埠 |
輸入要作為憑證驗證之 SSL 傳遞連接埠的連接埠。預設連接埠為 7443。 連接埠必須介於 1024-65535 的範圍內,且不得為 8443,因為這是管理連接埠。
|
SSL 憑證鏈結 |
複製並貼上 SSL 憑證。請以下列順序包含整個憑證鏈結: 伺服器憑證 中繼憑證 根憑證 針對每個憑證,複製 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE---- 之間的所有內容 (包括這兩行)。 憑證必須採用 PEM 格式。 |
私密金鑰 |
複製並貼上私密金鑰。 |
- 按一下新增。
- 建立新的工作區身分識別提供者。
- 按一下身分識別與存取管理索引標籤,然後按一下身分識別提供者索引標籤。
- 按一下新增身分識別提供者,然後選取建立 Workspace IDP。
- 輸入新身分識別提供者的資訊。
選項 |
說明 |
身分識別提供者名稱 |
輸入身分識別提供者的名稱。 |
使用者 |
選取要啟用憑證驗證的目錄。
|
連接器 |
從新增連接器下拉式功能表中,選取內嵌連接器。內嵌連接器的主機名稱與服務相同。 取消選取繫結至 AD 核取方塊。 按一下新增連接器。
|
網路 |
選取可從中存取身分識別提供者的網路範圍。 |
- 按一下新增。
- 設定內嵌連接器的連接埠。
- 按一下身分識別與存取管理索引標籤,然後按一下設定。
- 在 [連接器] 頁面中,按一下您為內嵌連接器新建的工作區身分識別提供者。
- 在 IdP 主機名稱文字方塊中,將值從 hostname 變更為 hostname:port,其中 port 是您在步驟 1 中為憑證驗證設定的自訂連接埠。
- 按一下儲存。
- 在內嵌連接器上啟用 CertificateAuthAdapter。
- 按一下設定。
- 在 [連接器] 頁面中,尋找內嵌連接器。
- 在內嵌連接器列中,按一下 Worker 資料行中的連結。
每個 Worker 分別會與一個目錄相關聯。如果列出多個 Worker,請按一下要啟用憑證驗證之目錄的 Worker 連結。
- 按一下驗證配接器索引標籤。
- 按一下 CertificateAuthAdapter。
- 設定並啟用配接器。如需相關資訊,請參閱《VMware Identity Manager 管理》。
- 按一下儲存。
- 確認 [身分識別提供者] 頁面顯示了憑證驗證方法。
- 按一下管理,然後按一下身分識別提供者索引標籤。
- 確認憑證驗證顯示在您所建立之新身分識別提供者的驗證方法資料行中。
- 根據您的需求,設定使用憑證驗證方法的原則。
- 按一下管理,然後按一下身分識別提供者索引標籤。
- 按一下要編輯的原則。
- 視需要設定使用憑證驗證方法的原則規則。
如需關於建立原則的詳細資訊,請參閱《VMware Identity Manager 管理》。
