您可以在 vRealize Automation Directories Management與使用 SSO2 的系統之間建立聯盟。

開始之前

  • 您已設定承租人,以便 vRealize Automation 部署設定適當的 Active Directory 連結來支援基本 Active Directory 使用者識別碼及密碼驗證。

  • Active Directory 已安裝並設定,可供在您的網路上使用。

  • 取得適當的 Active Directory Federated Services (ADFS) 中繼資料。

  • 承租人管理員身分登入 vRealize Automation 主控台。

執行這項作業的原因和時機

透過在兩方之間建立 SAML 連線來,在Directories Management和 SSO2 之間建立聯盟。目前,唯一支援的端對端流程是其中 SSO2 充當身分識別提供者 (Idp) 及Directories Management充當服務提供者 (SP)。

對於要透過 SSO2 驗證的使用者,相同帳戶必須同時存在於Directories Management和 SSO2 中。至少使用者的 UserPrinicpalName (UPN) 必須在這兩端上相符。其他屬性可能不同,因為需要它們來識別 SAML 主題。

對於 SSO2 中的本機使用者 (例如,admin@vsphere.local),也必須在Directories Management中建立對應的帳戶 (其中,至少使用者的 UPN 相符)。目前,必須手動完成此作業,或透過使用Directories Management本機使用者建立 API 的指令碼來完成。

在 SSO2 與Directories Management之間設定 SAML 涉及在身分識別目錄管理和 SSO 元件上進行設定。

表格 1. SAML 聯盟元件組態

元件

組態

身分識別目錄管理

設定 SSO2 做為Directories Management上的第三方身分識別提供者,並更新預設驗證原則。您可以建立自動化指令碼,以設定Directories Management

SSO2 元件

透過匯入Directories Management sp.xml 檔案來,設定Directories Management做為服務提供者。此檔案可讓您將 SSO2 設定為使用Directories Management做為服務提供者 (SP)。

程序

  1. 透過 SSO2 使用者介面下載 SSO2 身分識別提供者中繼資料。
    1. 在 https://<cloudvm-hostnamte>/ 以管理員身分登入 vCenter。
    2. 按一下 [登入 vSphere Web Client 連結]
    3. 在左側導覽窗格中選取管理 > Single Sign On > 組態
    4. 針對 SAML 服務提供者標題,按一下中繼資料相鄰的下載

      vsphere.local.xml 檔案應當開始下載。

    5. 複製 vsphere.local.xml 檔案的內容。
  2. 使用 vRealize Automation 身分識別目錄管理身分識別提供者頁面,建立新的身分識別提供者。
    1. 承租人管理員身分登入 vRealize Automation
    2. 選取管理 > 身分識別目錄管理 > 身分識別提供者
    3. 按一下新增身分識別提供者
    4. 身分識別提供者名稱文字方塊中輸入新身分識別提供者的名稱。
    5. 將 SSO2 idp.xml 中繼資料檔案的內容貼上至身分識別提供者中繼資料 (URI 或 XML) 文字方塊。
    6. 按一下處理 IDP 中繼資料
    7. SAML 申請中的名稱 ID 原則 (選擇性) 文字方塊中,輸入下列項目。

      http://schemas.xmlsoap.org/claims/UPN

    8. 使用者文字方塊中,選取想要使用者取得存取權限的網域。
    9. 網路文字方塊中,選取想要使用者取得此身分識別提供者之存取權限的網路範圍。

      如果要從 IP 位址驗證使用者,請選取所有範圍

    10. 驗證方法文字方塊中,輸入驗證方法的名稱。
    11. 使用驗證方法文字方塊右側的 SAML 內容下拉式功能表,將驗證方法對應到 urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    12. 按一下 SAML 簽署憑證文字方塊下的 [SAML 中繼資料] 標題旁的連結,以下載身分識別目錄管理中繼資料。
    13. 將身分識別目錄管理中繼資料檔案另存為 sp.xml
    14. 按一下新增
  3. 使用 [身分識別目錄管理原則] 頁面更新相關驗證原則,以將驗證重新導向至第三方 SSO2 身分識別提供者。
    1. 選取管理 > 身分識別目錄管理 > 原則
    2. 按一下預設原則名稱。
    3. 按一下原則規則標題下的驗證方法,以編輯現有驗證規則。

      使用 [編輯原則規則] 頁面上的欄位,將驗證方法從密碼變更為適當的方法。在此案例中,方法應當為 SSO2。

    4. 按一下儲存儲存您的原則更新。
  4. 在左側導覽窗格中選取管理 > Single Sign On > 組態,並按一下更新,將 sp.xml 檔案上傳至 vSphere。