您可以在 vRealize AutomationDirectories Management和使用 SSO2 的系統之間建立 SAML 聯盟,以支援 Single Sign-on。

開始之前

  • 設定 vRealize Automation 部署的承租人。請參閱建立其他承租人

  • 設定適當的 Active Directory 連結以支援基本 Active Directory 使用者識別碼和密碼驗證。

  • 承租人管理員身分登入 vRealize Automation 主控台。

執行這項作業的原因和時機

透過在兩方之間建立 SAML 連線來,在Directories Management和 SSO2 之間建立聯盟。目前,唯一支援的端對端流程是其中 SSO2 充當身分識別提供者 (IDP) 及Directories Management充當服務提供者 (SP)。

對於 SSO2 使用者驗證,相同的帳戶必須同時存在於Directories Management和 SSO2 中。至少使用者的 UserPrincipalName (UPN) 必須在這兩端上相符。其他屬性可能不同,因為需要它們來識別 SAML 主題。

對於 SSO2 中的本機使用者 (例如 admin@vsphere.local),對應的帳戶也必須存在於Directories Management中 (其中,至少使用者的 UPN 相符)。透過Directories Management本機使用者建立 API 手動或使用指令碼建立這些帳戶。

在 SSO2 與Directories Management之間設定 SAML 涉及在身分識別目錄管理和 SSO 元件上進行設定。

表格 1. SAML 聯盟元件組態

元件

組態

身分識別目錄管理

設定 SSO2 做為Directories Management上的第三方身分識別提供者,並更新預設驗證原則。您可以建立自動化指令碼,以設定Directories Management

SSO2 元件

透過匯入Directories Management sp.xml 檔案來設定Directories Management做為服務提供者。此檔案可讓您將 SSO2 設定為使用Directories Management做為服務提供者 (SP)。

程序

  1. 透過 SSO2 使用者介面下載 SSO2 身分識別提供者中繼資料。
    1. https://<cloudvm-hostname>/ 上以管理員身分登入至 vCenter。
    2. 按一下登入 vSphere Web Client 連結。
    3. 在左側導覽窗格中選取管理 > Single Sign On > 組態
    4. 針對 SAML 服務提供者標題,按一下中繼資料相鄰的下載

      vsphere.local.xml 檔案應當開始下載。

    5. 複製 vsphere.local.xml 檔案的內容。
  2. vRealize Automation 身分識別目錄管理身分識別提供者頁面上,建立新的身分識別提供者。
    1. 承租人管理員身分登入 vRealize Automation
    2. 選取管理 > 身分識別目錄管理 > 身分識別提供者
    3. 按一下新增身分識別提供者並提供組態資訊。

      選項

      動作

      身分識別提供者名稱

      輸入新身分識別提供者的名稱。

      身分識別提供者中繼資料 (URI 或 XML) 文字方塊

      在文字方塊中貼上 SSO2 idp.xml 中繼資料檔案的內容,並按一下處理 IDP 中繼資料

      SAML 申請中的名稱識別碼原則 (選擇性)

      輸入 http://schemas.xmlsoap.org/claims/UPN.

      使用者

      選取您想要使用者擁有存取權限的網域。

      網路

      選取您想要使用者擁有存取權限的網路範圍。

      如果要從 IP 位址驗證使用者,請選取所有範圍

      驗證方法

      輸入驗證方法的名稱。然後,使用右側的 SAML 內容下拉式功能表,將驗證方法對應至 urn:oasis:names:tc:SAML:2.0:ac:classes:Password

      SAML 簽署憑證

      按一下 SAML 中繼資料標題旁的連結,以下載身分識別目錄管理中繼資料。

    4. 將身分識別目錄管理中繼資料檔案另存為 sp.xml
    5. 按一下新增
  3. 使用 [身分識別目錄管理原則] 頁面更新相關驗證原則,以將驗證重新導向至第三方 SSO2 身分識別提供者。
    1. 選取管理 > 身分識別目錄管理 > 原則
    2. 按一下預設原則名稱。
    3. 按一下原則規則標題下的驗證方法,以編輯現有驗證規則。
    4. 在 [編輯原則規則] 頁面上,將驗證方法從密碼變更為適當的方法。

      在此案例中,方法應當為 SSO2。

    5. 按一下儲存儲存您的原則更新。
  4. 在左側導覽窗格中選取管理 > Single Sign On > 組態,並按一下更新,將 sp.xml 檔案上傳至 vSphere