vRealize Automation 隨預設身分識別提供者執行個體一起提供。使用者可能想要建立其他身分識別提供者執行個體。

開始之前

  • 設定您想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。請參閱新增或編輯網路範圍

  • 用於第三方中繼資料文件的存取權。這可以是中繼資料的 URL 或是實際中繼資料。

  • 承租人管理員身分登入 vRealize Automation 主控台。

執行這項作業的原因和時機

vRealize Automation 隨預設身分識別提供者一起提供。在多數情況下,預設提供者足以滿足客戶的需求。如果使用的是現有企業身分識別管理解決方案,則可以設定自訂身分識別提供者,以將使用者重新導向至現有身分識別解決方案。

使用自訂身分識別提供者時,身分識別目錄管理會使用來自該提供者的 SAML 中繼資料來建立與提供者的信任關係。建立此關係之後,身分識別目錄管理會根據主體名稱識別碼,將來自 SAML 判斷提示的使用者對應至內部 vRealize Automation 使用者的清單。

程序

  1. 導覽至管理 > 身分識別目錄管理 > 身分識別提供者

    此頁面顯示所有設定的身分識別提供者。

  2. 按一下新增身分識別提供者,然後編輯身分識別提供者執行個體設定。

    表單項目

    說明

    身分識別提供者名稱

    輸入此身分識別提供者執行個體的名稱。

    SAML 中繼資料

    新增第三方 IdP XML 式中繼資料文件,以與身分識別提供者建立信任關係。

    1. 在文字方塊中輸入 SAML 中繼資料 URL 或 xml 內容。

    2. 按一下處理 IdP 中繼資料。IdP 支援的 NameID 格式將從中繼資料擷取並新增至 [名稱識別碼格式] 資料表。

    3. 在 [名稱識別碼值] 資料行中,於服務中選取使用者屬性以與顯示的識別碼格式對應。您可以新增自訂第三方名稱識別碼格式,並將其對應至服務中的使用者屬性值。

    4. (選擇性) 選取 NameIDPolicy 回應識別碼字串格式。

    使用者

    選取可使用此身分識別提供者驗證之使用者的 Directories Management 目錄。

    網路

    列出了服務中設定的現有網路範圍。

    根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。

    驗證方法

    新增第三方身分識別提供者支援的驗證方法。選取支援驗證方法的 SAML 驗證內容類別。

    SAML 簽署憑證

    按一下服務提供者 (SP) 中繼資料,以查看 Directories Management SAML 服務提供者中繼資料 URL 的 URL。複製並儲存該 URL。在第三方身分識別提供者中編輯 SAML 宣告以對應 Directories Management 使用者時會設定此 URL。

    主機名稱

    如果顯示主機名稱欄位,則輸入身分識別提供者重新導向至的主機名稱,以便進行驗證。如果使用的是 443 以外的非標準連接埠,則可以將其設定為「主機名稱:連接埠」。例如 myco.example.com:8443。

  3. 按一下新增

下一步

  • 複製並儲存設定第三方身分識別提供者執行個體所需的 Directories Management 服務提供者中繼資料。此中繼資料可從 [身分識別提供者] 頁面的 [SAML 簽署憑證] 區段中取得。

  • 將身分識別提供者的驗證方法新增至服務預設原則。

如需新增和自訂您新增至目錄之資源的相關資訊,請參閱《在 Directories Management 中設定資源》指南。