您可以透過在您的身分識別提供者與 Active Directory Federated Services 之前設定雙向信任關係,來增強基本 vRealize Automation Active Directory 連線的系統安全性。

執行這項作業的原因和時機

若要設定 vRealize Automation 與 Active Directory 之間的雙向信任關係,您必須建立自訂身分識別提供者並向此提供者新增 Active Directory 中繼資料。此外,您還必須修改 vRealize Automation 部署所使用的預設原則。最後,您必須將 Active Directory 設定為辨識身分識別提供者。

先決條件

  • 確認您已設定承租人,以便 vRealize Automation 部署設定適當的 Active Directory 連結來支援基本 Active Directory 使用者識別碼及密碼驗證。

  • Active Directory 已安裝並設定,可供在您的網路上使用。

  • 取得適當的 Active Directory Federated Services (ADFS) 中繼資料。

  • 承租人管理員身分登入 vRealize Automation 主控台。

程序

  1. 獲取聯盟中繼資料檔案。

    您可以從 https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml 下載此檔案。

  2. 搜尋「登出」一詞,並編輯每個執行個體的位置,以指向 https://servername.domain/adfs/ls/logout.aspx

    例如以下內容:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    應變更為:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. 為您的部署建立新的身分識別提供者。
    1. 選取管理 > 身分識別目錄管理 > 身分識別提供者
    2. 按一下新增身分識別提供者,並視情況將欄位填寫完成。

      選項

      說明

      身分識別提供者名稱

      輸入新的身分識別提供者名稱

      身分識別提供者中繼資料 (URI 或 XML)

      在此處貼上 Active Directory Federated Services 中繼資料檔案的內容。

      SAML 要求中的名稱識別碼原則 (選擇性)

      如果適用,輸入身分識別原則 SAML 要求的名稱。

      使用者

      選取您想要使用者擁有存取權限的網域。

      處理 IDP 中繼資料

      按一下以處理您新增的中繼資料檔案。

      網路

      選取您想要使用者擁有存取權的網路範圍。

      驗證方法

      輸入此身分識別提供者所使用的驗證方法名稱。

      SAML 內容

      選取您系統適合的內容。

      SAML 簽署憑證

      按一下 SAML 中繼資料標題旁的連結,以下載身分識別目錄管理中繼資料。

    3. 將身分識別目錄管理中繼資料檔案另存為 sp.xml
    4. 按一下新增
  4. 將規則新增至預設原則。
    1. 選取管理 > 身分識別目錄管理 > 原則
    2. 按一下預設原則名稱。
    3. 按一下原則規則標題下的 + 圖示以新增規則。

      使用 [新增原則規則] 頁面上的欄位建立一個規則,以指定用於特定網路範圍和裝置的適當的主要和次要驗證方法。

      例如,如果您的網路範圍是 My Machine,而需要從 All Device Types 存取內容,則對於一般部署,則必須使用下列方法進行驗證:ADFS Username and Password

    4. 按一下儲存儲存您的原則更新。
    5. 在 [預設原則] 頁面上,將新規則拖曳至資料表頂部,使其優先於現有規則。
  5. 使用 Active Directory Federated Services 管理主控台或其他適當的工具,設定與 vRealize Automation 身分識別提供者的信賴憑證者信任關係。

    若要設定此信任,您必須匯入先前下載的身分識別目錄管理中繼資料。如需有關設定 Active Directory Federated Services 之雙向信任關係的詳細資訊,請參閱 Microsoft Active Directory 說明文件。在此程序的過程中,您必須執行下列操作:

    • 設定信賴方信任。當您設定此信任時,您必須匯入已複製和儲存的 VMware 身分識別提供者服務提供者中繼資料 XML 檔案

    • 建立宣告規則,將從「取得屬性」規則中的 LDAP 擷取的屬性轉換成所需的 SAML 格式。建立規則後,透過新增以下文字編輯規則:

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");