您可以在 vRealize AutomationDirectories Management和使用 SSO2 的系統之間建立 SAML 聯盟,以支援 Single Sign-on。

執行這項作業的原因和時機

透過在兩方之間建立 SAML 連線來,在Directories Management和 SSO2 之間建立聯盟。目前,唯一支援的端對端流程是其中 SSO2 充當身分識別提供者 (IDP) 及Directories Management充當服務提供者 (SP)。

對於 SSO2 使用者驗證,相同的帳戶必須同時存在於Directories Management和 SSO2 中。至少使用者的 UserPrincipalName (UPN) 必須在這兩端上相符。其他屬性可能不同,因為需要它們來識別 SAML 主題。

對於 SSO2 中的本機使用者 (例如 admin@vsphere.local),對應的帳戶也必須存在於Directories Management中 (其中,至少使用者的 UPN 相符)。透過Directories Management本機使用者建立 API 手動或使用指令碼建立這些帳戶。

在 SSO2 與Directories Management之間設定 SAML 涉及在身分識別目錄管理和 SSO 元件上進行設定。

表格 1. SAML 聯盟元件組態

元件

組態

身分識別目錄管理

設定 SSO2 做為Directories Management上的第三方身分識別提供者,並更新預設驗證原則。您可以建立自動化指令碼,以設定Directories Management

SSO2 元件

透過匯入Directories Management sp.xml 檔案來設定Directories Management做為服務提供者。此檔案可讓您將 SSO2 設定為使用Directories Management做為服務提供者 (SP)。

先決條件

  • 設定 vRealize Automation 部署的承租人。請參閱建立其他承租人

  • 設定適當的 Active Directory 連結以支援基本 Active Directory 使用者識別碼和密碼驗證。

  • 承租人管理員身分登入 vRealize Automation 主控台。

程序

  1. 透過 SSO2 使用者介面下載 SSO2 身分識別提供者中繼資料。
    1. https://<cloudvm-hostname>/ 上以管理員身分登入至 vCenter。
    2. 按一下登入 vSphere Web Client 連結。
    3. 在左側導覽窗格中選取管理 > Single Sign On > 組態
    4. 針對 SAML 服務提供者標題,按一下中繼資料相鄰的下載

      vsphere.local.xml 檔案應當開始下載。

    5. 複製 vsphere.local.xml 檔案的內容。
  2. vRealize Automation 身分識別目錄管理身分識別提供者頁面上,建立新的身分識別提供者。
    1. 承租人管理員身分登入 vRealize Automation
    2. 選取管理 > 身分識別目錄管理 > 身分識別提供者
    3. 按一下新增身分識別提供者並提供組態資訊。

      選項

      動作

      身分識別提供者名稱

      輸入新身分識別提供者的名稱。

      身分識別提供者中繼資料 (URI 或 XML) 文字方塊

      在文字方塊中貼上 SSO2 idp.xml 中繼資料檔案的內容,並按一下處理 IDP 中繼資料

      SAML 申請中的名稱識別碼原則 (選擇性)

      輸入 http://schemas.xmlsoap.org/claims/UPN.

      使用者

      選取您想要使用者擁有存取權限的網域。

      網路

      選取您想要使用者擁有存取權限的網路範圍。

      如果要從 IP 位址驗證使用者,請選取所有範圍

      驗證方法

      輸入驗證方法的名稱。然後,使用右側的 SAML 內容下拉式功能表,將驗證方法對應至 urn:oasis:names:tc:SAML:2.0:ac:classes:Password

      SAML 簽署憑證

      按一下 SAML 中繼資料標題旁的連結,以下載身分識別目錄管理中繼資料。

    4. 將身分識別目錄管理中繼資料檔案另存為 sp.xml
    5. 按一下新增
  3. 使用 [身分識別目錄管理原則] 頁面更新相關驗證原則,以將驗證重新導向至第三方 SSO2 身分識別提供者。
    1. 選取管理 > 身分識別目錄管理 > 原則
    2. 按一下預設原則名稱。
    3. 按一下原則規則標題下的驗證方法,以編輯現有驗證規則。
    4. 在 [編輯原則規則] 頁面上,將驗證方法從密碼變更為適當的方法。

      在此案例中,方法應當為 SSO2。

    5. 按一下儲存儲存您的原則更新。
  4. 在左側導覽窗格中選取管理 > Single Sign On > 組態,並按一下更新,將 sp.xml 檔案上傳至 vSphere