El servicio de Directories Management intenta autenticar a los usuarios basándose en los métodos de autenticación, la política de acceso predeterminada, los rangos de redes y las instancias de proveedor de identidades que configure.
Cuando los usuarios tratan de iniciar sesión, el servicio evalúa las reglas de la política de acceso
predeterminada para seleccionar qué regla aplicar a la política. Los métodos de autenticación se aplican en el orden en que se muestran en la regla. Se selecciona la primera instancia de proveedor de identidades que reúna los requisitos de método de autenticación y rango de redes de la regla y la solicitud de autenticación de usuario se reenvía a la instancia de proveedor de identidades para su autenticación. En caso de error de autenticación, se aplicará el siguiente método de autenticación configurado en la regla.
Puede agregar reglas que especifiquen los métodos de autenticación que se usarán por tipo de dispositivo o por tipo de dispositivo y desde un rango de redes específico. Por ejemplo, podría configurar una regla que haga que los usuarios que inician sesión con un dispositivo iOS desde una red específica se autentiquen mediante RSA SecurID y otra regla que especifique que todos los tipos de dispositivo que inicien sesión desde la dirección IP de la red interna se autentiquen con su contraseña.
Añadir o editar un rango de redes
Es posible administrar los rangos de redes para definir las direcciones IP a partir de las cuales los usuarios pueden iniciar sesión a través de un vínculo de Active Directory. Los rangos de redes que cree se añaden a las instancias específicas de proveedor de identidades y a las reglas de políticas de acceso.
Defina rangos de redes para su implementación de Directories Management basándose en su topología de red.
Se crea un rango de redes denominado ALL RANGES, que pasa a ser el predeterminado. Este rango de redes incluye todas las direcciones IP disponibles en Internet, de 0.0.0.0 a 255.255.255.255. Aunque su implementación cuente con una única instancia de proveedor de identidades, puede cambiar el rango de direcciones IP y añadir otros rangos para excluir o incluir direcciones IP específicas en el rango de redes predeterminado. Puede crear otros rangos de redes con direcciones IP específicas que podrá aplicar para una finalidad concreta.
NOTA: El rango de redes predeterminado ALL RANGES y su descripción "a network for all ranges" son
editables. Para editar el nombre y la descripción, incluido cambiar el texto a otro idioma, haga clic en el nombre del rango de redes en la página Rangos de redes.
Prerequisitos
n Deberá haber configurado tenants para su implementación de vRealize Automation y un vínculo adecuado de Active Directory que admita la autenticación básica mediante ID de usuario y contraseña de Active Directory.
n Active Directory deberá estar instalado y configurado para utilizarse en su red. n Inicie sesión en la consola de vRealize Automation como administrador de tenants.
Procedimiento
1 Seleccione Administración > Administración de directorios > Rangos de redes. 2 Edite un rango de redes existente o añada uno nuevo.
Opción Descripción
Editar un rango existente Haga clic en el nombre del rango de redes para editarlo.
Añadir un rango Haga clic en Añadir rango de redes para añadir un nuevo rango.
3 Complete el formulario.
Elemento del
formulario Descripción
Nombre Especifique un nombre para el rango de redes. Descripción Especifique una descripción para el rango de redes.
Ver Pods La opción Ver Pods solo aparece cuando está habilitado el módulo Ver.
Host de URL de acceso de cliente. Escriba la URL de acceso de Horizon Client para el rango de redes.
Puerto de acceso de cliente. Escriba el número de puerto de acceso de Horizon Client para el rango de redes.
Rangos de IP Edite o añada rangos de IP hasta que se hayan incluido todas las direcciones IP deseadas y excluido las no deseadas.
Qué hacer a continuación
n Asocie cada rango de redes con una instancia de proveedor de identidades.
n Asocie los rangos de redes con la regla de política de acceso según sea necesario. Consulte “Configurar
Seleccionar atributos para sincronizar con el directorio
Cuando configura el directorio de Directories Management para que se sincronice con Active Directory, especifica los atributos de usuario que se sincronizan con el directorio. Antes de configurar el directorio, puede especificar en la página Atributos de usuario qué atributos predeterminados son necesarios y, si lo desea, añadir atributos adicionales que desee asignar a los atributos de Active Directory.
Cuando configura la página Atributos de usuario antes de que se cree el directorio, puede cambiar los atributos predeterminados de obligatorios a no obligatorios, marcar atributos como obligatorios y añadir atributos personalizados.
Para obtener una lista de los atributos asignados predeterminados, consulte “Administrar atributos de usuario que se sincronizan desde Active Directory,” página 98.
Una vez creado el directorio, puede convertir un atributo obligatorio en no obligatorio, y puede eliminar atributos personalizados. No se puede convertir un atributo en atributo obligatorio.
Cuando añada otros atributos para que se sincronicen con el directorio, una vez creado el directorio, vaya a la página Atributos asignados del directorio para asignar estos atributos a atributos de Active Directory.
Procedimiento
1 Inicie sesión en vRealize Automation como administrador del sistema o administrador de tenants. 2 Haga clic en la pestaña Administración.
3 Seleccione Administración de directorios > Atributos de usuario
4 En la sección Atributos predeterminados, repase la lista de atributos obligatorios y realice los cambios necesarios para reflejar cuáles deben serlo.
5 En la sección Atributos, añada el nombre de atributo de directorio de Directories Management a la lista. 6 Haga clic en Guardar.
Se actualiza el estado de atributo predeterminado y los atributos que añadió se incorporan a la lista Atributos asignados del directorio.
7 Tras la creación del directorio, vaya a la página Almacenes de identidades y seleccione el directorio. 8 Haga clic en Configuración de sincronización > Atributos asignados.
9 En el menú desplegable de los atributos que haya añadido, seleccione el atributo de Active Directory al que realizar la asignación.
10 Haga clic en Guardar.
El directorio se actualizará la próxima vez que se sincronice con Active Directory.
Aplicar la política de acceso predeterminada
El servicio de Directories Management incluye una política de acceso predeterminada que controla el acceso de usuarios a sus portales de aplicaciones. Puede editar la política para cambiar sus reglas en caso necesario. Al habilitar los métodos de autenticación distintos a la autenticación con contraseña, debe editar la política predeterminada para añadir el método de autenticación habilitado a las reglas de la política.
Todas las reglas de la política de acceso predeterminada deben reunir unos requisitos para permitir el acceso de usuarios al portal de aplicaciones. Se aplica un rango de redes, se selecciona el tipo de usuario que puede acceder a contenido y los métodos de autenticación que se deseen utilizar. Consulte “Administrar políticas de acceso,” página 104.
El número de intentos que hace el servicio para iniciar la sesión de un usuario mediante un determinado método de autenticación varía. El servicio lleva a cabo una sola vez el intento de autenticación de Kerberos o de certificado. Si el intento de iniciar la sesión de un usuario no se lleva a cabo, se intenta con el siguiente método de autenticación de la regla. De manera predeterminada, está configurado en cinco el máximo
número de intentos de inicio de sesión con errores para la contraseña Active Directory y la autenticación RSA SecurID. Cuando un usuario alcanza cinco intentos de inicio de sesión fallidos, el servicio trata de iniciar la sesión del usuario con el método de autenticación que aparece a continuación en la lista. Cuando se hayan agotado todos los métodos de autenticación, el servicio emitirá un mensaje de error.
Aplicar métodos de autenticación a reglas de políticas
El único método de autenticación configurado en las reglas de la política predeterminada es el de contraseña. Debe editar las reglas de la política para seleccionar los otros métodos de autenticación que configuró y establecer el orden en que se usan para la autenticación.
Prerequisitos
Habilite y configure los métodos de autenticación que su organización admita. Consulte “Integrar productos de autenticación de usuario alternativos con Administración de directorios,” página 109
Procedimiento
1 Seleccione Administración > Administración de directorios > Políticas 2 Haga clic en la política de acceso predeterminada para editarla.
3 Para abrir y editar una página de reglas de directiva, haga clic en el nombre de autenticación en la columna Método de autenticación, o bien haga clic en el icono + para agregar una nueva regla de directiva.
a Compruebe que el rango de redes sea el correcto. Si va a agregar una nueva regla, seleccione el rango de redes para esta regla de directiva.
b Seleccione el tipo de dispositivo que administrará esta regla en el menú desplegable y el usuario
intenta acceder a contenido con....
c Configure el orden de autenticación. En el menú desplegable entonces el usuario debe
autenticarse con el siguiente método, seleccione el método de autenticación que se aplicará en
primer lugar.
Para requerir que los usuarios se autentiquen mediante dos métodos de autenticación, haga clic en
+ y escriba un segundo método de autenticación.
d (Opcional) Para configurar métodos de autenticación adicionales por si el primero no funciona, seleccione otro método de autenticación habilitado en el siguiente menú desplegable.
Puede añadir varios métodos de autenticación de reserva a una regla.
e En el cuadro de texto Volver a autenticar después de valor, introduzca el número de horas que deberán transcurrir para que el usuario se tenga que autenticar de nuevo.
f (Opcional) Cree un mensaje de error personalizado de acceso denegado que se muestra cuando falla la autenticación del usuario. Puede usar hasta 4000 caracteres, unas 650 palabras. Si desea enviar a los usuarios a otra página, agregue el vínculo de la URL en el cuadro de texto URL del
enlace. En el cuadro de texto Texto del enlace, introduzca el texto que se mostrará para el vínculo.
Si deja este cuadro de texto en blanco, se mostrará la palabra Continuar. g Haga clic en Guardar.
4 Haga clic en Guardar.
5 Haga clic en Guardar y de nuevo en Guardar en la página de la política.
Configurar Kerberos para Directories Management
La autenticación de Kerberos provee a los usuarios que hayan iniciado sesión en su dominio de Active Directory correctamente de acceso a su portal de aplicaciones sin solicitudes adicionales de credenciales. Es necesario habilitar la autenticación de Windows para permitir que el protocolo Kerberos proteja las interacciones entre los exploradores de los usuarios y el servicio Directories Management. No es necesario configurar Active Directory directamente para que Kerberos funcione con la implementación existente. Actualmente, Kerberos autentica las interacciones entre el explorador de un usuario y el servicio solo en sistemas operativos Windows. Si se accede al servicio desde otros sistemas operativos, no se utiliza la autenticación de Kerberos.
n Configurar la autenticación de Kerberos página 124
Para configurar el servicio Directories Management para que proporcione autenticación de Kerberos, es necesario que se una al dominio y que habilite la autenticación de Kerberos en el conector
Directories Management.
n Configurar Internet Explorer para acceder a la interfaz web página 125
Debe configurar Internet Explorer si Kerberos está configurado para la implementación y si desea conceder a los usuarios acceso a la interfaz web mediante Internet Explorer.
n Configurar Firefox para el acceso a la interfaz web página 127
Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz web mediante Firefox, deberá configurar el explorador Firefox.
n Configurar el explorador Chrome para acceder a la interfaz web página 127
Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz web mediante el explorador Chrome, deberá configurar el explorador Chrome.
Configurar la autenticación de Kerberos
Para configurar el servicio Directories Management para que proporcione autenticación de Kerberos, es necesario que se una al dominio y que habilite la autenticación de Kerberos en el conector
Directories Management.
Procedimiento
1 Como administrador de tenants, navegue a Administración > Administración de directorios >
Conectores
2 En la página Conectores, para el conector que se esté configurando para la autenticación Kerberos, haga clic en Unirse a dominio.
3 En la página Unirse a dominio, escriba la información del dominio de Active Directory.
Opción Descripción
Dominio Escriba el nombre de dominio completo de Active Directory. Este nombre de dominio debe coincidir con el dominio de Windows del servidor del conector.
Usuario de
dominio Escriba el nombre de usuario de una cuenta de Active Directory que posea permisos para unirsistemas a ese dominio de Active Directory. Contraseña de
dominio Escriba la contraseña asociada al nombre de usuario de AD. Esta contraseña no se almacena enDirectories Management .
Haga clic en Guardar.
Se actualiza la página Unirse a dominio y se muestra un mensaje que indica que está unido al dominio. 4 En la columna Trabajo del conector, haga clic en Adaptadores de autenticación.
5 Haga clic en KerberosIdpAdapter.
Se le redirige a la página de inicio de sesión del administrador de identidades.
6 Haga clic en Editar en la fila de KerberosldpAdapter y configure la página de la autenticación Kerberos.
Opción Descripción
Nombre Es necesario un nombre. El nombre predeterminado es KerberosIdpAdapter. Puede cambiarlo. Atributo de
UID de directorio
Escriba el atributo de cuenta que contiene el nombre de usuario.
Habilitar autenticación de Windows
Seleccione esta opción para extender las interacciones de autenticación entre los navegadores de los usuarios y Directories Management.
Habilitar
NTLM Seleccione esta opción para habilitar la autenticación basada en el protocolo NT LAN Manager(NTLM) únicamente si la infraestructura de su entorno de Active Directory emplea la autenticación NTLM.
Habilitar redireccionam iento
Seleccione esta opción si DNS de round robin y los equilibradores de carga no son compatibles con Kerberos. Las solicitudes de autenticación se redirigen al nombre del host de redireccionamiento. Si se selecciona esta opción, escriba el nombre del host de redireccionamiento en el cuadro de texto
Nombre del host de redireccionamiento. Suele tratarse del nombre del host del servicio.
7 Haga clic en Guardar.
Qué hacer a continuación
Añada el método de autenticación a la política de acceso predeterminada. Navegue a Administración >
Administración de directorios > Políticas y haga clic en Editar política predeterminada para editar las
reglas de la política predeterminada con objeto de añadir el método de autenticación de Kerberos a la regla en el orden de autenticación correcto.
Configurar Internet Explorer para acceder a la interfaz web
Debe configurar Internet Explorer si Kerberos está configurado para la implementación y si desea conceder a los usuarios acceso a la interfaz web mediante Internet Explorer.
La autenticación de Kerberos opera conjuntamente con Directories Management en sistemas operativos Windows.
Prerequisitos
Configure Internet Explorer para cada usuario o envíe las instrucciones a los usuarios después de configurar Kerberos.
Procedimiento
1 Compruebe que ha iniciado sesión en Windows como usuario del dominio. 2 En Internet Explorer, habilite el inicio de sesión automático.
a Seleccione Herramientas > Opciones de Internet > Seguridad. b Haga clic en Nivel personalizado.
c Seleccione Inicio de sesión automático solo en la zona Intranet. d Haga clic en Aceptar.
3 Compruebe que esta instancia del dispositivo virtual del conector forma parte de la zona intranet local. a Use Internet Explorer para acceder a la URL de inicio de sesión de Directories Management en
https://myconnectorhost.domain/authenticate/.
b Busque la zona en la esquina inferior derecha de la barra de estado de la ventana del explorador. Si la zona es Intranet local, se ha completado la configuración de Internet Explorer.
4 Si la zona no es Intranet local, añada la URL de inicio de sesión de Directories Management a la zona intranet.
a Seleccione Herramientas > Opciones de Internet > Seguridad > Intranet local > Sitios. b Seleccione Detectar redes intranet automáticamente.
Si esta opción no estaba seleccionada, selecciónela para añadir el a la zona intranet.
c (Opcional) Si seleccionó Detectar redes intranet automáticamente, haga clic en Aceptar hasta que se cierren todos los cuadros de diálogo.
d En el cuadro de diálogo Intranet local, haga clic en Opciones avanzadas. Aparece un segundo cuadro de diálogo denominado Intranet local.
e Escriba la URL de Directories Management en el cuadro de texto Agregar este sitio web a la zona
de.
https://myconnectorhost.domain/authenticate/ f Haga clic en Agregar > Cerrar > Aceptar.
5 Compruebe que Internet Explorer tiene permiso para enviar la autenticación de Windows al sitio de confianza.
a En el cuadro de diálogo Opciones de Internet, haga clic en la pestaña Opciones avanzadas. b Seleccione Habilitar autenticación integrada de Windows.
Esta opción solo surtirá efecto tras reiniciar Internet Explorer. c Haga clic en Aceptar.
6 Inicie sesión en la interfaz web para comprobar el acceso.
Si la autenticación de Kerberos se realizó correctamente, la URL de prueba abre la interfaz web. El protocolo Kerberos protege todas las interacciones entre esta instancia de Internet Explorer y
Configurar Firefox para el acceso a la interfaz web
Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz web mediante Firefox, deberá configurar el explorador Firefox.
La autenticación de Kerberos opera conjuntamente con Directories Management en sistemas operativos Windows.
Prerequisitos
Una vez que haya configurado Kerberos, configure el explorador Firefox para cada usuario o bien proporcione las instrucciones correspondientes a los usuarios.
Procedimiento
1 En el cuadro de texto de la dirección URL del explorador Firefox, escriba about:config para acceder a la configuración avanzada.
2 Haga clic en ¡Tendré cuidado, lo prometo!
3 Haga doble clic en network.negotiate-auth.trusted-uris en la columna Nombre de la preferencia. 4 Escriba la dirección URL de Directories Management en el cuadro de texto.
https://hostdemiconector.dominio.com 5 Haga clic en Aceptar.
6 Haga doble clic en network.negotiate-auth.delegation-uris en la columna Nombre de la preferencia. 7 Escriba la dirección URL de Directories Management en el cuadro de texto.
https://hostdemiconector.dominio.com/authenticate/ 8 Haga clic en Aceptar.
9 Utilice el explorador Firefox para iniciar sesión en la dirección URL de inicio de sesión de y comprobar así la funcionalidad de Kerberos. Por ejemplo, https://hostdemiconector.dominio.com/authenticate/.
Si la autenticación de Kerberos funciona correctamente, la dirección URL de prueba accederá a la interfaz web.
El protocolo Kerberos protege cualquier interacción entre la instancia en cuestión del explorador Firefox y Directories Management. Ahora, los usuarios ya podrán utilizar Single Sign-On para acceder a su portal Mis apps.
Configurar el explorador Chrome para acceder a la interfaz web
Si configura Kerberos para su implementación y desea conceder a los usuarios acceso a la interfaz web mediante el explorador Chrome, deberá configurar el explorador Chrome.
La autenticación de Kerberos opera conjuntamente con Directories Management en sistemas operativos Windows.
NOTA: No implemente estos pasos relacionados con Kerberos en otros sistemas operativos.