Quando você habilita a Federação de Provedor de Identidade em ambientes do vCenter Server usando o modo vinculado aprimorado, a autenticação e os fluxos de trabalho continuam a funcionar como antes.

Se você usar a configuração do Enhanced Linked Mode, observe o seguinte ao fazer login no vCenter Server usando a autenticação federada.

  • Os usuários continuam a ver o mesmo inventário e podem realizar as mesmas ações, com base no modelo de funções e permissões do vCenter Server.
  • Os hosts vCenter Server no modo vinculado aprimorado não precisam ter acesso aos provedores de identidade uns dos outros. Por exemplo, considere dois vCenter Server sistemas A e B e que usam o modo vinculado aprimorado. Depois que vCenter Server A autorizar um usuário, o usuário também será autorizado em vCenter Server B.

A ilustração a seguir mostra o fluxo de trabalho de autenticação com o modo vinculado aprimorado e a vCenter Server Federação do Provedor de Identidade.

Figura 1. Enhanced Linked Mode e vCenter Server Identity Provider Federation
Esta figura mostra como vCenter Server sistemas que usam o modo vinculado avançado interagem com o AD FS.
  1. Dois nós vCenter Server são implantados na configuração do Modo vinculado aprimorado.
  2. A configuração do AD FS foi definida em vCenter Server A usando o assistente para Alterar Provedor de Identidade no vSphere Client. Permissões e associações de grupo também foram estabelecidas para usuários ou grupos do AD FS.
  3. vCenter Server A replica a configuração do AD FS para vCenter Server B.
  4. Todos os URIs de Redirecionamento para ambos os nós vCenter Server são adicionados ao Grupo de Aplicativos OAuth no AD FS. Apenas um grupo de aplicativos OAuth é criado.
  5. Quando um usuário faz login e é autorizado por vCenter Server A, o usuário também é autorizado em vCenter Server B. Se o usuário fizer login em vCenter Server B primeiro, o mesmo será verdadeiro.
O modo vinculado aprimorado do vCenter Server oferece suporte aos seguintes cenários de configuração para a federação do provedor de identidade. Nesta seção, os termos "Configurações do AD FS" e "Configuração do AD FS" referem-se às configurações que você define no vSphere Client usando o assistente para Alterar Provedor de Identidade e quaisquer associações de grupo ou permissões que você tenha estabelecido para usuários do AD FS ou grupos.
Habilitar o AD FS em uma configuração existente do Modo vinculado aprimorado
Etapas de alto nível:
  1. Implante N vCenter Server nós na configuração do Modo vinculado aprimorado.
  2. Configure o AD FS em um dos nós vCenter Server vinculados.
  3. A configuração do AD FS é replicada para todos os outros nós (N-1) vCenter Server.
  4. Adicione todos os URIs de Redirecionamento para todos os N vCenter Server nós ao grupo de aplicativos OAuth configurado no AD FS.
Vincular um novo vCenter Server a uma configuração existente do AD FS de modo vinculado avançado
Etapas de alto nível:
  1. vCenter Server(Pré-requisito) Configure o AD FS em uma configuração de Modo vinculado aprimorado de N-nós.
  2. Implante um novo nó vCenter Server independente.
  3. Aponte novamente o novo vCenter Server para o domínio de modo vinculado avançado do AD FS de N, usando um dos nós N como seu parceiro de replicação.
  4. Todas as configurações do AD FS na configuração existente do Modo vinculado avançado são replicadas para o novo vCenter Server.

    As configurações do AD FS que estão no domínio de modo vinculado avançado do AD FS de N nós substituem quaisquer configurações do AD FS existentes no vCenter Server recém-vinculado.

  5. Adicione todos os URIs de redirecionamento para o novo vCenter Server ao grupo de aplicativos OAuth configurado existente no AD FS.
Desvincular um vCenter Server de uma configuração do AD FS de modo vinculado avançado
Etapas de alto nível:
  1. (Pré-requisito) Defina o AD FS em uma configuração de Modo Vinculado Avançado de N vCenter Server.
  2. Cancele o registro de um dos hosts vCenter Server na configuração de N nós e aponte-o novamente para um novo domínio para desvinculá-lo da configuração de N nós.
  3. O processo de reposicionamento de domínio não preserva as configurações de SSO, portanto, todas as configurações do AD FS no nó vCenter Server desvinculado são revertidas e perdidas. Para continuar usando o AD FS neste nó vCenter Server desvinculado, você deve reconfigurar o AD FS desde o início ou deve vincular novamente o vCenter Server a uma configuração de Modo Vinculado Avançado em que o AD FS já está configurado.