Configurar a Federação do Provedor de Identidade do vCenter Server para AD FS

Depois de instalar ou atualizar para o vSphere 7.0 ou posterior, você pode configurar o vCenter Server Identity Provider Federation.

O vCenter Server oferece suporte a apenas um provedor de identidade externo configurado (uma origem) e à origem de identidade vsphere.local. Você não pode usar vários provedores de identidade externos. vCenter Server A Federação do Provedor de Identidade usa o OpenID Connect (OIDC) para o login do usuário no vCenter Server.

Esta tarefa descreve como adicionar um grupo AD FS ao grupo vSphere Administrators como forma de controlar permissões. Você também pode configurar privilégios usando a autorização do AD FS por meio de permissões globais ou de objeto em vCenter Server. Consulte a documentação do Segurança do vSphere para obter detalhes sobre como adicionar permissões.

Cuidado:

Se você usar uma fonte de identidade Active Directory que você adicionou anteriormente a vCenter Server para sua fonte de identidade do AD FS, não exclua essa fonte de identidade existente de vCenter Server. Isso causa uma regressão com funções atribuídas anteriormente e associações de grupo. O usuário do AD FS com permissões globais e os usuários que foram adicionados ao grupo Administradores não poderão fazer login.

Solução alternativa: se você não precisar das funções e associações de grupo atribuídas anteriormente e quiser remover a origem de identidade Active Directory anterior, remova a origem de identidade antes de criar o provedor do AD FS e configurar associações de grupo no vCenter Server.

Pré-requisitos

Active Directory Requisitos de serviços de federação:

O AD FS para Windows Server 2016 ou posterior já deve estar implantado.
O AD FS deve estar conectado a Active Directory.
Um grupo de aplicativos para vCenter Server deve ser criado no AD FS como parte do processo de configuração. Consulte o VMware artigo da base de conhecimento em https://kb.vmware.com/s/article/78029.
Um certificado de autoridade de certificação raiz do AD FS adicionado ao repositório de certificados raiz confiáveis (também chamado de repositório de certificados do VMware).
Você criou um grupo de administradores do vCenter Server no AD FS que contém os usuários aos quais deseja conceder privilégios de administrador de vCenter Server.

Para obter mais informações sobre como configurar o AD FS, consulte a documentação da Microsoft.

vCenter Server e outros requisitos:

vSphere 7.0 ou posterior
vCenter Server deve ser capaz de se conectar ao endpoint de descoberta do AD FS e à autorização, token, logout, JWKS e quaisquer outros endpoints anunciados nos metadados do endpoint de descoberta.
Você precisa do privilégio VcIdentityProviders . Manage para criar, atualizar ou excluir um provedor de identidade do vCenter Server que é necessário para a autenticação federada. Para limitar que um usuário visualize apenas as informações de configuração do Provedor de Identidade, atribua o privilégio VcIdentityProviders . Ler .

Procedimento

Faça login com o vSphere Client no vCenter Server.
Adicione seu certificado de autoridade de certificação raiz do AD FS ao repositório de certificados raiz confiáveis.
1. Vá para Administração (Administration) > Certificados (Certificates) > Gerenciamento de certificados (Certificate Management).
2. Ao lado de Trusted Root Store , clique em Add (Add).
3. Procure o certificado raiz do AD FS e clique em Adicionar (Add).
  O certificado é adicionado em um painel em Certificados Raiz Confiáveis .
Navegue até a interface de usuário de configuração.
1. No menu Home (Home), selecione Administration (Administration).
2. Em Single Sign On (Single Sign On), clique em Configuration (Configuration).
Selecione a guia Provedor de identidade e obtenha os URIs de redirecionamento.
1. Clique no ícone informativo "i" (icon) ao lado do link "Alterar provedor de identidade".
  Dois URIs de Redirecionamento são exibidos na faixa pop-up.
2. Copie ambos os URIs para um arquivo ou anote-os para uso posterior em etapas subsequentes para configurar o servidor AD FS.
3. Feche a faixa pop-up.
Crie uma configuração do OpenID Connect no AD FS e configure-a para vCenter Server.
Para estabelecer uma relação de confiança de parte confiável entre vCenter Server e um provedor de identidade, você deve estabelecer as informações de identificação e um segredo compartilhado entre eles. No AD FS, você faz isso criando uma configuração do OpenID Connect conhecida como um grupo de aplicativos, que consiste em um aplicativo de servidor e uma API da Web. Os dois componentes especificam as informações que o vCenter Server usa para confiar e se comunicar com o servidor AD FS. Para habilitar o OpenID Connect no AD FS, consulte o VMware artigo da base de conhecimento em https://kb.vmware.com/s/article/78029.
Observe o seguinte ao criar o grupo de aplicativos do AD FS.
- Você precisa dos dois URIs de Redirecionamento obtidos e salvos na etapa anterior.
- Copie as seguintes informações em um arquivo ou anote-as para uso ao configurar o provedor de identidade do vCenter Server na próxima etapa.
  - Identificador do cliente
  - Segredo compartilhado
  - Endereço OpenID do servidor AD FS

Crie um provedor de identidade em vCenter Server.

Volte para a guia Provedor de identidade no vSphere Client.
Clique no link "Alterar provedor de identidade".
O assistente para Configurar o Provedor de Identidade Principal é aberto.
Selecione Microsoft ADFS (Microsoft ADFS) e clique em Next (Next).
Insira as informações que você coletou anteriormente para as seguintes caixas de texto:
- Identificador do cliente
- Segredo compartilhado
- Endereço OpenID do servidor AD FS
Clique em Avançar(Next).

Insira as informações de usuário e grupo para o Active Directory via conexão LDAP para pesquisar usuários e grupos.

Opção	Descrição
Nome distinto de base para usuários	Nome distinto de base para usuários.
Nome distinto de base para grupos	O Nome Distinto de base para grupos.
Nome de usuário	ID de um usuário no domínio que tem um mínimo de acesso somente leitura ao DN de base para usuários e grupos.
Senha	ID de um usuário no domínio que tem um mínimo de acesso somente leitura ao DN de base para usuários e grupos.
URL do servidor primário	Servidor LDAP do controlador de domínio primário para o domínio. Use o formato `ldap: // hostname: port` ou `ldaps: // hostname: port` . A porta é normalmente 389 para conexões LDAP e 636 para conexões LDAPS. Para implantações de controlador de vários domínios do Active Directory, a porta é normalmente 3268 para LDAP e 3269 para LDAPS. Um certificado que estabelece confiança para o endpoint LDAPS do servidor Active Directory é necessário quando você usa `ldaps: //` na URL LDAP primária ou secundária.
URL do servidor secundário	Endereço de um servidor LDAP de controlador de domínio secundário que é usado para failover.
certificados SSL	Se você quiser usar o LDAPS com sua origem de identidade do Active Directory Servidor LDAP ou Servidor OpenLDAP, clique em `Procurar` para selecionar um certificado.

Clique em Avançar (Next), revise as informações e clique em Concluir (Finish).

Navegue até a interface de usuário de configuração do vCenter Single Sign-On usuário.
1. No menu Home (Home), selecione Administration (Administration).
2. Em Single Sign On (Single Sign On), clique em Users and Groups (Users and Groups).
Configure a associação ao grupo vCenter Server para autorização do AD FS.
1. Clique na guia Grupos .
2. Clique no grupo Administrators (Administrators) e clique em Add Members (Add Members).
3. Selecione o domínio no menu suspenso.
4. Na caixa de texto abaixo do menu suspenso, digite os primeiros caracteres do grupo do AD FS que você deseja adicionar e aguarde a exibição da seleção suspensa.
  Pode levar vários segundos para que a seleção apareça como vCenter Server estabelece a conexão com e pesquisa Active Directory.
5. Selecione o grupo AD FS e adicione-o ao grupo Administradores.
6. Clique em Salvar(Save).
Verifique o login no vCenter Server com um usuário Active Directory.