Quando você habilita a Federação do Provedor de Identidade em ambientes vCenter Server usando o modo vinculado avançado, a autenticação e os fluxos de trabalho continuam a funcionar como antes.
Se você usar a configuração do Modo Vinculado Avançado, observe o seguinte ao fazer login em vCenter Server usando a autenticação federada.
- Os usuários continuam a ver o mesmo inventário e podem realizar as mesmas ações, com base nas permissões e no modelo de funções do vCenter Server.
- Os hosts vCenter Server no modo vinculado avançado não precisam ter acesso aos provedores de identidade uns dos outros. Por exemplo, considere dois sistemas vCenter Server A e B, e que usam o modo vinculado aprimorado. Depois que vCenter Server A autoriza um usuário, o usuário também é autorizado em vCenter Server B.
Modo de link avançado e AD FS
A figura a seguir mostra o fluxo de trabalho de autenticação ao usar o AD FS com o modo vinculado avançado.
- Dois nós vCenter Server são implantados na configuração do Modo Vinculado Avançado.
- A instalação do AD FS foi configurada em vCenter Server A usando o assistente Alterar Provedor de Identidade no vSphere Client. As associações e permissões de grupo também foram estabelecidas para usuários ou grupos do AD FS.
- vCenter Server A replica a configuração do AD FS para vCenter Server B.
- Todos os URIs de redirecionamento para os dois nós vCenter Server são adicionados ao Grupo de Aplicativos OAuth no AD FS. Somente um Grupo de Aplicativos OAuth é criado.
- Quando um usuário faz login e é autorizado por vCenter Server A, o usuário também é autorizado em vCenter Server B. Se o usuário fizer login em vCenter Server B primeiro, o mesmo será verdadeiro.
Cenários de configuração do modo vinculado avançado com AD FS
O modo vinculado vCenter Server aprimorado é compatível com os seguintes cenários de configuração para AD FS. Nesta seção, os termos "configurações do AD FS" e "configuração do AD FS" se referem às configurações que você define no vSphere Client usando o assistente Alterar Provedor de Identidade e a quaisquer associações ou permissões de grupo que você estabeleceu para usuários do AD FS ou grupos.
Habilitar AD FS em uma configuração de modo vinculado avançado existente
Etapas de alto nível:
- Implemente N vCenter Server nós na configuração do Modo Vinculado Avançado.
- Configure o AD FS em um dos nós vCenter Server vinculados.
- A configuração do AD FS é replicada para todos os outros nós (N-1) vCenter Server.
- Adicione todos os URIs de redirecionamento para todos os N vCenter Server nós ao Grupo de Aplicativos OAuth configurado no AD FS.
Vincular um novo vCenter Server a uma configuração de AD FS de modo vinculado avançado existente
Etapas de alto nível:
- (Pré-requisito) Configure o AD FS em uma configuração de Modo Vinculado Avançado de N-nós vCenter Server.
- Implemente um novo nó independente vCenter Server.
- Redirecione o novo vCenter Server para o domínio de modo vinculado aprimorado do AD FS N-nós, usando um dos nós N como seu parceiro de replicação.
- Todas as configurações do AD FS na configuração do Modo Vinculado Avançado existente são replicadas para o novo vCenter Server.
As configurações do AD FS que estão no domínio de modo vinculado avançado do AD FS N-nós substituem quaisquer configurações existentes do AD FS no vCenter Server recém-vinculado.
- Adicione todos os URIs de redirecionamento para o novo vCenter Server ao grupo de aplicativos OAuth configurado existente no AD FS.
Desvincular um vCenter Server de uma configuração do AD FS de modo vinculado avançado
Etapas de alto nível:
- (Pré-requisito) Configure o AD FS em uma configuração de Modo Vinculado Avançado vCenter Server de N-nós.
- Cancele o registro de um dos hosts vCenter Server na configuração de N-nós e aponte-o novamente para um novo domínio para desvinculá-lo da configuração de N-nós.
- O processo de redirecionamento de domínio não preserva as configurações de SSO, portanto, todas as configurações do AD FS no nó vCenter Server desvinculado são revertidas e perdidas. Para continuar usando o AD FS neste vCenter Server nó desvinculado, você deve reconfigurar o AD FS desde o início ou deve revincular o vCenter Server a uma configuração de Modo Vinculado Avançado em que o AD FS já está configurado.
Modo Vinculado Avançado e Federação do Provedor de Identidade do Okta
A figura a seguir mostra o fluxo de trabalho de autenticação ao usar o Okta com o modo vinculado aprimorado.
- Dois nós vCenter Server são implantados na configuração do Modo Vinculado Avançado.
- A instalação do Okta foi configurada em vCenter Server A usando o assistente Alterar Provedor de Identidade no vSphere Client. As associações e permissões de grupo também foram estabelecidas para usuários ou grupos do Okta.
Observação: Ambos vCenter Server A e B têm os VMware Serviços de Identidade ativados, mas somente os VMware Serviços de Identidade em vCenter Server A se comunicam com o servidor Okta.
- Os VMware Serviços de Identidade em execução em vCenter Server permitem que vCenter Server B acesse seu endpoint.
- O URI de redirecionamento para vCenter Server A é adicionado ao aplicativo OAuth no Okta. Somente um aplicativo OAuth é criado.
- Quando um usuário faz login e é autorizado por vCenter Server A, o usuário também é autorizado em vCenter Server B. Se o usuário fizer login em vCenter Server B primeiro, o mesmo será verdadeiro.
Cenários de configuração do modo vinculado aprimorado com o Okta
O modo vinculado do vCenter Server aprimorado é compatível com os seguintes cenários de configuração para o Okta. Nesta seção, os termos "Configurações do Okta" e "Configuração do Okta" se referem às configurações que você define no vSphere Client usando o assistente Alterar Provedor de Identidade e a quaisquer associações ou permissões de grupo que você estabeleceu para usuários ou grupos do Okta.
Habilitar o Okta em uma configuração de modo vinculado avançado existente
Etapas de alto nível:
- Implemente N vCenter Server nós na configuração do Modo Vinculado Avançado.
- Configure o Okta em um dos nós vCenter Server vinculados.
- O endpoint de informações dos Serviços de Identidade VMware é replicado para todos os outros (N-1) nós vCenter Server.
As informações de configuração do Okta (ID do cliente compartilhado e assim por diante) e as informações de usuário/grupo não são replicadas.
Vincular um novo vCenter Server a uma configuração do Okta de modo vinculado avançado existente
Etapas de alto nível:
- (Pré-requisito) Configure o Okta em uma configuração de Modo Vinculado Avançado de N-nós vCenter Server.
- Implemente um novo nó independente vCenter Server.
- Reencaminhe o novo vCenter Server para o domínio de modo vinculado aprimorado do Okta N-nós, usando um dos nós N como seu parceiro de replicação.
- O endpoint de informações dos Serviços de Identidade VMware é replicado para todos os outros (N-1) nós vCenter Server.
As informações de configuração do Okta (ID do cliente compartilhado e assim por diante) e as informações de usuário/grupo não são replicadas.
Desvincular um vCenter Server de uma configuração do Okta de modo vinculado avançado
Etapas de alto nível:
- (Pré-requisito) Configure o Okta em uma configuração de Modo Vinculado Avançado vCenter Server de N-nós.
- Cancele o registro de um dos hosts vCenter Server na configuração de N-nós e aponte-o novamente para um novo domínio para desvinculá-lo da configuração de N-nós.
- O processo de redirecionamento de domínio não preserva as configurações de SSO, portanto, todas as configurações do Okta no nó vCenter Server desvinculado são revertidas e perdidas. Para continuar usando o Okta neste vCenter Server nó desvinculado, você deve reconfigurar o Okta desde o início ou deve revincular o vCenter Server a uma configuração de Modo Vinculado Avançado em que o Okta já está configurado.