Depois de instalar ou atualizar para o vSphere 8.0 Atualização 1, você pode configurar a vCenter Server Federação do Provedor de Identidade para Okta como um provedor de identidade externo.

vCenter Server é compatível com apenas um provedor de identidade externo configurado (uma origem) e a origem de identidade vsphere.local (origem local). Você não pode usar vários provedores de identidade externos. vCenter Server A Federação do Provedor de Identidade usa o OpenID Connect (OIDC) para o login do usuário em vCenter Server.

Você pode configurar privilégios usando grupos e usuários do Okta por meio de permissões globais ou de objeto em vCenter Server. Consulte a documentação do vSphere Segurança para obter detalhes sobre como adicionar permissões.

Pré-requisitos

Requisitos do Okta:

  • Você está usando o Okta e tem um espaço de domínio dedicado, por exemplo, https://sua-empresa.okta.com.
  • Para realizar logins OIDC e gerenciar permissões de usuários e grupos, você deve criar os seguintes aplicativos Okta.
    • Um aplicativo nativo do Okta com o OpenID Connect como o método de logon. O aplicativo nativo deve incluir os tipos de concessão de código de autorização, token de atualização e senha do proprietário do recurso.
    • Um aplicativo do System for Cross-domain Identity Management (SCIM) 2.0 com um token de portador OAuth 2.0 para executar a sincronização de usuários e grupos entre o servidor Okta e o vCenter Server.

    Consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/90835.

  • Você identificou os usuários e grupos do Okta com os quais deseja compartilhar vCenter Server. Esse compartilhamento é uma operação SCIM (não uma operação OIDC).

Requisitos de conectividade do Okta:

  • vCenter Server deve ser capaz de se conectar ao endpoint de descoberta do Okta e à autorização, token, JWKS e quaisquer outros endpoints anunciados nos metadados do endpoint de descoberta.
  • O Okta também deve ser capaz de se conectar a vCenter Server para enviar dados de usuários e grupos para o provisionamento SCIM.

vCenter Server requisitos:

  • vSphere 8.0 Atualização 1
  • No vCenter Server em que você deseja criar a origem de identidade do Okta, verifique se os Serviços de identidade do VMware estão ativados.
    Observação: Quando você instala ou atualiza para o vSphere 8.0 Atualização 1, os Servidores de Identidade do VMware são ativados por padrão. Você pode usar a Interface de Gerenciamento do vCenter Server para confirmar o status dos Serviços de Identidade do VMware. Consulte Interromper e iniciar os VMware serviços de identidade.

Requisitos de privilégios de vSphere:

  • Você deve ter o privilégio VcIdentityProviders.Gerenciar para criar, atualizar ou excluir um vCenter Server Provedor de Identidade necessário para a autenticação federada. Para limitar um usuário a visualizar apenas as informações de configuração do Provedor de Identidade, atribua o privilégio VcIdentityProviders.Ler.

Requisitos do Modo Vinculado Avançado:

  • Você pode configurar a vCenter Server Federação do Provedor de Identidade para o Okta em uma configuração de Modo Vinculado Avançado. Ao configurar o Okta em uma configuração do Modo de Link Avançado, você configura o provedor de identidade do Okta para usar os Serviços de Identidade do VMware em um único sistema do vCenter Server. Por exemplo, se a configuração do Link de modo avançado consistir em dois sistemas vCenter Server, apenas um vCenter Server e sua instância de VMware Serviços de Identidade serão usados para se comunicar com o servidor Okta. Se este sistema vCenter Server ficar indisponível, os usuários não poderão fazer login por meio do Okta até que a conectividade seja restaurada para esse vCenter Server.
  • Ao configurar o Okta como um provedor de identidade externo, todos os sistemas vCenter Server em uma configuração de Modo Vinculado Avançado devem executar pelo menos o vSphere 8.0 Update 1.

Requisitos de rede:

  • Se sua rede não estiver disponível publicamente, você deverá criar um túnel de rede entre o sistema vCenter Server e o servidor Okta e, em seguida, usar a URL acessível publicamente apropriada como o Uri base.

Procedimento

  1. Crie um aplicativo OpenID Connect no Okta e atribua grupos e usuários ao aplicativo OpenID Connect.
    Para criar o aplicativo OpenID Connect e atribuir grupos e usuários, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/90835. Siga as etapas na seção intitulada "Criar o aplicativo OpenID Connect". Depois de criar o aplicativo Okta OpenID Connect, copie as seguintes informações do aplicativo Okta OpenID Connect em um arquivo para uso ao configurar o provedor de identidade vCenter Server na próxima etapa.
    • Identificador do cliente
    • Segredo do cliente (mostrado como Segredo compartilhado no vSphere Client)
    • Active Directory informações de domínio ou informações de domínio Okta se você não estiver executando Active Directory
  2. Para criar o provedor de identidade em vCenter Server:
    1. Use o vSphere Client para fazer login como administrador em vCenter Server.
    2. Vá para Início (Home) > Administração (Administration) > Logon único (Single Sign On) > Configuração (Configuration).
    3. Clique em Alterar provedor (Change Provider) e selecione Okta.
      O assistente Configurar provedor de identidade principal é aberto.
    4. No painel Pré-requisitos, revise os requisitos do Okta e do vCenter Server.
    5. Clique em Executar pré-verificações (Run Prechecks).
      Se a pré-verificação encontrar erros, clique em Exibir detalhes (View Details) e execute as etapas para resolver os erros conforme indicado.
    6. Quando a pré-verificação for aprovada, clique na caixa de seleção de confirmação e clique em Avançar (Next).
    7. No painel Informações do diretório, digite as seguintes informações.
      • Nome do diretório: nome do diretório local a ser criado em vCenter Server que armazena os usuários e os grupos enviados por push do Okta. Por exemplo, vcenter-okta-directory.
      • Nome(s) de domínio(s): Digite os nomes de domínio do Okta que contêm os usuários e grupos do Okta com os quais você deseja sincronizar vCenter Server.

        Depois de inserir o nome de domínio do Okta, clique no ícone de adição (+) para adicioná-lo. Se você inserir vários nomes de domínio, especifique o domínio padrão.

    8. Clique em Avançar (Next).
    9. No painel Aprovisionamento de usuários, selecione a duração da vida útil do token e clique em Avançar (Next).
      O aplicativo Okta SCIM 2.0 usa o token para sincronizar os usuários e grupos do Okta em VMware Serviços de Identidade.
    10. No painel OpenID Connect, digite as seguintes informações.
      • Redirect UI: preenchido automaticamente. Você fornece a UI de redirecionamento ao administrador do Okta para uso na criação do aplicativo OpenID Connect.
      • Nome do provedor de identidade: preenchido automaticamente como Okta.
      • Identificador do cliente: obtido quando você criou o aplicativo OpenID Connect no Okta na etapa 1. (O Okta se refere ao Identificador do Cliente como o ID do Cliente.)
      • Segredo compartilhado: obtido quando você criou o aplicativo OpenID Connect no Okta na etapa 1. (O Okta se refere ao Segredo Compartilhado como o Segredo do Cliente.)
      • Endereço OpenID: assume o formato https://Okta domain space/oauth2/default/.well-known/openid-configuration.

        Por exemplo, se o espaço de domínio do Okta for example.okta.com, o Endereço OpenID será: https://example.okta.com/oauth2/default/.well-known/openid-configuration

        Consulte https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration para obter mais informações.

    11. Clique em Avançar (Next).
    12. Revise as informações e clique em Concluir (Finish).
      vCenter Server cria o provedor de identidade do Okta e exibe as informações de configuração.
    13. Se necessário, role para baixo e clique no ícone Copiar (Copy) para o URI de redirecionamento e salve-o em um arquivo.
      Use o URI de redirecionamento no aplicativo Okta OpenID Connection.
    14. Clique no ícone Copiar (Copy) do URL do Tenant e salve-o em um arquivo.
      Observação: Se sua rede não estiver disponível publicamente, você deverá criar um túnel de rede entre o sistema vCenter Server e o servidor Okta. Depois de criar o túnel de rede, use a URL acessível publicamente apropriada como a Uri Base.
    15. Clique em Gerar Token (Generate Token) e, em seguida, clique no ícone Copiar (Copy) para copiar o token e salvá-lo em um arquivo.
      Use a URL do Tentant e o token no aplicativo Okta SCIM 2.0. Essas informações são necessárias para enviar usuários e grupos do Okta do Okta para vCenter Server.
  3. Retorne para o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/90835 para atualizar o URI de redirecionamento do Okta.
    Siga as etapas na seção intitulada "Atualizar o URI de redirecionamento do Okta".
  4. Para criar o aplicativo SCIM 2.0, permaneça no artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/90835.
    Siga as etapas na seção intitulada "Criar o aplicativo SCIM 2.0 e enviar usuários e grupos para vCenter Server".
    Quando terminar de criar o aplicativo SCIM 2.0 conforme descrito no artigo da base de conhecimento, prossiga para a próxima etapa.
  5. Configure a associação ao grupo em vCenter Server para autorização do Okta.
    Você deve configurar a associação ao grupo antes que os usuários do Okta possam fazer login em vCenter Server.
    1. No vSphere Client, enquanto estiver conectado como administrador local, vá para Administração (Administration) > Logon único (Single Sign On) > Usuários e grupos (Users and Groups).
    2. Clique na guia Grupos.
    3. Clique no grupo Administradores (Administrators) e clique em Adicionar membros (Add Members).
    4. Selecione o nome de domínio do grupo do Okta que você deseja adicionar no menu suspenso.
    5. Na caixa de texto abaixo do menu suspenso, digite os primeiros caracteres do grupo Okta que você deseja adicionar e aguarde a exibição da seleção suspensa.
    6. Selecione o grupo Okta e adicione-o ao grupo Administradores.
    7. Clique em Salvar (Save).
  6. Verifique o login em vCenter Server com um usuário do Okta.
  7. Para atribuir permissões globais e de nível de inventário a usuários do Okta, consulte o tópico sobre gerenciamento de permissões para componentes vCenter Server na documentação do vSphere Segurança.