Depois de instalar ou atualizar para o vSphere 7.0 ou posterior, você pode configurar a vCenter Server Federação do Provedor de Identidade para AD FS como um provedor de identidade externo.

Observação: Estas instruções são para o vSphere 8.0 Update 1. Para o vSphere 8.0, consulte o tópico sobre como configurar a federação do provedor de identidade vCenter Server para AD FS na documentação do vSphere Autenticação em https://docs.vmware.com/br/VMware-vSphere/8.0/vsphere-documentation-80.zip.

vCenter Server é compatível com apenas um provedor de identidade externo configurado (uma origem) e a origem de identidade vsphere.local. Você não pode usar vários provedores de identidade externos. vCenter Server A Federação do Provedor de Identidade usa o OpenID Connect (OIDC) para o login do usuário em vCenter Server.

Esta tarefa descreve como adicionar um grupo do AD FS ao grupo Administradores vSphere como forma de controlar permissões. Você também pode configurar privilégios usando a Autorização do AD FS por meio de permissões globais ou de objeto em vCenter Server. Consulte a documentação do vSphere Segurança para obter detalhes sobre como adicionar permissões.

Cuidado:

Se você usar uma fonte de identidade Active Directory que você adicionou anteriormente a vCenter Server para sua fonte de identidade AD FS, não exclua essa fonte de identidade existente de vCenter Server. Isso causará uma regressão com funções atribuídas anteriormente e associações a grupos. O usuário do AD FS com permissões globais e os usuários que foram adicionados ao grupo Administradores não poderão fazer logon.

Solução alternativa: se você não precisar das funções e associações de grupo atribuídas anteriormente e quiser remover a fonte de identidade Active Directory anterior, remova a fonte de identidade antes de criar o provedor AD FS e configurar associações de grupo em vCenter Server.

Pré-requisitos

Observação: Esse processo de configuração de um provedor de identidade do AD FS requer que você tenha acesso administrativo ao vCenter Server e ao servidor AD FS. Durante o processo de configuração, você insere as informações primeiro no seu vCenter Server, depois no servidor AD FS e depois no seu vCenter Server.

Active Directory Requisitos dos Serviços de Federação:

  • O AD FS para Windows Server 2016 ou posterior já deve estar implantado.
  • O AD FS deve estar conectado a Active Directory.
  • Um Grupo de Aplicativos para vCenter Server deve ser criado no AD FS como parte do processo de configuração. Consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/78029.
  • Um certificado de servidor AD FS (ou uma autoridade de certificação ou certificado intermediário que assinou o certificado de servidor AD FS) que você adiciona ao Repositório de Certificados Raiz Confiáveis.
  • Você criou um grupo de administradores vCenter Server no AD FS que contém os usuários aos quais você deseja conceder privilégios de administrador vCenter Server.

Para obter mais informações sobre como configurar o AD FS, consulte a documentação da Microsoft.

vCenter Server e outros requisitos:

  • vSphere 7.0 ou posterior
  • vCenter Server deve ser capaz de se conectar ao endpoint de descoberta do AD FS e à autorização, token, logout, JWKS e quaisquer outros endpoints anunciados nos metadados do endpoint de descoberta.
  • Você precisa do privilégio VcIdentityProviders.Gerenciar para criar, atualizar ou excluir um vCenter Server Provedor de Identidade necessário para a autenticação federada. Para limitar um usuário a visualizar apenas as informações de configuração do Provedor de Identidade, atribua o privilégio VcIdentityProviders.Ler.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Adicione o certificado do servidor AD FS (ou uma autoridade de certificação ou certificado intermediário que assinou o certificado do servidor AD FS) ao Repositório de Certificados Raiz Confiáveis.
    1. Navegue até Administração (Administration) > Certificados (Certificates) > Gerenciamento de certificados (Certificate Management).
    2. Ao lado de Repositório Raiz Confiável, clique em Adicionar (Add).
    3. Procure o certificado do AD FS e clique em Adicionar (Add).
      O certificado é adicionado em um painel em Certificados Raiz Confiáveis.
  3. Comece a criar o provedor de identidade em vCenter Server.
    1. Use o vSphere Client para fazer login como administrador em vCenter Server.
    2. Vá para Início (Home) > Administração (Administration) > Logon único (Single Sign On) > Configuração (Configuration).
    3. Clique em Alterar provedor (Change Provider) e selecione ADFS.
      O assistente Configurar provedor de identidade principal é aberto.
    4. No painel Pré-requisitos, revise os requisitos do AD FS e do vCenter Server.
    5. Clique em Executar pré-verificações (Run Prechecks).
      Se a pré-verificação encontrar erros, clique em Exibir detalhes (View Details) e execute as etapas para resolver os erros conforme indicado.
    6. Quando a pré-verificação for aprovada, clique na caixa de seleção de confirmação e clique em Avançar (Next).
    7. No painel Usuários e Grupos (Users and Groups), digite as informações do usuário e do grupo para o Active Directory sobre a conexão LDAP para pesquisar usuários e grupos.
      vCenter Server deriva o domínio do AD a ser usado para autorização e permissões do Nome Distinto Base para usuários. Você pode adicionar permissões em objetos vSphere somente para usuários e grupos deste domínio do AD. Os usuários ou grupos de domínios filho do AD ou outros domínios na floresta do AD não são compatíveis com a vCenter Server Federação de Provedores de Identidade.
      Opção Descrição
      Nome distinto de base para usuários Nome Distinto Base para usuários.
      Nome distinto de base para grupos O Nome Distinto base para grupos.
      Nome de usuário ID de um usuário no domínio que tem um mínimo de acesso somente leitura ao DN Base para usuários e grupos.
      Senha ID de um usuário no domínio que tem um mínimo de acesso somente leitura ao DN Base para usuários e grupos.
      URL do servidor principal Servidor LDAP do controlador de domínio primário para o domínio.

      Use o formato ldap://hostname:port ou ldaps://hostname:port. Normalmente, a porta é 389 para conexões LDAP e 636 para conexões LDAPS. Para Active Directory implantações de controlador de vários domínios, a porta normalmente é 3268 para LDAP e 3269 para LDAPS.

      Um certificado que estabelece confiança para o endpoint LDAPS do servidor Active Directory é necessário quando você usa ldaps:// na URL LDAP primária ou secundária.

      URL do servidor secundário Endereço de um servidor LDAP de controlador de domínio secundário usado para failover.
      Certificados SSL Se você quiser usar o LDAPS com sua fonte de identidade do Active Directory Servidor LDAP ou Servidor OpenLDAP, clique em Procurar para selecionar um certificado.
    8. Clique em Avançar (Next).
    9. No painel OpenID Connect, copie o URI de redirecionamento e o URI de redirecionamento de logout.
      Deixe os outros campos em branco por enquanto. Retorne ao painel OpenID Connect depois de criar a configuração do OpenID Connection na próxima etapa.
  4. Crie uma configuração do OpenID Connect no AD FS e configure-a para vCenter Server.
    Para estabelecer uma relação de confiança de terceira parte confiável entre vCenter Server e um provedor de identidade, você deve estabelecer as informações de identificação e um segredo compartilhado entre eles. No AD FS, você faz isso criando uma configuração do OpenID Connect conhecida como Grupo de Aplicativos, que consiste em um aplicativo Servidor e uma API Web. Os dois componentes especificam as informações que vCenter Server usa para confiar e se comunicar com o servidor AD FS. Para habilitar o OpenID Connect no AD FS, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/78029.

    Observe o seguinte ao criar o Grupo de Aplicativos do AD FS.

    • Você precisa dos dois URIs de redirecionamento vCenter Server obtidos na etapa anterior.
    • Copie as seguintes informações do Grupo de Aplicativos do AD FS para um arquivo ou anote-as para uso ao concluir a criação do provedor de identidade vCenter Server na próxima etapa.
      • Identificador do cliente
      • Segredo compartilhado
      • Endereço OpenID do servidor AD FS
    Observação: Se necessário, obtenha o endereço OpenID do seu servidor AD FS executando o seguinte comando do PowerShell como administrador do AD FS. 
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    Copie a URL retornada (selecione apenas a URL em si, não o colchete de fechamento ou a parte inicial "@{FullUrl=").

  5. No painel vCenter Server OpenID Connect:
    1. Insira as seguintes informações, obtidas na etapa anterior ao criar o grupo de aplicativos do AD FS:
      • Identificador do cliente
      • Segredo compartilhado
      • Endereço OpenID

      O Nome do Provedor de Identidade é preenchido automaticamente como Microsoft ADFS

    2. Clique em Avançar (Next).
  6. Revise as informações e clique em Concluir (Finish).
    vCenter Server cria o provedor de identidade do AD FS e exibe as informações de configuração.
  7. Configure a associação de grupo em vCenter Server para autorização do AD FS.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Users and Groups.
    3. Clique na guia Grupos.
    4. Clique no grupo Administradores (Administrators) e clique em Adicionar membros (Add Members).
    5. Selecione o domínio no menu suspenso.
    6. Na caixa de texto abaixo do menu suspenso, digite os primeiros caracteres do grupo AD FS que você deseja adicionar e aguarde a exibição da seleção suspensa.
      Pode levar vários segundos para que a seleção apareça, pois vCenter Server estabelece a conexão e pesquisa Active Directory.
    7. Selecione o grupo AD FS e adicione-o ao grupo Administradores.
    8. Clique em Salvar (Save).
  8. Verifique o login em vCenter Server com um usuário Active Directory.