通过vCenter Server身份提供程序联合,可以配置外部身份提供程序,以实现联合身份验证。在此配置中,外部身份提供程序代表 vCenter Server与标识源进行交互。
vCenter Server身份提供程序联合基础知识
从 vSphere 7.0 开始,vCenter Server支持联合身份验证。在这种情况下,当用户登录到 vCenter Server时,vCenter Server 会将用户登录重定向到外部身份提供程序。不再直接向vCenter Server提供用户凭据。而是,用户向外部身份提供程序提供凭据。vCenter Server 信任外部身份提供程序以执行身份验证。在联合模型中,用户永远不会直接向任何服务或应用程序提供凭据,而是仅向身份提供程序提供凭据。因此,可以将您的应用程序和服务(如 vCenter Server)与您的身份提供程序进行“联合”。
vCenter Server身份提供程序联合的优势
vCenter Server身份提供程序联合提供以下优势。
- 可以将 Single Sign-On 与现有联合基础架构和应用程序配合使用。
- 可以提高数据中心的安全性,因为 vCenter Server从不处理用户的凭据。
- 可以使用外部身份提供程序支持的身份验证机制,例如多因素身份验证。
vCenter Server身份提供程序联合组件
以下组件包含使用 Microsoft Active Directory 联合身份验证服务 (AD FS) 的 vCenter Server身份提供程序联合配置:
- vCenter Server
- 在 vCenter Server上配置的身份提供程序服务
- AD FS 服务器和关联的 Microsoft Active Directory 域
- AD FS 应用程序组
- 映射到 vCenter Server组和用户的 Active Directory 组和用户
vCenter Server身份提供程序联合架构
在 vCenter Server 身份提供程序联合中,vCenter Server 使用 OpenID Connect (OIDC) 协议接收身份令牌,用于对 vCenter Server 用户进行身份验证。
要在vCenter Server和身份提供程序之间建立依赖方信任,必须在它们之间建立标识信息和共享密钥。为此,在 AD FS 中,需要创建称为“应用程序组”的 OIDC 配置,该配置由服务器应用程序和 Web API 组成。这两个组件指定vCenter Server用于信任和与 AD FS 服务器通信的信息。还需在vCenter Server中创建相应的身份提供程序。最后,在 vCenter Server中配置组成员资格,以授权来自 AD FS 域中用户的登录。
AD FS 管理员必须提供以下信息才能创建 vCenter Server身份提供程序配置:
- 客户端标识符:由 AD FS“应用程序组”向导生成并标识应用程序组本身的 UUID 字符串。
- 共享密钥:由 AD FS“应用程序组”向导生成并用于通过 AD FS 对 vCenter Server进行身份验证的密钥。
- OpenID 地址:AD FS 服务器的 OpenID 提供程序发现端点 URL,指定通常作为与路径“
/.well-known/openid-configuration
”连接的颁发者端点的已知地址。例如:https://webserver.example.com/adfs/.well-known/openid-configuration
。