安装或升级到 vSphere 8.0 Update 2 或更高版本后,可以为 Microsoft Entra ID(以前称为 Azure AD,作为外部身份提供程序)配置 vCenter Server 身份提供程序联合。
vCenter Server 仅支持一个已配置的外部身份提供程序(一个源)和 vsphere.local 标识源(本地源)。不能使用多个外部身份提供程序。用户登录到 vCenter Server 时,vCenter Server 身份提供程序联合使用 OpenID Connect (OIDC)。
可以在 vCenter Server 中使用 Microsoft Entra ID 组和用户通过全局权限或对象权限配置特权。有关添加权限的详细信息,请参见《vSphere 安全性》文档。
有关配置过程的讲解示范,请查看以下视频:
vCenter 身份验证:AzureAD/Entra ID 集成 | vSphere 8 Update 2
前提条件
Microsoft Entra ID 要求:
- 您是 Microsoft 的客户,并且拥有 Microsoft Entra ID 帐户。
Microsoft Entra ID 连接要求:
- 您使用 OpenID Connect 作为登录方法创建了企业(非库)应用程序。
- 添加授权代码、刷新令牌和资源所有者密码作为已创建应用程序中的授权类型。
- 对于用户和组同步,您需要在 Microsoft Entra ID 中使用 OAuth 2.0 持有者令牌为 SCIM 2.0 置备配置 VMware Identity Services 库应用程序。
vCenter Server 要求:
- vSphere 8.0 Update 2 或更高版本,且激活了 VMware Identity Services(默认激活)。
- 在要创建 Microsoft Entra ID 标识源的 vCenter Server 上,确认已激活 VMware Identity Services。
- 身份提供程序中的用户和组在 vCenter Server 中置备。
vSphere 特权要求:
- 您必须具有 VcIdentityProviders.Manage 特权,才能创建、更新或删除联合身份验证所需的 vCenter Server 身份提供程序。要限制用户只能查看身份提供程序配置信息,请分配 VcIdentityProviders.Read 特权。
增强型链接模式要求:
- 可以在增强型链接模式配置中为 Microsoft Entra ID 配置 vCenter Server 身份提供程序联合。在增强型链接模式配置下配置 Microsoft Entra ID 时,可以将 Microsoft Entra ID 身份提供程序配置为使用单个 vCenter Server 系统上的 VMware Identity Services。例如,如果增强型链接模式配置包含两个 vCenter Server 系统,则仅使用一个 vCenter Server 及其 VMware Identity Services 实例与 Microsoft Entra ID 服务器进行通信。如果此 vCenter Server 系统变得不可用,可以在 ELM 配置中的其他 vCenter Server 系统上配置 VMware Identity Services,以便与 Microsoft Entra ID 服务器进行交互。有关详细信息,请参见增强型链接模式配置中的外部身份提供程序激活过程。
- 将 Microsoft Entra ID 配置为外部身份提供程序时,增强型链接模式配置中的所有 vCenter Server 系统必须至少运行 vSphere 8.0 Update 2。
网络连接要求:
- 如果您的网络不对外公开,则必须在 vCenter Server 系统和 Microsoft Entra ID 服务器之间创建一个网络隧道,然后使用适当的可公开访问 URL 作为基本 URI。
过程
- 在 Microsoft Entra ID 中创建 OpenID Connect 应用程序,并将组和用户分配给 OpenID Connect 应用程序。
要创建 OpenID Connect 应用程序并分配组和用户,请参见 VMware 知识库文章,网址为:
https://kb.vmware.com/s/article/94182。按照标题为“创建 OpenID Connect 应用程序”部分中的步骤进行操作。创建 OpenID Connect 应用程序后,将以下信息从 Microsoft Entra ID OpenID Connect 应用程序复制到文件,以便在下一步配置
vCenter Server 身份提供程序时使用。
- 客户端标识符
- 客户端密钥(在 vSphere Client 显示为共享密钥)。
- 如果未运行 Active Directory,Active Directory 域信息或 Microsoft Entra ID 域信息。
- 要在 vCenter Server 上创建身份提供程序,请执行以下操作:
- 使用 vSphere Client 以管理员身份登录到 vCenter Server。
- 导航到。
- 单击更改提供程序并选择 Microsoft Entra ID。
此时将打开
配置主身份提供程序向导。
- 在必备条件面板中,查看 Microsoft Entra ID 要求和 vCenter Server 要求。
- 单击运行预检查。
如果预检查发现错误,请单击
查看详细信息,然后按照指示采取措施,解决错误。
- 如果预检查通过,请单击确认复选框,然后单击下一步。
- 在目录信息面板中,输入以下信息。
- 单击下一步。
- 在 OpenID Connect 面板中,输入以下信息。
- 单击下一步。
- 检查信息,然后单击完成。
vCenter Server 将创建 Microsoft Entra ID 身份提供程序并显示配置信息。
- 如有必要,向下滚动,然后单击“重定向 URI”对应的复制图标,并将其保存到文件中。
您可以使用 Microsoft Entra ID OpenID 连接应用程序中的重定向 URI。
- 单击“租户 URL”对应的复制图标,并将其保存到文件中。
注: 如果您的网络不对外公开,则必须在
vCenter Server 系统和 Microsoft Entra ID 服务器之间创建一个网络隧道。创建网络隧道后,使用适当的可公开访问 URL 作为基本 URI。
- 在用户置备下,单击生成以创建密钥令牌,从下拉列表中选择令牌使用期限,然后单击复制到剪贴板。将令牌保存到安全位置。
将在 Microsoft Entra ID SCIM 2.0 应用程序中使用租户 URL 和令牌。Microsoft Entra ID SCIM 2.0 应用程序使用该令牌将 Microsoft Entra ID 用户和组同步到 VMware Identity Services 中。要将 Microsoft Entra ID 用户和组从 Microsoft Entra ID 推送到
vCenter Server,必须提供此信息。
- 返回到 VMware 知识库文章 (https://kb.vmware.com/s/article/94182),了解如何更新 Microsoft Entra ID 重定向 URI。
按照标题为“更新 Azure AD 重定向 URI”部分中的步骤进行操作。
- 要创建 SCIM 2.0 应用程序,请继续查看 VMware 知识库文章 (https://kb.vmware.com/s/article/94182)。
按照标题为“创建 SCIM 2.0 应用程序并将用户和组推送到 vCenter Server”部分中的步骤进行操作。
按照知识库文章所述创建 SCIM 2.0 应用程序后,继续执行下一步。
- 在 vCenter Server 中为 Microsoft Entra ID 授权配置组成员资格。
配置组成员资格后,Microsoft Entra ID 用户才能登录到
vCenter Server。
- 在 vSphere Client 中以本地管理员身份登录,转到。
- 单击组选项卡。
- 单击管理员组,然后单击添加成员。
- 从下拉菜单中选择要添加的 Microsoft Entra ID 组的域名。
- 在下拉菜单下方的文本框中,输入要添加的 Microsoft Entra ID 组的前几个字符,然后等待下拉选项显示。
- 选择 Microsoft Entra ID 组,然后将其添加到管理员组。
- 单击保存。
- 确认能否以 Microsoft Entra ID 用户身份登录到 vCenter Server。
- 要为 Microsoft Entra ID 用户分配清单级别权限和全局权限,请参见《vSphere 安全性》文档中有关“管理 vCenter Server 组件的权限”的主题。
