了解有关在 ELM 环境中使用 Okta 或 Azure AD 时的可用性注意事项的更多信息。

前提条件

  • 两个或两个以上 vCenter 服务器处于增强型链接模式 (ELM)。例如,它被标记为 VC_1、VC_2、VC_3...VC_N,其中 N 是 ELM 中的 vCenter Server 数量。
  • 所有 vCenter Server 都部署了 8.0 Update 2 或更高版本。
  • Okta 或 Azure AD 在其中一个 vCenter Server 上配置为外部身份提供程序 (IDP)。例如,它标记为 VC_1。
  • 外部身份提供程序配置了所有必需的 OAuth2 和 SCIM 应用程序。

过程

  1. 要激活给定 vCenter Server VC_i(i 介于 2 和 N 之间),请执行以下操作:
    1. 获取 VC_i 的本地 shell 访问权限以运行激活脚本。
      注: 要执行以下步骤,可以在命令行或控制台提示中指定具有管理特权的 vCenter Server 用户帐户。
    2. 从激活脚本执行 'status' 以获取 vCenter Server 的当前激活状态。
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. 如果 'status' 命令指示 vCenter Server 未激活,请从激活脚本执行 'activate'
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. 如果 'status' 命令指示 vCenter Server 已激活,则执行 'deactivate' 选项,然后执行 'activate' 选项。
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • 例如,执行 'activate' 选项。
      • 或者,也可以在 'activate' 命令中指定 '--force-replace' 选项。
  2. 打开浏览器访问 VC_i,然后以管理员身份登录 vCenter Server
    1. 导航到主页 > 管理 > 单点登录 > 配置
    2. 用户置备下,确认租户 URL 包含 VC_i 的 FQDN。
    3. 复制租户 URL 字符串并保存此信息,以便将其与外部 IDP 一起使用。
    4. 密钥令牌下,单击生成,复制生成的令牌字符串,然后保存此信息,以便将其与外部身份提供程序一起使用。
    5. OpenID Connect 下,确认重定向 URI 包含 VC_i 的 FQDN。
    6. 复制重定向 URI 字符串并保存此信息,以便将其与外部身份提供程序一起使用。
  3. 打开浏览器访问外部身份提供程序的管理页面。
    注: 有关更多信息,请参阅外部身份提供程序特定详细信息以执行以下步骤。
    1. 查找最初在 VC_1 中配置外部身份提供程序时设置的 OAuth2 注册信息。
    2. 编辑 OAuth2 注册信息,并添加之前为 VC_i 获取的重定向 URI。
    3. 如果外部 IDP 支持具有多个目标的 SCIM 推送配置,则
      • 查找最初在 VC_1 中配置外部身份提供程序时设置的 SCIM 推送配置。
      • 编辑 SCIM 推送配置,并添加之前为 VC_i 获取的租户 URL密钥令牌
    4. 如果外部 IDP 仅支持一个目标的 SCIM 推送配置:
      • 使用以前为 VC_i 获取的租户 URL密钥令牌创建新的 SCIM 推送配置。
      • 确保 SCIM 推送配置推送的用户/组数据与最初在 VC_1 中配置外部身份提供程序时设置的 SCIM 推送配置相同。
    5. 启动 SCIM 推送操作,以确保VC_i填充最新的用户或组数据。