了解有关使用 Okta、Microsoft Entra ID 或 PingFederate 的增强型链接模式配置中的可用性注意事项的更多信息。
前提条件
- 增强型链接模式配置的两个或更多 vCenter Server 系统。例如,系统通过 VC_N 标记为 VC_1、VC_2、VC_3,其中 N 是增强型链接模式配置中 vCenter Server 系统的数量。
- 对于 Okta 和 Microsoft Entra ID,所有 vCenter Server 系统都必须运行 vSphere 8.0 Update 2 或更高版本。对于 PingFederate,所有 vCenter Server 系统都必须至少运行 vSphere 8.0 Update 3。
- Okta、Microsoft Entra ID 或 PingFederate 被配置为其中一个 vCenter Server 系统上的外部身份提供程序。例如,系统标记为 VC_1。
- 外部身份提供程序配置了所有必需的 OAuth2 和 SCIM 应用程序。
过程
- 要激活给定 vCenter Server VC_i(i 介于 2 和 N 之间),请执行以下操作:
- 获取 VC_i 的本地 shell 访问权限以运行激活脚本。
注: 要执行以下步骤,可以在命令行或控制台提示中指定具有管理特权的
vCenter Server 用户帐户。
- 从激活脚本执行 'status' 以获取 vCenter Server 的当前激活状态。
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
- 如果 'status' 命令指示 vCenter Server 未激活,请从激活脚本执行 'activate':
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
- 如果 'status' 命令指示 vCenter Server 已激活,则执行 'deactivate' 选项,然后执行 'activate' 选项。
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
- 例如,执行 'activate' 选项。
- 或者,也可以在 'activate' 命令中指定 '--force-replace' 选项。
- 打开浏览器访问 vCenter Server VC_i,然后以管理员身份登录 vCenter Server。
- 导航到主页 > 管理 > 单点登录 > 配置。
- 在用户置备下,确认租户 URL 包含 VC_i 的 FQDN。
- 复制租户 URI 字符串并保存此信息,以便将其与外部身份提供程序一起使用。
- 在密钥令牌下,单击生成,复制生成的令牌字符串,然后保存此信息,以便将其与外部身份提供程序一起使用。
- 在 OpenID Connect 下,确认重定向 URI 包含 VC_i 的 FQDN。
- 复制重定向 URI 字符串并保存此信息,以便将其与外部身份提供程序一起使用。
- 打开浏览器访问外部身份提供程序的管理页面。
注: 有关更多信息,请参阅外部身份提供程序特定详细信息以执行以下步骤。
- 查找最初在 VC_1 中配置外部身份提供程序时设置的 OAuth2 注册信息。
- 编辑 OAuth2 注册信息,并添加之前为 VC_i 获取的重定向 URI。
- 如果外部身份提供程序支持具有多个目标的 SCIM 推送配置,则:
- 查找最初在 VC_1 中配置外部身份提供程序时设置的 SCIM 推送配置。
- 编辑 SCIM 推送配置,并添加之前为 VC_i 获取的租户 URL 和密钥令牌。
- 如果外部身份提供程序仅支持具有一个目标的 SCIM 推送配置,则:
- 使用以前为 VC_i 获取的租户 URL 和密钥令牌创建新的 SCIM 推送配置。
- 确保 SCIM 推送配置推送的用户/组数据与最初在 VC_1 中配置外部身份提供程序时设置的 SCIM 推送配置相同。
- 启动 SCIM 推送操作,以确保 VC_i 填充最新的用户或组数据。