了解有关使用 Okta、Microsoft Entra ID 或 PingFederate 的增强型链接模式配置中的可用性注意事项的更多信息。

前提条件

  • 增强型链接模式配置的两个或更多 vCenter Server 系统。例如,系统通过 VC_N 标记为 VC_1、VC_2、VC_3,其中 N 是增强型链接模式配置中 vCenter Server 系统的数量。
  • 对于 Okta 和 Microsoft Entra ID,所有 vCenter Server 系统都必须运行 vSphere 8.0 Update 2 或更高版本。对于 PingFederate,所有 vCenter Server 系统都必须至少运行 vSphere 8.0 Update 3。
  • Okta、Microsoft Entra ID 或 PingFederate 被配置为其中一个 vCenter Server 系统上的外部身份提供程序。例如,系统标记为 VC_1。
  • 外部身份提供程序配置了所有必需的 OAuth2 和 SCIM 应用程序。

过程

  1. 要激活给定 vCenter Server VC_i(i 介于 2 和 N 之间),请执行以下操作:
    1. 获取 VC_i 的本地 shell 访问权限以运行激活脚本。
      注: 要执行以下步骤,可以在命令行或控制台提示中指定具有管理特权的 vCenter Server 用户帐户。
    2. 从激活脚本执行 'status' 以获取 vCenter Server 的当前激活状态。 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. 如果 'status' 命令指示 vCenter Server 未激活,请从激活脚本执行 'activate' 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. 如果 'status' 命令指示 vCenter Server 已激活,则执行 'deactivate' 选项,然后执行 'activate' 选项。 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • 例如,执行 'activate' 选项。
      • 或者,也可以在 'activate' 命令中指定 '--force-replace' 选项。
  2. 打开浏览器访问 vCenter Server VC_i,然后以管理员身份登录 vCenter Server
    1. 导航到主页 > 管理 > 单点登录 > 配置
    2. 用户置备下,确认租户 URL 包含 VC_i 的 FQDN。
    3. 复制租户 URI 字符串并保存此信息,以便将其与外部身份提供程序一起使用。
    4. 密钥令牌下,单击生成,复制生成的令牌字符串,然后保存此信息,以便将其与外部身份提供程序一起使用。
    5. OpenID Connect 下,确认重定向 URI 包含 VC_i 的 FQDN。
    6. 复制重定向 URI 字符串并保存此信息,以便将其与外部身份提供程序一起使用。
  3. 打开浏览器访问外部身份提供程序的管理页面。
    注: 有关更多信息,请参阅外部身份提供程序特定详细信息以执行以下步骤。
    1. 查找最初在 VC_1 中配置外部身份提供程序时设置的 OAuth2 注册信息。
    2. 编辑 OAuth2 注册信息,并添加之前为 VC_i 获取的重定向 URI。
    3. 如果外部身份提供程序支持具有多个目标的 SCIM 推送配置,则:
      • 查找最初在 VC_1 中配置外部身份提供程序时设置的 SCIM 推送配置。
      • 编辑 SCIM 推送配置,并添加之前为 VC_i 获取的租户 URL密钥令牌
    4. 如果外部身份提供程序仅支持具有一个目标的 SCIM 推送配置,则:
      • 使用以前为 VC_i 获取的租户 URL密钥令牌创建新的 SCIM 推送配置。
      • 确保 SCIM 推送配置推送的用户/组数据与最初在 VC_1 中配置外部身份提供程序时设置的 SCIM 推送配置相同。
    5. 启动 SCIM 推送操作,以确保 VC_i 填充最新的用户或组数据。