Sie können VMware Cloud Foundation so konfigurieren, dass Active Directory-Verbunddienste (AD FS) als externer Identitätsanbieter anstelle von vCenter Single Sign-On verwendet wird. In dieser Konfiguration interagiert der externe Identitätsanbieter im Namen von vCenter Server mit der Identitätsquelle.

Sie können nur einen externen Identitätsanbieter zu VMware Cloud Foundation hinzufügen. VMware Cloud FoundationWenn Sie den Identitätsanbieter von vCenter Single Sign-On in AD FS ändern, werden alle Benutzer und Gruppen aus AD über LDAP- oder OpenLDAP-Identitätsquellen entfernt. Benutzer und Gruppen aus der Systemdomäne (z. B. vsphere.local) sind davon nicht betroffen.

Voraussetzungen

Anforderungen der Active Directory Federation Services (AD FS):

  • AD FS für Windows Server 2016 oder höher muss bereits bereitgestellt worden sein.
  • AD FS muss mit Active Directory verbunden sein.
  • Sie haben eine vCenter Server-Administratorengruppe in AD FS erstellt, die die Benutzer enthält, denen vCenter Server-Administratorrechte zugewiesen werden sollen.

Weitere Informationen zum Konfigurieren von AD FS finden Sie in der Microsoft-Dokumentation.

vCenter Server und andere Anforderungen:

  • vSphere 7.0 oder höher
  • vCenter Server muss in der Lage sein, eine Verbindung mit dem Erkennungs-Endpoint für AD FS sowie der Autorisierung, dem Token, der Abmeldung, JWKS und allen anderen Endpoints, die in den Metadaten des Erkennungs-Endpoints angegeben wurden, herzustellen.
  • Sie benötigen das Recht VcIdentityProviders.Manage zum Erstellen, Aktualisieren oder Löschen eines vCenter Server-Identitätsanbieters, der für die Verbundauthentifizierung erforderlich ist. Um die Rechte eines Benutzers auf die Ansicht der Konfigurationsinformationen für den Identitätsanbieter zu beschränken, weisen Sie ihm das Recht VcIdentityProviders.Read zu.

Prozedur

  1. Klicken Sie im Navigationsbereich auf Verwaltung > Single Sign-On.
  2. Klicken Sie auf Identitätsanbieter.
  3. Klicken Sie auf Identitätsanbieter ändern und wählen Sie ADFS aus.
    Menüoptionen mit ADFS.
  4. Klicken Sie auf Weiter.
  5. Aktivieren Sie das Kontrollkästchen zum Bestätigen der Voraussetzungen und klicken Sie auf Weiter.
  6. Wenn Ihr AD FS-Serverzertifikat wird von einer öffentlich vertrauenswürdigen Zertifizierungsstelle signiert wird, klicken Sie auf Weiter. Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das AD FS-Root-CA-Zertifikat hinzu, das dem Speicher für vertrauenswürdige Stammzertifikate hinzugefügt wurde.
    1. Klicken Sie auf Durchsuchen.
    2. Navigieren Sie zum Zertifikat und klicken Sie auf Öffnen.
    3. Klicken Sie auf Weiter.
  7. Kopieren Sie die Umleitungs-URIs.
    Sie benötigen sie beim Erstellen der AD FS-Anwendungsgruppe im nächsten Schritt.
  8. Erstellen Sie eine OpenID Connect-Konfiguration in AD FS.

    Zum Einrichten einer Vertrauensstellung der vertrauenden Seite zwischen vCenter Server und einem Identitätsanbieter müssen Sie Identifzierungsinformationen und einen gemeinsamen geheimen Schlüssel zwischen ihnen festlegen. In AD FS erstellen Sie hierzu eine als Anwendungsgruppe bezeichnete OpenID Connect-Konfiguration, die aus einer Serveranwendung und einer Web-API besteht. Die beiden Komponenten enthalten die Informationen, die von vCenter Server zum Herstellen von Vertrauen und zur Kommunikation mit dem AD FS-Server verwendet werden. Informationen zum Aktivieren von OpenID Connect in AD FS finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78029.

    Beachten Sie Folgendes, wenn Sie die Anwendungsgruppe AD FS erstellen.

    • Sie benötigen die beiden Umleitungs-URIs, die Sie im vorherigen Schritt erhalten haben.
    • Kopieren Sie die folgenden Informationen in eine Datei oder notieren Sie sie für die Verwendung bei der Konfiguration des Identitätsanbieters im nächsten Schritt.
      • Client-Bezeichner
      • Gemeinsamer geheimer Schlüssel
      • OpenID-Adresse des AD FS-Servers
  9. Geben Sie die Informationen zur Anwendungsgruppe ein und klicken Sie auf Weiter.
    Verwenden Sie die Informationen im vorherigen Schritt und geben Sie Folgendes ein:
    • Client-Bezeichner
    • Gemeinsamer geheimer Schlüssel
    • OpenID-Adresse des AD FS-Servers
  10. Geben Sie die Benutzer- und Gruppeninformationen für die Verbindung mit Active Directory über LDAP ein, um nach Benutzern und Gruppen zu suchen.
    vCenter Server leitet die AD-Domäne, die für Autorisierung und Berechtigungen verwendet werden soll, aus dem Basis-DN für Benutzer ab. Sie können Berechtigungen für vSphere-Objekte nur für Benutzer und Gruppen aus dieser AD-Domäne hinzufügen. Benutzer oder Gruppen aus untergeordneten AD-Domänen oder anderen Domänen in der AD-Gesamtstruktur werden vom vCenter Server-Identitätsanbieterverbund nicht unterstützt.
    Option Beschreibung
    Basis-DN (Distinguished Name) für Benutzer Basis-DN (Distinguished Name) für Benutzer.
    Basis-DN (Distinguished Name) für Gruppen Der Basis-DN (Distinguished Name) für Gruppen.
    Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
    Kennwort ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
    URL des primären Servers LDAP-Server des primären Domänencontrollers für die Domäne.

    Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

    Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

    URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der für das Failover verwendet wird.
    Zertifikate (für LDAPS) Wenn Sie LDAPS verwenden möchten, klicken Sie auf Durchsuchen, um ein Zertifikat auszuwählen.
  11. Überprüfen Sie die Informationen und klicken Sie auf Absenden.

Nächste Maßnahme

Nachdem Sie AD FS erfolgreich als externen Identitätsanbieter hinzugefügt haben, können Sie Benutzer und Gruppen zu VMware Cloud Foundation hinzufügen. Weitere Informationen finden Sie unter Hinzufügen eines Benutzers oder einer Gruppe zu VMware Cloud Foundation.