Sie können VMware Cloud Foundation so konfigurieren, dass Microsoft ADFS als externer Identitätsanbieter anstelle von vCenter Single Sign-On verwendet wird. In dieser Konfiguration interagiert der externe Identitätsanbieter im Namen von vCenter Server mit der Identitätsquelle.

Sie können nur einen externen Identitätsanbieter zu VMware Cloud Foundation hinzufügen.

Voraussetzungen

Anforderungen an Microsoft Active Directory Federation Services (ADFS):

  • Microsoft ADFS für Windows Server 2016 oder höher muss bereits bereitgestellt worden sein.
  • Microsoft ADFS muss mit Active Directory verbunden sein.
  • Sie haben eine vCenter Server-Administratorengruppe in Microsoft ADFS mit den Benutzern erstellt, denen vCenter Server-Administratorrechte zugewiesen werden sollen.

Weitere Informationen zum Konfigurieren von Microsoft ADFS finden Sie in der Microsoft-Dokumentation.

vCenter Server und andere Anforderungen:

  • vSphere 7.0 oder höher
  • vCenter Server muss in der Lage sein, eine Verbindung mit dem Ermittlungs-Endpoint für Microsoft ADFS sowie der Autorisierung, dem Token, der Abmeldung, JWKS und allen anderen Endpoints herzustellen, die in den Metadaten des Ermittlungs-Endpoints angegeben wurden.

Prozedur

  1. Melden Sie sich bei der SDDC Manager-Benutzeroberfläche als Benutzer mit der ADMIN-Rolle an
  2. Klicken Sie im Navigationsbereich auf Verwaltung > Single Single Sign-On.
  3. Klicken Sie auf Identitätsanbieter.
  4. Klicken Sie auf Identitätsanbieter ändern und wählen Sie Microsoft ADFS aus.
    Menüoptionen mit ADFS.
  5. Klicken Sie auf Weiter.
  6. Aktivieren Sie das Kontrollkästchen zum Bestätigen der Voraussetzungen und klicken Sie auf Weiter.
  7. Wenn Ihr Microsoft ADFS-Serverzertifikat von einer öffentlich vertrauenswürdigen Zertifizierungsstelle signiert wurde, klicken Sie auf Weiter. Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das Microsoft ADFS-Root-CA-Zertifikat hinzu, das dem Speicher für vertrauenswürdige Stammzertifikate hinzugefügt wurde.
    1. Klicken Sie auf Durchsuchen.
    2. Navigieren Sie zum Zertifikat und klicken Sie auf Öffnen.
    3. Klicken Sie auf Weiter.
  8. Kopieren Sie die Umleitungs-URIs.
    Sie benötigen sie beim Erstellen der Microsoft ADFS-Anwendungsgruppe im nächsten Schritt.
  9. Erstellen Sie eine OpenID Connect-Konfiguration in Microsoft ADFS.

    Zum Einrichten einer Vertrauensstellung der vertrauenden Seite zwischen vCenter Server und einem Identitätsanbieter müssen Sie Identifzierungsinformationen und einen gemeinsamen geheimen Schlüssel zwischen ihnen festlegen. In Microsoft ADFS erstellen Sie hierzu eine als Anwendungsgruppe bezeichnete OpenID Connect-Konfiguration, die aus einer Serveranwendung und einer Web-API besteht. Die beiden Komponenten enthalten die Informationen, die von vCenter Server zum Herstellen von Vertrauen und zur Kommunikation mit dem Microsoft ADFS-Server verwendet werden. Informationen zum Aktivieren von OpenID Connect in Microsoft ADFS finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78029.

    Beachten Sie Folgendes, wenn Sie die Microsoft ADFS-Anwendungsgruppe erstellen.

    • Sie benötigen die beiden Umleitungs-URIs, die Sie im vorherigen Schritt erhalten haben.
    • Kopieren Sie die folgenden Informationen in eine Datei oder notieren Sie sie für die Verwendung bei der Konfiguration des Identitätsanbieters im nächsten Schritt.
      • Client-Bezeichner
      • Gemeinsamer geheimer Schlüssel
      • OpenID-Adresse des Microsoft ADFS-Servers
  10. Geben Sie die Informationen zur Anwendungsgruppe ein und klicken Sie auf Weiter.
    Verwenden Sie die Informationen im vorherigen Schritt und geben Sie Folgendes ein:
    • Client-Bezeichner
    • Gemeinsamer geheimer Schlüssel
    • OpenID-Adresse des Microsoft ADFS-Servers
  11. Geben Sie die Benutzer- und Gruppeninformationen für die Verbindung mit Active Directory über LDAP ein, um nach Benutzern und Gruppen zu suchen.
    vCenter Server leitet die AD-Domäne, die für Autorisierung und Berechtigungen verwendet werden soll, aus dem Basis-DN für Benutzer ab. Sie können Berechtigungen für vSphere-Objekte nur für Benutzer und Gruppen aus dieser AD-Domäne hinzufügen. Benutzer oder Gruppen aus untergeordneten AD-Domänen oder anderen Domänen in der AD-Gesamtstruktur werden vom vCenter Server-Identitätsanbieterverbund nicht unterstützt.
    Option Beschreibung
    Basis-DN (Distinguished Name) für Benutzer Basis-DN (Distinguished Name) für Benutzer.
    Basis-DN (Distinguished Name) für Gruppen Der Basis-DN (Distinguished Name) für Gruppen.
    Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
    Kennwort ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
    URL des primären Servers LDAP-Server des primären Domänencontrollers für die Domäne.

    Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

    Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

    URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der für das Failover verwendet wird.
    Zertifikate (für LDAPS) Wenn Sie LDAPS verwenden möchten, klicken Sie auf Durchsuchen, um ein Zertifikat auszuwählen.
  12. Überprüfen Sie die Informationen und klicken Sie auf Absenden.

Nächste Maßnahme

Nachdem Sie Microsoft ADFS erfolgreich als externen Identitätsanbieter hinzugefügt haben, können Sie Benutzer und Gruppen zu VMware Cloud Foundation hinzufügen. Weitere Informationen finden Sie unter Hinzufügen eines Benutzers oder einer Gruppe zu VMware Cloud Foundation.