Die Verwendung von Microsoft Entra ID als Identitätsanbieter für den vCenter Server der Verwaltungsdomäne ermöglicht einen Identitätsverbund über SDDC Manager, vCenter Server und NSX Manager hinweg.

Die Konfiguration des Identitätsverbunds mit Microsoft Entra ID umfasst die Durchführung von Aufgaben in der Microsoft Entra-Verwaltungskonsole und der SDDC Manager-Benutzeroberfläche. Nach der Synchronisierung der Benutzer und Gruppen können Sie Berechtigungen in SDDC Manager, vCenter Server und NSX Manager zuweisen.
  1. Erstellen Sie eine OpenID Connect-Anwendung für VMware Cloud Foundation in Microsoft Entra ID.
  2. Konfigurieren Sie die Microsoft Entra ID als Identitätsanbieter auf der SDDC Manager-Benutzeroberfläche.
  3. Aktualisieren Sie die Microsoft Entra ID OpenID Connect-Anwendung mit dem Umleitungs-URI aus SDDC Manager.
  4. Erstellen Sie eine SCIM 2.0-Anwendung für VMware Cloud Foundation.
  5. Weisen Sie Berechtigungen für Microsoft Entra ID-Benutzer und -Gruppen in SDDC Manager, vCenter Server und NSX Manager zu.
Hinweis: Wenn Sie isolierte VI-Arbeitslastdomänen erstellt haben, die verschiedene SSO-Domänen verwenden, müssen Sie Microsoft Entra ID mithilfe des vSphere Client als Identitätsanbieter für diese SSO-Domänen konfigurieren. Wenn Sie Microsoft Entra ID als Identitätsanbieter für eine isolierte Arbeitslastdomäne im vSphere Client konfigurieren, wird NSX Manager automatisch als vertrauende Seite registriert. Sobald sich ein Microsoft Entra ID-Benutzer dann mit den notwendigen Berechtigungen beim vCenter Server der isolierten VI-Arbeitslastdomäne anmeldet, kann er direkt auf den NSX Manager der VI-Arbeitslastdomäne über die SDDC Manager-Benutzeroberfläche zugreifen, ohne sich erneut anmelden zu müssen.

Voraussetzungen

Integrieren Sie Active Directory (AD) mit Microsoft Entra ID. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
Hinweis: Dies ist nicht notwendig, wenn Sie keine Integration mit AD durchführen möchten oder AD und Microsoft Entra ID bereits integriert haben.

Erstellen einer OpenID Connect-Anwendung für VMware Cloud Foundation in Microsoft Entra ID

Bevor Sie Microsoft Entra ID als Identitätsanbieter in VMware Cloud Foundation verwenden können, müssen Sie eine OpenID Connect-Anwendung in Microsoft Entra ID erstellen und der OpenID Connect-Anwendung Benutzer und Gruppen zuweisen.

Prozedur

  1. Melden Sie sich bei der Microsoft Entra-Verwaltungskonsole an und folgen Sie der Microsoft-Dokumentation, um eine OpenID Connect-Anwendung zu erstellen.
    Gehen Sie beim Erstellen der OpenID Connect-Anwendung im Assistenten „Neue App-Integration erstellen“ folgendermaßen vor:
    • Wählen Sie Startseite > Azure AD-Verzeichnis > App-Registrierung > Neue Registrierung aus.
    • Geben Sie einen geeigneten Namen für die OpenID Connect-Anwendung ein, wie z. B. EntraID-vCenter-app.
    • Verwenden Sie für Unterstützte Kontotypen den Standardwert oder treffen Sie Ihre Auswahl je nach Anforderung.
    • Legen Sie Umleitungs-URI als Web fest. Ein Umleitungs-URI kann auch zu einem späteren Zeitpunkt eingegeben werden.
  2. Nach der Erstellung der OpenID Connect-Anwendung generieren Sie den geheimen Clientschlüssel.
    1. Klicken Sie auf Zertifikate und geheime Schlüssel > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel.
    2. Geben Sie eine Beschreibung für den geheimen Clientschlüssel ein und wählen Sie die Gültigkeit im Dropdown-Menü Ablaufdatum aus.
    3. Klicken Sie auf Hinzufügen.
    4. Kopieren Sie nach der Generierung eines geheimen Schlüssels den Inhalt unter „Wert“ und speichern Sie ihn für die Erstellung des Microsoft Entra ID-Identitätsanbieters in SDDC Manager.
      Hinweis: SDDC Manager verwendet den Begriff „Gemeinsamer geheimer Schlüssel“ für den geheimen Clientschlüssel.
  3. Rufen Sie die Client-ID ab.
    1. Klicken Sie auf „Übersicht“.
    2. Kopieren Sie den Wert aus der Anwendungs-ID (Client).
      Hinweis: SDDC Manager Verwendet den Begriff „Clientbezeichner“ für die Client-ID.
  4. Klicken Sie auf Übersicht > Endpoints und kopieren Sie den Wert für das OpenID Connect-Metadatendokument.
  5. Klicken Sie auf Verwalten > Authentifizierung, führen Sie einen Bildlauf zum Abschnitt Erweiterte Einstellungen durch, schieben Sie die Umschaltfläche auf Ja für Folgende mobile und Desktop-Flows aktivieren und klicken Sie auf Speichern.
    Bildschirm „Erweiterte Einstellungen“ mit der Option zum Aktivieren von mobilen und Desktop-Flows.
  6. Klicken Sie auf Verwalten > API-Berechtigungen und dann auf Administratorzustimmung für <tenant_organization_name> erteilen. Beispiel: Administratorzustimmung für vCenter-Authentifizierungsdienste erteilen.
    Bildschirm mit der Option „Administratorzustimmung für vCenter-Authentifizierungsdienste erteilen“. „vCenter-Authentifizierungsdienste“ ist ein Beispielname für eine Mandantenorganisation.

Nächste Maßnahme

Konfigurieren Sie Microsoft Entra ID als Identitätsanbieter im SDDC Manager-Benutzeroberfläche mithilfe des geheimen Clientschlüssels, der Client-ID und der OpenID Connect-Informationen, die Sie kopiert haben.

Konfigurieren der Microsoft Entra ID als Identitätsanbieter auf der SDDC Manager-Benutzeroberfläche

Sie können VMware Cloud Foundation so konfigurieren, dass Microsoft Entra ID als externer Identitätsanbieter anstelle von vCenter Single Sign-On verwendet wird. In dieser Konfiguration interagiert der externe Identitätsanbieter im Namen von vCenter Server mit der Identitätsquelle.

Sie können nur einen externen Identitätsanbieter zu VMware Cloud Foundation hinzufügen.

Mit diesem Verfahren wird Microsoft Entra ID als Identitätsanbieter für den vCenter Server der Verwaltungsdomäne konfiguriert. Der Informationsendpunkt der VMware Identity Services wird auf alle anderen vCenter Server-Knoten repliziert, die Teil der ELM-Gruppe (Enhanced Link Mode, Erweiterter verknüpfter Modus) des vCenter Server der Verwaltungsdomäne sind. Wenn sich ein Benutzer dann anmeldet und vom vCenter Server der Verwaltungsdomäne autorisiert wird, wird der Benutzer auch auf jedem vCenter Server der VI-Arbeitslastdomäne autorisiert, die Teil derselben ELM-Gruppe ist. Wenn sich der Benutzer zuerst einem vCenter Server der VI-Arbeitslastdomäne anmeldet, gilt dasselbe.
Hinweis: Die Microsoft Entra ID-Konfigurationsinformationen und die Benutzer-/Gruppeninformationen werden nicht zwischen vCenter Server-Knoten im erweiterten verknüpften Modus repliziert. Verwenden Sie den vSphere Client nicht, um Microsoft Entra ID als Identitätsanbieter für einen beliebigen vCenter Server der VI-Arbeitslastdomäne zu konfigurieren, die Teil der ELM-Gruppe ist.

Voraussetzungen

Anforderungen an Microsoft Entra ID:
  • Sie sind Kunde von Microsoft Entra ID und verfügen über ein Azure AD-Konto.
  • Zum Durchführen von OIDC-Anmeldungen und Verwalten von Benutzer- und Gruppenberechtigungen müssen Sie die folgenden Microsoft Entra ID-Anwendungen erstellen.
    • Eine native Microsoft Entra ID-Anwendung mit OpenID Connect als Anmeldemethode. Die native Anwendung muss die Gewährungstypen „Autorisierungscode“, „Aktualisierungstoken“ und „Ressourcenbesitzerkennwort“ enthalten.
    • Ein System für SCIM 2.0-Anwendung (domänenübergreifende Identitätsverwaltung) mit einem OAuth 2.0-Bearer-Token zum Durchführen von Benutzer- und Gruppensynchronisierungen zwischen dem Microsoft Entra ID- und dem vCenter Server.
Anforderungen an das Netzwerk:
  • Wenn Ihr Netzwerk nicht öffentlich verfügbar ist, müssen Sie einen Netzwerktunnel zwischen Ihrem vCenter Server-System und Ihrem Microsoft Entra ID-Server erstellen und dann die entsprechende öffentlich zugängliche URL als SCIM 2.0-Mandanten-URL verwenden.
Anforderungen an vSphere und NSX:
  • vSphere 8.0 Update 2 oder höher.
  • NSX 4.1.2 oder höher.
Hinweis: Wenn Sie vCenter-Gruppenmitgliedschaften für AD/LDAP-Remote-Benutzer oder -Gruppen hinzugefügt haben, bereitet vCenter Server diese Mitgliedschaften so vor, dass sie mit der neuen Identitätsanbieterkonfiguration kompatibel sind. Diese Vorbereitung wird automatisch beim Start des Diensts ausgeführt und muss abgeschlossen werden, um mit der Konfiguration von Microsoft Entra ID fortfahren zu können. Klicken Sie auf Vorabprüfungen ausführen, um den Status der Vorbereitung zu überprüfen und anschließend fortzufahren.

Prozedur

  1. Melden Sie sich bei der SDDC Manager-Benutzeroberfläche als Benutzer mit der ADMIN-Rolle an
  2. Klicken Sie im Navigationsbereich auf Verwaltung > Single Single Sign-On.
  3. Klicken Sie auf Identitätsanbieter.
  4. Klicken Sie auf Identitätsanbieter ändern und wählen Sie Microsoft Entra ID aus.
    Menü „Externe Anbieter“ mit Microsoft Entra ID.
  5. Klicken Sie auf Weiter.
  6. Überprüfen und bestätigen Sie die Voraussetzungen im Bereich Voraussetzungen.
  7. Klicken Sie auf Vorabprüfungen ausführen, um sicherzustellen, dass das System zum Ändern der Identitätsanbieters bereit ist.
    Wenn bei der Vorabprüfung Fehler gefunden werden, klicken Sie auf Details anzeigen und führen Sie Schritte aus, um die angegebenen Fehler zu beheben.
  8. Geben Sie im Bereich Verzeichnisinformationen folgende Informationen ein.
    Abschnitt „Verzeichnisinformationen“ des Assistenten „Identitätsanbieter verbinden“.
    • Verzeichnisname: Name des lokalen Verzeichnisses, das in vCenter Server erstellt werden soll und die von Microsoft Entra ID übertragenen Benutzer und Gruppen speichert. Beispiel: vcenter-entra-directory.
    • Domänennamen: Geben Sie die Namen der Domänen ein, die die Microsoft Entra ID-Benutzer und -Gruppen enthalten, die Sie mit vCenter Server synchronisieren möchten.

      Klicken Sie nach der Eingabe eines Domänennamens auf das Pluszeichen (+), um ihn hinzuzufügen. Bei Eingabe mehrerer Domänennamen legen Sie die Standarddomäne fest.

  9. Klicken Sie auf Weiter.
  10. Geben Sie m Bereich OpenID Connect-Konfiguration die folgenden Informationen ein:
    Abschnitt „OpenID Connect-Konfiguration“ des Assistenten „Identitätsanbieter verbinden“.
    • Umleitungs-URIs: Wird automatisch ausgefüllt. Sie übergeben den Umleitungs-URI an Ihren Microsoft Entra ID-Administrator, der diesen beim Erstellen der OpenID Connect-Anwendung verwendet.
    • Name des Identitätsanbieters: Wird automatisch als Entra eingegeben.
    • Clientbezeichner: Wurde beim Erstellen der Microsoft Entra ID OpenID Connect-Anwendung übergeben. (In Microsoft Entra ID wird der Clientbezeichner als Client-ID bezeichnet.)
    • Gemeinsamer geheimer Schlüssel: Wurde beim Erstellen der Microsoft Entra ID OpenID Connect-Anwendung übergeben. (In Microsoft Entra ID wird der gemeinsame geheime Schlüssel als Clientschlüssel bezeichnet.)
    • OpenID-Adresse: Wurde beim Erstellen der Microsoft Entra ID OpenID Connect-Anwendung übergeben. (Microsoft Entra ID verweist auf die OpenID-Adresse als OpenID Connect-Metadatendokument).
  11. Klicken Sie auf Weiter.
  12. Überprüfen Sie die Informationen und klicken Sie auf Beenden.

Aktualisieren der Microsoft Entra ID OpenID Connect-Anwendung mit dem Umleitungs-URI von SDDC Manager

Nachdem Sie die Konfiguration des Microsoft Entra ID-Identitätsanbieters in der SDDC Manager-Benutzeroberfläche erstellt haben, aktualisieren Sie die Microsoft Entra ID OpenID Connect-Anwendung mit dem Umleitungs-URI von SDDC Manager.

Voraussetzungen

Kopieren Sie den Umleitungs-URI aus der SDDC Manager-Benutzeroberfläche.
  1. Melden Sie sich bei der SDDC Manager-Benutzeroberfläche an.
  2. Klicken Sie im Navigationsbereich auf Verwaltung > Single Single Sign-On.
  3. Klicken Sie auf Identitätsanbieter.
  4. Kopieren und speichern Sie im Abschnitt „OpenID Connect“ die Umleitungs-URI.
    Abschnitt „OpenID Connect“ für einen Microsoft Entra-ID-Identitätsanbieter, in dem der Umleitungs-URI angezeigt wird.

Prozedur

  1. Melden Sie sich bei der Microsoft Entra-Administratorkonsole an.
  2. Klicken Sie im Bildschirm App-Registrierungen für Ihre OpenID Connect-Anwendung auf Authentifizieren.
  3. Wählen Sie Plattform hinzufügen und dann Web.
  4. Fügen Sie im Textfeld Umleitungs-URIs die kopierte Umleitungs-URI aus SDDC Manager ein.
  5. Klicken Sie auf Konfigurieren.

Erstellen einer SCIM 2.0-Anwendung zur Verwendung von Microsoft Entra ID mit VMware Cloud Foundation

Indem Sie eine SCIM 2.0-Anwendung für Microsoft Entra ID erstellen, können Sie die Active Directory-Benutzer und -Gruppen angeben, die an vCenter Server übertragen werden sollen.

Wenn Ihr vCenter Server eingehenden Datenverkehr akzeptiert, führen Sie folgendes Verfahren aus, um eine SCIM 2.0-Anwendung zu erstellen. Wenn Ihr vCenter Server keinen eingehenden Datenverkehr akzeptiert, finden Sie alternative Methoden in der Dokumentation zu Microsoft Entra ID:
  • Provisioning-Agent für Microsoft Entra Connect
  • Proxy-Agent für Microsoft Entra-Anwendung

Voraussetzungen

Kopieren Sie die Mandanten-URL und das geheime Token auf der SDDC Manager-Benutzeroberfläche.
  1. Melden Sie sich bei der SDDC Manager-Benutzeroberfläche an.
  2. Klicken Sie im Navigationsbereich auf Verwaltung > Single Single Sign-On.
  3. Klicken Sie auf Identitätsanbieter.
  4. Klicken Sie im Abschnitt „Benutzerbereitstellung“ auf Generieren und kopieren und speichern Sie dann das geheime Token und die Mandanten-URL.
    Abschnitt „Benutzerbereitstellung“ für einen Microsoft Entra ID-Identitätsanbieter, in dem die Mandanten-URL und das geheime Token angezeigt werden.

Sie verwenden diese Informationen, um die folgenden Bereitstellungseinstellungen zu konfigurieren.

Prozedur

  1. Melden Sie sich bei der Microsoft Entra-Administratorkonsole an.
  2. Navigieren Sie zu Anwendungen > Enterprise-Anwendungen und klicken Sie auf Neue Anwendung.
  3. Suchen Sie nach „VMware Identity Service“ und wählen Sie ihn in den Suchergebnissen aus.
  4. Geben Sie einen geeigneten Namen für die SCIM 2.0-Anwendung ein, wie z. B. VCF SCIM 2.0-App.
  5. Klicken Sie auf Erstellen.
  6. Klicken Sie nach der Erstellung der SCIM 2.0-Anwendung auf Verwalten > Bereitstellung und geben Sie die Bereitstellungseinstellungen an.
    1. Wählen Sie Automatisch als Bereitstellungsmodus aus.
    2. Geben Sie die Mandanten-URL und das geheime Token ein, die Sie auf der SDDC Manager-Benutzeroberfläche kopiert haben, und klicken Sie auf Verbindung testen.
      Hinweis: Wenn zwischen dem vCenter Server-System und dem Microsoft Entra ID-Server ein Netzwerktunnel vorhanden ist, verwenden Sie die entsprechende öffentlich zugängliche URL als Mandanten-URL.
    3. Klicken Sie auf Speichern.
    4. Erweitern Sie den Abschnitt Zuordnungen und klicken Sie auf Azure Active Directory-Benutzer bereitstellen.
    5. Klicken Sie im Bildschirm Attributzuordnung auf UserPrincipalName.
    6. Aktualisieren Sie im Bildschirm Attribut bearbeiten die Einstellungen und klicken Sie dann auf OK.

      Option Bezeichnung
      Zuordnungstyp Wählen Sie Ausdruck aus.
      Ausdruck Geben Sie folgenden Text ein:
      Item(Split[userPrincipalName], "@"), 1)
    7. Klicken Sie auf Neue Zuordnung hinzufügen.
    8. Aktualisieren Sie im Bildschirm Attribut bearbeiten die Einstellungen und klicken Sie dann auf OK.

      Option Bezeichnung
      Zuordnungstyp Wählen Sie Ausdruck aus.
      Ausdruck Geben Sie folgenden Text ein:
      Item(Split[userPrincipalName], "@"), 2)
      Zielattribut Wählen Sie urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:domain aus.
    9. Klicken Sie auf Speichern.
    10. Legen Sie Bereitstellungsstatus auf Ein fest.
  7. Stellen Sie Benutzer bereit.
    1. Klicken Sie auf Verwalten > Benutzer und Gruppen.
    2. Klicken Sie auf Benutzer/Gruppe hinzufügen.
    3. Suchen Sie nach Benutzern und Gruppen und klicken Sie auf Auswählen.
    4. Klicken Sie auf Zuweisen.
    5. Klicken Sie auf Verwalten > Bereitstellung.
    6. Klicken Sie auf Bereitstellung starten.

Zuweisen von Microsoft Entra ID-Benutzern und -Gruppen als Administratoren in SDDC Manager, vCenter Server und NSX Manager

Nachdem Sie Microsoft Entra ID erfolgreich konfiguriert und die entsprechenden Benutzer und Gruppen synchronisiert haben, können Sie Benutzer und Gruppen als Administratoren in SDDC Manager, vCenter Server und NSX Manager hinzufügen. Auf diese Weise können sich Admin-Benutzer bei der Benutzeroberfläche eines Produkts (z. B. SDDC Manager) anmelden, und es erfolgt keine Aufforderung zur erneuten Eingabe von Anmeldedaten, wenn sich die Benutzer bei der Benutzeroberfläche eines anderen Produkts anmelden (z. B. NSX Manager).

Prozedur

  1. Fügen Sie Microsoft Entra ID-Benutzer/-Gruppen als Administratoren in SDDC Manager hinzu.
    1. Klicken Sie auf der SDDC Manager-Benutzeroberfläche auf Verwaltung > Single Sign-On.
    2. Klicken Sie auf Benutzer und Gruppen und dann auf + Benutzer oder Gruppe.
      Eine Abbildung der Schaltfläche „Benutzer oder Gruppe hinzufügen“.
    3. Wählen Sie mindestens einen Benutzer oder eine Gruppe aus, indem Sie auf das Kontrollkästchen neben dem Benutzer oder der Gruppe klicken.
      Sie können einen Benutzer oder eine Gruppe nach Namen suchen oder nach Benutzertyp oder Domäne filtern.
      Hinweis: Microsoft Entra ID-Benutzer und -Gruppen werden in den Domänen angezeigt, die Sie bei der Konfiguration von Microsoft Entra ID als Identitätsanbieter auf der SDDC Manager-Benutzeroberfläche angegeben haben.
    4. Wählen Sie die Rolle ADMIN für jeden Benutzer und jede Gruppe aus.
      Das Dropdown-Menü „Rolle auswählen“.
    5. Führen Sie auf der Seite einen Bildlauf nach unten durch und klicken Sie auf Hinzufügen.
  2. Fügen Sie Microsoft Entra ID-Benutzer/-Gruppen als Administratoren in vCenter Server hinzu.
    1. Melden Sie sich beim vSphere Client als lokaler Administrator an.
    2. Wählen Sie Verwaltung aus und klicken Sie im Zugriffssteuerungsbereich auf Globale Berechtigungen.
      Das Menü „Globale Berechtigungen“.
    3. Klicken Sie auf Hinzufügen.
    4. Wählen Sie im Dropdown-Menü Domäne die Domäne für den Benutzer oder die Gruppe aus.
    5. Geben Sie einen Namen im Feld „Suchen“ ein.
      Das System sucht nach Benutzer- und Gruppennamen.
    6. Wählen Sie einen Benutzer oder eine Gruppe aus.
    7. Wählen Sie Administrator im Dropdown-Menü Rolle aus.
    8. Aktivieren Sie das Kontrollkästchen An untergeordnete Objekte weitergeben.
      Das Dialogfeld „Berechtigung hinzufügen“.
    9. Klicken Sie auf OK.
  3. Überprüfen Sie die Anmeldung bei SDDC Manager mit einem Microsoft Entra ID-Benutzer.
    1. Melden Sie sich von der SDDC Manager-Benutzeroberfläche ab.
    2. Klicken Sie auf Mit SSO anmelden.
      Die Schaltfläche „Mit SSO anmelden“.
    3. Geben Sie einen Benutzernamen und ein Kennwort ein und klicken Sie auf Anmelden.
  4. Überprüfen Sie die Anmeldung bei vCenter Server mit einem Microsoft Entra ID-Benutzer.
    1. Melden Sie sich von der vSphere Client ab.
    2. Klicken Sie auf Mit SSO anmelden.
      Die Schaltfläche „Mit SSO anmelden“.
  5. Fügen Sie Microsoft Entra ID-Benutzer/-Gruppen als Administratoren in NSX Manager hinzu.
    1. Melden Sie sich bei NSX Manager an.
    2. Navigieren Sie zu System > Benutzerverwaltung.
      Das Menü „Benutzerverwaltung“.
    3. Klicken Sie auf der Registerkarte Benutzerrollenzuweisung auf Rolle für OpenID Connect-Benutzer hinzufügen.
      Benutzerrollenzuweisung für die Benutzerverwaltung.
    4. Wählen Sie vcenter-idp-federation im Dropdown-Menü aus und geben Sie dann Text ein, um nach einem Microsoft Entra ID-Benutzer oder einer Microsoft Entra ID-Gruppe zu suchen und diese auszuwählen.
    5. Klicken Sie in der Spalte „Rollen“ auf Festlegen.
    6. Klicken Sie auf Rolle hinzufügen.
    7. Wählen Sie Unternehmensadministrator im Dropdown-Menü aus und klicken Sie auf Hinzufügen.
      Das Dialogfeld „Rollen/Geltungsbereich festlegen“.
    8. Klicken Sie auf Übernehmen.
    9. Klicken Sie auf Speichern.
  6. Überprüfen Sie die Anmeldung bei NSX Manager mit einem Microsoft Entra ID-Benutzer.
    1. Melden Sie sich bei NSX Manager ab.
    2. Klicken Sie auf Mit vCenter-IPD-Verbund anmelden.
      Die Schaltfläche „Mit vCenter-IDP-Verbund anmelden“.