Wenn Sie einen Identitätsanbieterverbund in vCenter Server-Umgebungen aktivieren, die den erweiterten verknüpften Modus verwenden, werden Authentifizierung und Workflows unverändert ausgeführt.

Beachten Sie bei Verwendung der Konfiguration des erweiterten verknüpften Modus Folgendes, wenn Sie sich mithilfe von Verbundauthentifizierung bei vCenter Server anmelden.

  • Benutzern wird weiterhin dieselbe Bestandsliste angezeigt und sie können dieselben Aktionen basierend auf dem Modell der vCenter Server-Berechtigungen und -rollen durchführen.
  • vCenter Server-Hosts im erweiterten verknüpften Modus müssen keinen Zugriff auf die Identitätsanbieter der anderen Hosts haben. Beispiel: Stellen Sie sich zwei vCenter Server-Systeme A und B vor, die den erweiterten verknüpften Modus verwenden. Nachdem vCenter Server a einen Benutzer autorisiert hat, wird der Benutzer ebenfalls auf vCenter Server B autorisiert.

Die folgende Abbildung zeigt den Authentifizierungs-Workflow mit dem erweiterten verknüpften Modus und dem vCenter Server-Identitätsanbieterverbund.

Abbildung 1. Erweiterter verknüpfter Modus und vCenter Server-Identitätsanbieterverbund
Diese Abbildung zeigt, wie vCenter Server-Systeme unter Verwendung des erweiterten verknüpften Modus mit AD FS interagieren.
  1. Zwei vCenter Server-Knoten werden in der Konfiguration des erweiterten verknüpften Modus bereitgestellt.
  2. Das AD FS-Setup wurde auf vCenter Server A mithilfe des Assistenten zum Ändern des Identitätsanbieters im vSphere Client konfiguriert. Gruppenmitgliedschaften und -berechtigungen wurden ebenfalls für AD FS-Benutzer oder -Gruppen eingerichtet.
  3. vCenter Server A repliziert die AD FS-Konfiguration auf vCenter Server B.
  4. Alle Umleitungs-URIs für beide vCenter Server-Knoten werden der OAuth-Anwendungsgruppe in AD FS hinzugefügt. Nur eine OAuth-Anwendungsgruppe wird erstellt.
  5. Wenn sich ein Benutzer bei vCenter Server A anmeldet und autorisiert wird, gilt diese Autorisierung auch für vCenter Server B. Wenn sich der Benutzer zuerst bei vCenter Server B anmeldet, gilt dasselbe.
Der erweiterte verknüpfte vCenter Server-Modus unterstützt die folgenden Konfigurationsszenarien für den Identitätsanbieterverbund. Die Begriffe „AD FS-Einstellungen“ und „AD FS-Konfiguration“ in diesem Abschnitt beziehen sich auf die Einstellungen, die Sie im vSphere Client mithilfe des Assistenten zum Ändern von Identitätsanbietern konfiguriert haben, sowie auf alle Gruppenmitgliedschaften oder -berechtigungen, die Sie für AD FS-Benutzer oder -Gruppen eingerichtet haben.
Aktivieren von AD FS in einer vorhandenen Konfiguration des erweiterten verknüpften Modus
Allgemeine Schritte:
  1. Stellen Sie N vCenter Server-Knoten in der Konfiguration des erweiterten verknüpften Modus bereit.
  2. Konfigurieren Sie AD FS auf einem der verknüpften vCenter Server-Knoten.
  3. Die AD FS-Konfiguration wird auf alle anderen (N-1) vCenter Server-Knoten repliziert.
  4. Fügen Sie alle Umleitungs-URIs für alle N vCenter Server-Knoten zur konfigurierten OAuth-Anwendungsgruppe in AD FS hinzu.
Verknüpfen eines neuen vCenter Server mit einer vorhandenen AD FS-Konfiguration des erweiterten verknüpften Modus
Allgemeine Schritte:
  1. (Voraussetzung) Richten Sie AD FS auf einem vCenter Server mit N Knoten in einer Konfiguration des erweiterten verknüpften Modus ein.
  2. Stellen Sie einen neuen unabhängigen vCenter Server-Knoten bereit.
  3. Verweisen Sie den neuen vCenter Server auf die AD FS-Domäne mit N Knoten im erweiterten verknüpften Modus, indem Sie einen der N Knoten als Replizierungspartner verwenden.
  4. Alle AD FS-Einstellungen in der vorhandenen Konfiguration des erweiterten verknüpften Modus werden auf den neuen vCenter Server repliziert.

    Die AD FS-Einstellungen, die sich in der aus N-Knoten bestehenden AD FS-Domäne des erweiterten verknüpften Modus befinden, überschreiben alle vorhandenen AD FS-Einstellungen auf dem neu verknüpften vCenter Server.

  5. Fügen Sie alle Umleitungs-URIs für den neuen vCenter Server zur vorhandenen konfigurierten OAuth-Anwendungsgruppe in AD FS hinzu.
Aufheben der Verknüpfung eines vCenter Server mit einer AD FS-Konfiguration des erweiterten verknüpften Modus
Allgemeine Schritte:
  1. (Voraussetzung) Richten Sie AD FS in einer aus N-Knoten bestehenden Konfiguration des erweiterten verknüpften Modus für vCenter Server ein.
  2. Heben Sie die Registrierung eines der vCenter Server-Hosts in der aus N-Knoten bestehenden Konfiguration auf und verweisen Sie ihn an eine neue Domäne, um die Verknüpfung mit der aus N-Knoten bestehenden Konfiguration aufzuheben.
  3. Beim Neuverweisen der Domäne werden SSO-Einstellungen nicht beibehalten, sodass alle AD FS-Einstellungen auf dem nicht verknüpften vCenter Server-Knoten zurückgesetzt werden und verloren gehen. Zur weiteren Verwendung von AD FS auf diesem nicht verknüpften vCenter Server-Knoten müssen Sie AD FS von Grund auf neu konfigurieren oder den vCenter Server erneut mit einer Konfiguration des erweiterten verknüpften Modus verknüpfen, in der AD FS bereits eingerichtet ist.