Zur wirksamen Konfiguration eines vCenter Server-Identitätsanbieterverbunds müssen Sie sich mit den stattfindenden Kommunikationsabläufen vertraut machen.
Prozessablauf bei der Konfiguration des vCenter Server-Identitätsanbieterverbunds
Die folgende Abbildung zeigt den Prozessablauf beim Konfigurieren eines vCenter Server-Identitätsanbieterverbunds.
vCenter Server, AD FS und Active Directory interagieren folgendermaßen.
- Der AD FS-Administrator konfiguriert eine AD FS-OAuth-Anwendung für vCenter Server.
- Der vCenter Server-Administrator meldet sich mit dem vSphere Client bei vCenter Server an.
- Der vCenter Server-Administrator fügt einen AD FS-Identitätsanbieter zu vCenter Server hinzu und gibt zusätzlich Informationen zur Active Directory-Domäne ein.
vCenter Server benötigt diese Informationen, um eine LDAP-Verbindung zur Active Directory-Domäne des AD FS-Servers herzustellen. Mit dieser Verbindung sucht vCenter Server nach Benutzern und Gruppen und fügt sie im nächsten Schritt zu lokalen vCenter Server-Gruppen hinzu. Weitere Informationen finden Sie in folgendem Abschnitt mit dem Titel „Durchsuchen der Active Directory-Domäne“.
- Der vCenter Server-Administrator konfiguriert Autorisierungsberechtigungen in vCenter Server für AD FS-Benutzer.
- Der AD FS-Anbieter fragt die VcIdentityProviders-API ab, um die LDAP-Verbindungsinformationen für die Active Directory-Quelle zu erhalten.
- Der AD FS-Anbieter durchsucht Active Directory nach den abgefragten Benutzern oder Gruppen, um die Autorisierungskonfiguration abzuschließen.
Durchsuchen der Active Directory-Domäne
Sie konfigurieren AD FS als externen Identitätsanbieter in vCenter Server, indem Sie den Assistenten zum Konfigurieren des Hauptidentitätsanbieters im vSphere Client verwenden. Im Rahmen des Konfigurationsprozesses müssen Sie Informationen zur Active Directory-Domäne eingeben, einschließlich Informationen zum DN (Distinguished Name) des Benutzers und der Gruppe. Wenn Sie AD FS für die Authentifizierung konfigurieren, müssen Sie Informationen zu dieser Active Directory-Verbindung angeben. Diese Verbindung ist erforderlich, um nach Active Directory-Benutzernamen und -Gruppen zu suchen und diese Rollen und Berechtigungen in vCenter Server zuzuordnen, während AD FS für die Authentifizierung des Benutzers verwendet wird. In diesem Schritt des Assistenten zum Konfigurieren des Hauptidentitätsanbieters wird keine Active Directory über LDAP-Identitätsquelle erstellt. Stattdessen verwendet vCenter Server diese Informationen, um eine gültige durchsuchbare Verbindung mit Ihrer Active Directory-Domäne herzustellen, in der nach Benutzern und Gruppen gesucht werden kann.
Überlegen Sie sich ein Beispiel, in dem die folgenden DN-Einträge verwendet werden:
- Basis-DN (Distinguished Name) für Benutzer: cn=Users,dc=corp,dc=local
- Basis-DN (Distinguished Name) für Gruppen: dc=corp,dc=local
- Benutzername: cn=Administrator,cn=Users,dc=corp,dc=local
Wenn der Benutzer „[email protected]“ ein Mitglied der Gruppe „[email protected]“ ist, kann ein vCenter Server-Administrator durch Eingabe dieser Informationen im Assistenten nach der Gruppe „[email protected]“ suchen und sie zur vCenter Server-Gruppe „[email protected]“ hinzufügen. Folglich werden dem Benutzer „[email protected]“ bei der Anmeldung Administratorrechte in vCenter Server eingeräumt.
vCenter Server verwendet diesen Suchlauf auch, wenn Sie globale Berechtigungen für Active Directory-Benutzer und -Gruppen konfigurieren. In beiden Fällen – entweder beim Konfigurieren globaler Berechtigungen oder beim Hinzufügen eines Benutzers oder einer Gruppe – wählen Sie im Dropdown-Menü Domäne die Domäne aus, die Sie für Ihren AD FS-Identitätsanbieter eingegeben haben, um nach Benutzern und Gruppen in Ihrer Active Directory-Domäne zu suchen und diese auszuwählen.