Nach der Installation oder dem Upgrade auf vSphere 7.0 oder höher können Sie den vCenter Server-Identitätsanbieterverbund konfigurieren.

vCenter Server unterstützt nur einen konfigurierten externen Identitätsanbieter (eine Quelle) und die Identitätsquelle „vsphere.local“. Sie können nicht mehrere externe Identitätsanbieter verwenden. Der vCenter Server-Identitätsanbieterverbund verwendet OpenID Connect (OIDC) für die Benutzeranmeldung bei vCenter Server.

In dieser Aufgabe wird das Hinzufügen einer AD FS-Gruppe zur vSphere-Administratorengruppe als Möglichkeit zur Steuerung von Berechtigungen beschrieben. Sie können Berechtigungen auch mithilfe von AD FS-Autorisierung über globale oder Objektberechtigungen in vCenter Server konfigurieren. Weitere Informationen zum Hinzufügen von Berechtigungen finden Sie in der vSphere-Sicherheit-Dokumentation.

Vorsicht:

Wenn Sie eine Identitätsquelle von Active Directory verwenden, die Sie zuvor vCenter Server für Ihre AD FS hinzugefügt haben, löschen Sie diese vorhandene Identitätsquelle nicht von vCenter Server. Dies führt zu einer Regression mit zuvor zugewiesenen Rollen und Gruppenmitgliedschaften. Sowohl der AD FS-Benutzer mit globalen Berechtigungen als auch die Benutzer, die der Administratorgruppe hinzugefügt wurden, werden sich nicht anmelden können.

Problemumgehung: Wenn Sie die zuvor zugewiesenen Rollen und Gruppenmitgliedschaften nicht benötigen und die vorherige Identitätsquelle für Active Directory entfernen möchten, entfernen Sie die Identitätsquelle, bevor Sie den AD FS-Anbieter erstellen, und konfigurieren Sie Gruppenmitgliedschaften in vCenter Server.

Voraussetzungen

Anforderungen der Active Directory Federation Services (AD FS):

  • AD FS für Windows Server 2016 oder höher muss bereits bereitgestellt worden sein.
  • AD FS muss mit Active Directory verbunden sein.
  • Eine Anwendungsgruppe für vCenter Server muss im Rahmen des Konfigurationsvorgangs in AD FS erstellt werden. Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78029.
  • Ein AD FS-Root-CA-Zertifikat, das zum Speicher vertrauenswürdiger Stammzertifikate (auch als VMware-Zertifikatspeicher bezeichnet) hinzugefügt wird.
  • Sie haben eine vCenter Server-Administratorengruppe in AD FS erstellt, die die Benutzer enthält, denen vCenter Server-Administratorrechte zugewiesen werden sollen.

Weitere Informationen zum Konfigurieren von AD FS finden Sie in der Microsoft-Dokumentation.

vCenter Server und sonstige Anforderungen:

  • vSphere 7.0 oder höher
  • vCenter Server muss in der Lage sein, eine Verbindung mit dem Ermittlungs-Endpoint für AD FS sowie der Autorisierung, dem Token, der Abmeldung, JWKS und allen anderen Endpoints, die in den Metadaten des Ermittlungs-Endpoints angegeben wurden, herzustellen.
  • Sie benötigen das Recht VcIdentityProviders.Verwalten zum Erstellen, Aktualisieren oder Löschen eines vCenter Server-Identitätsanbieters, der für die Verbundauthentifizierung erforderlich ist. Um die Rechte eines Benutzers auf die Ansicht der Konfigurationsinformationen für den Identitätsanbieter zu beschränken, weisen Sie ihm das Recht VcIdentityProviders.Lesen zu.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Fügen Sie dem vertrauenswürdigen Stammzertifikatspeicher Ihr AD FS-Root-CA-Zertifikat hinzu.
    1. Navigieren Sie zu Verwaltung > Zertifikate > Zertifikatsverwaltung.
    2. Klicken Sie neben Vertrauenswürdiger Stammspeicher auf Hinzufügen.
    3. Suchen Sie nach dem AD FS-Root-Zertifikat und klicken Sie auf Hinzufügen.
      Das Zertifikat wird in einem Bereich unter Vertrauenswürdige Root-Zertifikate hinzugefügt.
  3. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  4. Wählen Sie die Registerkarte Identitätsanbieter aus und erhalten Sie die Umleitungs-URIs.
    1. Klicken Sie auf das Symbol „i“ neben dem Link „Identitätsanbieter ändern“.
      Im Pop-up-Fenster werden zwei Umleitungs-URIs angezeigt.
    2. Kopieren Sie beide URIs in eine-Datei oder notieren Sie sie zur späteren Verwendung in den nachfolgenden Schritten, um den AD FS-Server zu konfigurieren.
    3. Schließen Sie das Pop-up-Fenster.
  5. Erstellen Sie eine OpenID Connect-Konfiguration in AD FS und konfigurieren Sie sie für vCenter Server.
    Zum Einrichten einer Vertrauensstellung der vertrauenden Seite zwischen vCenter Server und einem Identitätsanbieter müssen Sie Identifzierungsinformationen und einen gemeinsamen geheimen Schlüssel zwischen ihnen festlegen. In AD FS erstellen Sie hierzu eine als Anwendungsgruppe bezeichnete OpenID Connect-Konfiguration, die aus einer Serveranwendung und einer Web-API besteht. Die beiden Komponenten enthalten die Informationen, die von vCenter Server zum Herstellen von Vertrauen und zur Kommunikation mit dem AD FS-Server verwendet werden. Informationen zum Aktivieren von OpenID Connect in AD FS finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78029.

    Beachten Sie Folgendes, wenn Sie die Anwendungsgruppe AD FS erstellen.

    • Für die Umleitung benötigen Sie die beiden URIs, die Sie erhalten und im vorherigen Schritt gespeichert haben.
    • Kopieren Sie die folgenden Informationen in eine Datei oder notieren Sie sie für die Verwendung bei der Konfiguration des vCenter Server-Identitätsanbieters im nächsten Schritt.
      • Clientbezeichner
      • Gemeinsamer geheimer Schlüssel
      • OpenID-Adresse des AD FS-Servers
  6. Erstellen Sie einen Identitätsanbieter auf vCenter Server.
    1. Kehren Sie zur Registerkarte Identitätsanbieter in vSphere Client zurück.
    2. Klicken Sie auf den Link „Identitätsanbieter ändern“.
      Der Assistent „Hauptidentitätsanbieter konfigurieren“ wird geöffnet.
    3. Wählen Sie Microsoft ADFS aus und klicken Sie auf Weiter.
      Geben Sie die Informationen ein, die Sie zuvor für die folgenden Textfelder gesammelt haben:
      • Clientbezeichner
      • Gemeinsamer geheimer Schlüssel
      • OpenID-Adresse des AD FS-Servers
    4. Klicken Sie auf Weiter.
    5. Geben Sie die Benutzer- und Gruppeninformationen für die Verbindung mit Active Directory über LDAP ein, um nach Benutzern und Gruppen zu suchen.
      vCenter Server leitet die AD-Domäne, die für Autorisierung und Berechtigungen verwendet werden soll, aus dem Basis-DN für Benutzer ab. Sie können Berechtigungen für vSphere-Objekte nur für Benutzer und Gruppen aus dieser AD-Domäne hinzufügen. Benutzer oder Gruppen aus untergeordneten AD-Domänen oder anderen Domänen in der AD-Gesamtstruktur werden vom vCenter Server-Identitätsanbieterverbund nicht unterstützt.
      Option Beschreibung
      Basis-DN für Benutzer Basis-DN (Distinguished Name) für Benutzer.
      Basis-DN für Gruppen Der Basis-DN (Distinguished Name) für Gruppen.
      Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
      Kennwort ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
      URL des primären Servers: LDAP-Server des primären Domänencontrollers für die Domäne.

      Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

      Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

      URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der für das Failover verwendet wird.
      SSL-Zertifikate Wenn Sie LDAPS mit Ihrer Identitätsquelle für den Active Directory-LDAP-Server oder -OpenLDAP-Server verwenden möchten, klicken Sie zum Auswählen eines Zertifikats auf Durchsuchen.
    6. Klicken Sie zum Überprüfen der Informationen auf Weiter und dann auf Beenden.
  7. Navigieren Sie zur Benutzeroberfläche für die vCenter Single Sign-On-Benutzerkonfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Benutzer und Gruppen.
  8. Konfigurieren Sie den vCenter Server der Gruppenmitgliedschaft für AD FS-Autorisierung.
    1. Klicken Sie auf die Registerkarte Gruppen.
    2. Klicken Sie auf die Gruppe Administratoren und klicken Sie auf Mitglieder hinzufügen.
    3. Wählen Sie die Domäne im Dropdown-Menü aus.
    4. Geben Sie im Textfeld unterhalb des Dropdown-Menü die ersten Zeichen der hinzuzufügenden AD FS-Gruppe ein und warten Sie dann, bis die Dropdown-Auswahl angezeigt wird.
      Es kann einige Sekunden dauern, bis die Auswahl angezeigt wird, da vCenter Server die Verbindung mit Active Directory herstellt und dieses durchsucht.
    5. Wählen Sie die AD FS-Gruppe aus und fügen Sie sie zur Administratorengruppe hinzu.
    6. Klicken Sie auf Speichern.
  9. Überprüfen Sie die Anmeldung bei vCenter Server mit einem Active Directory-Benutzer.