Migrieren von der Verwendung von Active Directory zu AD FS

Wenn Sie Active Directory als Identitätsquelle für vCenter Server verwenden, ist die Migration zur Verwendung von AD FS komplikationslos. Wenn Ihre Active Directory-Gruppen und -Rollen mit Ihren AD FS-Gruppen und -Rollen übereinstimmen, müssen Sie keine zusätzlichen Maßnahmen ergreifen. Wenn die Gruppen und Rollen nicht übereinstimmen, müssen Sie zusätzliche Aufgaben durchführen. Wenn der vCenter Server ein Domänenmitglied ist, sollten Sie ihn aus der Domäne entfernen, da er für den Identitätsverbund nicht benötigt oder verwendet wird.

Domänenübergreifendes Neuverweisen und Migration

Der vCenter Server-Identitätsanbieterverbund unterstützt die domänenübergreifende Neuverweisung, das heißt, das Verschieben eines vCenter Server von einer vSphere SSO-Domäne in eine andere. Der neu verwiesene vCenter Server erhält die replizierte AD FS-Konfiguration von den vCenter Server-Systemen, auf die er zuvor verwies.

Im Allgemeinen müssen Sie keine zusätzliche AD FS-Neukonfiguration für eine domänenübergreifende Neuverweisung durchführen, es sei denn, eine der folgenden Bedingungen ist erfüllt.

1. Die AD FS-Konfiguration des neu verwiesenen vCenter Server unterscheidet sich von der AD FS-Konfiguration des vCenter Server, auf den zuvor verwiesen wurde.
2. Dies ist das erste Mal, dass der neu verwiesene vCenter Server eine AD FS-Konfiguration erhält.

In diesen Fällen müssen Sie die Umleitungs-URIs des vCenter Server-Systems zur entsprechenden Anwendungsgruppe auf dem AD FS-Server hinzufügen. Wenn beispielsweise vCenter Server 1 mit AD FS-Anwendungsgruppe A (oder ohne AD FS-Konfiguration) neu auf vCenter Server 2 mit AD FS-Anwendungsgruppe B verwiesen wird, müssen Sie die Umleitungs-URIs von vCenter Server 1 zu Anwendungsgruppe B hinzufügen.