Nach der Installation von oder dem Upgrade auf vSphere 8.0 Update 2 oder höher können Sie den vCenter Server-Identitätsanbieterverbund für Microsoft Entra ID (ehemals Azure AD) als externen Identitätsanbieter konfigurieren.

vCenter Server unterstützt nur einen konfigurierten externen Identitätsanbieter (eine Quelle) und die Identitätsquelle „vsphere.local“ (lokale Quelle). Sie können nicht mehrere externe Identitätsanbieter verwenden. Der vCenter Server-Identitätsanbieterverbund verwendet OpenID Connect (OIDC) für die Benutzeranmeldung bei vCenter Server.

Sie können Berechtigungen mithilfe von Microsoft Entra ID-Gruppen und -Benutzern über globale oder Objektberechtigungen in vCenter Server konfigurieren. Weitere Informationen zum Hinzufügen von Berechtigungen finden Sie in der vSphere-Sicherheit-Dokumentation.

Einen Überblick über den Konfigurationsvorgang finden Sie im folgenden Video:

vCenter-Authentifizierung: Integration von AzureAD/Entra ID | vSphere 8 Update 2

Voraussetzungen

Microsoft Entra ID-Anforderungen:
  • Sie sind Kunde von Microsoft und verfügen über ein Microsoft Entra ID-Konto.
Konnektivitätsanforderungen für Microsoft Entra ID:
  • Sie haben eine Enterprise-Anwendung (keine Gallery-Anwendung) mit OpenID Connect als Anmeldemethode erstellt.
  • Fügen Sie Autorisierungscode, Aktualisierungs-Token und Ressourcenbesitzer-Kennwort als Gewährungstypen in der erstellten Anwendung hinzu.
  • Für die Benutzer- und Gruppensynchronisierung müssen Sie die VMware Identity Services Gallery-Anwendung für SCIM 2.0 konfigurieren und in Microsoft Entra ID mit OAuth-2.0-Bearer-Token bereitstellen.
vCenter Server-Anforderungen
  • vSphere 8.0 Update 2 oder höher mit aktivierten VMware Identity Services (standardmäßig aktiviert).
  • Stellen Sie auf dem vCenter Server, auf dem Sie die Microsoft Entra ID-Identitätsquelle erstellen möchten, sicher, dass die VMware Identity Services aktiviert sind.
  • Die Benutzer und Gruppen des Identitätsanbieters werden in Ihrem vCenter Server bereitgestellt.
vSphere-Berechtigungsanforderungen:
  • Sie benötigen die Berechtigung VcIdentityProviders.Manage zum Erstellen, Aktualisieren oder Löschen eines vCenter Server-Identitätsanbieters, der für die Verbundauthentifizierung erforderlich ist. Um die Rechte eines Benutzers auf die Ansicht der Konfigurationsinformationen für den Identitätsanbieter zu beschränken, weisen Sie ihm das Recht VcIdentityProviders.Read zu.
Anforderungen für den erweiterten verknüpften Modus:
  • Sie können den vCenter Server-Identitätsanbieterverbund für Microsoft Entra ID in einer Konfiguration des erweiterten verknüpften Modus konfigurieren. Wenn Sie Microsoft Entra ID in einer Konfiguration des erweiterten verknüpften Modus konfigurieren, konfigurieren Sie den Microsoft Entra ID-Identitätsanbieter für die Verwendung von VMware Identity Services auf einem einzelnen vCenter Server-System. Wenn Ihre Konfiguration des erweiterten verknüpften Modus beispielsweise aus zwei vCenter Server-Systemen besteht, wird nur ein vCenter Server und dessen Instanz der VMware Identity Services für die Kommunikation mit dem Microsoft Entra ID-Server verwendet. Wenn dieses vCenter Server-System nicht mehr verfügbar ist, können Sie VMware Identity Services auf anderen vCenter Server-Systemen in der ELM-Konfiguration konfigurieren, um mit Ihrem Microsoft Entra ID-Server zu interagieren. Weitere Informationen finden Sie unter Aktivierungsvorgang für externe Identitätsanbieter in Konfigurationen des erweiterten verknüpften Modus.
  • Wenn Sie Microsoft Entra ID als externen Identitätsanbieter konfigurieren, muss auf allen vCenter Server-Systemen in einer Konfiguration des erweiterten verknüpften Modus mindestens vSphere 8.0 Update 2 ausgeführt werden.
Netzwerkanforderungen:
  • Wenn Ihr Netzwerk nicht öffentlich verfügbar ist, müssen Sie einen Netzwerktunnel zwischen Ihrem vCenter Server-System und Ihrem Microsoft Entra ID-Server erstellen und dann die entsprechende öffentlich zugängliche URL als Basis-URI verwenden.

Prozedur

  1. Erstellen Sie eine OpenID Connect-Anwendung in Microsoft Entra ID und weisen Sie der OpenID Connect-Anwendung Gruppen und Benutzer zu.
    Informationen zum Erstellen der OpenID Connect-Anwendung und zum Zuweisen von Gruppen und Benutzern finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/94182. Befolgen Sie die Schritte im Abschnitt mit dem Titel „Erstellen der OpenID Connect-Anwendung“. Nachdem Sie die OpenID Connect-Anwendung erstellt haben, kopieren Sie die folgenden Informationen aus der Microsoft Entra ID OpenID Connect-Anwendung in eine Datei, um sie im nächsten Schritt beim Konfigurieren des vCenter Server-Identitätsanbieters zu verwenden.
    • Clientbezeichner
    • Geheimer Clientschlüssel (im vSphere Client als gemeinsamer geheimer Schlüssel angezeigt).
    • Active Directory-Domäneninformationen oder Microsoft Entra ID-Domäneninformationen, wenn Sie nicht Active Directory ausführen.
  2. So erstellen Sie den Identitätsanbieter in vCenter Server:
    1. Verwenden Sie den vSphere Client, um sich als Administrator bei vCenter Server anzumelden.
    2. Navigieren Sie zu Startseite > Verwaltung > Single Sign-On > Konfiguration.
    3. Klicken Sie auf Anbieter ändern und wählen Sie Microsoft Entra ID aus.
      Der Assistent Hauptidentitätsanbieter konfigurieren wird geöffnet.
    4. Überprüfen Sie im Bereich Voraussetzungen die Microsoft Entra ID- und vCenter Server-Anforderungen.
    5. Klicken Sie auf Vorabprüfungen ausführen.
      Wenn bei der Vorabprüfung Fehler gefunden werden, klicken Sie auf Details anzeigen und führen Sie Schritte aus, um die angegebenen Fehler zu beheben.
    6. Wenn die Vorabprüfung erfolgreich abgeschlossen ist, klicken Sie auf das Bestätigungskontrollkästchen und dann auf Weiter.
    7. Geben Sie m Bereich Verzeichnisinformationen die folgenden Informationen ein:
      • Verzeichnisname: Name des lokalen Verzeichnisses, das in vCenter Server erstellt werden soll und die von Microsoft Entra ID übertragenen Benutzer und Gruppen speichert. Beispiel: vcenter-entraid-directory.
      • Domänennamen: Geben Sie die Microsoft Entra ID-Domänennamen ein, die die Microsoft Entra ID-Benutzer und -Gruppen enthalten, die Sie mit vCenter Server synchronisieren möchten.

        Nachdem Sie Ihren Microsoft Entra ID-Domänennamen eingegeben haben, klicken Sie auf das Pluszeichen (+), um ihn hinzuzufügen. Wenn Sie mehrere Domänennamen eingeben, geben Sie die Standarddomäne an.

    8. Klicken Sie auf Weiter.
    9. Geben Sie m Bereich OpenID Connect die folgenden Informationen ein:
      • Umleitungs-URI: Wird automatisch ausgefüllt. Sie geben den Umleitungs-URI zu Ihrem Microsoft Entra ID-Administrator ein, der beim Erstellen der OpenID Connect-Anwendung verwendet wird.
      • Name des Identitätsanbieters: Wird automatisch als Microsoft Entra ID angegeben.
      • Clientbezeichner: Erhalten, als Sie die Microsoft Entra ID OpenID Connect-Anwendung in Schritt 1 erstellt haben. (In Microsoft Entra ID wird der Clientbezeichner als Client-ID bezeichnet.)
      • Gemeinsamer geheimer Schlüssel: Wurde beim Erstellen der Microsoft Entra ID OpenID Connect-Anwendung in Schritt 1 erhalten. (In Microsoft Entra ID wird der gemeinsame geheime Schlüssel als Clientschlüssel bezeichnet.)
      • OpenID-Adresse: Weist das Format https://Microsoft Entra ID-Domänenbereich/oauth2/default/.well-known/openid-configuration auf.

        Wenn Ihr Microsoft Entra ID-Domänenbereich beispielsweise „example.EntraID.com“ ist, lautet die OpenID-Adresse: https://example.EntraID.com/oauth2/default/.well-known/openid-configuration

    10. Klicken Sie auf Weiter.
    11. Überprüfen Sie die Informationen und klicken Sie auf Beenden.
      vCenter Server erstellt den Microsoft Entra ID-Identitätsanbieter und zeigt die Konfigurationsinformationen an.
    12. Scrollen Sie bei Bedarf nach unten, klicken Sie auf das Symbol Kopieren für den Umleitungs-URI und speichern Sie ihn in einer Datei.
      Sie verwenden den Umleitungs-URI in der Microsoft Entra ID OpenID Connect-Anwendung.
    13. Klicken Sie auf das Symbol Kopieren für die Mandanten-URL und speichern Sie sie in einer Datei.
      Hinweis: Wenn Ihr Netzwerk nicht öffentlich verfügbar ist, müssen Sie einen Netzwerktunnel zwischen Ihrem vCenter Server-System und Ihrem Microsoft Entra ID-Server erstellen. Verwenden Sie nach dem Erstellen des Netzwerktunnels die entsprechende öffentlich zugängliche URL als Basis-URI.
    14. Klicken Sie unter Benutzerbereitstellung auf Generieren um das geheime Token zu erstellen, wählen Sie die Token-Lebensdauer im Dropdown-Menü aus und klicken Sie dann auf In Zwischenablage kopieren. Speichern Sie das Token an einem sicheren Ort.
      Sie verwenden die Mandanten-URL und das Token in der Microsoft Entra ID SCIM 2.0-Anwendung. Die Microsoft Entra ID SCIM 2.0-Anwendung verwendet das Token, um die Microsoft Entra ID-Benutzer und -Gruppen in VMware Identity Services zu synchronisieren. Diese Informationen sind erforderlich, um Microsoft Entra ID-Benutzer und -Gruppen von Microsoft Entra ID an vCenter Server zu übertragen.
  3. Kehren Sie zum VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/94182 zurück, um den Microsoft Entra ID-Umleitungs-URI zu aktualisieren.
    Befolgen Sie die Schritte im Abschnitt mit dem Titel „Aktualisieren des Azure AD-Umleitungs-URI“.
  4. Um die SCIM 2.0-Anwendung zu erstellen, bleiben Sie im VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/94182.
    Befolgen Sie die Schritte im Abschnitt mit dem Titel „Erstellen der SCIM 2.0-Anwendung und Übertragen von Benutzern und Gruppen an vCenter Server“.
    Wenn Sie die SCIM 2.0-Anwendung wie im Knowledgebase-Artikel beschrieben erstellt haben, fahren Sie mit dem nächsten Schritt fort.
  5. Konfigurieren Sie die Gruppenmitgliedschaft in vCenter Server für die Microsoft Entra ID-Autorisierung.
    Sie müssen die Gruppenmitgliedschaft konfigurieren, bevor sich Microsoft Entra ID-Benutzer bei vCenter Server anmelden können.
    1. Navigieren Sie im vSphere Client mit Anmeldung als lokaler Administrator zu Verwaltung > Single Sign-On > Benutzer und Gruppen.
    2. Klicken Sie auf die Registerkarte Gruppen.
    3. Klicken Sie auf die Gruppe Administratoren und klicken Sie auf Mitglieder hinzufügen.
    4. Wählen Sie im Dropdown-Menü den Domänennamen der Microsoft Entra ID-Gruppe aus, die Sie hinzufügen möchten.
    5. Geben Sie im Textfeld unterhalb des Dropdown-Menü die ersten Zeichen der hinzuzufügenden Microsoft Entra ID-Gruppe ein und warten Sie dann, bis die Dropdown-Auswahl angezeigt wird.
    6. Wählen Sie die Microsoft Entra ID-Gruppe aus und fügen Sie sie der Gruppe „Administratoren“ hinzu.
    7. Klicken Sie auf Speichern.
  6. Überprüfen Sie die Anmeldung bei vCenter Server mit einem Microsoft Entra ID-Benutzer.
  7. Informationen zum Zuweisen von Berechtigungen auf Bestandslistenebene und globalen Berechtigungen zu Microsoft Entra ID-Benutzern finden Sie im Thema zum Verwalten von Berechtigungen für vCenter Server-Komponenten in der Dokumentation zu vSphere-Sicherheit.