Wenn Sie einen Identitätsanbieterverbund in vCenter Server-Umgebungen aktivieren, die den erweiterten verknüpften Modus verwenden, werden Authentifizierung und Workflows unverändert ausgeführt.

Beachten Sie bei Verwendung der Konfiguration des erweiterten verknüpften Modus Folgendes, wenn Sie sich mithilfe von Verbundauthentifizierung bei vCenter Server anmelden.

  • Benutzern wird weiterhin dieselbe Bestandsliste angezeigt und sie können dieselben Aktionen basierend auf dem Modell der vCenter Server-Berechtigungen und -rollen durchführen.
  • vCenter Server-Hosts im erweiterten verknüpften Modus müssen keinen Zugriff auf die Identitätsanbieter der anderen Hosts haben. Beispiel: Stellen Sie sich zwei vCenter Server-Systeme A und B vor, die den erweiterten verknüpften Modus verwenden. Nachdem vCenter Server a einen Benutzer autorisiert hat, wird der Benutzer ebenfalls auf vCenter Server B autorisiert.

Erweiterter verknüpfter Modus und AD FS

Die folgende Abbildung zeigt den Authentifizierungsworkflow bei Verwendung von AD FS mit erweitertem verknüpftem Modus.

Abbildung 1. Erweiterter verknüpfter Modus und AD FS-Identitätsanbieterverbund
Diese Abbildung zeigt, wie vCenter Server-Systeme unter Verwendung des erweiterten verknüpften Modus mit AD FS interagieren.
  1. Zwei vCenter Server-Knoten werden in der Konfiguration des erweiterten verknüpften Modus bereitgestellt.
  2. Das AD FS-Setup wurde auf vCenter Server A mithilfe des Assistenten zum Ändern des Identitätsanbieters im vSphere Client konfiguriert. Gruppenmitgliedschaften und -berechtigungen wurden ebenfalls für AD FS-Benutzer oder -Gruppen eingerichtet.
  3. vCenter Server A repliziert die AD FS-Konfiguration auf vCenter Server B.
  4. Alle Umleitungs-URIs für beide vCenter Server-Knoten werden der OAuth-Anwendungsgruppe in AD FS hinzugefügt. Nur eine OAuth-Anwendungsgruppe wird erstellt.
  5. Wenn sich ein Benutzer bei vCenter Server A anmeldet und autorisiert wird, gilt diese Autorisierung auch für vCenter Server B. Wenn sich der Benutzer zuerst bei vCenter Server B anmeldet, gilt dasselbe.

Konfigurationsszenarien des erweiterten verknüpften Modus mit AD FS

Der erweiterte verknüpfte Modus von vCenter Server unterstützt die folgenden Konfigurationsszenarien für AD FS. Die Begriffe „AD FS-Einstellungen“ und „AD FS-Konfiguration“ in diesem Abschnitt beziehen sich auf die Einstellungen, die Sie im vSphere Client mithilfe des Assistenten zum Ändern von Identitätsanbietern konfiguriert haben, sowie auf alle Gruppenmitgliedschaften oder -berechtigungen, die Sie für AD FS-Benutzer oder -Gruppen eingerichtet haben.

Aktivieren von AD FS in einer vorhandenen Konfiguration des erweiterten verknüpften Modus

Allgemeine Schritte:

  1. Stellen Sie N vCenter Server-Knoten in der Konfiguration des erweiterten verknüpften Modus bereit.
  2. Konfigurieren Sie AD FS auf einem der verknüpften vCenter Server-Knoten.
  3. Die AD FS-Konfiguration wird auf alle anderen (N-1) vCenter Server-Knoten repliziert.
  4. Fügen Sie alle Umleitungs-URIs für alle N vCenter Server-Knoten zur konfigurierten OAuth-Anwendungsgruppe in AD FS hinzu.

Verknüpfen eines neuen vCenter Servers mit einer vorhandenen AD FS-Konfiguration des erweiterten verknüpften Modus

Allgemeine Schritte:

  1. (Voraussetzung) Richten Sie AD FS auf einem vCenter Server mit N Knoten in einer Konfiguration des erweiterten verknüpften Modus ein.
  2. Stellen Sie einen neuen unabhängigen vCenter Server-Knoten bereit.
  3. Verweisen Sie den neuen vCenter Server auf die AD FS-Domäne mit N Knoten im erweiterten verknüpften Modus, indem Sie einen der N Knoten als Replizierungspartner verwenden.
  4. Alle AD FS-Einstellungen in der vorhandenen Konfiguration des erweiterten verknüpften Modus werden auf den neuen vCenter Server repliziert.

    Die AD FS-Einstellungen, die sich in der aus N-Knoten bestehenden AD FS-Domäne des erweiterten verknüpften Modus befinden, überschreiben alle vorhandenen AD FS-Einstellungen auf dem neu verknüpften vCenter Server.

  5. Fügen Sie alle Umleitungs-URIs für den neuen vCenter Server zur vorhandenen konfigurierten OAuth-Anwendungsgruppe in AD FS hinzu.

Aufheben der Verknüpfung eines vCenter Servers mit einer AD FS-Konfiguration des erweiterten verknüpften Modus

Allgemeine Schritte:

  1. (Voraussetzung) Richten Sie AD FS in einer aus N-Knoten bestehenden Konfiguration des erweiterten verknüpften Modus für vCenter Server ein.
  2. Heben Sie die Registrierung eines der vCenter Server-Hosts in der aus N-Knoten bestehenden Konfiguration auf und verweisen Sie ihn an eine neue Domäne, um die Verknüpfung mit der aus N-Knoten bestehenden Konfiguration aufzuheben.
  3. Beim Neuverweisen der Domäne werden SSO-Einstellungen nicht beibehalten, sodass alle AD FS-Einstellungen auf dem nicht verknüpften vCenter Server-Knoten zurückgesetzt werden und verloren gehen. Zur weiteren Verwendung von AD FS auf diesem nicht verknüpften vCenter Server-Knoten müssen Sie AD FS von Grund auf neu konfigurieren oder den vCenter Server erneut mit einer Konfiguration des erweiterten verknüpften Modus verknüpfen, in der AD FS bereits eingerichtet ist.

Erweiterter verknüpfter Modus und Identitätsanbieterverbund für Okta, Microsoft Entra ID oder PingFederate

Die folgende Abbildung zeigt den Authentifizierungsworkflow bei Verwendung von Okta, Microsoft Entra ID oder PingFederate mit erweitertem verknüpftem Modus.

Abbildung 2. Erweiterter verknüpfter Modus und Identitätsanbieterverbund für Okta, Microsoft Entra ID oder PingFederate
Diese Abbildung zeigt, wie vCenter Server-Systeme unter Verwendung des erweiterten verknüpften Modus mit Okta, Microsoft Entra ID oder PingFederate interagieren.
Hinweis: Wenn Sie Okta, Microsoft Entra ID oder PingFederate als externen Identitätsanbieter konfigurieren, müssen alle vCenter Server-Systeme in einer Konfiguration des erweiterten verknüpften Modus mindestens unter vSphere 8.0 Update 1 für Okta, vSphere 8.0 Update 2 für Microsoft Entra ID und vSphere 8.0 Update 3 für PingFederate ausgeführt werden.
  1. Zwei vCenter Server-Knoten werden in der Konfiguration des erweiterten verknüpften Modus bereitgestellt.
  2. Das Okta-, Microsoft Entra ID- oder PingFederate-Setup wurde mithilfe des Assistenten zum Ändern des Identitätsanbieters im vSphere Client auf vCenter Server A konfiguriert. Gruppenmitgliedschaften und -berechtigungen wurden auch für Okta-, Microsoft Entra ID- oder PingFederate-Benutzer oder -Gruppen eingerichtet.
    Hinweis: Sowohl bei vCenter Server A als auch bei B ist VMware Identity Services aktiviert, jedoch kommunizieren nur die VMware Identity Services auf vCenter Server A mit dem Servers des Identitätsanbieters.
  3. Die auf vCenter Server A ausgeführten VMware Identity Services ermöglichen es, dass vCenter Server B auf den zugehörigen Endpoint zugreifen kann.
  4. Der Umleitungs-URI für vCenter Server A wird der OAuth-Anwendung in Okta, Microsoft Entra ID oder PingFederate hinzugefügt. Es wird nur eine OAuth-Anwendung erstellt.
  5. Wenn sich ein Benutzer bei vCenter Server A anmeldet und autorisiert wird, gilt diese Autorisierung auch für vCenter Server B. Wenn sich der Benutzer zuerst bei vCenter Server B anmeldet, gilt dasselbe.

Konfigurationsszenarien des erweiterten verknüpften Modus mit Okta, Microsoft Entra ID oder PingFederate

Der erweiterte verknüpfte Modus von vCenter Server unterstützt die folgenden Konfigurationsszenarien für Okta, Microsoft Entra ID und PingFederate. Die Begriffe „Okta-Einstellungen“ und „Okta-Konfiguration“ oder „Microsoft Entra ID-Einstellungen“ und „Microsoft Entra ID-Konfiguration“ oder „PingFederate-Einstellungen“ oder „PingFederate-Konfiguration“ in diesem Abschnitt beziehen sich auf die Einstellungen, die Sie in vSphere Client mithilfe des Assistenten zum Ändern von Identitätsanbietern konfiguriert haben, sowie auf alle Gruppenmitgliedschaften oder -berechtigungen, die Sie für Okta-, Microsoft Entra ID- oder PingFederate-Benutzer oder -Gruppen eingerichtet haben.

Aktivieren von Okta, Microsoft Entra ID oder PingFederate in einer vorhandenen Konfiguration des erweiterten verknüpften Modus

Allgemeine Schritte:

  1. Stellen Sie N vCenter Server-Knoten in der Konfiguration des erweiterten verknüpften Modus bereit.
  2. Konfigurieren Sie Okta, Microsoft Entra ID oder PingFederate auf einem der verknüpften vCenter Server-Knoten.
  3. Die Endpoint-Informationen von VMware Identity Services wird auf allen anderen (N-1) vCenter Server-Knoten repliziert.

    Die Okta-, Microsoft Entra ID- oder PingFederate-Konfigurationsinformationen (gemeinsam genutzte Client-ID usw.) und die Benutzer-/Gruppeninformationen werden nicht repliziert.

Verknüpfen eines neuen vCenter Server mit einer vorhandenen Okta-, Microsoft Entra ID- oder PingFederate-Konfiguration des erweiterten verknüpften Modus

Allgemeine Schritte:

  1. (Voraussetzung) Richten Sie Okta, Microsoft Entra ID oder PingFederate für eine Konfiguration des erweiterten verknüpften Modus auf einem vCenter Server-N-Knoten ein.
  2. Stellen Sie einen neuen unabhängigen vCenter Server-Knoten bereit.
  3. Verweisen Sie den neuen vCenter Server erneut auf die Okta-, Microsoft Entra ID- oder PingFederate-Domäne mit N-Knoten im erweiterten verknüpften Modus, indem Sie einen der N-Knoten als Replizierungspartner verwenden.
  4. Die Endpoint-Informationen von VMware Identity Services wird auf allen anderen (N-1) vCenter Server-Knoten repliziert.

    Die Okta-, Microsoft Entra ID- oder PingFederate-Konfigurationsinformationen (gemeinsam genutzte Client-ID usw.) und die Benutzer-/Gruppeninformationen werden nicht repliziert.

Hinweis: Sie können einen vCenter Server-Knoten mit einer vorhandenen VMware Identity Services-Konfiguration hinzufügen. In diesem Szenario wird die vorhandene VMware Identity Services-Konfiguration durch die Konfiguration des erweiterten Verbindungsmodus für VMware Identity Services ersetzt, der sie beitritt.

Sie können keinen vCenter Server-Knoten mit einer vorhandenen VMware Identity Services-Konfiguration zu einer ELM-Konfiguration hinzufügen, die nicht mit VMware Identity Services konfiguriert wurde. Entfernen Sie in diesem Szenario zuerst die vorhandene VMware Identity Services-Konfiguration aus vCenter Server, bevor Sie sie zur ELM-Konfiguration hinzufügen.

Entfernen der Verknüpfung eines vCenter Server aus einer Okta-, Microsoft Entra ID- oder PingFederate-Konfiguration des erweiterten verknüpften Modus

Allgemeine Schritte:

  1. (Voraussetzung) Richten Sie Okta, Microsoft Entra ID oder PingFederate für eine Konfiguration des erweiterten verknüpften Modus auf einem vCenter Server-N-Knoten ein.
  2. Heben Sie die Registrierung eines der vCenter Server-Hosts in der aus N-Knoten bestehenden Konfiguration auf und verweisen Sie ihn an eine neue Domäne, um die Verknüpfung mit der aus N-Knoten bestehenden Konfiguration aufzuheben.
  3. Beim Neuverweisen der Domäne werden SSO-Einstellungen nicht beibehalten, sodass alle Okta-, Microsoft Entra ID- oder PingFederate-Einstellungen auf dem nicht verknüpften vCenter Server-Knoten zurückgesetzt werden und verloren gehen. Zur weiteren Verwendung von Okta, Microsoft Entra ID oder PingFederate auf diesem nicht verknüpften vCenter Server-Knoten müssen Sie Okta, Microsoft Entra ID oder PingFederate von Grund auf neu konfigurieren oder vCenter Server erneut mit einer Konfiguration des erweiterten verknüpften Modus verknüpfen, in der Okta, Microsoft Entra ID oder PingFederate bereits eingerichtet ist.
Hinweis: Sie können die Verknüpfung eines vCenter Server mit einer aktiven VMware Identity Services-Konfiguration nicht aufheben.