Sie können VMware Identity Services beenden und starten, ein SCIM-Token neu generieren und gelöschte SCIM-Benutzer und -Gruppen wiederherstellen.

Je nach Aufgabe verwenden Sie vSphere Client oder die Verwaltungskonsole des externen Identitätsanbieters.

Beenden und Starten der VMware Identity Services

VMware Identity Services müssen auf vCenter Server gestartet sein, damit Okta, Microsoft Entra ID (zuvor Azure AD) oder PingFederate als externer Identitätsanbieter konfiguriert und ausgeführt werden kann. Wenn Sie vSphere 8.0 Update 1 oder höher installieren oder ein Upgrade darauf durchführen, werden standardmäßig VMware Identity Services gestartet. Sie verwenden die vCenter Server-Verwaltungsschnittstelle zum Verwalten von VMware Identity Services.

Ab Version 8.0 Update 1 enthält vSphere die VMware Identity Services zur Unterstützung der Authentifizierung bei Okta. Ab Version 8.0 Update 2 unterstützen VMware Identity Services die Authentifizierung bei Microsoft Entra-ID. Ab Version 8.0 Update 3 unterstützen VMware Identity Services die Authentifizierung bei PingFederate.

Voraussetzungen

Wenn Sie vSphere 8.0 Update 1 oder höher installieren oder ein Upgrade darauf durchführen, werden VMware Identity Services automatisch gestartet. Wenn Sie Okta, Microsoft Entra ID oder PingFederate als externen Identitätsanbieter konfigurieren, müssen Sie VMware Identity Services nicht starten, da diese bereits ausgeführt werden. Zum Starten oder Beenden von VMware Identity Services müssen Sie Root sein.

Sie konfigurieren den externen Identitätsanbieter nur auf einem einzelnen vCenter Server. Dieser vCenter Server kommuniziert über seine Instanz von VMware Identity Services mit dem Identitätsanbieter. Auf den anderen vCenter Server-Systemen in der Konfiguration für den erweiterten verknüpften Modus werden ebenfalls VMware Identity Services ausgeführt, die jedoch nicht direkt mit dem Identitätsanbieter kommunizieren.

Prozedur

  1. Navigieren Sie in einem Webbrowser zur vCenter Server-Verwaltungsschnittstelle auf https://vcenter-IP-adresse-oder-FQDN:5480.
  2. Melden Sie sich als „root“ an.
    Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server festlegen.
  3. Wählen Sie Dienste aus.
  4. Zeigen Sie den Status von VMware Identity Services an.
  5. Um den Dienst zu beenden oder zu starten, wählen Sie VMware Identity Services aus und klicken Sie dann auf Stoppen oder auf Starten.
    Nach dem Starten von VMware Identity Services ist kein vCenter Server-Neustart erforderlich.

Erneutes Generieren des SCIM-Tokens in vCenter Server

In vCenter Server können Sie ein SCIM-Token (System for Cross-Domain Identity Management) für einen externen Identitätsanbieter neu generieren.

Wenn Sie ein weiteres Token generieren, wird es sofort aktiv und das vorherige Token wird widerrufen.

Voraussetzungen

Sie müssen einen externen Identitätsanbieter in vCenter Server erstellt haben.

Prozedur

  1. Melden Sie sich als Administrator mit dem vSphere Client beim vCenter Server an.
  2. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  3. Klicken Sie auf der Seite Konfiguration unter Benutzerbereitstellung/Geheimes Token auf Neu generieren, um das geheime Token neu zu generieren. Wählen Sie im Dropdown die Token-Lebensdauer aus, und klicken Sie dann auf In Zwischenablage kopieren. Speichern Sie das Token an einem sicheren Ort.
  4. Mit dem kopierten Token können Sie Ihre Konfiguration des externen Identitätsanbieters aktualisieren.

Wiederherstellen gelöschter SCIM-Benutzer und -Gruppen

Wenn die von SCIM weitergegebenen Benutzer und Gruppen auf Ihrem vCenter Server nicht mehr mit Ihrem externen Identitätsanbieter synchronisiert sind, können Sie Schritte unternehmen, um das Problem zu beheben.

Wenn Sie einen von SCIM weitergegebenen Benutzer oder eine Gruppe wiederherstellen möchten, den bzw. die Sie aus Ihrem vCenter Server gelöscht haben, können Sie den von SCIM weitergegebenen Benutzer oder die Gruppe nicht einfach von Ihrem Okta-Server weitergeben. Aufgrund der Art und Weise, wie vCenter Server SCIM (System für domänenübergreifende Identitätsverwaltung) für die Benutzer- und Gruppenverwaltung verwendet, müssen Sie die SCIM 2.0-Anwendung selbst mit dem fehlenden Benutzer oder der fehlenden Gruppe aktualisieren.

Prozedur

  1. Melden Sie sich bei der externen IDP-Verwaltungskonsole an.
  2. Navigieren Sie zur SCIM 2.0-Anwendung.
  3. Weisen Sie den gelöschten oder fehlenden Benutzer bzw. die gelöschte oder fehlende Gruppe zu.
  4. Wählen Sie die entsprechende Aktion aus, um die weitergegebene Gruppe oder den Benutzer zu löschen, um die Verknüpfung mit der weitergegebenen Gruppe oder dem weitergegebenen Benutzer aufzuheben.
  5. Wählen Sie die entsprechende Aktion aus, um die Gruppe weiterzugeben.
  6. Überprüfen Sie auf Ihrem vCenter Server, ob der externe IDP die Gruppe oder den Benutzer synchronisiert hat.