Nach der Installation von oder dem Upgrade auf vSphere 8.0 Update 1 oder höher können Sie den vCenter Server-Identitätsanbieterverbund für Okta als externen Identitätsanbieter konfigurieren.

vCenter Server unterstützt nur einen konfigurierten externen Identitätsanbieter (eine Quelle) und die Identitätsquelle „vsphere.local“ (lokale Quelle). Sie können nicht mehrere externe Identitätsanbieter verwenden. Der vCenter Server-Identitätsanbieterverbund verwendet OpenID Connect (OIDC) für die Benutzeranmeldung bei vCenter Server.

Sie können Berechtigungen mithilfe von Okta-Gruppen und -Benutzern über globale oder Objektberechtigungen in vCenter Server konfigurieren. Weitere Informationen zum Hinzufügen von Berechtigungen finden Sie in der vSphere-Sicherheit-Dokumentation.

Voraussetzungen

Okta-Anforderungen:

  • Sie verwenden Okta und verfügen über einen dedizierten Domänenspeicher, z. B. https://your-company.okta.com.
  • Zum Durchführen von OIDC-Anmeldungen und Verwalten von Benutzer- und Gruppenberechtigungen müssen Sie die folgenden Okta-Anwendungen erstellen.
    • Eine native Okta-Anwendung mit OpenID Connect als Anmeldemethode. Die native Anwendung muss die Gewährungstypen Autorisierungscode, Aktualisierungstoken und Ressourcenbesitzerkennwort enthalten.
    • Ein System für SCIM 2.0-Anwendung (domänenübergreifende Identitätsverwaltung) mit einem OAuth 2.0-Bearer-Token zum Durchführen von Benutzer- und Gruppensynchronisierungen zwischen dem Okta-Server und dem vCenter Server.

    Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/90835.

  • Sie haben die Okta-Benutzer und -Gruppen identifiziert, die Sie für vCenter Server freigeben möchten. Diese Freigabe ist ein SCIM-Vorgang (kein OIDC-Vorgang).

Okta-Konnektivitätsanforderungen:

  • vCenter Server muss in der Lage sein, eine Verbindung mit dem Ermittlungs-Endpoint für Okta sowie der Autorisierung, dem Token, JWKS und allen anderen Endpoints, die in den Metadaten des Ermittlungs-Endpoints angegeben wurden, herzustellen.
  • Okta muss auch in der Lage sein, eine Verbindung mit vCenter Server herzustellen, um Benutzer- und Gruppendaten für die SCIM-Bereitstellung zu senden.

vCenter Server-Anforderungen

  • vSphere 8.0 Update 1 oder höher
  • Stellen Sie auf dem vCenter Server, auf dem Sie die Okta-Identitätsquelle erstellen möchten, sicher, dass die VMware Identity Services aktiviert sind.
    Hinweis: Wenn Sie vSphere 8.0 Update 1 oder höher installieren oder ein Upgrade darauf durchführen, werden VMware Identity Services standardmäßig aktiviert. Sie können die vCenter Server-Verwaltungsschnittstelle verwenden, um den Status der VMware Identity Services zu bestätigen. Weitere Informationen hierzu finden Sie unter Beenden und Starten der VMware Identity Services.

vSphere-Berechtigungsanforderungen:

  • Sie benötigen die Berechtigung VcIdentityProviders.Verwalten zum Erstellen, Aktualisieren oder Löschen eines vCenter Server-Identitätsanbieters, der für die Verbundauthentifizierung erforderlich ist. Um die Rechte eines Benutzers auf die Ansicht der Konfigurationsinformationen für den Identitätsanbieter zu beschränken, weisen Sie ihm das Recht VcIdentityProviders.Lesen zu.

Anforderungen für den erweiterten verknüpften Modus:

  • Sie können den vCenter Server-Identitätsanbieterverbund für Okta in einer Konfiguration des erweiterten verknüpften Modus konfigurieren. Wenn Sie Okta in einer Konfiguration des erweiterten verknüpften Modus konfigurieren, konfigurieren Sie den Okta-Identitätsanbieter für die Verwendung von VMware Identity Services auf einem einzelnen vCenter Server-System. Wenn Ihre Konfiguration des erweiterten verknüpften Modus beispielsweise aus zwei vCenter Server-Systemen besteht, wird nur ein vCenter Server und dessen Instanz der VMware Identity Services für die Kommunikation mit dem Okta-Server verwendet. Wenn dieses vCenter Server-System nicht mehr verfügbar ist, können Sie VMware Identity Services auf einem anderen vCenter Server in der ELM-Konfiguration konfigurieren, um mit Ihrem Okta-Server zu interagieren. Weitere Informationen finden Sie unter Aktivierungsvorgang für externe Identitätsanbieter in Konfigurationen des erweiterten verknüpften Modus.
  • Wenn Sie Okta als externen Identitätsanbieter konfigurieren, müssen alle vCenter Server-Systeme in einer Konfiguration des erweiterten verknüpften Modus mindestens vSphere 8.0 Update 1 ausführen.

Netzwerkanforderungen:

  • Wenn Ihr Netzwerk nicht öffentlich verfügbar ist, müssen Sie einen Netzwerktunnel zwischen Ihrem vCenter Server-System und Ihrem Okta-Server erstellen und dann die entsprechende öffentlich zugängliche URL als Basis-URI verwenden.

Prozedur

  1. Erstellen Sie eine OpenID Connect-Anwendung in Okta und weisen Sie der OpenID Connect-Anwendung Gruppen und Benutzer zu.
    Informationen zum Erstellen der OpenID Connect-Anwendung und zum Zuweisen von Gruppen und Benutzern finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/90835. Befolgen Sie die Schritte im Abschnitt mit dem Titel „Erstellen der OpenID Connect-Anwendung“. Nachdem Sie die OpenID Connect-Anwendung in Okta erstellt haben, kopieren Sie die folgenden Informationen aus der OpenID Connect-Anwendung in Okta in eine Datei, um sie beim Konfigurieren des vCenter Server-Identitätsanbieters zu verwenden.
    • Clientbezeichner
    • Geheimer Clientschlüssel (im vSphere Client als gemeinsamer geheimer Schlüssel angezeigt)
    • Active Directory-Domäneninformationen oder Okta-Domäneninformationen, wenn Sie nicht Active Directory ausführen
  2. So erstellen Sie den Identitätsanbieter in vCenter Server:
    1. Verwenden Sie den vSphere Client, um sich als Administrator bei vCenter Server anzumelden.
    2. Navigieren Sie zu Startseite > Verwaltung > Single Sign-On > Konfiguration.
    3. Klicken Sie auf Anbieter ändern und wählen Sie Okta aus.
      Der Assistent Hauptidentitätsanbieter konfigurieren wird geöffnet.
    4. Überprüfen Sie im Bereich Voraussetzungen die Voraussetzungen für Okta und vCenter Server.
    5. Klicken Sie auf Vorabprüfungen ausführen.
      Wenn bei der Vorabprüfung Fehler gefunden werden, klicken Sie auf Details anzeigen und führen Sie Schritte aus, um die angegebenen Fehler zu beheben.
    6. Wenn die Vorabprüfung erfolgreich abgeschlossen ist, klicken Sie auf das Bestätigungskontrollkästchen und dann auf Weiter.
    7. Geben Sie m Bereich Verzeichnisinformationen die folgenden Informationen ein:
      • Verzeichnisname: Name des lokalen Verzeichnisses, das in vCenter Server erstellt werden soll und die von Okta übertragenen Benutzer und Gruppen speichert. Beispiel: vcenter-okta-directory.
      • Domänenname(n): Geben Sie die Okta-Domänennamen ein, die die Okta-Benutzer und -Gruppen enthalten, die Sie mit vCenter Server synchronisieren möchten.

        Nachdem Sie Ihren Okta-Domänennamen eingegeben haben, klicken Sie auf das Pluszeichen (+), um ihn hinzuzufügen. Wenn Sie mehrere Domänennamen eingeben, geben Sie die Standarddomäne an.

    8. Klicken Sie auf Weiter.
    9. Geben Sie m Bereich OpenID Connect die folgenden Informationen ein:
      • Umleitungs-URI: Wird automatisch ausgefüllt. Sie geben den Umleitungs-URI zu Ihrem Okta-Administrator ein, der beim Erstellen der OpenID Connect-Anwendung verwendet wird.
      • Name des Identitätsanbieters: Wird automatisch als Okta ausgefüllt.
      • Clientbezeichner: Wurde beim Erstellen der OpenID Connect-Anwendung in Okta in Schritt 1 erhalten. (In Okta wird der Clientbezeichner als Client-ID bezeichnet.)
      • Gemeinsamer geheimer Schlüssel: Wurde beim Erstellen der OpenID Connect-Anwendung in Okta in Schritt 1 erhalten. (In Okta wird der gemeinsame geheime Schlüssel als Clientschlüssel bezeichnet.)
      • OpenID-Adresse: Hat das Format https://Okta-Domänenraum/oauth2/default/.well-known/openid-configuration.

        Wenn Ihr Okta-Domänenbereich beispielsweise example.okta.com ist, lautet die OpenID-Adresse: https://example.okta.com/oauth2/default/.well-known/openid-configuration

        Weitere Informationen hierzu finden Sie unter https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration.

    10. Klicken Sie auf Weiter.
    11. Überprüfen Sie die Informationen und klicken Sie auf Beenden.
      vCenter Server erstellt den Okta-Identitätsanbieter und zeigt die Konfigurationsinformationen an.
    12. Scrollen Sie bei Bedarf nach unten, klicken Sie auf das Symbol Kopieren für den Umleitungs-URI und speichern Sie ihn in einer Datei.
      Sie verwenden den Umleitungs-URI in der Okta OpenID Connect-Anwendung.
    13. Klicken Sie auf das Symbol Kopieren für die Mandanten-URL und speichern Sie sie in einer Datei.
      Hinweis: Wenn Ihr Netzwerk nicht öffentlich verfügbar ist, müssen Sie einen Netzwerktunnel zwischen Ihrem vCenter Server-System und Ihrem Okta-Server erstellen. Verwenden Sie nach dem Erstellen des Netzwerktunnels die entsprechende öffentlich zugängliche URL als Basis-URI.
    14. Klicken Sie unter Benutzerbereitstellung auf Generieren um das geheime Token zu erstellen, wählen Sie die Token-Lebensdauer im Dropdown-Menü aus und klicken Sie dann auf In Zwischenablage kopieren. Speichern Sie das Token an einem sicheren Ort.
      Sie verwenden die Mandanten-URL und das Token in der Okta SCIM 2.0-Anwendung. Die Okta SCIM 2.0-Anwendung verwendet das Token, um die Okta-Benutzer und -Gruppen in VMware Identity Services zu synchronisieren. Diese Informationen sind erforderlich, um Okta-Benutzer und -Gruppen von Okta an vCenter Server zu übertragen.
  3. Kehren Sie zum VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/90835 zurück, um den Okta-Umleitungs-URI zu aktualisieren.
    Befolgen Sie die Schritte im Abschnitt mit dem Titel „Aktualisieren des Okta-Umleitungs-URI“.
  4. Um die SCIM 2.0-Anwendung zu erstellen, bleiben Sie im VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/90835.
    Befolgen Sie die Schritte im Abschnitt mit dem Titel „Erstellen der SCIM 2.0-Anwendung und Übertragen von Benutzern und Gruppen an vCenter Server“.
    Wenn Sie die SCIM 2.0-Anwendung wie im Knowledgebase-Artikel beschrieben erstellt haben, fahren Sie mit dem nächsten Schritt fort.
  5. Konfigurieren Sie vCenter Server für die Okta-Autorisierung.
    Sie können Okta-Benutzer entweder einer vCenter Server-Gruppe zuweisen oder Okta-Benutzern Berechtigungen auf Bestandslistenebene sowie globale Berechtigungen gewähren. Die Mindestberechtigung, die zur Anmeldung erforderlich ist, lautet „Schreibgeschützt“.
    Informationen zum Zuweisen von Okta-Benutzern zu einer Gruppe finden Sie unter Hinzufügen von Mitgliedern zu einer vCenter Single Sign On-Gruppe. Informationen zum Zuweisen von Berechtigungen auf Bestandslistenebene und globalen Berechtigungen zu Okta-Benutzern finden Sie im Thema zum Verwalten von Berechtigungen für vCenter Server-Komponenten in der Dokumentation zu vSphere-Sicherheit.
  6. Überprüfen Sie die Anmeldung bei vCenter Server mit einem Okta-Benutzer.