Nach der Installation oder dem Upgrade auf vSphere 7.0 oder höher können Sie den vCenter Server-Identitätsanbieterverbund für AD FS als externen Identitätsanbieter konfigurieren.

Hinweis: Diese Anweisungen gelten für vSphere 8.0 Update 1 und höher. Informationen zu vSphere 8.0 finden Sie im Thema zum Konfigurieren des vCenter Server-Identitätsanbieterverbunds für AD FS in der Dokumentation zu vSphere-Authentifizierung unter https://docs.vmware.com/de/VMware-vSphere/8.0/vsphere-documentation-80.zip.

vCenter Server unterstützt nur einen konfigurierten externen Identitätsanbieter (eine Quelle) und die Identitätsquelle „vsphere.local“. Sie können nicht mehrere externe Identitätsanbieter verwenden. Der vCenter Server-Identitätsanbieterverbund verwendet OpenID Connect (OIDC) für die Benutzeranmeldung bei vCenter Server.

In dieser Aufgabe wird das Hinzufügen einer AD FS-Gruppe zur vSphere-Administratorengruppe als Möglichkeit zur Steuerung von Berechtigungen beschrieben. Sie können Berechtigungen auch mithilfe von AD FS-Autorisierung über globale oder Objektberechtigungen in vCenter Server konfigurieren. Weitere Informationen zum Hinzufügen von Berechtigungen finden Sie in der vSphere-Sicherheit-Dokumentation.

Vorsicht:

Wenn Sie eine Identitätsquelle von Active Directory verwenden, die Sie zuvor vCenter Server für Ihre AD FS hinzugefügt haben, löschen Sie diese vorhandene Identitätsquelle nicht von vCenter Server. Dies führt zu einer Regression mit zuvor zugewiesenen Rollen und Gruppenmitgliedschaften. Sowohl der AD FS-Benutzer mit globalen Berechtigungen als auch die Benutzer, die der Administratorgruppe hinzugefügt wurden, werden sich nicht anmelden können.

Problemumgehung: Wenn Sie die zuvor zugewiesenen Rollen und Gruppenmitgliedschaften nicht benötigen und die vorherige Identitätsquelle für Active Directory entfernen möchten, entfernen Sie die Identitätsquelle, bevor Sie den AD FS-Anbieter erstellen, und konfigurieren Sie Gruppenmitgliedschaften in vCenter Server.

Voraussetzungen

Hinweis: Für diesen Vorgang zum Konfigurieren eines AD FS-Identitätsanbieters ist es erforderlich, dass Sie über Administratorzugriff sowohl auf Ihren vCenter Server als auch auf Ihren AD FS-Server verfügen. Während des Konfigurationsvorgangs geben Sie Informationen zuerst in Ihrem vCenter Server, dann in Ihrem AD FS-Server und dann in Ihrem vCenter Server ein.

Anforderungen der Active Directory Federation Services (AD FS):

  • AD FS für Windows Server 2016 oder höher muss bereits bereitgestellt worden sein.
  • AD FS muss mit Active Directory verbunden sein.
  • Eine Anwendungsgruppe für vCenter Server muss im Rahmen des Konfigurationsvorgangs in AD FS erstellt werden. Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78029.
  • Ein AD FS-Serverzertifikat (oder ein Zertifizierungsstellen- oder Zwischenzertifikat, das das AD FS-Serverzertifikat signiert hat), das Sie dem Speicher für vertrauenswürdige Stammzertifikate hinzufügen.
  • Sie haben eine vCenter Server-Administratorengruppe in AD FS erstellt, die die Benutzer enthält, denen vCenter Server-Administratorrechte zugewiesen werden sollen.

Weitere Informationen zum Konfigurieren von AD FS finden Sie in der Microsoft-Dokumentation.

vCenter Server und sonstige Anforderungen:

  • vSphere 7.0 oder höher
  • vCenter Server muss in der Lage sein, eine Verbindung mit dem Ermittlungs-Endpoint für AD FS sowie der Autorisierung, dem Token, der Abmeldung, JWKS und allen anderen Endpoints, die in den Metadaten des Ermittlungs-Endpoints angegeben wurden, herzustellen.
  • Sie benötigen das Recht VcIdentityProviders.Verwalten zum Erstellen, Aktualisieren oder Löschen eines vCenter Server-Identitätsanbieters, der für die Verbundauthentifizierung erforderlich ist. Um die Rechte eines Benutzers auf die Ansicht der Konfigurationsinformationen für den Identitätsanbieter zu beschränken, weisen Sie ihm das Recht VcIdentityProviders.Lesen zu.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Fügen Sie Ihr AD FS-Serverzertifikat (oder ein Zertifizierungsstellen- oder Zwischenzertifikat, das das AD FS-Serverzertifikat signiert hat) zum Speicher für vertrauenswürdige Stammzertifikate hinzu.
    Hinweis: Weitere Informationen finden Sie unter Hinzufügen eines vertrauenswürdigen Rootzertifikats zum Zertifikatspeicher über den vSphere Client.
    1. Navigieren Sie zu Verwaltung > Zertifikate > Zertifikatsverwaltung.
    2. Klicken Sie neben Vertrauenswürdiger Stammspeicher auf Hinzufügen.
    3. Suchen Sie nach dem AD FS-Stammzertifikat und klicken Sie auf Hinzufügen.
      Das Zertifikat wird in einem Bereich unter Vertrauenswürdige Root-Zertifikate hinzugefügt.
  3. Beginnen Sie mit der Erstellung des Identitätsanbieters in vCenter Server.
    1. Verwenden Sie den vSphere Client, um sich als Administrator bei vCenter Server anzumelden.
    2. Navigieren Sie zu Startseite > Verwaltung > Single Sign-On > Konfiguration.
    3. Klicken Sie auf Anbieter ändern und wählen Sie ADFS aus.
      Der Assistent Hauptidentitätsanbieter konfigurieren wird geöffnet.
    4. Überprüfen Sie im Bereich Voraussetzungen die AD FS- und vCenter Server-Anforderungen.
    5. Klicken Sie auf Vorabprüfungen ausführen.
      Wenn bei der Vorabprüfung Fehler gefunden werden, klicken Sie auf Details anzeigen und führen Sie Schritte aus, um die angegebenen Fehler zu beheben.
    6. Wenn die Vorabprüfung erfolgreich abgeschlossen ist, klicken Sie auf das Bestätigungskontrollkästchen und dann auf Weiter.
    7. Geben Sie im Bereich Benutzern und Gruppen die Benutzer- und Gruppeninformationen für die Verbindung mit Active Directory über LDAP ein, um nach Benutzern und Gruppen zu suchen.
      vCenter Server leitet die AD-Domäne, die für Autorisierung und Berechtigungen verwendet werden soll, aus dem Basis-DN für Benutzer ab. Sie können Berechtigungen für vSphere-Objekte nur für Benutzer und Gruppen aus dieser AD-Domäne hinzufügen. Benutzer oder Gruppen aus untergeordneten AD-Domänen oder anderen Domänen in der AD-Gesamtstruktur werden vom vCenter Server-Identitätsanbieterverbund nicht unterstützt.
      Option Beschreibung
      Basis-DN für Benutzer Basis-DN (Distinguished Name) für Benutzer.
      Basis-DN für Gruppen Der Basis-DN (Distinguished Name) für Gruppen.
      Benutzername ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
      Kennwort ID eines Benutzers in der Domäne, der über einen minimalen Base-DN-Zugriff (nur Lesen) für Benutzer und Gruppen verfügt
      URL des primären Servers: LDAP-Server des primären Domänencontrollers für die Domäne.

      Verwenden Sie das Format ldap://hostname:port oder ldaps://hostname:port. Der Port ist in der Regel 389 für LDAP-Verbindungen und 636 für LDAPS-Verbindungen. Für Active Directory-Bereitstellungen über mehrere Domänencontroller ist der Port in der Regel 3268 für LDAP und 3269 für LDAPS.

      Ein Zertifikat, das das Vertrauen für den LDAPS-Endpoint des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primären oder sekundären LDAP-URL verwenden.

      URL des sekundären Servers Adresse eines LDAP-Servers des sekundären Domänencontrollers, der für das Failover verwendet wird.
      SSL-Zertifikate Wenn Sie LDAPS mit Ihrer Identitätsquelle für den Active Directory-LDAP-Server oder -OpenLDAP-Server verwenden möchten, klicken Sie zum Auswählen eines Zertifikats auf Durchsuchen.
    8. Klicken Sie auf Weiter.
    9. Kopieren Sie im Bereich OpenID Connect den Umleitungs-URI und den Umleitungs-URI für die Abmeldung.
      Lassen Sie die anderen Felder vorerst leer. Sie kehren zum Bereich OpenID Connect zurück, nachdem Sie die OpenID Connect-Konfiguration im nächsten Schritt erstellt haben.
  4. Erstellen Sie eine OpenID Connect-Konfiguration in AD FS und konfigurieren Sie sie für vCenter Server.
    Zum Einrichten einer Vertrauensstellung der vertrauenden Seite zwischen vCenter Server und einem Identitätsanbieter müssen Sie Identifzierungsinformationen und einen gemeinsamen geheimen Schlüssel zwischen ihnen festlegen. In AD FS erstellen Sie hierzu eine als Anwendungsgruppe bezeichnete OpenID Connect-Konfiguration, die aus einer Serveranwendung und einer Web-API besteht. Die beiden Komponenten enthalten die Informationen, die von vCenter Server zum Herstellen von Vertrauen und zur Kommunikation mit dem AD FS-Server verwendet werden. Informationen zum Aktivieren von OpenID Connect in AD FS finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78029.

    Beachten Sie Folgendes, wenn Sie die Anwendungsgruppe AD FS erstellen.

    • Sie benötigen die beiden vCenter Server-Umleitungs-URIs, die Sie im vorherigen Schritt erhalten haben.
    • Kopieren Sie die folgenden Informationen aus der AD FS-Anwendungsgruppe in eine Datei oder notieren Sie sie für die Verwendung, wenn Sie die Erstellung des vCenter Server-Identitätsanbieters im nächsten Schritt abschließen.
      • Clientbezeichner
      • Gemeinsamer geheimer Schlüssel
      • OpenID-Adresse des AD FS-Servers
    Hinweis: Rufen Sie bei Bedarf die OpenID-Adresse Ihres AD FS-Servers ab, indem Sie den folgenden PowerShell-Befehl als AD FS-Administrator ausführen. 
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    Kopieren Sie die zurückgegebene URL (wählen Sie nur die URL selbst aus, nicht die schließende Klammer oder den Anfangsteil "@{FullUrl=").

  5. Gehen Sie im Bereich vCenter Server OpenID Connect wie folgt vor:
    1. Geben Sie die folgenden Informationen ein, die Sie aus dem vorherigen Schritt beim Erstellen der AD FS-Anwendungsgruppe erhalten haben:
      • Clientbezeichner
      • Gemeinsamer geheimer Schlüssel
      • OpenID-Adresse

      Der Name des Identitätsanbieters wird automatisch als Microsoft ADFS ausgefüllt.

    2. Klicken Sie auf Weiter.
  6. Überprüfen Sie die Informationen und klicken Sie auf Beenden.
    vCenter Server erstellt den AD FS-Identitätsanbieter und zeigt die Konfigurationsinformationen an.
  7. Konfigurieren Sie die Gruppenmitgliedschaft in vCenter Server für die AD FS-Autorisierung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Benutzer und Gruppen.
    3. Klicken Sie auf die Registerkarte Gruppen.
    4. Klicken Sie auf die Gruppe Administratoren und klicken Sie auf Mitglieder hinzufügen.
    5. Wählen Sie die Domäne im Dropdown-Menü aus.
    6. Geben Sie im Textfeld unterhalb des Dropdown-Menü die ersten Zeichen der hinzuzufügenden AD FS-Gruppe ein und warten Sie dann, bis die Dropdown-Auswahl angezeigt wird.
      Es kann einige Sekunden dauern, bis die Auswahl angezeigt wird, da vCenter Server die Verbindung mit Active Directory herstellt und dieses durchsucht.
    7. Wählen Sie die AD FS-Gruppe aus und fügen Sie sie zur Administratorengruppe hinzu.
    8. Klicken Sie auf Speichern.
  8. Überprüfen Sie die Anmeldung bei vCenter Server mit einem Active Directory-Benutzer.