Erfahren Sie mehr über die Verfügbarkeitsaspekte in Konfigurationen des erweiterten verknüpften Modus mit Okta, Microsoft Entra ID oder PingFederate.

Voraussetzungen

  • Mindestens zwei vCenter Server-Systeme in einer Konfiguration des erweiterten verknüpften Modus. Beispielsweise werden die Systeme als VC_1, VC_2, VC_3 über VC_N bezeichnet, wobei N die Anzahl der vCenter Server-Systeme in der Konfiguration des erweiterten verknüpften Modus ist.
  • Für Okta und Microsoft Entra ID müssen alle vCenter Server-Systeme vSphere 8.0 Update 2 oder höher ausführen. Für PingFederate müssen alle vCenter Server-Systeme mindestens vSphere 8.0 Update 3 ausführen.
  • Okta, Microsoft Entra ID oder PingFederate sind als externe Identitätsanbieter auf einem der vCenter Server-Systeme konfiguriert. Das System wird beispielsweise als VC_1 gekennzeichnet.
  • Der externe Identitätsanbieter ist mit allen erforderlichen OAuth2- und SCIM-Anwendungen konfiguriert.

Prozedur

  1. So aktivieren Sie einen bestimmten vCenter Server VC_i, bei dem i zwischen 2 und N liegt:
    1. Beschaffen Sie sich lokalen Shell-Zugriff auf VC_i, um das Aktivierungsskript auszuführen.
      Hinweis: Um die folgenden Schritte auszuführen, kann das vCenter Server-Benutzerkonto mit Administratorrechten entweder in der Befehlszeile oder in den Eingabeaufforderungen der Konsole angegeben werden.
    2. Führen Sie 'status' über das Aktivierungsskript aus, um den aktuellen Aktivierungsstatus von vCenter Server abzurufen. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. Wenn der Befehl 'status' angibt, dass vCenter Server nicht aktiviert ist, führen Sie 'activate' über das Aktivierungsskript aus: 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. Wenn der Befehl 'status' angibt, dass der vCenter Server bereits aktiviert ist, führen Sie die Option 'deactivate' und dann die Option 'activate' aus. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • Führen Sie beispielsweise die Option 'activate' aus.
      • Alternativ können Sie die Option '--force-replace' im Befehl 'activate' angeben.
  2. Öffnen Sie den vCenter Server VC_i in einem Browser und melden Sie sich als Administrator bei vCenter Server an.
    1. Navigieren Sie zu Start > Administration > Single Sign-On > Konfiguration.
    2. Stellen Sie unter Benutzerbereitstellung sicher, dass die Mandanten-URL den FQDN von VC_i enthält.
    3. Kopieren Sie die Zeichenfolge mit der Mandanten-URL und speichern Sie diese Informationen für die Verwendung mit dem externen Identitätsanbieter.
    4. Klicken Sie unter Geheimes Token auf Generieren, kopieren Sie die generierte Tokenzeichenfolge und speichern Sie diese Informationen, um sie beim externen Identitätsanbieter zu verwenden.
    5. Stellen Sie unter OpenID Connect sicher, dass der Umleitungs-URI den FQDN von VC_i enthält.
    6. Kopieren Sie die Zeichenfolge mit der Umleitungs-URI und speichern Sie diese Informationen für die Verwendung mit dem externen Identitätsanbieter.
  3. Öffnen Sie in einem Browser die Verwaltungsseite des externen Identitätsanbieters.
    Hinweis: Weitere Informationen finden Sie in den spezifischen Details des externen Identitätsanbieters zum Ausführen der folgenden Schritte.
    1. Suchen Sie nach der OAuth2-Registrierung, die beim ursprünglichen Konfigurieren des externen Identitätsanbieters in VC_1 eingerichtet wurde.
    2. Bearbeiten Sie die OAuth2-Registrierung und fügen Sie den Umleitungs-URI hinzu, der zuvor für VC_i abgerufen wurde.
    3. Wenn der externe Identitätsanbieter SCIM-Push-Konfigurationen mit mehreren Zielen unterstützt, dann:
      • Suchen Sie nach der SCIM-Push-Konfiguration, die beim ursprünglichen Konfigurieren des externen Identitätsanbieters in VC_1 eingerichtet wurde.
      • Bearbeiten Sie die SCIM-Push-Konfiguration und fügen Sie die Informationen für Mandanten-URL und Geheimes Token hinzu, die zuvor für VC_i abgerufen wurden.
    4. Wenn der externe Identitätsanbieter SCIM-Push-Konfigurationen mit nur einem Ziel unterstützt:
      • Erstellen Sie eine neue SCIM-Push-Konfiguration mit den Informationen für Mandanten-URL und Geheimes Token, die zuvor für VC_i abgerufen wurden.
      • Stellen Sie sicher, dass die SCIM-Push-Konfiguration dieselben Benutzer-/Gruppendaten überträgt wie die SCIM-Push-Konfiguration, die beim ursprünglichen Konfigurieren des externen Identitätsanbieters in VC_1 eingerichtet wurde.
    5. Initiieren Sie einen SCIM-Push-Vorgang, um sicherzustellen, dass VC_i mit den neuesten Benutzer- oder Gruppendaten gefüllt wird.