Nach der Installation von vSphere 8.0 Update 3 oder einem Upgrade auf diese Version können Sie vCenter Server-Hosts für VMware Single Sign-On konfigurieren. Wenn Sie VMware Single Sign-On konfigurieren, verwenden Sie einen externen Identitätsanbieter, um sich bei Ihren vCenter Server-Hosts anzumelden.

Mit VMware Single Sign-On können Sie vCenter Server-Hosts in einer Konfiguration ohne erweiterten verknüpften Modus verbinden. Das heißt, solange Sie einen externen Identitätsanbieter konfigurieren, können Sie diese Konfiguration für Single Sign-On bei anderen vCenter Server-Hosts nutzen.Der vCenter Server-Host, auf dem der externe Identitätsanbieter konfiguriert ist, fungiert als Identitätsanbieter für die anderen vCenter Server-Hosts.

Sie können mehrere vCenter Server-Hosts konfigurieren, um VMware Single Sign-On durchzuführen. Dazu müssen Sie jeden vCenter Server-Host so konfigurieren, dass er auf den vCenter Server-Host verweist, der mit einem externen Identitätsanbieter konfiguriert ist.

Nach der Durchführung der VMware Single Sign-On-Konfiguration können Sie sich weiterhin mit einem lokalen Konto bei Ihren vCenter Server-Hosts anmelden.

Hinweis: VMware Single Sign-On nutzt keine gemeinsamen Bestandslisten zwischen vCenter Server-Hosts, wie dies im erweiterten verknüpften Modus der Fall ist.

Voraussetzungen

VMware Single Sign On-Anforderungen:

  • Auf dem vCenter Server, auf dem Sie VMware Single Sign-On konfigurieren, wird vSphere 8.0 Update 3 ausgeführt.
  • Die vCenter Server-Hosts, die Sie verbinden möchten, führen mindestens vSphere 8.0 Update 1 aus.
  • Sie haben einen der folgenden externen Identitätsanbieter konfiguriert:
    • Microsoft Entra ID
    • Okta
    • PingFederate
  • Sie müssen das vertrauenswürdige Root-Zertifikat von dem vCenter Server-Host, auf dem der externe Identitätsanbieter konfiguriert ist, für den vCenter Server-Host hinzufügen, auf dem Sie VMware Single Sign-On konfigurieren.

Prozedur

  1. Laden Sie das vertrauenswürdige Root-Zertifikat von dem vCenter Server-Host herunter, auf dem der externe Identitätsanbieter konfiguriert ist. Ein Beispiel finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2108294.
  2. Laden Sie dieses vertrauenswürdige Root-Zertifikat auf den vCenter Server-Host hoch, auf dem Sie VMware SSO konfigurieren.
    Weitere Informationen hierzu finden Sie unter Hinzufügen eines vertrauenswürdigen Rootzertifikats zum Zertifikatspeicher über den vSphere Client.
  3. Verwenden Sie den vSphere Client, um sich als Administrator bei dem vCenter Server-Host anzumelden, auf dem Sie VMware SSO konfigurieren.
  4. Navigieren Sie zu Startseite > Verwaltung > Single Sign-On > Konfiguration.
  5. Klicken Sie auf Anbieter ändern und wählen Sie VMware SSO aus.
    Der Assistent Hauptidentitätsanbieter konfigurieren wird geöffnet.
  6. Überprüfen Sie im Bereich Voraussetzungen die vCenter Server-Anforderungen.
  7. Klicken Sie auf Vorabprüfungen ausführen.
    Wenn bei der Vorabprüfung Fehler gefunden werden, klicken Sie auf Details anzeigen und führen Sie Schritte aus, um die angegebenen Fehler zu beheben.
  8. Wenn die Vorabprüfung erfolgreich abgeschlossen ist, klicken Sie auf das Bestätigungskontrollkästchen und dann auf Weiter.
  9. Geben Sie m Bereich OpenID Connect die folgenden Informationen ein:
    • Name des Identitätsanbieters: Wird automatisch mit VMware SSO ausgefüllt.
    • vCenter Server FQDN: Geben Sie den FQDN des vCenter Server-Hosts ein, auf dem der externe Identitätsanbieter konfiguriert ist.
    • Portnummer: Übernehmen Sie den Standardwert 443 oder stellen Sie den Port ein, den Sie verwenden möchten.
    • Benutzername und Kennwort: Geben Sie den Benutzernamen und das Kennwort für ein Administratorkonto auf diesem vCenter Server-Host ein, auf dem der externe Identitätsanbieter konfiguriert ist.
  10. Klicken Sie auf Weiter.
  11. Überprüfen Sie die Informationen und klicken Sie auf Beenden.
    vCenter Server erstellt den VMware SSO-Identitätsanbieter und zeigt die Konfigurationsinformationen an. Dieser vCenter Server-Host enthält jetzt die gleiche Konfiguration des externen Identitätsanbieters wie der Host, auf dem die Konfiguration erstellt wurde. Wenn Sie beispielsweise die OpenID-Konfigurationen zwischen den beiden Hosts vergleichen, sind sie identisch.
  12. Konfigurieren Sie diesen vCenter Server, um den externen Identitätsanbieter für die Autorisierung zu verwenden.
    Sie können Benutzer des externen Identitätsanbieters entweder einer vCenter Server-Gruppe zuweisen oder den Benutzern Berechtigungen auf Bestandslistenebene sowie globale Berechtigungen gewähren. Die Mindestberechtigung, die zur Anmeldung erforderlich ist, lautet „Schreibgeschützt“.
    Informationen zum Zuweisen der Benutzer des externen Identitätsanbieters zu einer Gruppe finden Sie unter Hinzufügen von Mitgliedern zu einer vCenter Single Sign On-Gruppe. Informationen zum Zuweisen von Berechtigungen auf Bestandslistenebene sowie von globalen Berechtigungen zu Benutzern finden Sie im Thema zum Verwalten von Berechtigungen für vCenter Server-Komponenten in der Dokumentation zu vSphere-Sicherheit.
  13. Überprüfen Sie die Anmeldung bei diesem vCenter Server-Host mit einem Benutzer des externen Identitätsanbieters.
    Wenn Sie den vSphere Client starten, wird der Bildschirm „Willkommen bei VMware vSphere“ mit der Schaltfläche Mit SSO anmelden angezeigt. Wenn Sie auf diese Schaltfläche klicken, werden Sie zum Anmeldebildschirm des externen Identitätsanbieters weitergeleitet.