Cuando se habilita la federación de proveedores de identidad en entornos de vCenter Server mediante Enhanced Linked Mode, la autenticación y los flujos de trabajo continúan funcionando como antes.

Si utiliza la configuración de Enhanced Linked Mode, tenga en cuenta lo siguiente al iniciar sesión en vCenter Server mediante la autenticación federada.

  • Los usuarios siguen viendo el mismo inventario y pueden realizar las mismas acciones, según el modelo de permisos y funciones de vCenter Server.
  • No es necesario que los hosts vCenter Server en Enhanced Linked Mode tengan acceso a los proveedores de identidad de los demás. Por ejemplo, considere dos sistemas vCenter Server A y B, y que utilicen Enhanced Linked Mode. Después de que vCenter Server A autoriza a un usuario, entonces, el usuario también queda autorizado en vCenter Server B.

En la siguiente ilustración, se muestra el flujo de trabajo de autenticación con Enhanced Linked Mode y la federación de proveedores de identidad de vCenter Server.

Figura 1. Enhanced Linked Mode y federación de proveedores de identidad de vCenter Server
Esta figura muestra cómo los sistemas vCenter Server que utilizan Enhanced Linked Mode interactúan con AD FS.
  1. Se implementan dos nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. La configuración de AD FS se estableció en vCenter Server A mediante el asistente Cambiar proveedor de identidad en vSphere Client. También se establecieron membresías a grupos y permisos para ellos para los usuarios o grupos de AD FS.
  3. vCenter Server A replica la configuración de AD FS en vCenter Server B.
  4. Todos los URI de redirección de los dos nodos de vCenter Server se agregan al grupo de aplicaciones OAuth en AD FS. Solo se crea un grupo de aplicaciones OAuth.
  5. Cuando un usuario inicia sesión y está autorizado por vCenter Server A, también se autoriza el usuario en vCenter Server B. Si el usuario inicia sesión primero en vCenter Server B, sucederá lo mismo.
vCenter Server Enhanced Linked Mode admite los siguientes escenarios de configuración para la federación de proveedores de identidad. En esta sección, el término "configuración de AD FS" hace referencia a la configuración que se establece en vSphere Client mediante el asistente Cambiar proveedor de identidad y cualquier membresía a grupos o permisos de este que se hayan establecido para usuarios o grupos de AD FS.
Habilitar AD FS en una configuración de Enhanced Linked Mode
Pasos de alto nivel:
  1. Implemente N nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. Configure AD FS en uno de los nodos vinculados de vCenter Server.
  3. La configuración de AD FS se replica a todos los demás nodos (N-1) de vCenter Server.
  4. Agregue todos los URI de redirección para la totalidad de los N nodos de vCenter Server al grupo de aplicaciones OAuth configurado en AD FS.
Vincular una nueva instancia de vCenter Server a una configuración de AD FS con Enhanced Linked Mode existente
Pasos de alto nivel:
  1. (Requisito previo) Configure AD FS en un ajuste de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Implemente un nuevo nodo de vCenter Server independiente.
  3. Redireccione la nueva instancia de vCenter Server al dominio de Enhanced Linked Mode de AD FS de nodo N mediante uno de los nodos N como su socio de replicación.
  4. Toda la configuración de AD FS en la configuración de Enhanced Linked Mode existente se replica en la nueva instancia de vCenter Server.

    La configuración de AD FS que está en el dominio de Enhanced Linked Mode de AD FS de nodo N sobrescribe cualquier configuración existente de AD FS en la instancia de vCenter Server recién vinculada.

  5. Agregue todos los URI de redirección para la nueva instancia de vCenter Server al grupo de aplicaciones OAuth configurado existente en AD FS.
Desvincular una instancia de vCenter Server de una configuración de AD FS con Enhanced Linked Mode
Pasos de alto nivel:
  1. (Requisito previo) Configure AD FS en un ajuste de Enhanced Linked Mode de vCenter Server de nodo N.
  2. Elimine del registro uno de los hosts de vCenter Server en la configuración de nodo N y redirecciónelo a un nuevo dominio para desvincularlo de la configuración de nodo N.
  3. El proceso de redireccionamiento de dominio no conserva la configuración de SSO, por lo que todas las opciones de AD FS del nodo de vCenter Server desvinculado se revierten y se pierden. Para continuar usando AD FS en este nodo de vCenter Server desvinculado, debe volver a configurar AD FS desde el principio o volver a vincular la instancia de vCenter Server a una configuración de Enhanced Linked Mode en la que AD FS ya esté configurado.