Después de instalar o actualizar a vSphere 7.0 o posterior, puede configurar la federación de proveedores de identidad de vCenter Server.

vCenter Server admite solo un proveedor de identidad externo configurado y el origen de identidad vsphere.local. No se pueden utilizar varios proveedores de identidad externos. La federación de proveedores de identidad de vCenter Server usa OpenID Connect (OIDC) para los inicios de sesión del usuario en vCenter Server.

En esta tarea se describe cómo agregar un grupo de AD FS al grupo Administradores de vSphere como forma de controlar los permisos. También puede configurar los privilegios mediante la autorización de AD FS a través de permisos globales o de objeto en vCenter Server. Consulte la documentación de Seguridad de vSphere para obtener más información sobre cómo agregar permisos.

Precaución:

Si utiliza un origen de identidad de Active Directory ya agregado previamente a vCenter Server como el origen de identidad de AD FS, no elimine ese origen de identidad de vCenter Server. Si lo hace, se produce una regresión de las funciones y pertenencias a grupos asignadas previamente. Tanto el usuario de AD FS con permisos globales como los usuarios que se agregaron al grupo Administradores no podrán iniciar sesión.

Solución alternativa: si no necesita las funciones y pertenencias a grupos asignadas previamente y desea eliminar el origen de identidad de Active Directory anterior, elimine el origen de identidad antes de crear el proveedor de AD FS y configurar las pertenencias a grupos en vCenter Server.

Requisitos previos

Requisitos de los servicios de Federación de Active Directory:

  • AD FS para Windows Server 2016 o una versión posterior debe estar ya implementado.
  • AD FS debe estar conectado a Active Directory.
  • Como parte del proceso de configuración, se debe crear un grupo de aplicaciones de vCenter Server en AD FS. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78029.
  • Un certificado de entidad de certificación raíz de AD FS agregado al almacén de certificados raíz de confianza (también denominado almacén de certificados de VMware).
  • Ha creado un grupo de administradores de vCenter Server en AD FS que contiene los usuarios a los que desea conceder privilegios de administrador de vCenter Server.

Para obtener más información sobre cómo configurar AD FS, consulte la documentación de Microsoft.

Requisitos de vCenter Server y otros:

  • vSphere 7.0 o posterior
  • vCenter Server debe poder conectarse al endpoint de detección de AD FS y a los endpoint de autorización, token, cierre de sesión, JWKS y de cualquier otra índole que estén anunciado en los metadatos de endpoint de detección.
  • Se necesita el privilegio VcIdentityProviders.Administrar para crear, actualizar o eliminar un proveedor de identidad de vCenter Server que es necesario para la autenticación federada. Para limitar un usuario de forma que solamente pueda ver la información de configuración del proveedor de identidad, asigne el privilegio VcIdentityProviders.Leer.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Agregue el certificado de entidad de certificación raíz de AD FS al almacén de certificados raíz de confianza.
    1. Desplácese hasta Administración > Certificados > Administración de certificados.
    2. Junto al almacén raíz de confianza, haga clic en Agregar.
    3. Busque el certificado raíz de AD FS y haga clic en Agregar.
      El certificado se agrega a un panel bajo Certificados raíz de confianza.
  3. Desplácese hasta la interfaz de usuario de configuración.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign On, haga clic en Configuración.
  4. Seleccione la pestaña Proveedor de identidad y obtenga los URI de redireccionamiento.
    1. Haga clic en el icono "i" de información junto al vínculo "Cambiar proveedor de identidad".
      Aparecerán dos URI de redireccionamiento en el aviso emergente.
    2. Cópielas en un archivo o anótelas para usarlas posteriormente en los pasos para configurar el servidor de AD FS.
    3. Cierre el aviso emergente.
  5. Cree una configuración de OpenID Connect en AD FS y configúrela para vCenter Server.
    Para establecer una relación de confianza para usuario autenticado entre vCenter Server y un proveedor de identidad, debe establecer la información de identificación y un secreto compartido entre ellos. Para llevar esto a cabo en AD FS, debe crear una configuración de OpenID Connect, conocida como grupo de aplicaciones, que consta de una aplicación de servidor y una API web. Los dos componentes especifican la información que vCenter Server usa para confiar en el servidor de AD FS y comunicarse con él. Para habilitar OpenID Connect en AD FS, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78029.

    Tenga en cuenta lo siguiente al crear el grupo de aplicaciones de AD FS.

    • Necesitará los dos URI de redireccionamiento que obtuvo y guardó en el paso anterior.
    • Copie la siguiente información en un archivo o anótela para usarla cuando configure el proveedor de identidad de vCenter Server en el siguiente paso.
      • Identificador de cliente
      • Secreto compartido
      • Dirección de OpenID del servidor de AD FS
  6. Cree un proveedor de identidad en vCenter Server.
    1. Regrese a la pestaña Proveedor de identidad en vSphere Client.
    2. Haga clic en el enlace "Cambiar proveedor de identidad".
      Se abrirá el asistente Configurar proveedor de identidad principal.
    3. Seleccione Microsoft ADFS y haga clic en Siguiente.
      Introduzca la información que recopiló previamente en los siguientes cuadros de texto:
      • Identificador de cliente
      • Secreto compartido
      • Dirección de OpenID del servidor de AD FS
    4. Haga clic en Siguiente.
    5. Introduzca la información de usuario y de grupo de la conexión de Active Directory en LDAP para buscar usuarios y grupos.
      vCenter Server toma el dominio de AD que se utilizará para la autorización y los permisos del nombre distintivo base para los usuarios. Puede agregar permisos en los objetos de vSphere solo para usuarios y grupos de este dominio de AD. Los usuarios o los grupos de dominios secundarios de AD u otros dominios del bosque de AD no son compatibles con la federación de proveedores de identidad de vCenter Server.
      Opción Descripción
      Nombre distintivo base para usuarios El nombre distinguido base para los usuarios.
      Nombre distintivo base para grupos El nombre distinguido base para grupos.
      Nombre de usuario Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos.
      Contraseña Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos.
      URL de servidor principal El servidor LDAP de la controladora de dominio principal para el dominio.

      Use el formato ldap://nombre de host:puerto o ldaps://nombre de host:puerto. Por lo general, el puerto es el 389 para las conexiones de LDAP y 636 para las conexiones de LDAPS. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de LDAP y el 3269 para las conexiones de LDAPS.

      Se necesita un certificado que establezca la confianza para el endpoint de LDAPS del servidor Active Directory cuando se usa ldaps:// en la dirección URL del servidor LDAP principal o secundario.

      URL de servidor secundario Dirección de un servidor LDAP de controladora de dominio secundario que se usa para la conmutación por error.
      certificados SSL Si desea utilizar LDAPS con el servidor de LDAP de Active Directory o el origen de identidad del servidor OpenLDAP, haga clic en Examinar para seleccionar un certificado.
    6. Haga clic en Siguiente, revise la información y haga clic en Finalizar.
  7. Desplácese hasta la interfaz de usuario de configuración de usuario de vCenter Single Sign-On.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign-On, haga clic en Usuarios y grupos.
  8. Configure la pertenencia a grupos en vCenter Server para la autorización de AD FS.
    1. Haga clic en la pestaña Grupos.
    2. Haga clic en el grupo Administradores y, a continuación, en Agregar miembros.
    3. Seleccione el dominio en el menú desplegable.
    4. En el cuadro de texto que se encuentra debajo del menú desplegable, introduzca los primeros caracteres del grupo de AD FS que desea agregar y, a continuación, espere a que aparezca la selección desplegable.
      Es posible que esta selección tarde varios segundos en aparecer, ya que vCenter Server establece la conexión con Active Directory y busca en él.
    5. Seleccione el grupo de AD FS y añádalo al grupo Administradores.
    6. Haga clic en Guardar.
  9. Confirme que se puede iniciar sesión en vCenter Server con un usuario de Active Directory.