Después de instalar o actualizar a vSphere 8.0 Update 2 o versiones posteriores, puede configurar la federación de proveedores de identidad de vCenter Server para Microsoft Entra ID (anteriormente denominada Azure AD) como proveedor de identidad externo.

vCenter Server admite solo un proveedor de identidad externo configurado y el origen de identidad vsphere.local (fuente local). No se pueden utilizar varios proveedores de identidad externos. La federación de proveedores de identidad de vCenter Server usa OpenID Connect (OIDC) para los inicios de sesión del usuario en vCenter Server.

Puede configurar privilegios mediante usuarios y grupos de Microsoft Entra ID a través de permisos globales o de objetos en vCenter Server. Consulte la documentación de Seguridad de vSphere para obtener más información sobre cómo agregar permisos.

Para obtener una revisión del proceso de configuración, consulte el siguiente video:

Autenticación de vCenter: Integración de Azure AD/Entra ID | vSphere 8 Update 2

Requisitos previos

Requisitos de Microsoft Entra ID:
  • Es cliente de Microsoft y tiene una cuenta de Microsoft Entra ID.
Requisitos de conectividad de Microsoft Entra ID:
  • Creó una aplicación empresarial (no una galería) con OpenID Connect como un método de inicio de sesión.
  • Agregue código de autorización, token de actualización y contraseña de propietario de recursos como tipos de concesión en la aplicación creada.
  • Para la sincronización de usuarios y grupos, debe configurar el aprovisionamiento de la aplicación Galería de VMware Identity Services para SCIM 2.0 en Microsoft Entra ID con un token de portador de OAuth 2.0.
Requisitos de vCenter Server:
  • vSphere 8.0 Update 2 o una versión posterior, con VMware Identity Services activado (se activan de forma predeterminada).
  • En la instancia de vCenter Server donde desea crear el origen de identidad de Microsoft Entra ID, compruebe que VMware Identity Services esté activado.
  • Los usuarios y los grupos del proveedor de identidad se aprovisionan en su instancia de vCenter Server.
Requisitos de privilegios de vSphere:
  • Debe tener el privilegio VcIdentityProviders.Manage para crear, actualizar o eliminar un proveedor de identidad de vCenter Server que es necesario para la autenticación federada. Para limitar un usuario de forma que solamente pueda ver la información de configuración del proveedor de identidad, asigne el privilegio VcIdentityProviders.Read.
Requisitos de Enhanced Linked Mode:
  • Puede configurar la federación de proveedores de identidad de vCenter Server para Microsoft Entra ID en una configuración de Enhanced Linked Mode. Cuando configure Microsoft Entra ID en Enhanced Link Mode, se configurará el proveedor de identidad de Microsoft Entra ID para que utilice VMware Identity Services en un único sistema vCenter Server. Por ejemplo, si la configuración de Enhanced Mode Link consta de dos sistemas vCenter Server, solo se utilizará una instancia de vCenter Server y su instancia de VMware Identity Services para comunicarse con el servidor de Microsoft Entra ID. Si este sistema de vCenter Server deja de estar disponible, puede configurar VMware Identity Services en otros sistemas de vCenter Server en la configuración de ELM para interactuar con el servidor de Microsoft Entra ID. Para obtener más información, consulte Proceso de activación para proveedores de identidad externos en configuraciones de Enhanced Linked Mode.
  • Al configurar Microsoft Entra ID como proveedor de identidad externo, todos los sistemas de vCenter Server en una configuración de Enhanced Linked Mode deben ejecutar al menos vSphere 8.0 Update 2.
Requisitos de red:
  • Si la red no es de acceso público, debe crear un túnel de red entre el sistema de vCenter Server y el servidor de Microsoft Entra ID y, a continuación, utilizar la URL de acceso público adecuada como URI base.

Procedimiento

  1. Cree una aplicación de OpenID Connect en Microsoft Entra ID y asigne grupos y usuarios a la aplicación OpenID Connect.
    Para crear la aplicación OpenID Connect y asignar grupos y usuarios, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/94182. Siga los pasos de la sección titulada "Crear la aplicación OpenID Connect". Después de crear la aplicación OpenID Connect, copie la siguiente información de la aplicación OpenID Connect de Microsoft Entra ID en un archivo para usarlo al configurar el proveedor de identidad de vCenter Server en el siguiente paso.
    • Identificador de cliente
    • Secreto de cliente (que se muestra como secreto compartido en vSphere Client).
    • Información de dominio de Active Directory o información de dominio de Microsoft Entra ID si no está ejecutando Active Directory.
  2. Para crear el proveedor de identidad en vCenter Server:
    1. Utilice vSphere Client para iniciar sesión como administrador en vCenter Server.
    2. Desplácese hasta Inicio > Administración > Inicio de sesión único > Configuración.
    3. Haga clic en Cambiar proveedor y seleccione Microsoft Entra ID.
      Se abrirá el asistente Configurar proveedor de identidad principal.
    4. En el panel Requisitos previos, revise los requisitos de Microsoft Entra ID y de vCenter Server.
    5. Haga clic en Ejecutar comprobaciones previas.
      Si la comprobación previa encuentra errores, haga clic en Ver detalles y siga los pasos para resolver los errores como se indica.
    6. Cuando se apruebe la comprobación previa, haga clic en la casilla de confirmación y, a continuación, haga clic en Siguiente.
    7. En el panel Información del directorio, introduzca los siguientes datos.
      • Nombre de directorio: nombre del directorio local que se va a crear en vCenter Server y que almacena los usuarios y los grupos insertados desde Microsoft Entra ID. Por ejemplo, vcenter-entraid-directory.
      • Nombres de dominio: introduzca los nombres de dominio de Microsoft Entra ID que contienen los usuarios y grupos de Microsoft Entra ID que desea sincronizar con vCenter Server.

        Después de introducir el nombre de dominio de Microsoft Entra ID, haga clic en el icono más (+) para agregarlo. Si introduce varios nombres de dominio, especifique el dominio predeterminado.

    8. Haga clic en Siguiente.
    9. En el panel OpenID Connect, introduzca la siguiente información.
      • Interfaz de usuario de redireccionamiento: se rellena automáticamente. Proporcione la interfaz de usuario de redireccionamiento al administrador de Microsoft Entra ID para usarla en la creación de la aplicación OpenID Connect.
      • Nombre del proveedor de identidad: se rellena automáticamente como Microsoft Entra ID.
      • Identificador de cliente: se obtiene al crear la aplicación OpenID Connect en Microsoft Entra ID en el paso 1. (Microsoft Entra ID se refiere al identificador de cliente como ID de cliente).
      • Secreto compartido: se obtiene al crear la aplicación OpenID Connect en Microsoft Entra ID en el paso 1. (Microsoft Entra ID se refiere al secreto compartido como secreto de cliente).
      • Dirección de OpenID: adopta el formato https://Microsoft Entra ID domain space/oauth2/default/.well-known/openid-configuration.

        Por ejemplo, si su espacio de dominio de Microsoft Entra ID es example.EntraID.com, entonces la dirección de OpenID es: https://example.EntraID.com/oauth2/default/.well-known/openid-configuration

    10. Haga clic en Siguiente.
    11. Revise la información y haga clic en Finalizar.
      vCenter Server crea el proveedor de identidad de Microsoft Entra ID y muestra la información de configuración.
    12. Si es necesario, desplácese hacia abajo y haga clic en el icono Copiar del URI de redireccionamiento y guárdelo en un archivo.
      El URI de redirección se utiliza en la aplicación OpenID Connection de Microsoft Entra ID.
    13. Haga clic en el icono Copiar de la URL del tenant y guárdela en un archivo.
      Nota: Si su red no es de acceso público, debe crear un túnel de red entre el sistema de vCenter Server y el servidor de Microsoft Entra ID. Después de crear el túnel de red, utilice la URL de acceso público adecuada como URI base.
    14. En Aprovisionamiento de usuarios, haga clic en Generar para crear el token secreto, seleccione la duración del token en el menú desplegable y, a continuación, haga clic en Copiar en el portapapeles. Guarde el token en una ubicación segura.
      Utilice la URL del tenant y el token en la aplicación SCIM 2.0 de Microsoft Entra ID. La aplicación SCIM 2.0 de Microsoft Entra ID utiliza el token para sincronizar los usuarios y grupos de Microsoft Entra ID en VMware Identity Services. Esta información es necesaria para transferir usuarios y grupos de Microsoft Entra ID a vCenter Server.
  3. Vuelva al artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/94182 para actualizar el URI de redireccionamiento de Microsoft Entra ID.
    Siga los pasos de la sección titulada "Actualizar el URI de redireccionamiento de Azure AD".
  4. Para crear la aplicación SCIM 2.0, continúe en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/94182.
    Siga los pasos de la sección titulada "Crear la aplicación SCIM 2.0 e insertar usuarios y grupos en vCenter Server".
    Cuando termine de crear la aplicación SCIM 2.0 como se describe en el artículo de la base de conocimientos, continúe con el siguiente paso.
  5. Configure la pertenencia a grupos en vCenter Server para la autorización de Microsoft Entra ID.
    Debe configurar la pertenencia a grupos para que los usuarios de Microsoft Entra ID puedan iniciar sesión en vCenter Server.
    1. En vSphere Client, cuando haya iniciado sesión como administrador local, vaya a Administración > Inicio de sesión único > Usuarios y grupos.
    2. Haga clic en la pestaña Grupos.
    3. Haga clic en el grupo Administradores y, a continuación, en Agregar miembros.
    4. Seleccione el nombre de dominio del grupo de Microsoft Entra ID que desea agregar en el menú desplegable.
    5. En el cuadro de texto que se encuentra debajo del menú desplegable, introduzca los primeros caracteres del grupo de Microsoft Entra ID que desea agregar y, a continuación, espere a que aparezca la selección desplegable.
    6. Seleccione el grupo de Microsoft Entra ID y agréguelo al grupo Administradores.
    7. Haga clic en Guardar.
  6. Confirme que se puede iniciar sesión en vCenter Server con un usuario de Microsoft Entra ID.
  7. Para asignar permisos globales y de nivel de inventario a los usuarios de Microsoft Entra ID, consulte el tema sobre la administración de permisos para los componentes de vCenter Server en la documentación de Seguridad de vSphere.