Cuando se habilita la federación de proveedores de identidad en entornos de vCenter Server mediante Enhanced Linked Mode, la autenticación y los flujos de trabajo continúan funcionando como antes.

Si utiliza la configuración de Enhanced Linked Mode, tenga en cuenta lo siguiente al iniciar sesión en vCenter Server mediante la autenticación federada.

  • Los usuarios siguen viendo el mismo inventario y pueden realizar las mismas acciones, según el modelo de permisos y funciones de vCenter Server.
  • No es necesario que los hosts vCenter Server en Enhanced Linked Mode tengan acceso a los proveedores de identidad de los demás. Por ejemplo, considere dos sistemas vCenter Server A y B, y que utilicen Enhanced Linked Mode. Después de que vCenter Server A autoriza a un usuario, entonces, el usuario también queda autorizado en vCenter Server B.

Enhanced Link Mode y AD FS

En la siguiente figura se muestra el flujo de trabajo de autenticación cuando se utiliza AD FS con Enhanced Linked Mode.

Figura 1. La federación de proveedores de identidad de AD FS y Enhanced Linked Mode
Esta figura muestra cómo los sistemas vCenter Server que utilizan Enhanced Linked Mode interactúan con AD FS.
  1. Se implementan dos nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. La configuración de AD FS se estableció en vCenter Server A mediante el asistente Cambiar proveedor de identidad en vSphere Client. También se establecieron membresías a grupos y permisos para ellos para los usuarios o grupos de AD FS.
  3. vCenter Server A replica la configuración de AD FS en vCenter Server B.
  4. Todos los URI de redirección de los dos nodos de vCenter Server se agregan al grupo de aplicaciones OAuth en AD FS. Solo se crea un grupo de aplicaciones OAuth.
  5. Cuando un usuario inicia sesión y está autorizado por vCenter Server A, también se autoriza el usuario en vCenter Server B. Si el usuario inicia sesión primero en vCenter Server B, sucederá lo mismo.

Escenarios de configuración de Enhanced Linked Mode con AD FS

vCenter Server Enhanced Linked Mode admite los siguientes escenarios de configuración para AD FS. En esta sección, el término "configuración de AD FS" hace referencia a la configuración que se establece en vSphere Client mediante el asistente Cambiar proveedor de identidad y cualquier membresía a grupos o permisos de este que se hayan establecido para usuarios o grupos de AD FS.

Habilitar AD FS en una configuración de Enhanced Linked Mode existente

Pasos de alto nivel:

  1. Implemente N nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. Configure AD FS en uno de los nodos vinculados de vCenter Server.
  3. La configuración de AD FS se replica a todos los demás nodos (N-1) de vCenter Server.
  4. Agregue todos los URI de redirección para la totalidad de los N nodos de vCenter Server al grupo de aplicaciones OAuth configurado en AD FS.

Vincular una nueva instancia de vCenter Server a una configuración de AD FS con Enhanced Linked Mode existente

Pasos de alto nivel:

  1. (Requisito previo) Configure AD FS en un ajuste de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Implemente un nuevo nodo de vCenter Server independiente.
  3. Redireccione la nueva instancia de vCenter Server al dominio de Enhanced Linked Mode de AD FS de nodo N mediante uno de los nodos N como su socio de replicación.
  4. Toda la configuración de AD FS en la configuración de Enhanced Linked Mode existente se replica en la nueva instancia de vCenter Server.

    La configuración de AD FS que está en el dominio de Enhanced Linked Mode de AD FS de nodo N sobrescribe cualquier configuración existente de AD FS en la instancia de vCenter Server recién vinculada.

  5. Agregue todos los URI de redirección para la nueva instancia de vCenter Server al grupo de aplicaciones OAuth configurado existente en AD FS.

Desvincular una instancia de vCenter Server de una configuración de AD FS con Enhanced Linked Mode

Pasos de alto nivel:

  1. (Requisito previo) Configure AD FS en un ajuste de Enhanced Linked Mode de vCenter Server de nodo N.
  2. Elimine del registro uno de los hosts de vCenter Server en la configuración de nodo N y redirecciónelo a un nuevo dominio para desvincularlo de la configuración de nodo N.
  3. El proceso de redireccionamiento de dominio no conserva la configuración de SSO, por lo que todas las opciones de AD FS del nodo de vCenter Server desvinculado se revierten y se pierden. Para continuar usando AD FS en este nodo de vCenter Server desvinculado, debe volver a configurar AD FS desde el principio o volver a vincular la instancia de vCenter Server a una configuración de Enhanced Linked Mode en la que AD FS ya esté configurado.

Enhanced Linked Mode y Okta, Microsoft Entra ID o PingFederate Identity Provider Federation

En la siguiente figura se muestra el flujo de trabajo de autenticación cuando se utiliza Okta, Microsoft Entra ID o PingFederate con Enhanced Linked Mode.

Figura 2. Enhanced Linked Mode y Okta, Microsoft Entra ID o PingFederate Identity Provider Federation
Esta figura muestra cómo los sistemas vCenter Server que utilizan Enhanced Linked Mode interactúan con Okta, Microsoft Entra ID o PingFederate.
Nota: Al configurar Okta, Microsoft Entra ID o PingFederate como proveedor de identidad externo, todos los sistemas de vCenter Server en una configuración de Enhanced Linked Mode deben ejecutar al menos vSphere 8.0 Update 1 para Okta, vSphere 8.0 Update 2 para Microsoft Entra ID y vSphere 8.0 Update 3 para PingFederate.
  1. Se implementan dos nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. La configuración de Okta, Microsoft Entra ID o PingFederate se configuró en vCenter Server A mediante el asistente Cambiar proveedor de identidad en la instancia de vSphere Client. También se establecieron pertenencias a grupos y permisos para los usuarios o grupos de Okta, Microsoft Entra ID o PingFederate.
    Nota: Tanto vCenter Server A como B tienen habilitados servicios de VMware Identity Services, pero solo los servicios de VMware Identity Services de vCenter Server A se comunican con el servidor del proveedor de identidad.
  3. Las instancias de VMware Identity Services que se ejecutan en vCenter Server A habilitan a vCenter Server B para que acceda a su endpoint.
  4. El URI de redireccionamiento de vCenter Server A se agrega a la aplicación OAuth en Okta, Microsoft Entra ID o PingFederate. Solo se crea una aplicación de OAuth.
  5. Cuando un usuario inicia sesión y está autorizado por vCenter Server A, también se autoriza el usuario en vCenter Server B. Si el usuario inicia sesión primero en vCenter Server B, sucederá lo mismo.

Situaciones de configuración de Enhanced Linked Mode con Okta, ID de Microsoft Entra o PingFederate

vCenter Server Enhanced Linked Mode admite las siguientes situaciones de configuración para Okta, Microsoft Entra ID y PingFederate. En esta sección, "ajustes de Okta" y "configuración de Okta", "ajustes de Microsoft Entra ID" y "configuración de Microsoft Entra ID" o "ajustes de PingFederate" y "configuración de PingFederate" hacen referencia a los ajustes que se establecen en el vSphere Client mediante el asistente Cambiar proveedor de identidad y cualquier pertenencia a grupos o permisos de este que se hayan establecido para usuarios o grupos de Okta, Microsoft Entra ID o PingFederate.

Habilitar Okta, Microsoft Entra ID o PingFederate en una configuración de Enhanced Linked Mode existente

Pasos de alto nivel:

  1. Implemente N nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. Configure Okta, Microsoft Entra ID o PingFederate en uno de los nodos de vCenter Server vinculados.
  3. La información del endpoint de VMware Identity Services se replica en todos los demás nodos de vCenter Server (N-1).

    La información de configuración de Okta, Microsoft Entra ID o PingFederate (identificador de cliente compartido, etc.) y la información de usuario/grupo no se replica.

Vincular una nueva instancia de vCenter Server a una configuración existente de Okta, Microsoft Entra ID o PingFederate con Enhanced Linked Mode

Pasos de alto nivel:

  1. (Requisito previo) Configure Okta, Microsoft Entra ID o PingFederate en una configuración de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Implemente un nuevo nodo de vCenter Server independiente.
  3. Redireccione la nueva instancia de vCenter Server al dominio de Enhanced Linked Mode de Okta, Microsoft Entra ID o PingFederate de nodo N mediante uno de los nodos N como su socio de replicación.
  4. La información del endpoint de VMware Identity Services se replica en todos los demás nodos de vCenter Server (N-1).

    La información de configuración de Okta, Microsoft Entra ID o PingFederate (identificador de cliente compartido, etc.) y la información de usuario/grupo no se replica.

Nota: No se puede agregar un nodo de vCenter Server con una configuración existente de VMware Identity Services. En este escenario, la configuración existente de VMware Identity Services se reemplaza por la configuración de Enhanced Link Mode de VMware Identity Services a la que se une.

No se puede agregar un nodo de vCenter Server con una configuración de VMware Identity Services existente a una configuración de ELM que no se haya configurado con VMware Identity Services. En este escenario, elimine primero del vCenter Server la configuración de VMware Identity Services existente antes de agregarla a la configuración de ELM.

Desvincular una instancia de vCenter Server de una configuración de Okta, Microsoft Entra ID o PingFederate con Enhanced Linked Mode

Pasos de alto nivel:

  1. (Requisito previo) Configure Okta, Microsoft Entra ID o PingFederate en una configuración de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Elimine del registro uno de los hosts de vCenter Server en la configuración de nodo N y redirecciónelo a un nuevo dominio para desvincularlo de la configuración de nodo N.
  3. El proceso de redireccionamiento de dominio no conserva la configuración de SSO, por lo que todas las opciones de Okta, Microsoft Entra ID o PingFederate del nodo de vCenter Server desvinculado se revierten y se pierden. Para continuar usando Okta, Microsoft Entra ID o PingFederate en este nodo de vCenter Server desvinculado, debe volver a configurar Okta, Microsoft Entra ID o PingFederate desde el principio, o bien volver a vincular la instancia de vCenter Server a una configuración de Enhanced Linked Mode en la que Okta, Microsoft Entra ID o PingFederate ya estén configurados.
Nota: No se puede desvincular una instancia de vCenter Server con una configuración activa de VMware Identity Services.