Cuando se habilita la federación de proveedores de identidad en entornos de vCenter Server mediante Enhanced Linked Mode, la autenticación y los flujos de trabajo continúan funcionando como antes.

Si utiliza la configuración de Enhanced Linked Mode, tenga en cuenta lo siguiente al iniciar sesión en vCenter Server mediante la autenticación federada.

  • Los usuarios siguen viendo el mismo inventario y pueden realizar las mismas acciones, según el modelo de permisos y funciones de vCenter Server.
  • No es necesario que los hosts vCenter Server en Enhanced Linked Mode tengan acceso a los proveedores de identidad de los demás. Por ejemplo, considere dos sistemas vCenter Server A y B, y que utilicen Enhanced Linked Mode. Después de que vCenter Server A autoriza a un usuario, entonces, el usuario también queda autorizado en vCenter Server B.

Enhanced Link Mode y AD FS

En la siguiente figura se muestra el flujo de trabajo de autenticación cuando se utiliza AD FS con Enhanced Linked Mode.

Figura 1. La federación de proveedores de identidad de AD FS y Enhanced Linked Mode
Esta figura muestra cómo los sistemas vCenter Server que utilizan Enhanced Linked Mode interactúan con AD FS.
  1. Se implementan dos nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. La configuración de AD FS se estableció en vCenter Server A mediante el asistente Cambiar proveedor de identidad en vSphere Client. También se establecieron membresías a grupos y permisos para ellos para los usuarios o grupos de AD FS.
  3. vCenter Server A replica la configuración de AD FS en vCenter Server B.
  4. Todos los URI de redirección de los dos nodos de vCenter Server se agregan al grupo de aplicaciones OAuth en AD FS. Solo se crea un grupo de aplicaciones OAuth.
  5. Cuando un usuario inicia sesión y está autorizado por vCenter Server A, también se autoriza el usuario en vCenter Server B. Si el usuario inicia sesión primero en vCenter Server B, sucederá lo mismo.

Escenarios de configuración de Enhanced Linked Mode con AD FS

vCenter Server Enhanced Linked Mode admite los siguientes escenarios de configuración para AD FS. En esta sección, el término "configuración de AD FS" hace referencia a la configuración que se establece en vSphere Client mediante el asistente Cambiar proveedor de identidad y cualquier membresía a grupos o permisos de este que se hayan establecido para usuarios o grupos de AD FS.

Habilitar AD FS en una configuración de Enhanced Linked Mode existente

Pasos de alto nivel:

  1. Implemente N nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. Configure AD FS en uno de los nodos vinculados de vCenter Server.
  3. La configuración de AD FS se replica a todos los demás nodos (N-1) de vCenter Server.
  4. Agregue todos los URI de redirección para la totalidad de los N nodos de vCenter Server al grupo de aplicaciones OAuth configurado en AD FS.

Vincular una nueva instancia de vCenter Server a una configuración de AD FS con Enhanced Linked Mode existente

Pasos de alto nivel:

  1. (Requisito previo) Configure AD FS en un ajuste de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Implemente un nuevo nodo de vCenter Server independiente.
  3. Redireccione la nueva instancia de vCenter Server al dominio de Enhanced Linked Mode de AD FS de nodo N mediante uno de los nodos N como su socio de replicación.
  4. Toda la configuración de AD FS en la configuración de Enhanced Linked Mode existente se replica en la nueva instancia de vCenter Server.

    La configuración de AD FS que está en el dominio de Enhanced Linked Mode de AD FS de nodo N sobrescribe cualquier configuración existente de AD FS en la instancia de vCenter Server recién vinculada.

  5. Agregue todos los URI de redirección para la nueva instancia de vCenter Server al grupo de aplicaciones OAuth configurado existente en AD FS.

Desvincular una instancia de vCenter Server de una configuración de AD FS con Enhanced Linked Mode

Pasos de alto nivel:

  1. (Requisito previo) Configure AD FS en un ajuste de Enhanced Linked Mode de vCenter Server de nodo N.
  2. Elimine del registro uno de los hosts de vCenter Server en la configuración de nodo N y redirecciónelo a un nuevo dominio para desvincularlo de la configuración de nodo N.
  3. El proceso de redireccionamiento de dominio no conserva la configuración de SSO, por lo que todas las opciones de AD FS del nodo de vCenter Server desvinculado se revierten y se pierden. Para continuar usando AD FS en este nodo de vCenter Server desvinculado, debe volver a configurar AD FS desde el principio o volver a vincular la instancia de vCenter Server a una configuración de Enhanced Linked Mode en la que AD FS ya esté configurado.

Enhanced Linked Mode y federación de proveedores de identidad Okta o Azure AD

En la siguiente figura se muestra el flujo de trabajo de autenticación cuando se utiliza Okta o Azure AD con Enhanced Linked Mode.

Figura 2. Enhanced Linked Mode y federación de proveedores de identidad de Okta o Azure AD En esta figura se muestra cómo interactúan los sistemas vCenter Server que utilizan Enhanced Link Mode con Okta o Azure AD.
Nota: Al configurar Okta o Azure AD como proveedor de identidad externo, todos los sistemas de vCenter Server en una configuración de Enhanced Linked Mode deben ejecutar al menos vSphere 8.0 Update 1 para Okta y vSphere 8.0 Update 2 para Azure AD.
  1. Se implementan dos nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. La configuración de Okta o Azure AD se estableció en vCenter Server A mediante el asistente Cambiar proveedor de identidad en vSphere Client. También se establecieron membresías a grupos y permisos para los usuarios o grupos de Okta o Azure AD.
    Nota: Tanto vCenter Server A como B tienen habilitado VMware Identity Services, pero solo VMware Identity Services de vCenter Server A se comunica con el servidor de Okta o Azure AD.
  3. Las instancias de VMware Identity Services que se ejecutan en vCenter Server habilitan a vCenter Server B para que acceda a su endpoint.
  4. El URI de redireccionamiento de vCenter Server A se agrega a la aplicación OAuth en Okta o Azure AD. Solo se crea una aplicación de OAuth.
  5. Cuando un usuario inicia sesión y está autorizado por vCenter Server A, también se autoriza el usuario en vCenter Server B. Si el usuario inicia sesión primero en vCenter Server B, sucederá lo mismo.

Escenarios de configuración de Enhanced Linked Mode con Okta o Azure AD

vCenter Server Enhanced Linked Mode admite los siguientes escenarios de configuración para Okta y Azure AD. En esta sección, el término "configuración de Okta" o "configuración de Azure AD" hace referencia a la configuración que se establece en vSphere Client mediante el asistente Cambiar proveedor de identidad y cualquier membresía a grupos o permisos de este que se hayan establecido para usuarios o grupos de Okta o Azure AD.

Habilitar Okta o Azure AD en una configuración de Enhanced Linked Mode existente

Pasos de alto nivel:

  1. Implemente N nodos de vCenter Server en la configuración de Enhanced Linked Mode.
  2. Configure Okta o Azure AD en uno de los nodos vinculados de vCenter Server.
  3. El endpoint de información de VMware Identity Services se replica en todos los demás nodos de vCenter Server (N-1).

    La información de configuración de Okta o Azure AD (identificador de cliente compartido, etc.) y la información de usuario/grupo no se replica.

Vincular una nueva instancia de vCenter Server a una configuración existente de Okta o Azure AD con Enhanced Linked Mode

Pasos de alto nivel:

  1. (Requisito previo) Configure Okta o Azure AD en un ajuste de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Implemente un nuevo nodo de vCenter Server independiente.
  3. Redireccione la nueva instancia de vCenter Server al dominio de Enhanced Linked Mode de Okta o Azure AD de nodo N mediante uno de los nodos N como su socio de replicación.
  4. El endpoint de información de VMware Identity Services se replica en todos los demás nodos de vCenter Server (N-1).

    La información de configuración de Okta o Azure AD (identificador de cliente compartido, etc.) y la información de usuario/grupo no se replica.

Nota: Si el nodo de vCenter Server que se está agregando tiene una configuración de VMware Identity Services, se reemplaza con la configuración de Enhanced Link Mode de VMware Identity Services a la que se une. Se eliminan todos los terceros de confianza asociados en el nodo de vCenter Server que se está agregando.

Desvincular una instancia de vCenter Server de una configuración de Okta o Azure AD con Enhanced Linked Mode

Pasos de alto nivel:

  1. (Requisito previo) Configure Okta o Azure AD en un ajuste de Enhanced Linked Mode de nodo N de vCenter Server.
  2. Elimine del registro uno de los hosts de vCenter Server en la configuración de nodo N y redirecciónelo a un nuevo dominio para desvincularlo de la configuración de nodo N.
  3. El proceso de redireccionamiento de dominio no conserva la configuración de SSO, por lo que todas las opciones de Okta o Azure AD del nodo de vCenter Server desvinculado se revierten y se pierden. Para continuar usando Okta o Azure AD en este nodo de vCenter Server desvinculado, debe volver a configurar Okta o Azure AD desde el principio, o bien volver a vincular la instancia de vCenter Server a una configuración de Enhanced Linked Mode en la que Okta o Azure AD ya esté configurado.
Nota: No se puede desvincular una instancia de vCenter Server con una configuración activa de VMware Identity Services.