Flujo del proceso de configuración de la federación de proveedores de identidad de vCenter Server para AD FS

En la siguiente figura, se muestra el flujo del proceso que se produce al configurar la federación de proveedores de identidad de vCenter Server para AD FS.

vCenter Server, AD FS y Active Directory interactúan de la siguiente manera.

1. El administrador de AD FS configura una aplicación OIDC de AD FS para vCenter Server.
2. El administrador de vCenter Server inicia sesión en vCenter Server mediante vSphere Client.
3. El administrador de vCenter Server agrega un proveedor de identidad de AD FS a vCenter Server y también introduce información sobre el dominio de Active Directory.

   vCenter Server necesita esta información para hacer una conexión LDAP con el dominio de Active Directory del servidor de AD FS. Con esta conexión, vCenter Server busca usuarios y grupos y los agrega a grupos locales de vCenter Server en el siguiente paso. Consulte la sección titulada "Buscar en el dominio de Active Directory" que se incluye a continuación para obtener más información.

4. El administrador de vCenter Server configura los permisos de autorización en vCenter Server para los usuarios de AD FS.
5. El proveedor de AD FS consulta a la API de VcIdentityProviders para obtener la información de la conexión LDAP para el origen de Active Directory.
6. El proveedor de AD FS busca en Active Directory los grupos o usuarios consultados para finalizar la configuración de la autorización.

Buscar en el dominio de Active Directory

Para configurar AD FS como el proveedor de identidad externo en vCenter Server, puede usar el asistente Configurar proveedor de identidad principal en vSphere Client. Como parte del proceso de configuración, debe introducir información sobre el dominio de Active Directory, incluida la información del nombre distintivo del usuario y el grupo. Para configurar AD FS para la autenticación, se necesita esta información de conexión de Active Directory. Esta conexión es necesaria para buscar y asignar nombres de usuarios y grupos de Active Directory a funciones y permisos en vCenter Server, mientras que AD FS se utiliza para la autenticación del usuario. Este paso del asistente Configurar proveedor de identidad principal no crea un origen de identidad de Active Directory en LDAP. En lugar de ello, vCenter Server utiliza esta información para establecer una conexión válida apta para búsqueda en el dominio de Active Directory para buscar usuarios y grupos allí.

Considere un ejemplo usando las siguientes entradas de nombre distintivo:

• Nombre distintivo base para usuarios: cn=Users,dc=corp,dc=local
• Nombre distintivo base para grupos: dc=corp,dc=local
• Nombre de usuario: cn=Administrator,cn=Users,dc=corp,dc=local

Si el usuario AdfsUser@corp.local es miembro del grupo ADGroup@corp.local, la introducción de esta información en el asistente permite que un administrador de vCenter Server busque y encuentre el grupo ADGroup@corp.local, y lo agregue al grupo Administrators@vsphere.local de vCenter Server. Como resultado, el usuario AdfsUser@corp.local recibe privilegios administrativos en vCenter Server al iniciar sesión.

vCenter Server también utiliza este proceso de búsqueda cuando se configuran permisos globales para usuarios y grupos de Active Directory. En ambos casos, ya sea al configurar permisos globales o agregar un usuario o grupo, seleccione el dominio que ha introducido para su proveedor de identificación AD FS en el menú desplegable Dominio para buscar y seleccionar usuarios y grupos del dominio de Active Directory.

Flujo del proceso de configuración de la federación de proveedores de identidad de vCenter Server para Okta

En la siguiente figura, se muestra el flujo del proceso que se produce al configurar la federación de proveedores de identidad de vCenter Server para Okta.

vCenter Server, Okta y Active Directory interactúan de la siguiente manera.

1. El administrador de Okta configura una aplicación OIDC Okta para vCenter Server.
2. El administrador de vCenter Server inicia sesión en vCenter Server mediante vSphere Client, agrega un proveedor de identidad de Okta a vCenter Server y también introduce la información del dominio.
3. El administrador de vCenter Server proporciona el URI de redireccionamiento (obtenido de la página de configuración del proveedor de identidades en vSphere Client) al administrador de Okta para agregarlo a la aplicación de OIDC creada en el paso 2.
4. El administrador de Okta configura una aplicación SCIM 2.0.
5. El administrador de Okta asigna los usuarios y los grupos a la aplicación SCIM 2.0 e inserta usuarios y grupos en vCenter Server.
6. El administrador de vCenter Server configura los permisos de autorización en vCenter Server para los usuarios de Okta.

Buscar usuarios y grupos de Okta locales

Okta utiliza el sistema para la administración de identidades entre dominios (SCIM) para usuarios y grupos. Dichos usuarios y grupos residen en vCenter Server. Al buscar los usuarios y grupos de Okta, por ejemplo, para asignar permisos, la búsqueda se realiza de forma local en vCenter Server.

vCenter Server también utiliza este proceso de búsqueda cuando se configuran permisos globales para usuarios y grupos de Okta. En ambos casos, ya sea al configurar permisos globales o agregar un usuario o grupo, seleccione el dominio que ha introducido para su proveedor de identificación Okta desde el menú desplegable Dominio para buscar y seleccionar usuarios y grupos del dominio de Okta.