Para configurar eficazmente la federación de proveedores de identidad de vCenter Server, debe comprender los flujos de comunicación que se producen.

Puede configurar la federación de proveedores de identidad de vCenter Server para AD FS, Microsoft Entra ID (anteriormente Azure AD), Okta o PingFederate.

Flujo del proceso de configuración de la federación de proveedores de identidad de vCenter Server para AD FS

En la siguiente figura, se muestra el flujo del proceso que se produce al configurar la federación de proveedores de identidad de vCenter Server para AD FS.

Figura 1. Flujo del proceso de configuración de la federación de proveedores de identidad de vCenter Server para AD FS

Esta figura muestra el flujo del proceso para configurar la federación de proveedores de identidad de vCenter Server para AD FS.

vCenter Server, AD FS y Active Directory interactúan de la siguiente manera.

  1. El administrador de AD FS configura una aplicación OIDC de AD FS para vCenter Server.
  2. El administrador de vCenter Server inicia sesión en vCenter Server mediante vSphere Client.
  3. El administrador de vCenter Server agrega un proveedor de identidad de AD FS a vCenter Server y también introduce información sobre el dominio de Active Directory.

    vCenter Server necesita esta información para hacer una conexión LDAP con el dominio de Active Directory del servidor de AD FS. Con esta conexión, vCenter Server busca usuarios y grupos y los agrega a grupos locales de vCenter Server en el siguiente paso. Consulte la sección titulada "Buscar en el dominio de Active Directory" que se incluye a continuación para obtener más información.

  4. El administrador de vCenter Server configura los permisos de autorización en vCenter Server para los usuarios de AD FS.
  5. El proveedor de AD FS consulta a la API de VcIdentityProviders para obtener la información de la conexión LDAP para el origen de Active Directory.
  6. El proveedor de AD FS busca en Active Directory los grupos o usuarios consultados para finalizar la configuración de la autorización.

Buscar en el dominio de Active Directory

Para configurar AD FS como el proveedor de identidad externo en vCenter Server, puede usar el asistente Configurar proveedor de identidad principal en vSphere Client. Como parte del proceso de configuración, debe introducir información sobre el dominio de Active Directory, incluida la información del nombre distintivo del usuario y el grupo. Para configurar AD FS para la autenticación, se necesita esta información de conexión de Active Directory. Esta conexión es necesaria para buscar y asignar nombres de usuarios y grupos de Active Directory a funciones y permisos en vCenter Server, mientras que AD FS se utiliza para la autenticación del usuario. Este paso del asistente Configurar proveedor de identidad principal no crea un origen de identidad de Active Directory en LDAP. En lugar de ello, vCenter Server utiliza esta información para establecer una conexión válida apta para búsqueda en el dominio de Active Directory para buscar usuarios y grupos allí.

Considere un ejemplo usando las siguientes entradas de nombre distintivo:

  • Nombre distintivo base para usuarios: cn=Users,dc=corp,dc=local
  • Nombre distintivo base para grupos: dc=corp,dc=local
  • Nombre de usuario: cn=Administrator,cn=Users,dc=corp,dc=local

Si el usuario [email protected] es miembro del grupo [email protected], la introducción de esta información en el asistente permite que un administrador de vCenter Server busque y encuentre el grupo [email protected], y lo agregue al grupo [email protected] de vCenter Server. Como resultado, el usuario [email protected] recibe privilegios administrativos en vCenter Server al iniciar sesión.

vCenter Server también utiliza este proceso de búsqueda cuando se configuran permisos globales para usuarios y grupos de Active Directory. En ambos casos, ya sea al configurar permisos globales o agregar un usuario o grupo, seleccione el dominio que ha introducido para su proveedor de identificación AD FS en el menú desplegable Dominio para buscar y seleccionar usuarios y grupos del dominio de Active Directory.

Flujo del proceso de configuración de la federación de proveedores de identidad de vCenter Server mediante VMware Identity Services

Para configurar Okta, Microsoft Entra ID y PingFederate, utilice VMware Identity Services. En la siguiente figura se muestra el flujo del proceso que se produce al configurar la federación de proveedores de identidad de vCenter Server para VMware Identity Services.

Figura 2. Flujo del proceso de configuración de la federación de proveedores de identidad de vCenter Server mediante VMware Identity Services En esta figura se muestra el flujo del proceso para configurar la federación de proveedores de identidad de vCenter Server mediante VMware Identity Services.

vCenter Server, VMware Identity Services y Active Directory interactúan de la siguiente manera.

  1. El administrador de IDP externo configura una aplicación OIDC para vCenter Server.
  2. El administrador de vCenter Server inicia sesión en vCenter Server mediante vSphere Client, agrega un proveedor de identidad a vCenter Server y también introduce la información del dominio.
  3. El administrador de vCenter Server proporciona el URI de redireccionamiento (obtenido de la página de configuración del proveedor de identidad en vSphere Client) al administrador del proveedor de identidad para agregarlo a la aplicación OIDC creada en el paso 2.
  4. El administrador de IDP externo configura una aplicación SCIM 2.0.
  5. El administrador de IDP externo asigna los usuarios y grupos a la aplicación SCIM 2.0 e inserta los usuarios y grupos en vCenter Server.
  6. El administrador de vCenter Server configura los permisos de autorización en vCenter Server para los usuarios de IDP externos.

Usuarios y grupos de IDP externos

Puesto que un proveedor de identidad externo usa el sistema para la administración de identidades entre dominios (SCIM) para usuarios y grupos, dichos usuarios y grupos residen en la instancia de vCenter Server. Al buscar usuarios y grupos en el proveedor de identidad externo, por ejemplo para asignar permisos, la búsqueda se realiza de forma local en el vCenter Server.

vCenter Server también utiliza este proceso de búsqueda cuando se configuran permisos globales para usuarios y grupos de IDP externos. En ambos casos, ya sea al configurar permisos globales o agregar un usuario o grupo, seleccione el dominio que haya introducido para su proveedor de identidad desde el menú desplegable Dominio a fin de buscar y seleccionar usuarios y grupos desde el dominio.