Después de instalar o actualizar a vSphere 8.0 Update 1 o una versión posterior, puede configurar la federación de proveedores de identidad de vCenter Server para Okta como proveedor de identidad externo.

vCenter Server admite solo un proveedor de identidad externo configurado y el origen de identidad vsphere.local (fuente local). No se pueden utilizar varios proveedores de identidad externos. La federación de proveedores de identidad de vCenter Server usa OpenID Connect (OIDC) para los inicios de sesión del usuario en vCenter Server.

Puede configurar privilegios mediante usuarios y grupos de Okta a través de permisos globales o de objetos en vCenter Server. Consulte la documentación de Seguridad de vSphere para obtener más información sobre cómo agregar permisos.

Requisitos previos

Requisitos de Okta:

  • Es cliente de Okta y tiene un espacio de dominio, por ejemplo, https://your-company.okta.com.
  • Para realizar inicios de sesión en OIDC y administrar permisos de usuario y grupo, debe crear las siguientes aplicaciones de Okta.
    • Una aplicación nativa de Okta con OpenID Connect como método de inicio de sesión. La aplicación nativa debe incluir los tipos de concesión de código de autorización, token de actualización y contraseña del propietario del recurso.
    • Una aplicación de Sistema para la administración de identidades entre dominios (SCIM) 2.0 con un token de portador OAuth 2.0 para realizar la sincronización de usuarios y grupos entre el servidor de Okta y vCenter Server.

    Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/90835.

  • Identificó los usuarios y grupos de Okta que desea compartir con vCenter Server. Este uso compartido es una operación SCIM (no una operación OIDC).

Requisitos de conectividad de Okta:

  • vCenter Server debe poder conectarse al endpoint de detección de Okta y a los endpoint de autorización, token, JWKS y de cualquier otra índole que estén anunciado en los metadatos de endpoint de detección.
  • Okta también debe poder conectarse con vCenter Server para enviar datos de usuarios y grupos para el aprovisionamiento de SCIM.

Requisitos de vCenter Server:

  • vSphere 8.0 Update 1 o una versión posterior
  • En vCenter Server donde desea crear el origen de identidad de Okta, compruebe que VMware Identity Services esté activado.
    Nota: Al instalar o actualizar a vSphere 8.0 Update 1 o una versión posterior, los servidores de identidad de VMware se activan de forma predeterminada. Puede utilizar la interfaz de administración de vCenter Server para confirmar el estado de VMware Identity Services. Consulte Detener e iniciar VMware Identity Services.

Requisitos de privilegios de vSphere:

  • Debe tener el privilegio VcIdentityProviders.Administrar para crear, actualizar o eliminar un proveedor de identidad de vCenter Server que es necesario para la autenticación federada. Para limitar un usuario de forma que solamente pueda ver la información de configuración del proveedor de identidad, asigne el privilegio VcIdentityProviders.Leer.

Requisitos de Enhanced Linked Mode:

  • Puede configurar la federación de proveedores de identidad de vCenter Server para Okta en una configuración de Enhanced Linked Mode. Cuando configure Okta en Enhanced Link Mode, se configura el proveedor de identidad de Okta para que utilice VMware Identity Services en un único sistema vCenter Server. Por ejemplo, si la configuración de Enhanced Mode Link consta de dos sistemas vCenter Server, solo se utilizará una instancia de vCenter Server y su instancia de VMware Identity Services para comunicarse con el servidor Okta. Si este sistema vCenter Server deja de estar disponible, puede configurar VMware Identity Services en otra instancia de vCenter Server de la configuración de ELM para interactuar con el servidor de Okta. Para obtener más información, consulte Proceso de activación para proveedores de identidad externos en configuraciones de Enhanced Linked Mode.
  • Al configurar Okta como proveedor de identidad externo, todos los sistemas vCenter Server en una configuración de Enhanced Linked Mode deben ejecutar al menos vSphere 8.0 Update 1.

Requisitos de red:

  • Si la red no es de acceso público, debe crear un túnel de red entre el sistema vCenter Server y el servidor Okta y, a continuación, utilizar la URL de acceso público adecuada como URI base.

Procedimiento

  1. Cree una aplicación de OpenID Connect en Okta y asigne grupos y usuarios a la aplicación OpenID Connect.
    Para crear la aplicación OpenID Connect y asignar grupos y usuarios, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/90835. Siga los pasos de la sección titulada "Crear la aplicación OpenID Connect". Después de crear la aplicación Okta OpenID Connect, copie la siguiente información de la aplicación en un archivo para usarlo al configurar el proveedor de identidad de vCenter Server en el siguiente paso.
    • Identificador de cliente
    • Secreto de cliente (que se muestra como secreto compartido en vSphere Client)
    • Información de dominio de Active Directory o información de dominio de Okta si no está ejecutando Active Directory
  2. Para crear el proveedor de identidad en vCenter Server:
    1. Utilice vSphere Client para iniciar sesión como administrador en vCenter Server.
    2. Desplácese hasta Inicio > Administración > Inicio de sesión único > Configuración.
    3. Haga clic en Cambiar proveedor y seleccione Okta.
      Se abrirá el asistente Configurar proveedor de identidad principal.
    4. En el panel Requisitos previos, revise los requisitos de Okta y de vCenter Server.
    5. Haga clic en Ejecutar comprobaciones previas.
      Si la comprobación previa encuentra errores, haga clic en Ver detalles y siga los pasos para resolver los errores como se indica.
    6. Cuando se apruebe la comprobación previa, haga clic en la casilla de confirmación y, a continuación, haga clic en Siguiente.
    7. En el panel Información del directorio, introduzca los siguientes datos.
      • Nombre de directorio: nombre del directorio local que se va a crear en vCenter Server y que almacena los usuarios y los grupos insertados desde Okta. Por ejemplo, vcenter-okta-directory.
      • Nombres de dominio: introduzca los nombres de dominio de Okta que contienen los usuarios y grupos de Okta que desea sincronizar con vCenter Server.

        Después de introducir el nombre de dominio de Okta, haga clic en el icono más (+) para agregarlo. Si introduce varios nombres de dominio, especifique el dominio predeterminado.

    8. Haga clic en Siguiente.
    9. En el panel OpenID Connect, introduzca la siguiente información.
      • Interfaz de usuario de redireccionamiento: se rellena automáticamente. Proporcione la interfaz de usuario de redireccionamiento al administrador de Okta para usarla en la creación de la aplicación OpenID Connect.
      • Nombre del proveedor de identidad: se rellena automáticamente como Okta.
      • Identificador de cliente: se obtiene al crear la aplicación OpenID Connect en Okta en el paso 1. (Okta hace referencia al Identificador de cliente como ID de cliente).
      • Secreto compartido: obtenido al crear la aplicación OpenID Connect en Okta en el paso 1. (Okta se refiere al secreto compartido como secreto de cliente).
      • Dirección de OpenID: adopta el formato https://Okta domain space/oauth2/default/.well-known/openid-configuration.

        Por ejemplo, si su espacio de dominio Okta es example.okta.com, entonces la dirección de OpenID es: https://example.okta.com/oauth2/default/.well-known/openid-configuration

        Consulte https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration para obtener más información.

    10. Haga clic en Siguiente.
    11. Revise la información y haga clic en Finalizar.
      vCenter Server crea el proveedor de identidad de Okta y muestra la información de configuración.
    12. Si es necesario, desplácese hacia abajo y haga clic en el icono Copiar del URI de redireccionamiento y guárdelo en un archivo.
      El URI de redirección se utiliza en la aplicación Okta OpenID Connection.
    13. Haga clic en el icono Copiar de la URL del tenant y guárdela en un archivo.
      Nota: Si su red no es de acceso público; debe crear un túnel de red entre el sistema vCenter Server y el servidor Okta. Después de crear el túnel de red, utilice la URL de acceso público adecuada como URI base.
    14. En Aprovisionamiento de usuarios, haga clic en Generar para crear el token secreto, seleccione la duración del token en el menú desplegable y, a continuación, haga clic en Copiar en el portapapeles. Guarde el token en una ubicación segura.
      Utilice la URL del tenant y el token en la aplicación SCIM 2.0 de Okta. La aplicación SCIM 2.0 de Okta utiliza el token para sincronizar los usuarios y grupos de Okta en VMware Identity Services. Esta información es necesaria para transferir usuarios y grupos de Okta a vCenter Server.
  3. Vuelva al artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/90835 para actualizar el URI de redireccionamiento de Okta.
    Siga los pasos de la sección titulada "Actualizar el URI de redireccionamiento de Okta".
  4. Para crear la aplicación SCIM 2.0, continúe en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/90835.
    Siga los pasos de la sección titulada "Crear la aplicación SCIM 2.0 e insertar usuarios y grupos en vCenter Server".
    Cuando termine de crear la aplicación SCIM 2.0 como se describe en el artículo de la base de conocimientos, continúe con el siguiente paso.
  5. Configure vCenter Server para la autorización de Okta.
    Puede asignar usuarios de Okta a un grupo de vCenter Server o asignar permisos globales y de nivel de inventario a los usuarios de Okta. El permiso mínimo necesario para iniciar sesión es de solo lectura.
    Para asignar usuarios de Okta a un grupo, consulte Agregar miembros a un grupo de vCenter Single Sign-On. Para asignar permisos globales y de nivel de inventario a los usuarios de Okta, consulte el tema sobre la administración de permisos para los componentes de vCenter Server en la documentación de Seguridad de vSphere.
  6. Confirme que se puede iniciar sesión en vCenter Server con un usuario de Okta.