Después de instalar o actualizar a vSphere 7.0 o una versión posterior, puede configurar la federación de proveedores de identidad de vCenter Server para AD FS como un proveedor de identidad externo.
vCenter Server admite solo un proveedor de identidad externo configurado y el origen de identidad vsphere.local. No se pueden utilizar varios proveedores de identidad externos. La federación de proveedores de identidad de vCenter Server usa OpenID Connect (OIDC) para los inicios de sesión del usuario en vCenter Server.
En esta tarea se describe cómo agregar un grupo de AD FS al grupo Administradores de vSphere como forma de controlar los permisos. También puede configurar los privilegios mediante la autorización de AD FS a través de permisos globales o de objeto en vCenter Server. Consulte la documentación de Seguridad de vSphere para obtener más información sobre cómo agregar permisos.
Si utiliza un origen de identidad de Active Directory ya agregado previamente a vCenter Server como el origen de identidad de AD FS, no elimine ese origen de identidad de vCenter Server. Si lo hace, se produce una regresión de las funciones y pertenencias a grupos asignadas previamente. Tanto el usuario de AD FS con permisos globales como los usuarios que se agregaron al grupo Administradores no podrán iniciar sesión.
Solución alternativa: si no necesita las funciones y pertenencias a grupos asignadas previamente y desea eliminar el origen de identidad de Active Directory anterior, elimine el origen de identidad antes de crear el proveedor de AD FS y configurar las pertenencias a grupos en vCenter Server.
Requisitos previos
Requisitos de los servicios de Federación de Active Directory:
- AD FS para Windows Server 2016 o una versión posterior debe estar ya implementado.
- AD FS debe estar conectado a Active Directory.
- Como parte del proceso de configuración, se debe crear un grupo de aplicaciones de vCenter Server en AD FS. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78029.
- Un certificado de servidor de AD FS (o una CA o un certificado intermedio que firmó el certificado del servidor de AD FS) que se agrega al almacén de certificados raíz de confianza.
- Ha creado un grupo de administradores de vCenter Server en AD FS que contiene los usuarios a los que desea conceder privilegios de administrador de vCenter Server.
Para obtener más información sobre cómo configurar AD FS, consulte la documentación de Microsoft.
Requisitos de vCenter Server y otros:
- vSphere 7.0 o posterior
- vCenter Server debe poder conectarse al endpoint de detección de AD FS y a los endpoint de autorización, token, cierre de sesión, JWKS y de cualquier otra índole que estén anunciado en los metadatos de endpoint de detección.
- Se necesita el privilegio vCenter Server que es necesario para la autenticación federada. Para limitar un usuario de forma que solamente pueda ver la información de configuración del proveedor de identidad, asigne el privilegio . para crear, actualizar o eliminar un proveedor de identidad de