Después de instalar o actualizar a vSphere 7.0 o una versión posterior, puede configurar la federación de proveedores de identidad de vCenter Server para AD FS como un proveedor de identidad externo.

Nota: Estas instrucciones son para vSphere 8.0 Update 1 y versiones posteriores. Para vSphere 8.0, consulte el tema sobre cómo configurar la federación de proveedores de identidad de vCenter Server para AD FS en la documentación de vSphere Authentication en https://docs.vmware.com/es/VMware-vSphere/8.0/vsphere-documentation-80.zip.

vCenter Server admite solo un proveedor de identidad externo configurado y el origen de identidad vsphere.local. No se pueden utilizar varios proveedores de identidad externos. La federación de proveedores de identidad de vCenter Server usa OpenID Connect (OIDC) para los inicios de sesión del usuario en vCenter Server.

En esta tarea se describe cómo agregar un grupo de AD FS al grupo Administradores de vSphere como forma de controlar los permisos. También puede configurar los privilegios mediante la autorización de AD FS a través de permisos globales o de objeto en vCenter Server. Consulte la documentación de Seguridad de vSphere para obtener más información sobre cómo agregar permisos.

Precaución:

Si utiliza un origen de identidad de Active Directory ya agregado previamente a vCenter Server como el origen de identidad de AD FS, no elimine ese origen de identidad de vCenter Server. Si lo hace, se produce una regresión de las funciones y pertenencias a grupos asignadas previamente. Tanto el usuario de AD FS con permisos globales como los usuarios que se agregaron al grupo Administradores no podrán iniciar sesión.

Solución alternativa: si no necesita las funciones y pertenencias a grupos asignadas previamente y desea eliminar el origen de identidad de Active Directory anterior, elimine el origen de identidad antes de crear el proveedor de AD FS y configurar las pertenencias a grupos en vCenter Server.

Requisitos previos

Nota: Este proceso de configuración de un proveedor de identidad de AD FS requiere que tenga acceso administrativo tanto al servidor de vCenter Server como al servidor de AD FS. Durante el proceso de configuración, primero debe introducir la información en vCenter Server y en el servidor de AD FS y, a continuación, en vCenter Server.

Requisitos de los servicios de Federación de Active Directory:

  • AD FS para Windows Server 2016 o una versión posterior debe estar ya implementado.
  • AD FS debe estar conectado a Active Directory.
  • Como parte del proceso de configuración, se debe crear un grupo de aplicaciones de vCenter Server en AD FS. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78029.
  • Un certificado de servidor de AD FS (o una CA o un certificado intermedio que firmó el certificado del servidor de AD FS) que se agrega al almacén de certificados raíz de confianza.
  • Ha creado un grupo de administradores de vCenter Server en AD FS que contiene los usuarios a los que desea conceder privilegios de administrador de vCenter Server.

Para obtener más información sobre cómo configurar AD FS, consulte la documentación de Microsoft.

Requisitos de vCenter Server y otros:

  • vSphere 7.0 o posterior
  • vCenter Server debe poder conectarse al endpoint de detección de AD FS y a los endpoint de autorización, token, cierre de sesión, JWKS y de cualquier otra índole que estén anunciado en los metadatos de endpoint de detección.
  • Se necesita el privilegio VcIdentityProviders.Administrar para crear, actualizar o eliminar un proveedor de identidad de vCenter Server que es necesario para la autenticación federada. Para limitar un usuario de forma que solamente pueda ver la información de configuración del proveedor de identidad, asigne el privilegio VcIdentityProviders.Leer.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Agregue el certificado del servidor de AD FS (o una CA o un certificado intermedio que firmó el certificado del servidor de AD FS) al almacén de certificados raíz de confianza.
    Nota: Para obtener más información, consulte Agregar un certificado raíz de confianza al almacén de certificados mediante vSphere Client.
    1. Desplácese hasta Administración > Certificados > Administración de certificados.
    2. Junto al almacén raíz de confianza, haga clic en Agregar.
    3. Busque el certificado de AD FS y haga clic en Agregar.
      El certificado se agrega a un panel bajo Certificados raíz de confianza.
  3. Comience a crear el proveedor de identidad en vCenter Server.
    1. Utilice vSphere Client para iniciar sesión como administrador en vCenter Server.
    2. Desplácese hasta Inicio > Administración > Inicio de sesión único > Configuración.
    3. Haga clic en Proveedor de cambio y seleccione ADFS.
      Se abrirá el asistente Configurar proveedor de identidad principal.
    4. En el panel Requisitos previos, revise los requisitos de AD FS y vCenter Server.
    5. Haga clic en Ejecutar comprobaciones previas.
      Si la comprobación previa encuentra errores, haga clic en Ver detalles y siga los pasos para resolver los errores como se indica.
    6. Cuando se apruebe la comprobación previa, haga clic en la casilla de confirmación y, a continuación, haga clic en Siguiente.
    7. En el panel Usuarios y grupos, introduzca la información de usuario y de grupo de la conexión de Active Directory en LDAP para buscar usuarios y grupos.
      vCenter Server toma el dominio de AD que se utilizará para la autorización y los permisos del nombre distintivo base para los usuarios. Puede agregar permisos en los objetos de vSphere solo para usuarios y grupos de este dominio de AD. Los usuarios o los grupos de dominios secundarios de AD u otros dominios del bosque de AD no son compatibles con la federación de proveedores de identidad de vCenter Server.
      Opción Descripción
      Nombre distintivo base para usuarios El nombre distinguido base para los usuarios.
      Nombre distintivo base para grupos El nombre distinguido base para grupos.
      Nombre de usuario Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos.
      Contraseña Identificador de un usuario del dominio que tiene, como mínimo, acceso de solo lectura al DN base para los usuarios y los grupos.
      URL de servidor principal El servidor LDAP de la controladora de dominio principal para el dominio.

      Use el formato ldap://nombre de host:puerto o ldaps://nombre de host:puerto. Por lo general, el puerto es el 389 para las conexiones de LDAP y 636 para las conexiones de LDAPS. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de LDAP y el 3269 para las conexiones de LDAPS.

      Se necesita un certificado que establezca la confianza para el endpoint de LDAPS del servidor Active Directory cuando se usa ldaps:// en la dirección URL del servidor LDAP principal o secundario.

      URL de servidor secundario Dirección de un servidor LDAP de controladora de dominio secundario que se usa para la conmutación por error.
      certificados SSL Si desea utilizar LDAPS con el servidor de LDAP de Active Directory o el origen de identidad del servidor OpenLDAP, haga clic en Examinar para seleccionar un certificado.
    8. Haga clic en Siguiente.
    9. En el panel OpenID Connect, copie el URI de redireccionamiento y el URI de redireccionamiento de cierre de sesión.
      Deje los otros campos en blanco por ahora. Vuelva al panel OpenID Connect después de crear la configuración de conexión de OpenID en el siguiente paso.
  4. Cree una configuración de OpenID Connect en AD FS y configúrela para vCenter Server.
    Para establecer una relación de confianza para usuario autenticado entre vCenter Server y un proveedor de identidad, debe establecer la información de identificación y un secreto compartido entre ellos. Para llevar esto a cabo en AD FS, debe crear una configuración de OpenID Connect, conocida como grupo de aplicaciones, que consta de una aplicación de servidor y una API web. Los dos componentes especifican la información que vCenter Server usa para confiar en el servidor de AD FS y comunicarse con él. Para habilitar OpenID Connect en AD FS, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78029.

    Tenga en cuenta lo siguiente al crear el grupo de aplicaciones de AD FS.

    • Necesita los dos URI de redireccionamiento de vCenter Server obtenidos en el paso anterior.
    • Copie la siguiente información del grupo de aplicaciones de AD FS en un archivo o anótela para usarla cuando finalice la creación del proveedor de identidad de vCenter Server en el siguiente paso.
      • Identificador de cliente
      • Secreto compartido
      • Dirección de OpenID del servidor de AD FS
    Nota: Si es necesario, obtenga la dirección de OpenID del servidor de AD FS ejecutando el siguiente comando de PowerShell como administrador de AD FS. 
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    Copie la URL que se devuelve (seleccione solo la URL en sí, no el paréntesis de cierre ni la parte "@{FullUrl=" inicial).

  5. En el panel vCenter Server OpenID Connect:
    1. Introduzca la siguiente información que obtuvo en el paso anterior al crear el grupo de aplicaciones de AD FS:
      • Identificador de cliente
      • Secreto compartido
      • Dirección de OpenID

      El nombre del proveedor de identidad se rellena automáticamente como Microsoft ADFS.

    2. Haga clic en Siguiente.
  6. Revise la información y haga clic en Finalizar.
    vCenter Server crea el proveedor de identidad de AD FS y muestra la información de configuración.
  7. Configure la pertenencia a grupos en vCenter Server para la autorización de AD FS.
    1. En el menú Inicio, seleccione Administración.
    2. En Single Sign-On, haga clic en Usuarios y grupos.
    3. Haga clic en la pestaña Grupos.
    4. Haga clic en el grupo Administradores y, a continuación, en Agregar miembros.
    5. Seleccione el dominio en el menú desplegable.
    6. En el cuadro de texto que se encuentra debajo del menú desplegable, introduzca los primeros caracteres del grupo de AD FS que desea agregar y, a continuación, espere a que aparezca la selección desplegable.
      Es posible que esta selección tarde varios segundos en aparecer, ya que vCenter Server establece la conexión con Active Directory y busca en él.
    7. Seleccione el grupo de AD FS y añádalo al grupo Administradores.
    8. Haga clic en Guardar.
  8. Confirme que se puede iniciar sesión en vCenter Server con un usuario de Active Directory.