Obtenga más información sobre las consideraciones de disponibilidad en las configuraciones de Enhanced Linked Mode con Okta, Microsoft Entra ID o PingFederate.

Requisitos previos

  • Dos o más sistemas de vCenter Server en una configuración de Enhanced Linked Mode. Por ejemplo, los sistemas se etiquetan como VC_1, VC_2 y VC_3, a través de VC_N, donde N es el número de sistemas de vCenter Server en la configuración de Enhanced Linked Mode.
  • Para Okta y Microsoft Entra ID, todos los sistemas de vCenter Server deben ejecutar vSphere 8.0 Update 2 o versiones posteriores. Para PingFederate, todos los sistemas de vCenter Server deben ejecutar al menos vSphere 8.0 Update 3.
  • Okta, Microsoft Entra ID o PingFederate están configurados como proveedores de identidad externos en uno de los sistemas de vCenter Server. Por ejemplo, la etiqueta del sistema es VC_1.
  • El proveedor de identidad externo está configurado con todas las aplicaciones de OAuth2 y SCIM requeridas.

Procedimiento

  1. Para activar una instancia de vCenter Server VC_i determinada, en la que i se sitúa entre 2 y N:
    1. Obtenga acceso de shell local a VC_i para ejecutar el script de activación.
      Nota: Para realizar los pasos siguientes, la cuenta de usuario de vCenter Server con privilegios de administrador se puede asignar en la línea de comandos o en las solicitudes de la consola.
    2. Ejecute 'status' desde el script de activación para obtener el estado de activación actual de vCenter Server. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. Si el comando 'status' indica que vCenter Server no está activado, ejecute 'activate' en el script de activación: 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. Si el comando 'status' indica que vCenter Server ya está activado, ejecute la opción 'deactivate' y, a continuación, la opción 'activate'. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • Por ejemplo, ejecute la opción 'activate'.
      • Si lo prefiere, puede especificar la opción '--force-replace' en el comando 'activate'.
  2. Abra un navegador en vCenter Server VC_i e inicie sesión como administrador en vCenter Server.
    1. Desplácese hasta Inicio > Administración > Inicio de sesión único > Configuración.
    2. En Aprovisionamiento de usuarios, compruebe que URL de tenant contenga el FQDN de VC_i.
    3. Copie la cadena de URL de tenant y guarde esta información para utilizarla con el proveedor de identidad externo.
    4. En Token secreto, haga clic en Generar, copie la cadena de token generada y guarde esta información para usarla con el proveedor de identidad externo.
    5. En OpenID Connect, compruebe que URI de redireccionamiento contenga el FQDN de VC_i.
    6. Copie la cadena de URI de redireccionamiento y guarde esta información para utilizarla con el proveedor de identidad externo.
  3. Abra un navegador en la página de administración del proveedor de identidad externo.
    Nota: Para obtener más información, consulte los detalles específicos del proveedor de identidad externo para llevar a cabo los siguientes pasos.
    1. Busque el registro de OAuth2 que se configuró cuando el proveedor de identidad externo estaba configurado originalmente en VC_1.
    2. Edite el registro de OAuth2 y agregue el URI de redireccionamiento que se obtuvo anteriormente para VC_i.
    3. Si el proveedor de identidad externo admite configuraciones push de SCIM con varios destinos:
      • Busque la configuración push de SCIM que se estableció cuando el proveedor de identidad externo estaba originalmente configurado en VC_1.
      • Edite la configuración push de SCIM y agregue los valores de URL de tenant y Token secreto que se obtuvieron previamente para VC_i.
    4. Si el proveedor de identidad externo admite configuraciones push de SCIM con un solo destino:
      • Cree una configuración push de SCIM nueva con los valores de URL de tenant y Token secreto que se obtuvieron anteriormente para VC_i.
      • Asegúrese de que la configuración push de SCIM esté insertando los mismos datos de usuario o grupo que la configuración push de SCIM que se estableció cuando el proveedor de identidad externo estaba originalmente configurado en VC_1.
    5. Inicie una operación push de SCIM para asegurarse de que VC_i se rellene con los datos de usuario o grupo más recientes.