Vous pouvez configurer VMware Cloud Foundation pour utiliser Active Directory Federation Services (AD FS) comme fournisseur d'identité externe, au lieu d'utiliser vCenter Single Sign-On. Dans cette configuration, le fournisseur d'identité externe interagit avec la source d'identité au nom de vCenter Server.

Vous ne pouvez ajouter qu'un seul fournisseur d'identité externe à VMware Cloud Foundation. Le changement du fournisseur d'identité de vCenter Single Sign-On à AD FS supprime tous les utilisateurs et groupes que vous avez ajoutés VMware Cloud Foundation à partir de sources d'identité AD sur LDAP ou OpenLDAP. Les utilisateurs et les groupes du domaine système (par exemple, vsphere.local) ne sont pas affectés.

Conditions préalables

Conditions requises pour les services de fédération Active Directory :

  • AD FS pour Windows Server 2016 ou version ultérieure doit déjà être déployé.
  • FS AD doit être connecté à Active Directory.
  • Vous avez créé un groupe d'administrateurs vCenter Server dans AD FS qui contient les utilisateurs auxquels vous souhaitez accorder des privilèges d'administrateur de vCenter Server.

Pour plus d'informations sur la configuration d'AD FS, consultez la documentation Microsoft.

vCenter Server et autres conditions requises :

  • vSphere 7.0 ou version ultérieure
  • vCenter Server doit pouvoir se connecter au point de terminaison de détection AD FS, de même que l'autorisation, le jeton, la déconnexion, JWKS et tout autre point de terminaison annoncé dans les métadonnées du point de terminaison de détection.
  • Vous avez besoin du privilège VcIdentityProviders.Manage pour créer, mettre à jour ou supprimer un fournisseur d'identité vCenter Server requis pour l'authentification fédérée. Pour restreindre l'accès d'un utilisateur à l'affichage des informations de configuration du fournisseur d'identité, attribuez-lui le privilège VcIdentityProviders.Read.

Procédure

  1. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  2. Cliquez sur Fournisseur d'identité.
  3. Cliquez sur Changer de fournisseur d'identité et sélectionnez ADFS.
    Options de menu affichant ADFS.
  4. Cliquez sur Suivant.
  5. Cochez la case pour confirmer les conditions préalables et cliquez sur Suivant.
  6. Si le certificat de votre serveur AD FS est signé par une autorité de certification publiquement approuvée, cliquez sur Suivant. Si vous utilisez un certificat auto-signé, ajoutez le certificat d'autorité de certification racine AD FS au magasin de certificats racines de confiance.
    1. Cliquez sur Parcourir.
    2. Accédez au certificat et cliquez sur Ouvrir.
    3. Cliquez sur Suivant.
  7. Copiez les URI de redirection.
    Vous en aurez besoin lorsque vous créerez le groupe d'applications AD FS à l'étape suivante.
  8. Créez une configuration OpenID Connect dans AD FS.

    Pour établir une relation d'approbation entre vCenter Server et un fournisseur d'identité, vous devez établir les informations d'identification et un secret partagé entre eux. Dans AD FS, vous devez créer une configuration OpenID Connect appelée groupe d'applications, qui se compose d'une application serveur et d'une API Web. Les deux composants spécifient les informations que vCenter Server utilise pour approuver le serveur AD FS et communiquer avec lui. Pour activer OpenID Connect dans AD FS, reportez-vous à l'article de la base de connaissances VMware sur https://kb.vmware.com/s/article/78029.

    Notez ce qui suit lorsque vous créez le groupe d'applications AD FS.

    • Vous avez besoin des deux URI de redirection de l'étape précédente.
    • Copiez les informations suivantes dans un fichier ou notez-les pour les utiliser lors de la configuration du fournisseur d'identité à l'étape suivante.
      • Identifiant de client
      • Secret partagé
      • Adresse OpenID du serveur AD FS
  9. Entrez les informations nécessaires au groupe d'applications et cliquez sur Suivant.
    Utilisez les informations que vous avez collectées à l'étape précédente et entrez les suivantes :
    • Identifiant de client
    • Secret partagé
    • Adresse OpenID du serveur AD FS
  10. Entrez les informations d'utilisateur et de groupe pour la connexion Active Directory via LDAP pour rechercher des utilisateurs et des groupes.
    vCenter Server dérive le domaine AD à utiliser pour les autorisations à partir du nom unique de base pour les utilisateurs. Vous pouvez ajouter des autorisations sur des objets vSphere uniquement pour les utilisateurs et les groupes de ce domaine AD. Les utilisateurs ou les groupes des sous-domaines AD ou d'autres domaines de la forêt AD ne sont pas pris en charge par la fédération de fournisseur d'identité vCenter Server.
    Option Description
    Nom unique de base pour les utilisateurs Nom unique de base pour les utilisateurs.
    Nom unique de base pour les groupes Nom unique de base pour les groupes.
    Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes.
    Mot de passe ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes.
    URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine.

    Utilisez le format suivant : ldap://hostname:port ou ldaps://hostname:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

    Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

    URL du serveur secondaire Adresse du serveur LDAP d'un contrôleur de domaine secondaire utilisé pour le basculement.
    Certificats (pour LDAPS) Si vous souhaitez utiliser LDAPS, cliquez sur Parcourir pour sélectionner un certificat.
  11. Vérifiez les informations et cliquez sur Envoyer.

Que faire ensuite

Après avoir ajouté AD FS en tant que fournisseur d'identité externe, vous pouvez ajouter des utilisateurs et des groupes à VMware Cloud Foundation. Reportez-vous à la section Ajouter un utilisateur ou un groupe à VMware Cloud Foundation.