L'utilisation d'Okta en tant que fournisseur d'identité pour l'instance de vCenter Server du domaine de gestion permet de fédérer les identités entre SDDC Manager, vCenter Server et NSX Manager.

La configuration de la fédération des identités avec Okta implique l'exécution de tâches dans la console d'administration Okta et Interface utilisateur de SDDC Manager. Une fois les utilisateurs et les groupes synchronisés, vous pouvez attribuer des autorisations dans SDDC Manager, vCenter Server et NSX Manager.
  1. Créez une application OpenID Connect pour VMware Cloud Foundation dans Okta.
  2. Configurez Okta en tant que fournisseur d'identité dans Interface utilisateur de SDDC Manager.
  3. Mettez à jour l'application Okta OpenID Connect avec l'URI de redirection à partir de SDDC Manager.
  4. Créez une application SCIM 2.0 pour VMware Cloud Foundation.
  5. Attribuez des autorisations aux utilisateurs et aux groupes Okta dans SDDC Manager, vCenter Server et NSX Manager.
Note : Si vous avez créé des domaines de charge de travail VI isolés qui utilisent différents domaines SSO, vous devez utiliser l'instance de vSphere Client pour configurer Okta en tant que fournisseur d'identité pour ces domaines SSO. Lorsque vous configurez Okta en tant que fournisseur d'identité pour un domaine de charge de travail isolé dans l'instance de vSphere Client, NSX Manager est automatiquement enregistré en tant que partie de confiance. Cela signifie qu'une fois qu'un utilisateur Okta disposant des autorisations nécessaires s'est connecté à l'instance de vCenter Server du domaine de charge de travail VI isolé, il peut accéder directement à l'instance de NSX Manager du domaine de charge de travail VI à partir de Interface utilisateur de SDDC Manager sans avoir à se reconnecter.

Conditions préalables

Intégrez Active Directory (AD) à Okta. Pour plus d'informations, reportez-vous à la section Manage your Active Directory integration dans la documentation d'Okta.
Note : Cela n'est pas nécessaire si vous ne souhaitez pas effectuer l'intégration à AD ou si vous avez précédemment intégré AD et Okta.

Créer une application OpenID Connect pour VMware Cloud Foundation dans Okta

Avant de pouvoir utiliser Okta en tant que fournisseur d'identité dans VMware Cloud Foundation, vous devez créer une application OpenID Connect dans Okta et attribuer des utilisateurs et des groupes à l'application OpenID Connect.

Procédure

  1. Connectez-vous à la console d'administration Okta et reportez-vous à la section Create OIDC app integrations dans la documentation d'Okta pour créer une application OpenID Connect.
    Lors de la création de l'application OpenID Connect dans l'assistant Créer une intégration d'application :
    • Sélectionnez OIDC - OpenID Connect comme Méthode de connexion.
    • Sélectionnez Native Application comme type d'application.
    • Entrez un nom approprié pour l'application OpenID Connect, par exemple Okta-VCF-app.
    • Dans General Settings, laissez la case Authorization Code cochée, puis cochez les cases Refresh Token et Resource Owner Password.
    • Pour le moment, ignorez Sign-in redirect URIs et Sign-out redirect URIs. (Vous entrerez ces valeurs ultérieurement.)
    • Lorsque vous sélectionnez comment contrôler l'accès, sélectionnez Skip group assignment for now si vous le souhaitez.
  2. Une fois l'application OpenID Connect créée, générez la clé secrète client.
    1. Sélectionnez l'onglet General.
    2. Dans Client Credentials, cliquez sur Edit. Pour Client Authentication, cochez Client Secret.
    3. Pour PKCE (Proof Key for Code Exchange), décochez la case Require PKCE as additional verification.
    4. Cliquez sur Enregistrer.
      Le secret client est généré.
    5. Copiez l'ID client et le secret client et enregistrez-les, car vous en aurez besoin lors de la création du fournisseur d'identité Okta dans SDDC Manager.
      Note : SDDC Manager utilise les termes Identifiant client et Secret partagé.
  3. Attribuez des utilisateurs et des groupes à l'application OpenID Connect.
    1. Sélectionnez l'onglet Assignments et sélectionnez Assign to Groups dans le menu déroulant Assign.
    2. Entrez le groupe à rechercher dans le champ Search.
    3. Sélectionnez le module et cliquez sur Assign.
    4. Recherchez, sélectionnez et attribuez d'autres groupes si nécessaire.
    5. Lorsque vous avez terminé d'attribuer des groupes, cliquez sur Done.
      Pour afficher les utilisateurs qui ont été attribués, cliquez sur People sous Filters sur la page Assignment.
      Okta attribue le ou les groupes.

Configurer Okta en tant que fournisseur d'identité dans SDDC Manager UI

Vous pouvez configurer VMware Cloud Foundation pour utiliser Okta en tant que fournisseur d'identité externe au lieu d'utiliser vCenter Single Sign-On. Dans cette configuration, le fournisseur d'identité externe interagit avec la source d'identité au nom de vCenter Server.

Vous ne pouvez ajouter qu'un seul fournisseur d'identité externe à VMware Cloud Foundation.

Cette procédure configure Okta en tant que fournisseur d'identité pour l'instance de vCenter Server du domaine de gestion. Le point de terminaison d'informations VMware Identity Services est répliqué vers tous les autres nœuds vCenter Server qui font partie du groupe ELM (Enhanced Linked Mode) de l'instance de vCenter Server du domaine de gestion. Cela signifie que lorsqu'un utilisateur se connecte à l'instance de vCenter Server du domaine de gestion et se voit attribuer des autorisations, il dispose également d'autorisations sur n'importe quelle instance de vCenter Server du domaine de charge de travail VI faisant partie du même groupe ELM. Il en va de même si l'utilisateur se connecte d'abord à une instance de vCenter Server du domaine de charge de travail VI.
Note : Les informations de configuration d'Okta et les informations sur les utilisateurs/groupes ne sont pas répliquées entre les nœuds vCenter Server en mode ELM. N'utilisez pas l'instance de vSphere Client pour configurer Okta en tant que fournisseur d'identité pour toute instance de vCenter Server du domaine de charge de travail VI faisant partie du groupe ELM.

Conditions préalables

Conditions requises pour Okta :
  • Vous êtes client d'Okta et disposez d'un espace de domaine dédié. Par exemple : https://votre-entreprise.okta.com.
  • Pour effectuer des connexions OIDC et gérer les autorisations d'utilisateurs et de groupes, vous devez créer les applications Okta suivantes.
    • Une application native Okta avec OpenID Connect comme méthode d'authentification. L'application native doit inclure les types d'attribution de code d'autorisation, de jeton d'actualisation et de mot de passe du propriétaire de la ressource.
    • Une application SCIM (System for Cross-domain Identity Management) 2.0 avec un jeton du porteur OAuth 2.0 pour synchroniser les utilisateurs et les groupes entre le serveur Okta et l'instance de vCenter Server.

Exigences de connectivité Okta :

  • vCenter Server doit pouvoir se connecter au point de terminaison de détection Okta, ainsi qu'aux points de terminaison d'autorisation, de jeton, de déconnexion, JWKS et tout autre point de terminaison annoncé dans les métadonnées du point de terminaison de détection.
  • Okta doit également pouvoir se connecter à vCenter Server pour envoyer des données d'utilisateur et de groupe pour le provisionnement SCIM.
Conditions requises pour la mise en réseau :
  • Si votre réseau n'est pas disponible publiquement, vous devez créer un tunnel réseau entre votre système vCenter Server et votre serveur Okta, puis utiliser l'URL accessible publiquement appropriée comme URI de base SCIM 2.0.
Conditions requises pour vSphere et NSX :
  • vSphere 8.0 Update 2 ou version ultérieure.
  • NSX 4.1.2 ou version ultérieure.
Note : Si vous avez ajouté des appartenances de groupe vCenter pour des utilisateurs ou des groupes AD/LDAP distants, vCenter Server tente de préparer ces appartenances afin qu'elles soient compatibles avec la nouvelle configuration du fournisseur d'identité. Ce processus de préparation se produit automatiquement au démarrage du service, mais il doit être terminé pour que vous puissiez poursuivre la configuration d'Okta. Cliquez sur Exécuter les vérifications préalables pour vérifier l'état de ce processus avant de continuer.

Procédure

  1. Se connecter à Interface utilisateur de SDDC Manager en tant qu'utilisateur ayant le rôle ADMIN
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Cliquez sur Changer de fournisseur d'identité et sélectionnez OKTA.
    Menu Fournisseurs externes comprenant Okta.
  5. Cliquez sur Suivant.
  6. Dans le panneau Conditions préalables, passez en revue les conditions préalables et confirmez-les.
  7. Cliquez sur Exécuter les vérifications préalables pour vous assurer que le système est prêt à modifier les fournisseurs d'identité.
    Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
  8. Dans le panneau Informations sur l'annuaire, entrez les informations suivantes.
    Section Informations sur l'annuaire de l'assistant Connecter le fournisseur d'identité.
    • Nom de l'annuaire : nom de l'annuaire local à créer sur vCenter Server qui stocke les utilisateurs et les groupes transférés à partir d'Okta. Par exemple : vcenter-okta-directory.
    • Nom(s) de domaine : entrez les noms de domaine Okta qui contiennent les utilisateurs et les groupes Okta que vous souhaitez synchroniser avec vCenter Server.

      Après avoir entré votre nom de domaine Okta, cliquez sur l'icône Plus (+) pour l'ajouter. Si vous entrez plusieurs noms de domaine, spécifiez le domaine par défaut.

  9. Cliquez sur Suivant.
  10. Dans le panneau Configuration d'OpenID Connect, entrez les informations suivantes.
    Section Configuration d'OpenID Connect de l'assistant Connecter le fournisseur d'identité.
    • URI de redirection : renseignés automatiquement. Attribuez l'URI de redirection à votre administrateur Okta pour l'utiliser lors de la création de l'application OpenID Connect.
    • Nom du fournisseur d'identité : renseigné automatiquement avec Okta.
    • Identifiant client : obtenu lors de la création de l'application OpenID Connect dans Okta. (Dans Okta, l'identifiant client est appelé « Client ID ».)
    • Secret partagé : obtenu lorsque vous avez créé l'application OpenID Connect dans Okta. (Dans Okta, le secret partagé est appelé « Client Secret ».)
    • Adresse OpenID : prend la forme https://Okta domain space/oauth2/default/.well-known/openid-configuration.

      Par exemple, si votre espace de domaine Okta est example.okta.com, l'adresse OpenID est la suivante : https://example.okta.com/oauth2/default/.well-known/openid-configuration.

      Pour plus d'informations, reportez-vous à la page https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration.

  11. Cliquez sur Suivant.
  12. Passez vos informations en revue et cliquez sur Terminer.

Mettre à jour l'application Okta OpenID Connect avec l'URI de redirection à partir de SDDC Manager

Après avoir créé la configuration du fournisseur d'identité Okta dans Interface utilisateur de SDDC Manager, mettez à jour l'application Okta OpenID Connect avec l'URI de redirection à partir de SDDC Manager.

Conditions préalables

Copiez l'URI de redirection à partir de Interface utilisateur de SDDC Manager.
  1. Connectez-vous à Interface utilisateur de SDDC Manager.
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Dans la section OpenID Connect, copiez et enregistrez l'URI de redirection.
    Section OpenID Connect d'un fournisseur d'identité Okta, affichant l'URI de redirection.

Procédure

  1. Connectez-vous à la console d'administration Okta.
  2. Dans l'écran Paramètres généraux de l'application OpenID Connect créée, cliquez sur Modifier.
  3. Dans la zone de texte URI de redirection de connexion, collez l'URI de redirection copié à partir de SDDC Manager.
  4. Cliquez sur Enregistrer.

Créer une application SCIM 2.0 pour utiliser Okta avec VMware Cloud Foundation

La création d'une application SCIM 2.0 pour Okta vous permet de spécifier les utilisateurs et groupes Active Directory à transférer vers vCenter Server.

Conditions préalables

Copiez l'URL du locataire et le jeton secret à partir de Interface utilisateur de SDDC Manager.
  1. Connectez-vous à Interface utilisateur de SDDC Manager.
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Dans la section Provisionnement d'utilisateur, cliquez sur Générer, puis copiez et enregistrez le jeton secret et l'URL du locataire.
    Section Provisionnement d'utilisateur d'un fournisseur d'identité Okta, avec l'URL du locataire et le jeton secret.

Vous utiliserez ces informations lors de l'étape 4 ci-dessous.

Procédure

  1. Connectez-vous à la console d'administration Okta.
  2. Recherchez SCIM 2.0 Test App (OAuth Bearer Token) dans le catalogue d'applications, puis cliquez sur Ajouter une intégration.
    Note : Le mot « Test » est un choix d'Okta. L'application SCIM que vous créez à l'aide de ce modèle « Test » peut être utilisée en production.
  3. Utilisez les paramètres suivants lors de la création de l'application SCIM 2.0 :
    • Entrez un nom approprié pour l'application SCIM 2.0, par exemple Application SCIM 2.0 VCF.
    • Sur la page General settings · Required page, laissez la case Automatically log in when user lands on login page cochée.
    • Sur la page Sign-on Options :
      • Pour les méthodes d'authentification, laissez la case SAML 2.0 cochée.
      • Pour les détails des informations d'identification :
        • Format du nom d'utilisateur d'application : sélectionnez AD SAM Account name.
        • Mettre à jour le nom d'utilisateur d'application sur : laissez l'option Create and update sélectionnée.
        • Révélation du mot de passe : laissez l'option Allow users to securely see their password sélectionnée.
  4. Attribuez des utilisateurs et des groupes à l'application SCIM 2.0 à transférer de votre annuaire Active Directory vers vCenter Server :
    1. Dans l'application SCIM 2.0 Okta, sous Provisioning, cliquez sur Configure API integration.
    2. Cochez la case Enable API integration.
    3. Entrez l'URL de base SCIM 2.0 et le jeton du porteur OAuth.
      Dans SDDC Manager, l'URL de base SCIM 2.0 est appelée « URL du locataire » et le jeton du porteur OAuth est appelé « jeton secret ».
      Note : Si vous disposez d'un tunnel réseau entre le système vCenter Server et le serveur Okta, utilisez l'URL accessible publiquement appropriée comme URL de base.
    4. Laissez l'option Import Groups sélectionnée.
    5. Pour vérifier les informations d'identification SCIM, cliquez sur Test API Credentials.
    6. Cliquez sur Enregistrer.
  5. Provisionnez des utilisateurs.
    1. Cliquez sur l'onglet Provisioning, sélectionnez To App, puis cliquez sur Edit.
    2. Cochez les cases Create Users, Update User Attributes et Deactivate Users.
    3. Ne cochez pas la case Sync Password.
    4. Cliquez sur Enregistrer.
  6. Définissez des attributions.
    1. Cliquez sur l'onglet Assignments et sélectionnez Assign to Groups dans le menu déroulant Assign.
    2. Entrez le groupe à rechercher dans le champ Search.
    3. Sélectionnez le module et cliquez sur Assign.
    4. Si nécessaire, entrez les informations de l'attribut, puis cliquez sur Save and Go Back.
    5. Recherchez d'autres groupes, sélectionnez-les et attribuez-les si nécessaire.
    6. Lorsque vous avez terminé d'attribuer des groupes, cliquez sur Done.
    7. Sous Filters, sélectionnez People et Groups pour afficher les utilisateurs et les groupes attribués.
  7. Cliquez sur l'onglet Push Groups, puis sélectionnez une option dans le menu déroulant Push Groups.
    • Find groups by name : sélectionnez cette option pour localiser des groupes par nom.
    • Find groups by rule : sélectionnez cette option pour créer une règle de recherche qui transfère les groupes correspondants vers l'application.
    Note : Si vous ne décochez pas la case Push group memberships immediately, l'appartenance sélectionnée est transférée immédiatement et Push Status indique Active. Pour plus d'informations, reportez-vous à la section Enable Group Push dans la documentation d'Okta.

Attribuer des utilisateurs et des groupes Okta en tant qu'administrateurs dans SDDC Manager, vCenter Server et NSX Manager

Une fois que vous avez correctement configuré Okta et synchronisé ses utilisateurs et groupes, vous pouvez ajouter des utilisateurs et des groupes en tant qu'administrateurs dans SDDC Manager, vCenter Server et NSX Manager. Cela permet aux utilisateurs Admin de se connecter à l'UI d'un produit (par exemple, SDDC Manager) et de ne pas être invités à entrer à nouveau leurs informations d'identification lorsqu'ils se connectent à l'UI d'un autre produit (par exemple, NSX Manager).

Procédure

  1. Ajoutez des utilisateurs/groupes Okta en tant qu'administrateurs dans SDDC Manager.
    1. Dans Interface utilisateur de SDDC Manager, cliquez sur Administration > Single Sign-On.
    2. Cliquez sur Utilisateurs et groupes puis sur + Utilisateur ou groupe.
      Image montrant le bouton Ajouter un utilisateur ou un groupe.
    3. Sélectionnez un ou plusieurs utilisateurs ou groupes en cochant la case en regard de l'utilisateur ou du groupe.
      Vous pouvez rechercher un utilisateur ou un groupe par nom, ou filtrer par type d'utilisateur ou par domaine.
      Note : Les utilisateurs et les groupes Okta s'affichent dans le ou les domaines que vous avez spécifiés lors de la configuration de Microsoft Entra ID en tant que fournisseur d'identité dans Interface utilisateur de SDDC Manager.
    4. Sélectionnez le rôle ADMIN pour chaque utilisateur et groupe.
      Menu déroulant Choisir un rôle.
    5. Faites défiler vers le bas de la page et cliquez sur Ajouter.
  2. Ajoutez des utilisateurs/groupes Okta en tant qu'administrateurs dans vCenter Server.
    1. Connectez-vous à vSphere Client en tant qu'administrateur local.
    2. Sélectionnez Administration et cliquez sur Autorisations globales dans la zone Contrôle d'accès.
      Menu Autorisations globales.
    3. Cliquez sur Ajouter.
    4. Dans le menu déroulant Domaine, sélectionnez le domaine où se trouve l'utilisateur ou le groupe.
    5. Entrez un nom dans la zone de recherche.
      Le système recherche des noms d'utilisateur et des noms de groupe.
    6. Sélectionnez un utilisateur ou un groupe.
    7. Sélectionnez Administrateur dans le menu déroulant Rôle.
    8. Cochez la case Propager vers les enfants.
      Boîte de dialogue Ajouter une autorisation.
    9. Cliquez sur OK.
  3. Vérifiez que vous vous connectez à SDDC Manager avec un utilisateur Okta.
    1. Déconnectez-vous de Interface utilisateur de SDDC Manager.
    2. Cliquez sur Se connecter avec SSO.
      Bouton Se connecter avec SSO.
    3. Entrez un nom d'utilisateur et un mot de passe, puis cliquez sur Connexion.
      Écran de connexion pour Okta.
  4. Vérifiez que vous vous connectez à vCenter Server avec un utilisateur Okta.
    1. Déconnectez-vous de vSphere Client.
    2. Cliquez sur Se connecter avec SSO.
      Bouton Se connecter avec SSO.
  5. Ajoutez des utilisateurs/groupes Okta en tant qu'administrateurs dans NSX Manager.
    1. Connectez-vous à NSX Manager.
    2. Accédez à Système > Gestion des utilisateurs.
      Menu Gestion des utilisateurs.
    3. Dans l'onglet Attribution du rôle d'utilisateur, cliquez sur Ajouter un rôle pour l'utilisateur OpenID Connect.
      Attribution de rôle d'utilisateur pour la gestion des utilisateurs.
    4. Sélectionnez vcenter-idp-federation dans le menu déroulant, puis entrez du texte pour rechercher et sélectionner un utilisateur ou un groupe Okta.
    5. Cliquez sur Définir dans la colonne Rôles.
    6. Cliquez sur Ajouter un rôle.
    7. Sélectionnez Administrateur d'entreprise dans le menu déroulant, puis cliquez sur Ajouter.
      Boîte de dialogue Définir Rôles/Portée.
    8. Cliquez sur Appliquer.
    9. Cliquez sur Enregistrer.
  6. Vérifiez que vous vous connectez à NSX Manager avec un utilisateur Okta.
    1. Déconnectez-vous de NSX Manager.
    2. Cliquez sur Se connecter avec vCenter-IPD-Federation.
      Bouton Se connecter avec vCenter-IDP-Federation.