Vous pouvez configurer VMware Cloud Foundation pour utiliser Microsoft ADFS en tant que fournisseur d'identité externe au lieu d'utiliser vCenter Single Sign-On. Dans cette configuration, le fournisseur d'identité externe interagit avec la source d'identité au nom de vCenter Server.

Vous ne pouvez ajouter qu'un seul fournisseur d'identité externe à VMware Cloud Foundation.

Conditions préalables

Conditions requises pour Microsoft Active Directory Federation Services (ADFS) :

  • Microsoft ADFS pour Windows Server 2016 ou version ultérieure doit déjà être déployé.
  • Microsoft ADFS doit être connecté à Active Directory.
  • Vous avez créé un groupe d'administrateurs de vCenter Server dans Microsoft ADFS qui contient les utilisateurs auxquels vous souhaitez accorder des privilèges d'administrateur de vCenter Server.

Pour plus d'informations sur la configuration de Microsoft ADFS, consultez la documentation de Microsoft.

vCenter Server et autres conditions requises :

  • vSphere 7.0 ou version ultérieure
  • vCenter Server doit pouvoir se connecter au point de terminaison de détection Microsoft ADFS, ainsi qu'aux points de terminaison d'autorisation, de jeton, de déconnexion, JWKS et tout autre point de terminaison annoncé dans les métadonnées du point de terminaison de détection.

Procédure

  1. Se connecter à Interface utilisateur de SDDC Manager en tant qu'utilisateur ayant le rôle ADMIN
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Cliquez sur Changer de fournisseur d'identité et sélectionnez Microsoft ADFS.
    Options de menu affichant ADFS.
  5. Cliquez sur Suivant.
  6. Cochez la case pour confirmer les conditions préalables et cliquez sur Suivant.
  7. Si le certificat de votre serveur Microsoft ADFS est signé par une autorité de certification publiquement approuvée, cliquez sur Suivant. Si vous utilisez un certificat auto-signé, ajoutez le certificat d'autorité de certification racine Microsoft ADFS au magasin de certificats racines de confiance.
    1. Cliquez sur Parcourir.
    2. Accédez au certificat et cliquez sur Ouvrir.
    3. Cliquez sur Suivant.
  8. Copiez les URI de redirection.
    Vous en aurez besoin pour créer le groupe d'applications Microsoft ADFS à l'étape suivante.
  9. Créez une configuration OpenID Connect dans Microsoft ADFS.

    Pour établir une relation d'approbation entre vCenter Server et un fournisseur d'identité, vous devez établir les informations d'identification et un secret partagé entre eux. Dans Microsoft ADFS, vous devez créer une configuration OpenID Connect appelée « groupe d'applications » qui se compose d'une application serveur et d'une API Web. Les deux composants spécifient les informations que vCenter Server utilise pour approuver le serveur Microsoft ADFS et communiquer avec lui. Pour activer OpenID Connect dans Microsoft ADFS, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/78029.

    Notez ce qui suit lorsque vous créez le groupe d'applications Microsoft ADFS.

    • Vous avez besoin des deux URI de redirection de l'étape précédente.
    • Copiez les informations suivantes dans un fichier ou notez-les pour les utiliser lors de la configuration du fournisseur d'identité à l'étape suivante.
      • Identifiant de client
      • Secret partagé
      • Adresse OpenID du serveur Microsoft ADFS
  10. Entrez les informations nécessaires au groupe d'applications et cliquez sur Suivant.
    Utilisez les informations que vous avez collectées à l'étape précédente et entrez les suivantes :
    • Identifiant de client
    • Secret partagé
    • Adresse OpenID du serveur Microsoft ADFS
  11. Entrez les informations d'utilisateur et de groupe pour la connexion Active Directory via LDAP pour rechercher des utilisateurs et des groupes.
    vCenter Server dérive le domaine AD à utiliser pour les autorisations à partir du nom unique de base pour les utilisateurs. Vous pouvez ajouter des autorisations sur des objets vSphere uniquement pour les utilisateurs et les groupes de ce domaine AD. Les utilisateurs ou les groupes des sous-domaines AD ou d'autres domaines de la forêt AD ne sont pas pris en charge par la fédération de fournisseur d'identité vCenter Server.
    Option Description
    Nom unique de base pour les utilisateurs Nom unique de base pour les utilisateurs.
    Nom unique de base pour les groupes Nom unique de base pour les groupes.
    Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes.
    Mot de passe ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom de domaine (DN) de base pour les utilisateurs et les groupes.
    URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine.

    Utilisez le format suivant : ldap://hostname:port ou ldaps://hostname:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

    Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

    URL du serveur secondaire Adresse du serveur LDAP d'un contrôleur de domaine secondaire utilisé pour le basculement.
    Certificats (pour LDAPS) Si vous souhaitez utiliser LDAPS, cliquez sur Parcourir pour sélectionner un certificat.
  12. Vérifiez les informations et cliquez sur Envoyer.

Que faire ensuite

Après avoir ajouté Microsoft ADFS en tant que fournisseur d'identité externe, vous pouvez ajouter des utilisateurs et des groupes à VMware Cloud Foundation. Reportez-vous à la section Ajouter un utilisateur ou un groupe à VMware Cloud Foundation.