L'utilisation de Microsoft Entra ID en tant que fournisseur d'identité pour l'instance de vCenter Server du domaine de gestion permet de fédérer les identités entre SDDC Manager, vCenter Server et NSX Manager.

La configuration de la fédération des identités avec Microsoft Entra ID implique l'exécution de tâches dans la console d'administration Microsoft Entra et Interface utilisateur de SDDC Manager. Une fois les utilisateurs et les groupes synchronisés, vous pouvez attribuer des autorisations dans SDDC Manager, vCenter Server et NSX Manager.
  1. Créez une application OpenID Connect pour VMware Cloud Foundation dans Microsoft Entra ID.
  2. Configurez Microsoft Entra ID en tant que fournisseur d'identité dans Interface utilisateur de SDDC Manager.
  3. Mettez à jour l'application Microsoft Entra ID OpenID Connect avec l'URI de redirection à partir de SDDC Manager.
  4. Créez une application SCIM 2.0 pour VMware Cloud Foundation.
  5. Attribuez des autorisations aux utilisateurs et aux groupes Microsoft Entra ID dans SDDC Manager, vCenter Server et NSX Manager.
Note : Si vous avez créé des domaines de charge de travail VI isolés qui utilisent différents domaines SSO, vous devez utiliser vSphere Client pour configurer Microsoft Entra ID en tant que fournisseur d'identité pour ces domaines SSO. Lorsque vous configurez Microsoft Entra ID en tant que fournisseur d'identité pour un domaine de charge de travail isolé dans l'instance de vSphere Client, NSX Manager est automatiquement enregistré en tant que partie de confiance. Cela signifie qu'une fois qu'un utilisateur Microsoft Entra ID disposant des autorisations nécessaires s'est connecté à l'instance de vCenter Server du domaine de charge de travail VI isolé, il peut accéder directement à l'instance de NSX Manager du domaine de charge de travail VI à partir de Interface utilisateur de SDDC Manager sans avoir à se reconnecter.

Conditions préalables

Intégrez Active Directory (AD) à Microsoft Entra ID. Pour plus d'informations, reportez-vous à la documentation de Microsoft.
Note : Cela n'est pas nécessaire si vous ne souhaitez pas effectuer l'intégration à AD ou si vous avez précédemment intégré AD et Microsoft Entra ID.

Créer une application OpenID Connect pour VMware Cloud Foundation dans Microsoft Entra ID

Avant de pouvoir utiliser Microsoft Entra ID en tant que fournisseur d'identité dans VMware Cloud Foundation, vous devez créer une application OpenID Connect dans Microsoft Entra ID et attribuer des utilisateurs et des groupes à l'application OpenID Connect.

Procédure

  1. Connectez-vous à la console d'administration Microsoft Entra et suivez la documentation de Microsoft pour créer une application OpenID Connect.
    Lors de la création de l'application OpenID Connect dans l'assistant Créer une intégration d'application :
    • Sélectionnez Accueil > Annuaire Azure AD > Inscription d'application > Nouvelle inscription.
    • Entrez un nom approprié pour l'application OpenID Connect, par exemple EntraID-vCenter-app.
    • Conservez les Types de comptes pris en charge par défaut ou sélectionnez-les selon vos besoins.
    • Définissez URI de redirection sur Web. Il n'est pas nécessaire d'entrer un URI de redirection. Vous pouvez le renseigner ultérieurement.
  2. Une fois l'application OpenID Connect créée, générez la clé secrète client.
    1. Cliquez sur Certificats et secrets > Secrets client > Nouveau secret client.
    2. Entrez une description pour la clé secrète client et sélectionnez la validité dans le menu déroulant Expiration.
    3. Cliquez sur Ajouter.
    4. Une fois qu'une clé secrète est générée, copiez le contenu sous Valeur et enregistrez-le pour l'utiliser lors de la création du fournisseur d'identité Microsoft Entra ID dans SDDC Manager.
      Note : SDDC Manager utilise le terme « secret partagé » pour désigner la clé secrète client.
  3. Récupérez l'ID client.
    1. Cliquez sur Vue d'ensemble.
    2. Copiez la valeur de l'ID d'application (client).
      Note : SDDC Manager utilise le terme « identifiant client » pour désigner l'ID client.
  4. Cliquez sur Vue d'ensemble > Points de terminaison et copiez la valeur du document de métadonnées OpenID Connect.
  5. Cliquez sur Gérer > Authentification, faites défiler l'écran jusqu'à la section Paramètres avancés, faites basculer Activer les flux mobiles et de bureau suivants sur Oui, puis cliquez sur Enregistrer.
    Écran Paramètres avancés, avec l'option permettant d'activer les flux mobiles et de bureau.
  6. Cliquez sur Gérer > Autorisations de l'API, puis sur Accorder un consentement d'administrateur pour <nom_organisation_locataire>. Par exemple, Accorder un consentement d'administrateur pour vcenter auth services.
    Écran montrant l'option Accorder un consentement d'administrateur pour vcenter auth services. « vcenter auth services » est un exemple de nom d'organisation de locataire.

Que faire ensuite

Configurez Microsoft Entra ID en tant que fournisseur d'identité dans Interface utilisateur de SDDC Manager à l'aide des informations Clé secrète client, ID client et OpenID Connect que vous avez copiées.

Configurer Microsoft Entra ID en tant que fournisseur d'identité dans SDDC Manager UI

Vous pouvez configurer VMware Cloud Foundation pour utiliser Microsoft Entra ID en tant que fournisseur d'identité externe au lieu d'utiliser vCenter Single Sign-On. Dans cette configuration, le fournisseur d'identité externe interagit avec la source d'identité au nom de vCenter Server.

Vous ne pouvez ajouter qu'un seul fournisseur d'identité externe à VMware Cloud Foundation.

Cette procédure configure Microsoft Entra ID en tant que fournisseur d'identité pour l'instance de vCenter Server du domaine de gestion. Le point de terminaison d'informations VMware Identity Services est répliqué vers tous les autres nœuds vCenter Server qui font partie du groupe ELM (Enhanced Linked Mode) de l'instance de vCenter Server du domaine de gestion. Cela signifie que lorsqu'un utilisateur se connecte à l'instance de vCenter Server du domaine de gestion et se voit attribuer des autorisations, il dispose également d'autorisations sur n'importe quelle instance de vCenter Server du domaine de charge de travail VI faisant partie du même groupe ELM. Il en va de même si l'utilisateur se connecte d'abord à une instance de vCenter Server du domaine de charge de travail VI.
Note : Les informations de configuration de Microsoft Entra ID et les informations sur les utilisateurs/groupes ne sont pas répliquées entre les nœuds vCenter Server en mode ELM. N'utilisez pas l'instance de vSphere Client pour configurer Microsoft Entra ID en tant que fournisseur d'identité pour toute instance de vCenter Server du domaine de charge de travail VI faisant partie du groupe ELM.

Conditions préalables

Conditions requises pour Microsoft Entra ID :
  • Vous êtes client de Microsoft Entra ID et disposez d'un compte Azure AD.
  • Pour effectuer des connexions OIDC et gérer les autorisations d'utilisateurs et de groupes, vous devez créer les applications Microsoft Entra ID suivantes.
    • Une application native Microsoft Entra ID avec OpenID Connect comme méthode d'authentification. L'application native doit inclure les types d'attribution de code d'autorisation, de jeton d'actualisation et de mot de passe du propriétaire de la ressource.
    • Une application SCIM (System for Cross-domain Identity Management) 2.0 avec un jeton du porteur OAuth 2.0 pour synchroniser les utilisateurs et les groupes entre le serveur Microsoft Entra ID et l'instance de vCenter Server.
Conditions requises pour la mise en réseau :
  • Si votre réseau n'est pas disponible publiquement, vous devez créer un tunnel réseau entre votre système vCenter Server et votre serveur Microsoft Entra ID, puis utiliser l'URL accessible publiquement appropriée comme URL de locataire SCIM 2.0.
Conditions requises pour vSphere et NSX :
  • vSphere 8.0 Update 2 ou version ultérieure.
  • NSX 4.1.2 ou version ultérieure.
Note : Si vous avez ajouté des appartenances de groupe vCenter pour des utilisateurs ou des groupes AD/LDAP distants, vCenter Server tente de préparer ces appartenances afin qu'elles soient compatibles avec la nouvelle configuration du fournisseur d'identité. Ce processus de préparation se produit automatiquement au démarrage du service, mais il doit être terminé pour que vous puissiez poursuivre la configuration de Microsoft Entra ID. Cliquez sur Exécuter les vérifications préalables pour vérifier l'état de ce processus avant de continuer.

Procédure

  1. Se connecter à Interface utilisateur de SDDC Manager en tant qu'utilisateur ayant le rôle ADMIN
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Cliquez sur Changer de fournisseur d'identité et sélectionnez Microsoft Entra ID.
    Menu Fournisseurs externes comprenant Microsoft Entra ID.
  5. Cliquez sur Suivant.
  6. Dans le panneau Conditions préalables, passez en revue les conditions préalables et confirmez-les.
  7. Cliquez sur Exécuter les vérifications préalables pour vous assurer que le système est prêt à modifier les fournisseurs d'identité.
    Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
  8. Dans le panneau Informations sur l'annuaire, entrez les informations suivantes.
    Section Informations sur l'annuaire de l'assistant Connecter le fournisseur d'identité.
    • Nom de l'annuaire : nom de l'annuaire local à créer sur vCenter Server qui stocke les utilisateurs et les groupes transférés à partir de Microsoft Entra ID. Par exemple : vcenter-entra-directory.
    • Nom(s) de domaine : entrez les noms de domaine qui contiennent les utilisateurs et groupes Microsoft Entra ID que vous souhaitez synchroniser avec vCenter Server.

      Après avoir entré un nom de domaine, cliquez sur l'icône Plus (+) pour l'ajouter. Si vous entrez plusieurs noms de domaine, spécifiez le domaine par défaut.

  9. Cliquez sur Suivant.
  10. Dans le panneau Configuration d'OpenID Connect, entrez les informations suivantes.
    Section Configuration d'OpenID Connect de l'assistant Connecter le fournisseur d'identité.
    • URI de redirection : renseignés automatiquement. Attribuez l'URI de redirection à votre administrateur Microsoft Entra ID pour l'utiliser lors de la création de l'application OpenID Connect.
    • Nom du fournisseur d'identité : renseigné automatiquement avec Entra.
    • Identifiant client : obtenu lors de la création de l'application OpenID Connect dans Microsoft Entra ID. (Dans Microsoft Entra ID, l'identifiant client est appelé « ID client ».)
    • Secret partagé : obtenu lorsque vous avez créé l'application OpenID Connect dans Microsoft Entra ID. (Dans Microsoft Entra ID, le secret partagé est appelé « clé secrète client ».)
    • Adresse OpenID : obtenue lors de la création de l'application OpenID Connect dans Microsoft Entra ID. (Dans Microsoft Entra ID, l'adresse OpenID est appelée « document de métadonnées OpenID Connect »).
  11. Cliquez sur Suivant.
  12. Passez vos informations en revue et cliquez sur Terminer.

Mettre à jour l'application OpenID Connect pour Microsoft Entra ID avec l'URI de redirection à partir de SDDC Manager

Après avoir créé la configuration du fournisseur d'identité Microsoft Entra ID dans Interface utilisateur de SDDC Manager, mettez à jour l'application OpenID Connect pour Microsoft Entra ID avec l'URI de redirection à partir de SDDC Manager.

Conditions préalables

Copiez l'URI de redirection à partir de Interface utilisateur de SDDC Manager.
  1. Connectez-vous à Interface utilisateur de SDDC Manager.
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Dans la section OpenID Connect, copiez et enregistrez l'URI de redirection.
    Section OpenID Connect d'un fournisseur d'identité Microsoft Entra ID, affichant l'URI de redirection.

Procédure

  1. Connectez-vous à la console d'administration Microsoft Entra.
  2. Dans l'écran Enregistrements d'applications de votre application OpenID Connect, cliquez sur Authentification.
  3. Sélectionnez Ajouter une plate-forme, puis sélectionnez Web.
  4. Dans la zone de texte URI de redirection, collez l'URI de redirection copiée à partir de SDDC Manager.
  5. Cliquez sur Configurer.

Créer une application SCIM 2.0 pour utiliser Microsoft Entra ID avec VMware Cloud Foundation

La création d'une application SCIM 2.0 pour Microsoft Entra ID vous permet de spécifier les utilisateurs et groupes Active Directory à transférer vers vCenter Server.

Si votre instance de vCenter Server accepte le trafic entrant, suivez la procédure ci-dessous pour créer une application SCIM 2.0. Si votre instance de vCenter Server n'accepte pas le trafic entrant, reportez-vous à la documentation de Microsoft Entra ID pour obtenir d'autres méthodes :
  • Agent de provisionnement Microsoft Entra Connect
  • Agent proxy d'application Microsoft Entra

Conditions préalables

Copiez l'URL du locataire et le jeton secret à partir de Interface utilisateur de SDDC Manager.
  1. Connectez-vous à Interface utilisateur de SDDC Manager.
  2. Dans le volet de navigation, cliquez sur Administration > Single Sign-On.
  3. Cliquez sur Fournisseur d'identité.
  4. Dans la section Provisionnement d'utilisateur, cliquez sur Générer, puis copiez et enregistrez le jeton secret et l'URL du locataire.
    Section Provisionnement d'utilisateur d'un fournisseur d'identité Microsoft Entra ID, avec l'URL du locataire et le jeton secret.

Vous utiliserez ces informations pour configurer les paramètres de provisionnement ci-dessous.

Procédure

  1. Connectez-vous à la console d'administration Microsoft Entra.
  2. Accédez à Applications > Applications d'entreprise et cliquez sur Nouvelle application.
  3. Recherchez « VMware Identity Service » et sélectionnez-le dans les résultats de la recherche.
  4. Entrez un nom approprié pour l'application SCIM 2.0, par exemple Application SCIM 2.0 VCF.
  5. Cliquez sur Créer.
  6. Une fois l'application SCIM 2.0 créée, cliquez sur Gérer > Provisionnement et spécifiez les paramètres de provisionnement.
    1. Sélectionnez Automatique comme mode de provisionnement.
    2. Entrez l'URL du locataire et le jeton secret que vous avez copiés à partir de Interface utilisateur de SDDC Manager et cliquez sur Tester la connexion.
      Note : Si vous disposez d'un tunnel réseau entre le système vCenter Server et le serveur Microsoft Entra ID, utilisez l'URL accessible publiquement comme URL du locataire.
    3. Cliquez sur Enregistrer.
    4. Développez la section Mappages et cliquez sur Provisionner les utilisateurs Azure Active Directory.
    5. Dans l'écran Mappage d'attributs, cliquez sur userPrincipalName.
    6. Dans l'écran Modifier l'attribut, mettez à jour les paramètres, puis cliquez sur OK.
      Option Description
      Type de mappage Sélectionnez Expression.
      Expression Entrez le texte suivant :
      Item(Split[userPrincipalName], "@"), 1)
    7. Cliquez sur Ajouter un nouveau mappage.
    8. Dans l'écran Modifier l'attribut, mettez à jour les paramètres, puis cliquez sur OK.
      Option Description
      Type de mappage Sélectionnez Expression.
      Expression Entrez le texte suivant :
      Item(Split[userPrincipalName], "@"), 2)
      Attribut cible Sélectionnez urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:domain.
    9. Cliquez sur Enregistrer.
    10. Définissez État du provisionnement sur Activé.
  7. Provisionnez des utilisateurs.
    1. Cliquez sur Gérer > Utilisateurs et groupes.
    2. Cliquez sur Ajouter un utilisateur/groupe.
    3. Recherchez des utilisateurs et des groupes, puis cliquez sur Sélectionner.
    4. Cliquez sur Attribuer.
    5. Cliquez sur Gérer > Provisionnement.
    6. Cliquez sur Démarrer le provisionnement.

Attribuer des utilisateurs et des groupes Microsoft Entra ID en tant qu'administrateurs dans SDDC Manager, vCenter Server et NSX Manager

Une fois que vous avez correctement configuré Microsoft Entra ID et synchronisé ses utilisateurs et groupes, vous pouvez ajouter des utilisateurs et des groupes en tant qu'administrateurs dans SDDC Manager, vCenter Server et NSX Manager. Cela permet aux utilisateurs Admin de se connecter à l'UI d'un produit (par exemple, SDDC Manager) et de ne pas être invités à entrer à nouveau leurs informations d'identification lorsqu'ils se connectent à l'UI d'un autre produit (par exemple, NSX Manager).

Procédure

  1. Ajoutez des utilisateurs/groupes Microsoft Entra ID en tant qu'administrateurs dans SDDC Manager.
    1. Dans Interface utilisateur de SDDC Manager, cliquez sur Administration > Single Sign-On.
    2. Cliquez sur Utilisateurs et groupes puis sur + Utilisateur ou groupe.
      Image montrant le bouton Ajouter un utilisateur ou un groupe.
    3. Sélectionnez un ou plusieurs utilisateurs ou groupes en cochant la case en regard de l'utilisateur ou du groupe.
      Vous pouvez rechercher un utilisateur ou un groupe par nom, ou filtrer par type d'utilisateur ou par domaine.
      Note : Les utilisateurs et les groupes Microsoft Entra ID s'affichent dans le ou les domaines que vous avez spécifiés lors de la configuration de Microsoft Entra ID en tant que fournisseur d'identité dans Interface utilisateur de SDDC Manager.
    4. Sélectionnez le rôle ADMIN pour chaque utilisateur et groupe.
      Menu déroulant Choisir un rôle.
    5. Faites défiler vers le bas de la page et cliquez sur Ajouter.
  2. Ajoutez des utilisateurs/groupes Microsoft Entra ID en tant qu'administrateurs dans vCenter Server.
    1. Connectez-vous à vSphere Client en tant qu'administrateur local.
    2. Sélectionnez Administration et cliquez sur Autorisations globales dans la zone Contrôle d'accès.
      Menu Autorisations globales.
    3. Cliquez sur Ajouter.
    4. Dans le menu déroulant Domaine, sélectionnez le domaine où se trouve l'utilisateur ou le groupe.
    5. Entrez un nom dans la zone de recherche.
      Le système recherche des noms d'utilisateur et des noms de groupe.
    6. Sélectionnez un utilisateur ou un groupe.
    7. Sélectionnez Administrateur dans le menu déroulant Rôle.
    8. Cochez la case Propager vers les enfants.
      Boîte de dialogue Ajouter une autorisation.
    9. Cliquez sur OK.
  3. Vérifiez que vous vous connectez à SDDC Manager avec un utilisateur Microsoft Entra ID.
    1. Déconnectez-vous de Interface utilisateur de SDDC Manager.
    2. Cliquez sur Se connecter avec SSO.
      Bouton Se connecter avec SSO.
    3. Entrez un nom d'utilisateur et un mot de passe, puis cliquez sur Connexion.
  4. Vérifiez que vous vous connectez à vCenter Server avec un utilisateur Microsoft Entra ID.
    1. Déconnectez-vous de vSphere Client.
    2. Cliquez sur Se connecter avec SSO.
      Bouton Se connecter avec SSO.
  5. Ajoutez des utilisateurs/groupes Microsoft Entra ID en tant qu'administrateurs dans NSX Manager.
    1. Connectez-vous à NSX Manager.
    2. Accédez à Système > Gestion des utilisateurs.
      Menu Gestion des utilisateurs.
    3. Dans l'onglet Attribution du rôle d'utilisateur, cliquez sur Ajouter un rôle pour l'utilisateur OpenID Connect.
      Attribution de rôle d'utilisateur pour la gestion des utilisateurs.
    4. Sélectionnez vcenter-idp-federation dans le menu déroulant, puis entrez du texte pour rechercher et sélectionner un utilisateur ou un groupe Microsoft Entra ID.
    5. Cliquez sur Définir dans la colonne Rôles.
    6. Cliquez sur Ajouter un rôle.
    7. Sélectionnez Administrateur d'entreprise dans le menu déroulant, puis cliquez sur Ajouter.
      Boîte de dialogue Définir Rôles/Portée.
    8. Cliquez sur Appliquer.
    9. Cliquez sur Enregistrer.
  6. Vérifiez que vous vous connectez à NSX Manager avec un utilisateur Microsoft Entra ID.
    1. Déconnectez-vous de NSX Manager.
    2. Cliquez sur Se connecter avec vCenter-IPD-Federation.
      Bouton Se connecter avec vCenter-IDP-Federation.