La fédération de vCenter active Single Sign-On (SSO) afin que les utilisateurs puissent s'authentifier en toute sécurité sur leur SDDC vCenter Server sans avoir à entrer de nouveau leurs informations d'identification.

Lorsque vous activez la fonctionnalité de fédération vCenter dans votre SDDC, VMware Cloud on AWS remplace tous les fournisseurs d'identité externes (en utilisant le type de source AD sur LDAP et LDAP natif) par les fournisseurs d'identité (IDP) fédérés avec votre organisation VMware Cloud Services (avec le type source SSO). Le changement de fournisseurs d'identité modifie les moyens d'authentification, mais ne modifie en aucune manière l'autorisation. Aucun utilisateur ou groupe supplémentaire n'est autorisé à accéder à votre instance de vCenter Server.

Après avoir activé la connexion fédérée dans votre SDDC, vous pouvez constater quelques modifications comportementales dans votre SDDC vCenter Server :
  • Message « Cette instance de vCenter est gérée par VMware Cloud Services » lors de l'affichage du Fournisseur d'identité dans la section Single Sign-On > Configuration de l'administration de vCenter. Cela est dû au fait qu'une fois la connexion fédérée activée, vCenter Single Sign-On est géré uniquement par VMware Cloud Services.
  • Échecs d'activation pour les automatisations et les intégrations tierces. Si votre fournisseur d'identité ne prend pas en charge le recours à l'authentification par mot de passe ou requiert une authentification multifacteur, l'intégration par programme à vCenter échouera à l'étape d'authentification.
L'activation de la fédération modifie la source d'identité (authentification), mais n'a pas d'incidence sur les utilisateurs et les autorisations (autorisation). Le workflow supprime votre source d'identité LDAP et ajoute une source d'identité SSO.

La fédération de vCenter repose sur VMware Cloud Services pour activer SSO. Toute maintenance ou panne sur VMware Cloud Services peut affecter la disponibilité de SSO pour vCenter. Reportez-vous à Accès d'urgence à vCenter en cas d'échec de la connexion fédérée pour obtenir l'URL d'accès d'urgence et des instructions.

Si vous avez activé la connexion fédérée et que vous devez modifier votre source d'identité SSO ou en ajouter une nouvelle, vous devez configurer la fédération d'entreprise pour la nouvelle source d'identité SSO, puis désactiver et réactiver la connexion fédérée afin que votre instance de vCenter Server SDDC reconnaisse la nouvelle source d'identité, puis configure les autorisations pour la nouvelle source d'identité.

Pour plus d'informations sur la connexion fédérée, reportez-vous à l'article de la zone technique de VMware Cloud Présentation de la fonctionnalité : connexion fédérée de vCenter pour VMware Cloud on AWS.

Conditions préalables

  • Important :

    La fédération de vCenter ne prend pas en charge l'utilisation simultanée de sources d'identité SSO et AD/LDAP. Si vous disposez de plusieurs sources d'identité LDAP configurées dans vCenter et que vous devez authentifier les utilisateurs de ces domaines après avoir activé la connexion fédérée pour vCenter, les domaines doivent tous remplir les conditions préalables suivantes :

    Vous ne devez pas activer la connexion fédérée pour vCenter dans un SDDC configuré pour le renforcement de la conformité. Pour plus d'informations sur l'utilisation de cette configuration et ce dont elle a besoin, reportez-vous à la section Configurer le renforcement de la conformité du SDDC.

  • Enregistrez votre configuration de source d'identité LDAP actuelle. Vous devrez restaurer manuellement cette configuration si vous décidez de désactiver la connexion fédérée à vCenter.
  • Activez la fédération d'entreprise pour tous les domaines qui requièrent un accès à vCenter. Reportez-vous à la section Qu'est-ce que la fédération d'entreprise et comment fonctionne-t-elle ?
  • Liez votre fournisseur d'identité à votre organisation VMware Cloud Services. Consultez la section Pourquoi faut-il lier mon fournisseur d'identité ?

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
    Vous devez disposer du rôle VMware Cloud on AWS Administrateur pour activer la connexion fédérée pour vCenter.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Ouvrez l'onglet Paramètres du SDDC.
  4. Accédez à Connexion fédérée dans la section Informations sur le système vCenter, puis cliquez sur ACTIVER.
    Examinez les conditions préalables, puis cliquez sur ACTIVER lorsque vous êtes prêt à continuer. L'activation requiert VMware Cloud on AWS pour importer des données à partir de votre fournisseur d'identité fédéré. Le temps nécessaire pour terminer l'activation dépend de la quantité de données importées et de la bande passante réseau disponible.

Résultats

Une fois l'activation terminée, l'écran de connexion à vSphere Client demande aux utilisateurs de se connecter avec VMware Cloud Services.

Que faire ensuite

S'il s'agit d'un nouveau SDDC et qu'il n'a jamais activé la connexion fédérée, connectez-vous au SDDC vCenter Server à l'URL d'accès d'urgence en utilisant l'adresse cloudadmin@vmc.local et configurez les autorisations du domaine SSO. Si vous ne le faites pas, l'URL d'accès d'urgence ne fournira pas l'accès d'urgence.