La fédération de fournisseur d'identité vCenter Server vous permet de configurer un fournisseur d'identité externe pour l'authentification fédérée. Dans cette configuration, le fournisseur d'identité externe interagit avec la source d'identité au nom de l'instance de vCenter Server.

Principes de base de la fédération de fournisseur d'identité vCenter Server

À partir de vSphere 7.0, vCenter Server prend en charge l'authentification fédérée. Dans ce scénario, lorsqu'un utilisateur se connecte au système vCenter Server, vCenter Server redirige la connexion de l'utilisateur vers le fournisseur d'identité externe. Les informations d'identification de l'utilisateur ne sont plus fournies directement à l'instance de vCenter Server. Au lieu de cela, l'utilisateur fournit des informations d'identification au fournisseur d'identité externe. L'instance de vCenter Server approuve le fournisseur d'identité externe pour effectuer l'authentification. Dans le modèle de fédération, les utilisateurs ne fournissent jamais d'informations d'identification directement à un service ou à une application, mais uniquement au fournisseur d'identité. Par conséquent, vous « fédérez » vos applications et services, tels que vCenter Server, avec votre fournisseur d'identité.

Avantages de la fédération de fournisseur d'identité vCenter Server

La fédération de fournisseur d'identité vCenter Server offre les avantages suivants.

  • Vous pouvez utiliser Single Sign-On avec une infrastructure et des applications fédérées existantes.
  • Vous pouvez améliorer la sécurité du centre de données, car le système vCenter Server ne gère jamais les informations d'identification de l'utilisateur.
  • Vous pouvez utiliser les mécanismes d'authentification, tels que l'authentification multifacteur, pris en charge par le fournisseur d'identité externe.

Composants de la fédération de fournisseur d'identité vCenter Server

Les composants suivants comprennent une configuration de fédération de fournisseur d'identité vCenter Server qui utilise Microsoft Active Directory Federation Services (AD FS) :

  • Une instance de vCenter Server
  • Un service de fournisseur d'identité configuré sur l'instance de vCenter Server
  • Un serveur AD FS et le domaine Microsoft Active Directory associé
  • Un groupe d'applications AD FS
  • Les groupes et utilisateurs Active Directory mappés aux groupes et utilisateurs de l'instance de vCenter Server
Note : Actuellement, vCenter Server prend en charge uniquement les services AD FS en tant que fournisseur d'identité externe.

Architecture de la fédération de fournisseur d'identité vCenter Server

Dans la fédération de fournisseur d'identité vCenter Server, vCenter Server utilise le protocole OpenID Connect (OIDC) pour recevoir un jeton d'identité qui authentifie l'utilisateur avec vCenter Server.

Pour établir une relation d'approbation de partie de confiance entre vCenter Server et un fournisseur d'identité, vous devez établir les informations d'identification et un secret partagé entre eux. Dans AD FS, vous devez créer une configuration OIDC appelée groupe d'applications, qui se compose d'une application serveur et d'une API Web. Les deux composants spécifient les informations que l'instance de vCenter Server utilise pour approuver le serveur AD FS et communiquer avec lui. Vous créez également un fournisseur d'identité correspondant dans l'instance de vCenter Server. Enfin, vous configurez des appartenances de groupe dans l'instance de vCenter Server pour autoriser les connexions des utilisateurs dans le domaine AD FS.

L'administrateur AD FS doit fournir les informations suivantes pour créer la configuration du fournisseur d'identité vCenter Server :

  • Identificateur de client : chaîne de l'UUID générée par l'assistant Groupe d'applications AD FS qui identifie le groupe d'applications.
  • Secret partagé : secret généré par l'assistant Groupe d'applications AD FS qui est utilisé pour authentifier l'instance de vCenter Server dans AD FS.
  • Adresse OpenID : URL du point de terminaison de découverte de fournisseur OpenID du serveur AD FS, spécifiant une adresse connue qui est généralement le point de terminaison de l'émetteur concaténé au chemin « /.well-known/openid-configuration ». Par exemple : https://webserver.example.com/adfs/.well-known/openid-configuration.