Lorsque vous activez la fédération de fournisseur d'identité dans des environnements vCenter Server à l'aide du mode Enhanced Linked Mode, l'authentification et les workflows continuent de fonctionner comme avant.
Si vous utilisez la configuration Enhanced Linked Mode, notez ce qui suit lors de la connexion à vCenter Server à l'aide de l'authentification fédérée.
- Les utilisateurs continuent à voir le même inventaire et peuvent effectuer les mêmes actions, en fonction du modèle d'autorisations et de rôles de vCenter Server.
- Les hôtes vCenter Server en mode Enhanced Linked Mode ne doivent pas nécessairement avoir accès à leurs fournisseurs d'identité entre eux. Prenons par exemple deux systèmes vCenter Server A et B qui utilisent le mode Enhanced Linked Mode. Une fois que le système vCenter Server A autorise un utilisateur, celui-ci est également autorisé sur le système vCenter Server B.
L'illustration suivante présente le workflow d'authentification avec Enhanced Linked Mode et la fédération de fournisseur d'identité vCenter Server.
- Deux nœuds vCenter Server sont déployés dans une configuration Enhanced Linked Mode.
- La configuration AD FS a été configurée sur le système vCenter Server A à l'aide de l'assistant de modification du fournisseur d'identité dans vSphere Client. Des appartenances et des autorisations de groupe ont également été établies pour les utilisateurs ou les groupes AD FS.
- Le système vCenter Server A réplique la configuration AD FS sur le système vCenter Server B.
- Tous les URI de redirection des deux nœuds vCenter Server sont ajoutés au groupe d'applications OAuth dans AD FS. Un seul groupe d'applications OAuth est créé.
- Lorsqu'un utilisateur se connecte au système vCenter Server A et est autorisé par celui-ci, l'utilisateur est également autorisé sur le système vCenter Server B. Il en va de même si l'utilisateur se connecte d'abord au système vCenter Server B.
Le mode Enhanced Linked Mode de vCenter Server prend en charge les scénarios de configuration suivants pour la fédération de fournisseur d'identité. Dans cette section, les termes « Paramètres AD FS » et « Configuration AD FS » font référence aux paramètres que vous configurez dans
vSphere Client à l'aide de l'assistant Changer le fournisseur d'identité, ainsi que des appartenances aux groupes ou des autorisations que vous avez établies pour les utilisateurs ou les groupes AD FS.
- Activer AD FS sur une configuration Enhanced Linked Mode existante
-
Étapes de haut niveau :
- Déployez N nœuds vCenter Server dans la configuration Enhanced Linked Mode.
- Configurez AD FS sur l'un des nœuds vCenter Server liés.
- La configuration AD FS est répliquée sur tous les autres nœuds vCenter Server (N-1).
- Ajoutez tous les URI de redirection pour la totalité des N nœuds vCenter Server au groupe d'applications OAuth configuré dans AD FS.
- Lier une nouvelle instance de vCenter Server à une configuration AD FS Enhanced Linked Mode existante
-
Étapes de haut niveau :
- (Condition préalable) Configurez AD FS sur une configuration Enhanced Linked Mode à N nœuds vCenter Server.
- Déployez un nouveau nœud vCenter Server indépendant.
- Redirigez le nouveau nœud vCenter Server vers le domaine Enhanced Linked Mode AD FS à N nœuds, en utilisant l'un des N nœuds comme partenaire de réplication.
- Tous les paramètres AD FS de la configuration Enhanced Linked Mode existante sont répliqués vers le nouveau nœud vCenter Server.
Les paramètres AD FS qui se trouvent dans le domaine Enhanced Linked Mode AD FS à N nœuds remplacent tous les paramètres AD FS existants sur le nœud vCenter Server récemment lié.
- Ajoutez tous les URI de redirection du nouveau nœud vCenter Server au groupe d'applications OAuth configuré existant dans AD FS.
- Annuler le lien d'une instance de vCenter Server avec une configuration AD FS Enhanced Linked Mode
-
Étapes de haut niveau :
- (Condition préalable) Configurez AD FS sur une configuration Enhanced Linked Mode vCenter Server à N nœuds.
- Annulez l'enregistrement de l'un des hôtes vCenter Server dans la configuration à N nœuds et redirigez-le vers un nouveau domaine pour le dissocier de la configuration à N nœuds.
- Le processus de redirection du domaine ne conserve pas les paramètres SSO, de sorte que tous les paramètres AD FS sur le nœud vCenter Server dont le lien est annulé sont restaurés et perdus. Pour continuer à utiliser AD FS sur ce nœud vCenter Server non lié, vous devez reconfigurer AD FS depuis le début ou vous devez relier le nœud vCenter Server à une configuration Enhanced Linked Mode dans laquelle AD FS est déjà configuré.