Après l'installation ou la mise à niveau vers vSphere 7.0 ou version ultérieure, vous pouvez configurer la fédération du fournisseur d'identité vCenter Server.

vCenter Server ne prend en charge qu'un seul fournisseur d'identité externe configuré (une source) et la source d'identité vsphere.local. Vous ne pouvez pas utiliser plusieurs fournisseurs d'identité externes. La Fédération de fournisseur d'identité vCenter Server utilise OpenID Connect (OIDC) pour la connexion de l'utilisateur à vCenter Server.

Cette tâche décrit comment ajouter un groupe AD FS au groupe d'administrateurs vSphere comme moyen de contrôle des autorisations. Vous pouvez également configurer des privilèges à l'aide de l'autorisation AD FS par le biais d'autorisations globales ou d'objets dans l'instance de vCenter Server. Pour plus d'informations sur l'ajout d'autorisations, consultez la documentation de Sécurité vSphere.

Attention :

Si vous utilisez une source d'identité Active Directory que vous avez précédemment ajoutée à vCenter Server pour votre source d'identité AD FS, ne supprimez pas cette source d'identité existante de vCenter Server. Cela entraîne une régression avec des rôles et des appartenances à un groupe précédemment attribués. L'utilisateur AD FS avec des autorisations globales et des utilisateurs ajoutés au groupe d'administrateurs ne pourra pas se connecter.

Solution : si vous n'avez pas besoin des rôles et des appartenances de groupes précédemment attribués, et que vous souhaitez supprimer la source d'identité Active Directory précédente, supprimez la source d'identité avant de créer le fournisseur AD FS et de configurer les appartenances de groupe dans vCenter Server.

Conditions préalables

Conditions requises pour les services de fédération Active Directory :

  • AD FS pour Windows Server 2016 ou version ultérieure doit déjà être déployé.
  • FS AD doit être connecté à Active Directory.
  • Un groupe d'applications pour vCenter Server doit être créé dans AD FS dans le cadre du processus de configuration. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/78029.
  • Un certificat d'autorité de certification racine AD FS ajouté au magasin de certificats racines approuvés (également appelé magasin de certificats VMware).
  • Vous avez créé un groupe d'administrateurs vCenter Server dans AD FS qui contient les utilisateurs auxquels vous souhaitez accorder des privilèges d'administrateur vCenter Server.

Pour plus d'informations sur la configuration d'AD FS, consultez la documentation Microsoft.

vCenter Server et autres conditions requises :

  • vSphere 7.0 ou version ultérieure
  • vCenter Server doit pouvoir se connecter au point de terminaison de détection AD FS, de même que l'autorisation, le jeton, la déconnexion, JWKS et tout autre point de terminaison dans les métadonnées du point de terminaison de détection.
  • Vous avez besoin du privilège VcIdentityProviders.Gérer pour créer, mettre à jour ou supprimer un fournisseur d'identité vCenter Server requis pour l'authentification fédérée. Pour limiter un utilisateur à l'affichage des informations de configuration du fournisseur d'identité uniquement, attribuez le privilège VcIdentityProviders.Lire.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Ajoutez votre certificat d'autorité de certification racine AD FS au magasin de certificats racines approuvés.
    1. Accédez à Administration > Certificats > Gestion des certificats.
    2. En regard de Magasin de certificats racine approuvés, cliquez sur Ajouter.
    3. Recherchez le certificat racine AD FS, puis cliquez sur Ajouter.
      Le certificat est ajouté dans un panneau sous Certificats racines approuvés.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Sélectionnez l'onglet Fournisseur d'identité et obtenez les URI de redirection.
    1. Cliquez sur l'icône « i » d'information en regard du lien « Modifier le fournisseur d'identité ».
      Deux URI de redirection sont affichés dans la bannière contextuelle.
    2. Pour configurer le serveur AD FS, copiez les deux URI dans un fichier ou notez-les pour une utilisation ultérieure dans les étapes suivantes.
    3. Fermez la bannière contextuelle.
  5. Créez une configuration OpenID Connect dans AD FS et configurez-la pour vCenter Server.
    Pour établir une relation d'approbation de partie de confiance entre vCenter Server et un fournisseur d'identité, vous devez établir les informations d'identification et un secret partagé entre eux. Dans AD FS, vous devez créer une configuration OpenID Connect appelée groupe d'applications, qui se compose d'une application serveur et d'une API Web. Les deux composants spécifient les informations que l'instance de vCenter Server utilise pour approuver le serveur AD FS et communiquer avec lui. Pour activer OpenID Connect dans AD FS, reportez-vous à l'article de la base de connaissances VMware sur https://kb.vmware.com/s/article/78029.

    Notez ce qui suit lorsque vous créez le groupe d'applications AD FS.

    • Vous avez besoin des deux URI de redirection que vous avez obtenus et enregistrés à partir de l'étape précédente.
    • Copiez les informations suivantes dans un fichier ou notez-les pour les utiliser lors de la configuration du fournisseur d'identité vCenter Server à l'étape suivante.
      • Identificateur de client
      • Secret partagé
      • Adresse OpenID du serveur AD FS
  6. Création d'un fournisseur d'identité sur vCenter Server.
    1. Revenez à l'onglet Fournisseur d'identité dans vSphere Client.
    2. Cliquez sur le lien « Modifier le fournisseur d'identité ».
      L'Assistant Configurer le fournisseur d'identité principal s'ouvre.
    3. Sélectionnez Microsoft ADFS et cliquez sur Suivant.
      Entrez les informations que vous avez collectées précédemment pour les zones de texte suivantes :
      • Identificateur de client
      • Secret partagé
      • Adresse OpenID du serveur AD FS
    4. Cliquez sur Suivant.
    5. Entrez les informations d'utilisateur et de groupe pour la connexion Active Directory via LDAP pour rechercher des utilisateurs et des groupes.
      vCenter Server dérive le domaine AD à utiliser pour les autorisations à partir du nom unique de base pour les utilisateurs. Vous pouvez ajouter des autorisations sur des objets vSphere uniquement pour les utilisateurs et les groupes de ce domaine AD. Les utilisateurs ou les groupes de domaines enfants AD ou d'autres domaines de la forêt AD ne sont pas pris en charge par la fédération de fournisseurs d'identité vCenter Server.
      Option Description
      Nom unique de base pour les utilisateurs Nom unique de base pour les utilisateurs.
      Nom unique de base pour les groupes Nom unique de base pour les groupes.
      Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom unique de base pour les utilisateurs et les groupes.
      Mot de passe ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom unique de base pour les utilisateurs et les groupes.
      URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine.

      Utilisez le format suivant : ldap://hostname:port ou ldaps://hostname:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

      Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

      URL secondaire du serveur Adresse du serveur LDAP d'un contrôleur de domaine secondaire utilisé pour le basculement.
      certificats SSL Si vous souhaitez utiliser LDAPS avec votre source d'identité du serveur Active Directory LDAP ou OpenLDAP, cliquez sur Parcourir pour sélectionner un certificat.
    6. Cliquez sur Suivant, vérifiez les informations, puis cliquez sur Terminer.
  7. Accédez à l'interface utilisateur de configuration de l'utilisateur vCenter Single Sign-On.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Utilisateurs et groupes.
  8. Configurez l'appartenance au groupe vCenter Server pour l'autorisation AD FS.
    1. Cliquez sur l'onglet Groupes.
    2. Cliquez sur le groupe Administrateurs, puis sur Ajouter des membres.
    3. Sélectionnez le domaine dans le menu déroulant.
    4. Dans la zone de texte située sous le menu déroulant, entrez les premiers caractères du groupe AD FS que vous souhaitez ajouter, puis attendez que la sélection déroulante s'affiche.
      L'affichage de la sélection peut prendre plusieurs secondes, car vCenter Server établit la connexion et recherche Active Directory.
    5. Sélectionnez le groupe AD FS et ajoutez-le au groupe d'administrateurs.
    6. Cliquez sur Enregistrer.
  9. Vérifiez que vous vous connectez à vCenter Server avec un utilisateur Active Directory.