Après l'installation ou la mise à niveau vers vSphere 8.0 Update 2 ou version ultérieure, vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour Microsoft Entra ID (anciennement Azure AD) en tant que fournisseur d'identité externe.

vCenter Server ne prend en charge qu'un seul fournisseur d'identité externe configuré (une source) et la source d'identité vsphere.local (source locale). Vous ne pouvez pas utiliser plusieurs fournisseurs d'identité externes. La Fédération de fournisseur d'identité vCenter Server utilise OpenID Connect (OIDC) pour la connexion de l'utilisateur à vCenter Server.

Vous pouvez configurer des privilèges à l'aide de groupes et d'utilisateurs Microsoft Entra ID via des autorisations globales ou d'objets dans vCenter Server. Pour plus d'informations sur l'ajout d'autorisations, consultez la documentation de Sécurité vSphere.

Pour une démonstration du processus de configuration, reportez-vous à la vidéo suivante :

Authentification vCenter : intégration d'Azure AD/Entra ID | vSphere 8 Update 2

Conditions préalables

Configuration requise pour Microsoft Entra ID :
  • Vous êtes client de Microsoft et disposez d'un compte Microsoft Entra ID.
Conditions requises pour la connectivité de Microsoft Entra ID :
  • Vous avez créé une application d'entreprise (ne figurant pas dans la galerie) avec OpenID Connect en tant que méthode de connexion
  • Ajoutez un code d'autorisation, un jeton d'actualisation et un mot de passe de propriétaire de ressource en tant que types d'attribution dans l'application créée.
  • Pour la synchronisation des utilisateurs et des groupes, vous devez configurer le provisionnement de l'application de galerie VMware Identity Services pour SCIM 2.0 dans Microsoft Entra ID avec le jeton du porteur OAuth 2.0.
Configuration requise de vCenter Server :
  • vSphere 8.0 Update 2 ou version ultérieure, avec les services VMware Identity Services activés (ils sont activés par défaut).
  • Sur l'instance de vCenter Server dans laquelle vous souhaitez créer la source d'identité Microsoft Entra ID, vérifiez que VMware Identity Services est activé.
  • Les utilisateurs et les groupes du fournisseur d'identité sont provisionnés dans votre système vCenter Server.
Conditions requises pour les privilèges vSphere :
  • Vous devez disposer du privilège VcIdentityProviders.Manage pour créer, mettre à jour ou supprimer un fournisseur d'identité vCenter Server requis pour l'authentification fédérée. Pour limiter un utilisateur à l'affichage des informations de configuration du fournisseur d'identité uniquement, attribuez le privilège VcIdentityProviders.Read.
Conditions requises pour Enhanced Linked Mode :
  • Vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour Microsoft Entra ID dans une configuration Enhanced Linked Mode. Lorsque vous configurez Microsoft Entra ID dans une configuration Enhanced Link Mode, configurez le fournisseur d'identité Microsoft Entra ID pour utiliser VMware Identity Services sur un système vCenter Server unique. Par exemple, si votre configuration Enhanced Link Mode se compose de deux systèmes vCenter Server, seuls un système vCenter Server et son instance de VMware Identity Services sont utilisés pour communiquer avec le serveur Microsoft Entra ID. Si ce système vCenter Server devient indisponible, vous pouvez configurer VMware Identity Services sur d'autres systèmes vCenter Server dans la configuration ELM pour interagir avec votre serveur Microsoft Entra ID. Pour plus d'informations, consultez Processus d'activation des fournisseurs d'identité externes dans des configurations Enhanced Linked Mode.
  • Lors de la configuration de Microsoft Entra ID en tant que fournisseur d'identité externe, tous les systèmes vCenter Server dans une configuration Enhanced Linked Mode doivent exécuter au moins vSphere 8.0 Update 2.
Exigences requises pour la mise en réseau :
  • Si votre réseau n'est pas disponible publiquement, vous devez créer un tunnel réseau entre votre système vCenter Server et votre serveur Microsoft Entra ID, puis utiliser l'URL accessible publiquement appropriée comme URI de base.

Procédure

  1. Créez une application OpenID Connect dans Microsoft Entra ID et attribuez des groupes et des utilisateurs à cette application OpenID Connect.
    Pour créer l'application OpenID Connect et attribuer des groupes et des utilisateurs, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/94182. Suivez les étapes de la section intitulée « Créer l'application OpenID Connect ». Après avoir créé l'application OpenID Connect, copiez les informations suivantes de l'application Microsoft Entra ID OpenID Connect dans un fichier à utiliser lors de la configuration du fournisseur d'identité vCenter Server dans l'étape suivante.
    • Identificateur de client
    • Clé secrète du client (indiquée comme secret partagé dans vSphere Client).
    • Informations de domaine Active Directory ou informations de domaine Microsoft Entra ID si vous n'exécutez pas Active Directory.
  2. Pour créer le fournisseur d'identité sur vCenter Server :
    1. Utilisez vSphere Client pour vous connecter en tant qu'administrateur à vCenter Server.
    2. Accédez à Accueil > Administration > Single Sign-On > Configuration.
    3. Cliquez sur Changer de fournisseur et sélectionnez Microsoft Entra ID.
      L'assistant Configurer le fournisseur d'identité principal s'ouvre.
    4. Dans le panneau Conditions préalables, vérifiez les conditions requises pour Microsoft Entra ID et vCenter Server.
    5. Cliquez sur Exécuter les vérifications préalables.
      Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
    6. Lorsque la vérification préalable réussit, cochez la case de confirmation, puis cliquez sur Suivant.
    7. Dans le panneau Informations de l'annuaire, entrez les informations suivantes.
      • Nom de l'annuaire : nom de l'annuaire local à créer sur vCenter Server qui stocke les utilisateurs et les groupes envoyés à partir de Microsoft Entra ID. Par exemple, vcenter-entraid-directory.
      • Noms de domaine : entrez les noms de domaine Microsoft Entra ID qui contiennent les utilisateurs et les groupes Microsoft Entra ID que vous souhaitez synchroniser avec vCenter Server.

        Après avoir entré votre nom de domaine Microsoft Entra ID, cliquez sur l'icône Plus (+) pour l'ajouter. Si vous entrez plusieurs noms de domaine, spécifiez le domaine par défaut.

    8. Cliquez sur Suivant.
    9. Dans le panneau OpenID Connect, entrez les informations suivantes.
      • Interface utilisateur de redirection : renseignée automatiquement. Attribuez l'interface utilisateur de redirection à votre administrateur Microsoft Entra ID pour l'utilisation dans la création de l'application OpenID Connect.
      • Nom du fournisseur d'identité : renseigné automatiquement comme Microsoft Entra ID.
      • Identificateur de client : obtenu lors de la création de l'application OpenID Connect dans Microsoft Entra ID à l'étape 1. (Microsoft Entra ID fait référence à l'identificateur de client en tant qu'ID de client.)
      • Secret partagé : obtenu lorsque vous avez créé l'application OpenID Connect dans Microsoft Entra ID à l'étape 1. (Microsoft Entra ID fait référence au secret partagé en tant que secret client.)
      • Adresse OpenID : prend la forme https://Microsoft Entra ID domain space/oauth2/default/.well-known/openid-configuration.

        Par exemple, si votre espace de domaine Microsoft Entra ID est example.EntraID.com, l'adresse OpenID est : https://example.EntraID.com/oauth2/default/.well-known/openid-configuration

    10. Cliquez sur Suivant.
    11. Passez vos informations en revue et cliquez sur Terminer.
      vCenter Server crée le fournisseur d'identité Microsoft Entra ID et affiche les informations de configuration.
    12. Si nécessaire, faites défiler vers le bas et cliquez sur l'icône Copier de l'URI de redirection et enregistrez-la dans un fichier.
      Vous utilisez l'URI de redirection dans l'application Microsoft Entra ID OpenID Connection.
    13. Cliquez sur l'icône Copier de l'URL du locataire et enregistrez-la dans un fichier.
      Note : Si votre réseau n'est pas disponible publiquement, vous devez créer un tunnel réseau entre votre système vCenter Server et votre serveur Microsoft Entra ID. Après avoir créé le tunnel réseau, utilisez l'URL accessible publiquement appropriée comme URI de base.
    14. Sous Provisionnement d'utilisateur, cliquez sur Générer pour créer le jeton secret, sélectionnez la durée de vie du jeton dans le menu déroulant, puis cliquez sur Copier dans le Presse-papiers. Enregistrez le jeton dans un emplacement sécurisé.
      Utilisez l'URL du locataire et le jeton dans l'application Microsoft Entra ID SCIM 2.0. L'application Microsoft Entra ID SCIM 2.0 utilise le jeton pour synchroniser les utilisateurs et les groupes Microsoft Entra ID dans VMware Identity Services. Ces informations sont nécessaires pour transférer les utilisateurs et les groupes Microsoft Entra ID de Microsoft Entra ID vers vCenter Server.
  3. Revenez à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/94182 pour mettre à jour l'URI de redirection Microsoft Entra ID.
    Suivez les étapes de la section intitulée « Mettre à jour l'URI de redirection d'Azure AD ».
  4. Pour créer l'application SCIM 2.0, restez dans l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/94182.
    Suivez les étapes de la section intitulée « Créer l'application SCIM 2.0 et transférer les utilisateurs et les groupes vers vCenter Server ».
    Lorsque vous avez créé l'application SCIM 2.0 comme décrit dans l'article de la base de connaissances, passez à l'étape suivante.
  5. Configurez l'appartenance au groupe dans vCenter Server pour l'autorisation Microsoft Entra ID.
    Vous devez configurer l'appartenance au groupe avant que les utilisateurs Microsoft Entra ID puissent se connecter à vCenter Server.
    1. Dans vSphere Client, lorsque vous êtes connecté en tant qu'administrateur local, accédez à Administration > Single Sign On > Utilisateurs et groupes.
    2. Cliquez sur l'onglet Groupes.
    3. Cliquez sur le groupe Administrateurs, puis sur Ajouter des membres.
    4. Sélectionnez le nom de domaine du groupe Microsoft Entra ID que vous souhaitez ajouter dans le menu déroulant.
    5. Dans la zone de texte située sous le menu déroulant, entrez les premiers caractères du groupe Microsoft Entra ID que vous souhaitez ajouter, puis attendez que la sélection déroulante s'affiche.
    6. Sélectionnez le groupe Microsoft Entra ID et ajoutez-le au groupe d'administrateurs.
    7. Cliquez sur Enregistrer.
  6. Vérifiez que vous vous connectez à vCenter Server avec un utilisateur Microsoft Entra ID.
  7. Pour attribuer des autorisations globales et de niveau inventaire à des utilisateurs Microsoft Entra ID, reportez-vous à la rubrique sur la gestion des autorisations pour les composants de vCenter Server dans la documentation Sécurité vSphere.