Lorsque vous activez la fédération de fournisseur d'identité dans des environnements vCenter Server à l'aide du mode Enhanced Linked Mode, l'authentification et les workflows continuent de fonctionner comme avant.
Si vous utilisez la configuration Enhanced Linked Mode, notez ce qui suit lors de la connexion à vCenter Server à l'aide de l'authentification fédérée.
- Les utilisateurs continuent à voir le même inventaire et peuvent effectuer les mêmes actions, en fonction du modèle d'autorisations et de rôles de vCenter Server.
- Les hôtes vCenter Server en mode Enhanced Linked Mode ne doivent pas nécessairement avoir accès à leurs fournisseurs d'identité entre eux. Prenons par exemple deux systèmes vCenter Server A et B qui utilisent le mode Enhanced Linked Mode. Une fois que le système vCenter Server A autorise un utilisateur, celui-ci est également autorisé sur le système vCenter Server B.
Enhanced Link Mode et AD FS
La figure suivante illustre le workflow d'authentification lors de l'utilisation d'AD FS en mode Enhanced Linked Mode.
- Deux nœuds vCenter Server sont déployés dans une configuration Enhanced Linked Mode.
- La configuration AD FS a été configurée sur le système vCenter Server A à l'aide de l'assistant de modification du fournisseur d'identité dans vSphere Client. Des appartenances et des autorisations de groupe ont également été établies pour les utilisateurs ou les groupes AD FS.
- Le système vCenter Server A réplique la configuration AD FS sur le système vCenter Server B.
- Tous les URI de redirection des deux nœuds vCenter Server sont ajoutés au groupe d'applications OAuth dans AD FS. Un seul groupe d'applications OAuth est créé.
- Lorsqu'un utilisateur se connecte au système vCenter Server A et est autorisé par celui-ci, l'utilisateur est également autorisé sur le système vCenter Server B. Il en va de même si l'utilisateur se connecte d'abord au système vCenter Server B.
Scénarios de configuration Enhanced Linked Mode avec AD FS
Le mode Enhanced Linked Mode de vCenter Server prend en charge les scénarios de configuration suivants pour AD FS. Dans cette section, les termes « Paramètres AD FS » et « Configuration AD FS » font référence aux paramètres que vous configurez dans vSphere Client à l'aide de l'assistant Changer le fournisseur d'identité, ainsi que des appartenances aux groupes ou des autorisations que vous avez établies pour les utilisateurs ou les groupes AD FS.
Activer AD FS sur une configuration Enhanced Linked Mode existante
Étapes de haut niveau :
- Déployez N nœuds vCenter Server dans la configuration Enhanced Linked Mode.
- Configurez AD FS sur l'un des nœuds vCenter Server liés.
- La configuration AD FS est répliquée sur tous les autres nœuds vCenter Server (N-1).
- Ajoutez tous les URI de redirection pour la totalité des N nœuds vCenter Server au groupe d'applications OAuth configuré dans AD FS.
Lier une nouvelle instance de vCenter Server à une configuration AD FS Enhanced Linked Mode existante
Étapes de haut niveau :
- (Condition préalable) Configurez AD FS sur une configuration Enhanced Linked Mode à N nœuds vCenter Server.
- Déployez un nouveau nœud vCenter Server indépendant.
- Redirigez le nouveau nœud vCenter Server vers le domaine Enhanced Linked Mode AD FS à N nœuds, en utilisant l'un des N nœuds comme partenaire de réplication.
- Tous les paramètres AD FS de la configuration Enhanced Linked Mode existante sont répliqués vers le nouveau nœud vCenter Server.
Les paramètres AD FS qui se trouvent dans le domaine Enhanced Linked Mode AD FS à N nœuds remplacent tous les paramètres AD FS existants sur le nœud vCenter Server récemment lié.
- Ajoutez tous les URI de redirection du nouveau nœud vCenter Server au groupe d'applications OAuth configuré existant dans AD FS.
Annuler le lien d'une instance de vCenter Server à une configuration AD FS Enhanced Linked Mode
Étapes de haut niveau :
- (Condition préalable) Configurez AD FS sur une configuration Enhanced Linked Mode vCenter Server à N nœuds.
- Annulez l'enregistrement de l'un des hôtes vCenter Server dans la configuration à N nœuds et redirigez-le vers un nouveau domaine pour le dissocier de la configuration à N nœuds.
- Le processus de redirection du domaine ne conserve pas les paramètres SSO, de sorte que tous les paramètres AD FS sur le nœud vCenter Server dont le lien est annulé sont restaurés et perdus. Pour continuer à utiliser AD FS sur ce nœud vCenter Server non lié, vous devez reconfigurer AD FS depuis le début ou vous devez relier le nœud vCenter Server à une configuration Enhanced Linked Mode dans laquelle AD FS est déjà configuré.
Enhanced Linked Mode et okta, Microsoft Entra ID ou PingFederate Identity Provider Federation
La figure suivante illustre le workflow d'authentification lors de l'utilisation d'Okta, de Microsoft Entra ID ou de PingFederate avec Enhanced Linked Mode.
- Deux nœuds vCenter Server sont déployés dans une configuration Enhanced Linked Mode.
- La configuration Okta, Microsoft Entra ID ou PingFederate a été configurée sur le système vCenter Server A à l'aide de l'assistant de modification du fournisseur d'identité dans vSphere Client. En outre, des appartenances et des autorisations de groupe ont également été établies pour les utilisateurs ou les groupes Okta, Microsoft Entra ID ou PingFederate.
Note : VMware Identity Services est activé sur les deux systèmes vCenter Server A et B, mais seule l'instance de VMware Identity Services sur le système vCenter Server A communique avec le serveur du fournisseur d'identité.
- L'instance de VMware Identity Services qui s'exécute sur vCenter Server A permet au système vCenter Server B d'accéder à son point de terminaison.
- L'URI de redirection de vCenter Server A est ajouté à l'application OAuth dans Okta, Microsoft Entra ID ou PingFederate. Une seule application OAuth est créée.
- Lorsqu'un utilisateur se connecte au système vCenter Server A et est autorisé par celui-ci, l'utilisateur est également autorisé sur le système vCenter Server B. Il en va de même si l'utilisateur se connecte d'abord au système vCenter Server B.
Scénarios de configuration Enhanced Linked Mode avec Okta, Microsoft Entra ID ou PingFederate
Le mode Enhanced Linked Mode de vCenter Server prend en charge les scénarios de configuration suivants pour Okta, Microsoft Entra ID et PingFederate. Dans cette section, les termes « Paramètres Okta » et « Configuration d'Okta », « Paramètres Microsoft Entra ID » et « Configuration de Microsoft Entra ID » ou « Paramètres PingFederate » et « Configuration de PingFederate » font référence aux paramètres que vous configurez dans vSphere Client à l'aide de l'assistant Changer le fournisseur d'identité, ainsi que des appartenances aux groupes ou des autorisations que vous avez établies pour les utilisateurs ou les groupes Okta, Microsoft Entra ID ou PingFederate.
Activer Okta, Microsoft Entra ID ou PingFederate sur une configuration Enhanced Linked Mode existante
Étapes de haut niveau :
- Déployez N nœuds vCenter Server dans la configuration Enhanced Linked Mode.
- Configurez Okta, Microsoft Entra ID ou PingFederate sur l'un des nœuds vCenter Server liés.
- Les informations sur le point de terminaison VMware Identity Services est répliqué sur tous les autres nœuds vCenter Server (N-1).
Les informations sur la configuration d'Okta, de Microsoft Entra ID ou de PingFederate (ID client partagé, etc.) et les informations sur l'utilisateur ou le groupe ne sont pas répliquées.
Lier une nouvelle instance de vCenter Server à une configuration existante d'Okta, de Microsoft Entra ID ou de PingFederate en mode Enhanced Linked Mode
Étapes de haut niveau :
- (Condition préalable) Configurez Okta, Microsoft Entra ID ou PingFederate sur une configuration Enhanced Linked Mode à N nœuds de vCenter Server.
- Déployez un nouveau nœud vCenter Server indépendant.
- Redirigez la nouvelle instance de vCenter Server sur le domaine Okta, Microsoft Entra ID ou PingFederate en mode Enhanced Linked Mode à N nœuds, en utilisant l'un des N nœuds comme partenaire de réplication.
- Les informations sur le point de terminaison VMware Identity Services est répliqué sur tous les autres nœuds vCenter Server (N-1).
Les informations sur la configuration d'Okta, de Microsoft Entra ID ou de PingFederate (ID client partagé, etc.) et les informations sur l'utilisateur ou le groupe ne sont pas répliquées.
Vous ne pouvez pas ajouter un nœud vCenter Server avec une configuration de VMware Identity Services existante à une configuration ELM qui n'a pas été configurée avec VMware Identity Services. Dans ce scénario, supprimez d'abord la configuration existante de VMware Identity Services de l'instance de vCenter Server avant de l'ajouter à la configuration ELM.
Annuler la liaison d'une instance de vCenter Server à une configuration existante d'Okta, de Microsoft Entra ID ou de PingFederate en mode Enhanced Linked Mode
Étapes de haut niveau :
- (Condition préalable) Configurez Okta, Microsoft Entra ID ou PingFederate sur une configuration Enhanced Linked Mode à N nœuds de vCenter Server.
- Annulez l'enregistrement de l'un des hôtes vCenter Server dans la configuration à N nœuds et redirigez-le vers un nouveau domaine pour le dissocier de la configuration à N nœuds.
- Le processus de redirection du domaine ne conserve pas les paramètres SSO, de sorte que tous les paramètres Okta, Microsoft Entra ID ou PingFederate sur le nœud vCenter Server non lié sont restaurés et perdus. Pour continuer à utiliser Okta, Microsoft Entra ID ou PingFederate sur ce nœud vCenter Server non lié, vous devez reconfigurer Okta, Microsoft Entra ID ou PingFederate depuis le début ou vous devez relier l'instance de vCenter Server à une configuration Enhanced Linked Mode dans laquelle Okta, Microsoft Entra ID ou PingFederate est déjà configuré.