Pour configurer la fédération de fournisseur d'identité vCenter Server efficacement, vous devez comprendre les flux de communication qui se produisent.

Flux de configuration de la fédération de fournisseur d'identité vCenter Server

La figure suivante illustre le flux de configuration de la fédération de fournisseur d'identité vCenter Server.

Figure 1. Flux de configuration de la fédération de fournisseur d'identité vCenter Server

Cette figure présente le flux de configuration de la fédération de fournisseur d'identité vCenter Server.

vCenter Server, AD FS et Active Directory interagissent de la manière suivante.

  1. L'administrateur AD FS configure une application OAuth AD FS pour vCenter Server.
  2. L'administrateur vCenter Server se connecte à l'instance de vCenter Server à l'aide de vSphere Client.
  3. L'administrateur vCenter Server ajoute un fournisseur d'identité AD FS à l'instance de vCenter Server et entre également des informations sur le domaine Active Directory.

    vCenter Server a besoin de ces informations pour établir une connexion LDAP au domaine Active Directory du serveur AD FS. À l'aide de cette connexion, l'instance de vCenter Server recherche des utilisateurs et des groupes, et les ajoute aux groupes locaux vCenter Server à l'étape suivante. Pour plus d'informations, consultez la section intitulée « Recherche dans le domaine Active Directory » ci-dessous.

  4. L'administrateur vCenter Server configure les autorisations d'autorisation dans l'instance de vCenter Server pour les utilisateurs AD FS.
  5. Le fournisseur AD FS interroge l'API VcIdentityProviders pour obtenir les informations de connexion LDAP pour la source Active Directory.
  6. Le fournisseur AD FS recherche dans Active Directory les utilisateurs ou les groupes interrogés pour terminer la configuration de l'autorisation.

Recherche dans le domaine Active Directory

Vous pouvez configurer AD FS en tant que fournisseur d'identité externe dans l'instance de vCenter Server à l'aide de l'assistant Configurer le fournisseur d'identité principal dans vSphere Client. Dans le cadre du processus de configuration, vous devez entrer les informations sur votre domaine Active Directory, y compris les informations de nom unique d'utilisateur et de groupe. La configuration d'AD FS pour l'authentification nécessite ces informations de connexion Active Directory. Cette connexion est nécessaire pour rechercher et mapper des noms d'utilisateurs et des groupes Active Directory à des rôles et des autorisations dans vCenter Server, alors qu'AD FS est utilisé pour l'authentification de l'utilisateur. Cette étape de l'assistant Configurer le fournisseur d'identité principal ne crée pas une source d'identité Active Directory sur LDAP. vCenter Server utilise plutôt ces informations pour établir une connexion compatible avec la recherche valide à votre domaine Active Directory pour y rechercher des utilisateurs et des groupes.

Prenons un exemple utilisant les entrées de nom unique suivantes :

  • Nom unique de base pour les utilisateurs : cn=Users,dc=corp,dc=local
  • Nom unique de base pour les groupes : dc=corp,dc=local
  • Nom d'utilisateur : cn=Administrator,cn=Users,dc=corp,dc=local

Si l'utilisateur AdfsUser@corp.local est membre du groupe ADGroup@corp.local, la saisie de ces informations dans l'assistant permet à un administrateur vCenter Server de rechercher le groupe ADGroup@corp.local et de l'ajouter au groupe Administrators@vsphere.local de vCenter Server. Par conséquent, l'utilisateur AdfsUser@corp.local se voit accorder des privilèges d'administration dans vCenter Server lors de la connexion.

vCenter Server utilise également ce processus de recherche lorsque vous configurez des autorisations globales pour des utilisateurs et des groupes Active Directory. Dans les deux cas, qu'il s'agisse de configurer des autorisations globales ou d'ajouter un utilisateur ou un groupe, vous sélectionnez le domaine que vous avez saisi pour votre fournisseur d'identité AD FS dans le menu déroulant Domaine pour rechercher et sélectionner des utilisateurs et des groupes dans votre domaine Active Directory.