Vous pouvez arrêter et démarrer VMware Identity Services, régénérer un jeton SCIM et restaurer des utilisateurs et des groupes SCIM supprimés.

Selon la tâche, vous utilisez vSphere Client ou la console d'administration du fournisseur d'identité externe.

Arrêter et démarrer VMware Identity Services

Pour configurer et exécuter Okta, Microsoft Entra ID (anciennement appelé Azure AD) ou PingFederate en tant que fournisseur d'identité externe, VMware Identity Services doit être démarré sur vCenter Server. Par défaut, lorsque vous installez vSphere 8.0 Update 1 ou effectuez une mise à niveau vers cette version, VMware Identity Services est démarré. Vous utilisez l'interface de gestion de vCenter Server pour gérer VMware Identity Services.

À partir de la version 8.0 Update 1, vSphere inclut VMware Identity Services pour prendre en charge l'authentification auprès d'Okta. À partir de la version 8.0 Update 2, VMware Identity Services prend en charge l'authentification auprès de Microsoft Entra ID. À partir de la version 8.0 Update 3, VMware Identity Services prend en charge l'authentification sur PingFederate.

Conditions préalables

Lorsque vous installez vSphere 8.0 Update 1 ou version ultérieure, ou effectuez une mise à niveau vers ces versions, VMware Identity Services est automatiquement démarré. Lorsque vous configurez Okta, Microsoft Entra ID ou PingFederate, vous n'avez pas besoin de démarrer VMware Identity Services, car il est déjà en cours d'exécution. Pour démarrer ou arrêter VMware Identity Services, vous devez être un utilisateur racine.

Configurez le fournisseur d'identité externe sur une seul instance de vCenter Server. Cette instance de vCenter Server, via son instance de VMware Identity Services, communique avec le fournisseur d'identité. Les autres systèmes vCenter Server dans la configuration Enhanced Linked Mode exécutent également VMware Identity Services, mais ils ne communiquent pas directement avec le fournisseur d'identité.

Procédure

  1. Dans un navigateur Web, accédez à l'interface de gestion de vCenter Server, à l'adresse https://vcenter-IP-address-or-FQDN:5480.
  2. Connectez-vous en tant qu'utilisateur racine.
    Le mot de passe racine par défaut est le mot de passe que vous définissez lors du déploiement de vCenter Server.
  3. Sélectionnez Services.
  4. Affichez l'état de VMware Identity Services.
  5. Pour arrêter ou démarrer le service, sélectionnez VMware Identity Services, puis cliquez sur Arrêter ou Démarrer.
    Après le démarrage de VMware Identity Services, aucun redémarrage de vCenter Server n'est nécessaire.

Régénérer le jeton SCIM dans vCenter Server

Dans vCenter Server, vous pouvez régénérer un jeton SCIM (System for Cross-domain Identity Management, système pour la gestion des identités interdomaines) pour un fournisseur d'identité externe.

Si vous générez un autre jeton, il devient actif immédiatement et le jeton précédent est révoqué.

Conditions préalables

Vous devez avoir créé un fournisseur d'identité externe dans vCenter Server.

Procédure

  1. Connectez-vous en tant qu'administrateur avec vSphere Client à l'instance de vCenter Server.
  2. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  3. Sur la page Configuration, sous Provisionnement utilisateur/Jeton secret, cliquez sur Regénérer pour régénérer le jeton secret, sélectionnez la durée de vie du jeton dans le menu déroulant, puis cliquez sur Copie dans le Presse-papiers. Enregistrez le jeton dans un emplacement sécurisé.
  4. Le jeton copié est disponible pour vous permettre de mettre à jour la configuration de votre fournisseur d'identité externe.

Restaurer des utilisateurs et des groupes SCIM supprimés

Si les utilisateurs et les groupes transférés par SCIM sur votre instance de vCenter Server ne sont plus synchronisés avec votre fournisseur d'identité externe, vous pouvez prendre des mesures pour résoudre ce problème.

Lorsque vous souhaitez restaurer un utilisateur ou un groupe transféré par SCIM que vous avez supprimé de votre instance de vCenter Server, vous ne pouvez pas simplement transférer l'utilisateur ou le groupe depuis votre fournisseur d'identité. En raison de la manière dont vCenter Server utilise le système pour la gestion des identités interdomaines (SCIM, System for Cross-domain Identity Management) pour gérer des utilisateurs et des groupes, vous devez mettre à jour l'application SCIM 2.0 avec l'utilisateur ou le groupe manquant.

Procédure

  1. Connectez-vous à la console d'administration IDP externe.
  2. Accédez à l'application SCIM 2.0.
  3. Attribuez l'utilisateur ou le groupe supprimé ou manquant.
  4. Sélectionnez l'action appropriée pour supprimer le groupe ou l'utilisateur transféré afin d'annuler le lien du groupe ou de l'utilisateur transféré.
  5. Sélectionnez l'action appropriée pour transférer le groupe.
  6. Vérifiez sur votre instance de vCenter Server que l'IDP externe a synchronisé le groupe ou l'utilisateur.