Après l'installation ou la mise à niveau vers vSphere 8.0 Update 1 ou version ultérieure, vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour Okta en tant que fournisseur d'identité externe.

vCenter Server ne prend en charge qu'un seul fournisseur d'identité externe configuré (une source) et la source d'identité vsphere.local (source locale). Vous ne pouvez pas utiliser plusieurs fournisseurs d'identité externes. La Fédération de fournisseur d'identité vCenter Server utilise OpenID Connect (OIDC) pour la connexion de l'utilisateur à vCenter Server.

Vous pouvez configurer des privilèges à l'aide de groupes et d'utilisateurs Okta via des autorisations globales ou d'objets dans vCenter Server. Pour plus d'informations sur l'ajout d'autorisations, consultez la documentation de Sécurité vSphere.

Conditions préalables

Conditions requises pour Okta :

  • Vous utilisez Okta et disposez d'un espace de domaine dédié, par exemple https://votre-entreprise.okta.com.
  • Pour effectuer des connexions OIDC et gérer les autorisations d'utilisateur et de groupe, vous devez créer les applications Okta suivantes.
    • Une application native Okta avec OpenID Connect comme méthode d'authentification. L'application native doit inclure les types d'attribution de code d'autorisation, de jeton d'actualisation et de mot de passe du propriétaire de la ressource.
    • Une application de système pour la gestion des identités inter-domaines (SCIM, System for Cross-domain Identity Management) 2.0 avec un jeton de support OAuth 2.0 pour effectuer la synchronisation des utilisateurs et des groupes entre le serveur Okta et l'instance de vCenter Server.

    Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/90835.

  • Vous avez identifié les utilisateurs et les groupes Okta que vous souhaitez partager avec l'instance de vCenter Server. Ce partage est une opération SCIM (pas une opération OIDC).

Exigences de connectivité Okta :

  • vCenter Server doit pouvoir se connecter au point de terminaison de détection Okta, de même que l'autorisation, le jeton, JWKS et tout autre point de terminaison annoncé dans les métadonnées du point de terminaison de détection.
  • Okta doit également pouvoir se connecter à l'instance de vCenter Server pour envoyer des données d'utilisateur et de groupe pour le provisionnement SCIM.

Configuration requise de vCenter Server :

  • vSphere 8.0 Update 1 ou version ultérieure
  • Sur l'instance de vCenter Server dans laquelle vous souhaitez créer la source d'identité Okta, vérifiez que VMware Identity Services est activé.
    Note : Lorsque vous installez vSphere 8.0 Update 1 ou version ultérieure ou effectuez la mise à niveau vers celui-ci, VMware Identity Services est activé par défaut. Vous pouvez utiliser l'interface de gestion de vCenter Server pour confirmer l'état de VMware Identity Services. Reportez-vous à la section Arrêter et démarrer VMware Identity Services.

Conditions requises pour les privilèges vSphere :

  • Vous devez disposer du privilège VcIdentityProviders.Gérer pour créer, mettre à jour ou supprimer un fournisseur d'identité vCenter Server requis pour l'authentification fédérée. Pour limiter un utilisateur à l'affichage des informations de configuration du fournisseur d'identité uniquement, attribuez le privilège VcIdentityProviders.Lire.

Conditions requises pour Enhanced Linked Mode :

  • Vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour Okta dans une configuration Enhanced Linked Mode. Lorsque vous configurez Okta dans une configuration Enhanced Link Mode, vous configurez le fournisseur d'identité Okta pour utiliser VMware Identity Services sur un système vCenter Server unique. Par exemple, si votre configuration Enhanced Link Mode se compose de deux systèmes vCenter Server, un seul système vCenter Server et son instance de VMware Identity Services sont utilisés pour communiquer avec le serveur Okta. Si ce système vCenter Server devient indisponible, vous pouvez configurer VMware Identity Services sur d'autres systèmes vCenter Server dans la configuration ELM pour interagir avec votre serveur Okta. Pour plus d'informations, consultez Processus d'activation des fournisseurs d'identité externes dans des configurations Enhanced Linked Mode.
  • Lors de la configuration d'Okta en tant que fournisseur d'identité externe, tous les systèmes vCenter Server dans une configuration Enhanced Linked Mode doivent exécuter au moins vSphere 8.0 Update 1.

Exigences requises pour la mise en réseau :

  • Si votre réseau n'est pas disponible publiquement, vous devez créer un tunnel réseau entre votre système vCenter Server et votre serveur Okta, puis utiliser l'URL accessible publiquement appropriée comme URI de base.

Procédure

  1. Créez une application OpenID Connect dans Okta et attribuez des groupes et des utilisateurs à cette application OpenID Connect.
    Pour créer l'application OpenID Connect et attribuer des groupes et des utilisateurs, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/90835. Suivez les étapes de la section intitulée « Créer l'application OpenID Connect ». Après avoir créé l'application Okta OpenID Connect, copiez les informations suivantes de l'application Okta OpenID Connect dans un fichier à utiliser lors de la configuration du fournisseur d'identité vCenter Server dans l'étape suivante.
    • Identificateur de client
    • Clé secrète du client (indiquée comme secret partagé dans vSphere Client)
    • Informations de domaine Active Directory, ou informations de domaine Okta si vous n'exécutez pas Active Directory
  2. Pour créer le fournisseur d'identité sur vCenter Server :
    1. Utilisez vSphere Client pour vous connecter en tant qu'administrateur à vCenter Server.
    2. Accédez à Accueil > Administration > Single Sign-On > Configuration.
    3. Cliquez sur Changer de fournisseur et sélectionnez Okta.
      L'assistant Configurer le fournisseur d'identité principal s'ouvre.
    4. Dans le panneau Conditions préalables, vérifiez les conditions requises pour Okta et vCenter Server.
    5. Cliquez sur Exécuter les vérifications préalables.
      Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
    6. Lorsque la vérification préalable réussit, cochez la case de confirmation, puis cliquez sur Suivant.
    7. Dans le panneau Informations de l'annuaire, entrez les informations suivantes.
      • Nom de l'annuaire : nom de l'annuaire local à créer sur vCenter Server qui stocke les utilisateurs et les groupes envoyés à partir d'Okta. Par exemple, vcenter-okta-directory.
      • Nom(s) de domaine : entrez les noms de domaine Okta qui contiennent les utilisateurs et les groupes Okta que vous souhaitez synchroniser avec vCenter Server.

        Après avoir entré votre nom de domaine Okta, cliquez sur l'icône Plus (+) pour l'ajouter. Si vous entrez plusieurs noms de domaine, spécifiez le domaine par défaut.

    8. Cliquez sur Suivant.
    9. Dans le panneau OpenID Connect, entrez les informations suivantes.
      • Interface utilisateur de redirection : renseignée automatiquement. Attribuez l'interface utilisateur de redirection à votre administrateur Okta pour l'utilisation dans la création de l'application OpenID Connect.
      • Nom du fournisseur d'identité : renseigné automatiquement comme Okta.
      • Identificateur de client : obtenu lors de la création de l'application OpenID Connect dans Okta à l'étape 1. (Okta fait référence à l'identificateur de client en tant qu'ID de client.)
      • Secret partagé : obtenu lorsque vous avez créé l'application OpenID Connect dans Okta à l'étape 1. (Okta fait référence au secret partagé en tant que secret client.)
      • Adresse OpenID : prend la forme https://espace de domaine Okt/oauth2/default/.well-known/openid-configuration.

        Par exemple, si votre espace de domaine Okta est example.okta.com, l'adresse OpenID est : https://example.okta.com/oauth2/default/.well-known/openid-configuration

        Consultez https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration pour plus d'informations.

    10. Cliquez sur Suivant.
    11. Passez vos informations en revue et cliquez sur Terminer.
      vCenter Server crée le fournisseur d'identité Okta et affiche les informations de configuration.
    12. Si nécessaire, faites défiler vers le bas et cliquez sur l'icône Copier de l'URI de redirection et enregistrez-la dans un fichier.
      Vous utilisez l'URI de redirection dans l'application Okta OpenID Connection.
    13. Cliquez sur l'icône Copier de l'URL du locataire et enregistrez-la dans un fichier.
      Note : Si votre réseau n'est pas disponible publiquement, vous devez créer un tunnel réseau entre votre système vCenter Server et votre serveur Okta. Après avoir créé le tunnel réseau, utilisez l'URL accessible publiquement appropriée comme URI de base.
    14. Sous Provisionnement d'utilisateur, cliquez sur Générer pour créer le jeton secret, sélectionnez la durée de vie du jeton dans le menu déroulant, puis cliquez sur Copier dans le Presse-papiers. Enregistrez le jeton dans un emplacement sécurisé.
      Utilisez l'URL du locataire et le jeton dans l'application Okta SCIM 2.0. L'application Okta SCIM 2.0 utilise le jeton pour synchroniser les utilisateurs et les groupes Okta dans VMware Identity Services. Ces informations sont nécessaires pour transférer les utilisateurs et les groupes Okta vers vCenter Server.
  3. Revenez à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/90835 pour mettre à jour l'URI de redirection Okta.
    Suivez les étapes de la section intitulée « Mettre à jour l'URI de redirection d'Okta ».
  4. Pour créer l'application SCIM 2.0, restez dans l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/90835.
    Suivez les étapes de la section intitulée « Créer l'application SCIM 2.0 et transférer les utilisateurs et les groupes vers vCenter Server ».
    Lorsque vous avez créé l'application SCIM 2.0 comme décrit dans l'article de la base de connaissances, passez à l'étape suivante.
  5. Configurez vCenter Server pour l'autorisation Okta.
    Vous pouvez attribuer des utilisateurs Okta à un groupe vCenter Server ou attribuer des autorisations globales et au niveau de l'inventaire à des utilisateurs Okta. L'autorisation minimale requise pour la connexion est Lecture seule.
    Pour attribuer des utilisateurs Okta à un groupe, reportez-vous à la section Ajouter des membres à un groupe vCenter Single Sign-On. Pour attribuer des autorisations globales et de niveau inventaire à des utilisateurs Okta, reportez-vous à la rubrique sur la gestion des autorisations pour les composants vCenter Server dans la documentation Sécurité vSphere.
  6. Vérifiez que vous vous connectez au système vCenter Server avec un utilisateur Okta.