Après l'installation ou la mise à niveau vers vSphere 7.0 ou version ultérieure, vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour AD FS en tant que fournisseur d'identité externe.
vCenter Server ne prend en charge qu'un seul fournisseur d'identité externe configuré (une source) et la source d'identité vsphere.local. Vous ne pouvez pas utiliser plusieurs fournisseurs d'identité externes. La Fédération de fournisseur d'identité vCenter Server utilise OpenID Connect (OIDC) pour la connexion de l'utilisateur à vCenter Server.
Cette tâche décrit comment ajouter un groupe AD FS au groupe d'administrateurs vSphere comme moyen de contrôle des autorisations. Vous pouvez également configurer des privilèges à l'aide de l'autorisation AD FS par le biais d'autorisations globales ou d'objets dans l'instance de vCenter Server. Pour plus d'informations sur l'ajout d'autorisations, consultez la documentation de Sécurité vSphere.
Si vous utilisez une source d'identité Active Directory que vous avez précédemment ajoutée à vCenter Server pour votre source d'identité AD FS, ne supprimez pas cette source d'identité existante de vCenter Server. Cela entraîne une régression avec des rôles et des appartenances à un groupe précédemment attribués. L'utilisateur AD FS avec des autorisations globales et des utilisateurs ajoutés au groupe d'administrateurs ne pourra pas se connecter.
Solution : si vous n'avez pas besoin des rôles et des appartenances de groupes précédemment attribués, et que vous souhaitez supprimer la source d'identité Active Directory précédente, supprimez la source d'identité avant de créer le fournisseur AD FS et de configurer les appartenances de groupe dans vCenter Server.
Conditions préalables
Conditions requises pour les services de fédération Active Directory :
- AD FS pour Windows Server 2016 ou version ultérieure doit déjà être déployé.
- FS AD doit être connecté à Active Directory.
- Un groupe d'applications pour vCenter Server doit être créé dans AD FS dans le cadre du processus de configuration. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/78029.
- Un certificat de serveur AD FS (ou un certificat d'autorité de certification ou un certificat intermédiaire qui a signé le certificat de serveur AD FS) que vous ajoutez au magasin de certificats racines approuvés.
- Vous avez créé un groupe d'administrateurs vCenter Server dans AD FS qui contient les utilisateurs auxquels vous souhaitez accorder des privilèges d'administrateur vCenter Server.
Pour plus d'informations sur la configuration d'AD FS, consultez la documentation Microsoft.
vCenter Server et autres conditions requises :
- vSphere 7.0 ou version ultérieure
- vCenter Server doit pouvoir se connecter au point de terminaison de détection AD FS, de même que l'autorisation, le jeton, la déconnexion, JWKS et tout autre point de terminaison dans les métadonnées du point de terminaison de détection.
- Vous avez besoin du privilège vCenter Server requis pour l'authentification fédérée. Pour limiter un utilisateur à l'affichage des informations de configuration du fournisseur d'identité uniquement, attribuez le privilège . pour créer, mettre à jour ou supprimer un fournisseur d'identité