Après l'installation ou la mise à niveau vers vSphere 7.0 ou version ultérieure, vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour AD FS en tant que fournisseur d'identité externe.

Note : Ces instructions concernent vSphere 8.0 Update 1 et versions ultérieures. Pour vSphere 8.0, reportez-vous à la rubrique sur la configuration de fédération de fournisseurs d'identité vCenter Server pour AD FS dans la documentation Authentification vSphere à l'adresse https://docs.vmware.com/fr/VMware-vSphere/8.0/vsphere-documentation-80.zip.

vCenter Server ne prend en charge qu'un seul fournisseur d'identité externe configuré (une source) et la source d'identité vsphere.local. Vous ne pouvez pas utiliser plusieurs fournisseurs d'identité externes. La Fédération de fournisseur d'identité vCenter Server utilise OpenID Connect (OIDC) pour la connexion de l'utilisateur à vCenter Server.

Cette tâche décrit comment ajouter un groupe AD FS au groupe d'administrateurs vSphere comme moyen de contrôle des autorisations. Vous pouvez également configurer des privilèges à l'aide de l'autorisation AD FS par le biais d'autorisations globales ou d'objets dans l'instance de vCenter Server. Pour plus d'informations sur l'ajout d'autorisations, consultez la documentation de Sécurité vSphere.

Attention :

Si vous utilisez une source d'identité Active Directory que vous avez précédemment ajoutée à vCenter Server pour votre source d'identité AD FS, ne supprimez pas cette source d'identité existante de vCenter Server. Cela entraîne une régression avec des rôles et des appartenances à un groupe précédemment attribués. L'utilisateur AD FS avec des autorisations globales et des utilisateurs ajoutés au groupe d'administrateurs ne pourra pas se connecter.

Solution : si vous n'avez pas besoin des rôles et des appartenances de groupes précédemment attribués, et que vous souhaitez supprimer la source d'identité Active Directory précédente, supprimez la source d'identité avant de créer le fournisseur AD FS et de configurer les appartenances de groupe dans vCenter Server.

Conditions préalables

Note : Ce processus de configuration d'un fournisseur d'identité AD FS nécessite que vous disposiez d'un accès administratif à la fois à votre instance de vCenter Server et à votre serveur AD FS. Pendant le processus de configuration, entrez d'abord des informations dans votre instance de vCenter Server, puis dans votre serveur AD FS, puis dans votre instance de vCenter Server.

Conditions requises pour les services de fédération Active Directory :

  • AD FS pour Windows Server 2016 ou version ultérieure doit déjà être déployé.
  • FS AD doit être connecté à Active Directory.
  • Un groupe d'applications pour vCenter Server doit être créé dans AD FS dans le cadre du processus de configuration. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/78029.
  • Un certificat de serveur AD FS (ou un certificat d'autorité de certification ou un certificat intermédiaire qui a signé le certificat de serveur AD FS) que vous ajoutez au magasin de certificats racines approuvés.
  • Vous avez créé un groupe d'administrateurs vCenter Server dans AD FS qui contient les utilisateurs auxquels vous souhaitez accorder des privilèges d'administrateur vCenter Server.

Pour plus d'informations sur la configuration d'AD FS, consultez la documentation Microsoft.

vCenter Server et autres conditions requises :

  • vSphere 7.0 ou version ultérieure
  • vCenter Server doit pouvoir se connecter au point de terminaison de détection AD FS, de même que l'autorisation, le jeton, la déconnexion, JWKS et tout autre point de terminaison dans les métadonnées du point de terminaison de détection.
  • Vous avez besoin du privilège VcIdentityProviders.Gérer pour créer, mettre à jour ou supprimer un fournisseur d'identité vCenter Server requis pour l'authentification fédérée. Pour limiter un utilisateur à l'affichage des informations de configuration du fournisseur d'identité uniquement, attribuez le privilège VcIdentityProviders.Lire.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Ajoutez votre certificat de serveur AD FS (ou un certificat d'autorité de certification ou un certificat intermédiaire qui a signé le certificat de serveur AD FS) au magasin de certificats racines approuvés.
    Note : Pour en savoir plus, reportez-vous à la section Ajouter un certificat racine approuvé au magasin de certificats avec vSphere Client
    1. Accédez à Administration > Certificats > Gestion des certificats.
    2. En regard de Magasin de certificats racine approuvés, cliquez sur Ajouter.
    3. Recherchez le certificat racine AD FS, puis cliquez sur Ajouter.
      Le certificat est ajouté dans un panneau sous Certificats racines approuvés.
  3. Commencez à créer le fournisseur d'identité sur le système vCenter Server.
    1. Utilisez vSphere Client pour vous connecter en tant qu'administrateur à vCenter Server.
    2. Accédez à Accueil > Administration > Single Sign-On > Configuration.
    3. Cliquez sur Changer de fournisseur et sélectionnez ADFS.
      L'assistant Configurer le fournisseur d'identité principal s'ouvre.
    4. Dans le panneau Conditions préalables, vérifiez les conditions requises pour AD FS et vCenter Server.
    5. Cliquez sur Exécuter les vérifications préalables.
      Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
    6. Lorsque la vérification préalable réussit, cochez la case de confirmation, puis cliquez sur Suivant.
    7. Dans le panneau Utilisateurs et groupes, entrez les informations d'utilisateur et de groupe pour la connexion Active Directory via LDAP pour rechercher des utilisateurs et des groupes.
      vCenter Server dérive le domaine AD à utiliser pour les autorisations à partir du nom unique de base pour les utilisateurs. Vous pouvez ajouter des autorisations sur des objets vSphere uniquement pour les utilisateurs et les groupes de ce domaine AD. Les utilisateurs ou les groupes de domaines enfants AD ou d'autres domaines de la forêt AD ne sont pas pris en charge par la fédération de fournisseurs d'identité vCenter Server.
      Option Description
      Nom unique de base pour les utilisateurs Nom unique de base pour les utilisateurs.
      Nom unique de base pour les groupes Nom unique de base pour les groupes.
      Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom unique de base pour les utilisateurs et les groupes.
      Mot de passe ID d'un utilisateur du domaine qui dispose au minimum d'un accès en lecture seule au nom unique de base pour les utilisateurs et les groupes.
      URL du serveur principal Serveur LDAP du contrôleur de domaine principale du domaine.

      Utilisez le format suivant : ldap://hostname:port ou ldaps://hostname:port. Le port est généralement 389 pour les connexions LDAP et 636 pour les connexions LDAPS. Pour les déploiements de contrôleurs multi-domaines Active Directory, le port est généralement 3268 pour les connexions LDAP et 3269 pour les connexions LDAPS.

      Un certificat qui établit la confiance du point de terminaison LDAPS du serveur Active Directory est requis lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.

      URL secondaire du serveur Adresse du serveur LDAP d'un contrôleur de domaine secondaire utilisé pour le basculement.
      certificats SSL Si vous souhaitez utiliser LDAPS avec votre source d'identité du serveur Active Directory LDAP ou OpenLDAP, cliquez sur Parcourir pour sélectionner un certificat.
    8. Cliquez sur Suivant.
    9. Dans le panneau OpenID Connect, copiez l'URI de redirection et l'URI de redirection de déconnexion.
      Laissez les autres champs vides pour le moment. Revenez au panneau OpenID Connect après avoir créé la configuration de connexion OpenID à l'étape suivante.
  4. Créez une configuration OpenID Connect dans AD FS et configurez-la pour vCenter Server.
    Pour établir une relation d'approbation de partie de confiance entre vCenter Server et un fournisseur d'identité, vous devez établir les informations d'identification et un secret partagé entre eux. Dans AD FS, vous devez créer une configuration OpenID Connect appelée groupe d'applications, qui se compose d'une application serveur et d'une API Web. Les deux composants spécifient les informations que l'instance de vCenter Server utilise pour approuver le serveur AD FS et communiquer avec lui. Pour activer OpenID Connect dans AD FS, reportez-vous à l'article de la base de connaissances VMware sur https://kb.vmware.com/s/article/78029.

    Notez ce qui suit lorsque vous créez le groupe d'applications AD FS.

    • Vous avez besoin des deux URI de redirection vCenter Server obtenus à l'étape précédente.
    • Copiez les informations suivantes du groupe d'applications AD FS dans un fichier ou notez-les pour les utiliser en terminant la création du fournisseur d'identité vCenter Server à l'étape suivante.
      • Identificateur de client
      • Secret partagé
      • Adresse OpenID du serveur AD FS
    Note : Si nécessaire, obtenez l'adresse OpenID de votre serveur AD FS en exécutant la commande PowerShell suivante en tant qu'administrateur AD FS.
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    Copiez l'URL qui est renvoyée (sélectionnez uniquement l'URL elle-même, pas la parenthèse fermante ou la partie "@{FullUrl=" initiale).

  5. Dans le panneau vCenter Server OpenID Connect :
    1. Entrez les informations suivantes, que vous avez obtenues à l'étape précédente lors de la création du groupe d'applications AD FS :
      • Identificateur de client
      • Secret partagé
      • Adresse OpenID

      Le nom du fournisseur d'identité est automatiquement renseigné en tant que Microsoft AD FS.

    2. Cliquez sur Suivant.
  6. Passez vos informations en revue et cliquez sur Terminer.
    vCenter Server crée le fournisseur d'identité AD FS et affiche les informations de configuration.
  7. Configurez l'appartenance au groupe dans vCenter Server pour l'autorisation AD FS.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Utilisateurs et groupes.
    3. Cliquez sur l'onglet Groupes.
    4. Cliquez sur le groupe Administrateurs, puis sur Ajouter des membres.
    5. Sélectionnez le domaine dans le menu déroulant.
    6. Dans la zone de texte située sous le menu déroulant, entrez les premiers caractères du groupe AD FS que vous souhaitez ajouter, puis attendez que la sélection déroulante s'affiche.
      L'affichage de la sélection peut prendre plusieurs secondes, car vCenter Server établit la connexion et recherche Active Directory.
    7. Sélectionnez le groupe AD FS et ajoutez-le au groupe d'administrateurs.
    8. Cliquez sur Enregistrer.
  8. Vérifiez que vous vous connectez à vCenter Server avec un utilisateur Active Directory.