En savoir plus sur les éléments à prendre en compte pour la disponibilité dans les configurations Enhanced Linked Mode avec Okta, Microsoft Entra ID ou PingFederate.

Conditions préalables

  • Au moins deux systèmes vCenter Server dans une configuration Enhanced Linked Mode. Par exemple, les systèmes sont étiquetés en tant que VC_1, VC_2 VC_3, via VC_N, où N correspond au nombre de systèmes vCenter Server dans la configuration Enhanced Linked Mode.
  • Pour Okta et Microsoft Entra ID, tous les systèmes vCenter Server doivent exécuter vSphere 8.0 Update 2 ou une version ultérieure. Pour PingFederate, tous les systèmes vCenter Server doivent exécuter au moins vSphere 8.0 Update 3.
  • Okta, Microsoft Entra ID ou PingFederate est configuré en tant que fournisseur d'identité externe sur l'un des systèmes vCenter Server. Par exemple, le système est étiqueté en tant que VC_1.
  • Le fournisseur d'identité externe est configuré avec toutes les applications OAuth2 et SCIM requises.

Procédure

  1. Pour activer une instance de vCenter Server VC_i donnée où i est compris entre 2 et N :
    1. Obtenez un accès au shell local pour VC_i afin d'exécuter le script d'activation.
      Note : Pour effectuer les étapes suivantes, le compte d'utilisateur vCenter Server disposant de privilèges administratifs peut être attribué sur la ligne de commande ou dans les invites de console.
    2. Exécutez 'status' à partir du script d'activation pour obtenir l'état d'activation actuel de vCenter Server. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. Si la commande 'status' indique que l'instance de vCenter Server n'est pas activée, exécutez 'activate' à partir du script d'activation : 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. Si la commande 'status' indique que l'instance de vCenter Server est déjà activée, exécutez l'option 'deactivate', puis exécutez l'option 'activate'. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • Par exemple, exécutez l'option 'activate'.
      • Vous pouvez également spécifier l'option '--force-replace' dans la commande 'activate'.
  2. Ouvrez un navigateur sur l'instance de vCenter Server VC_i et connectez-vous en tant qu'administrateur à vCenter Server.
    1. Accédez à Accueil > Administration > Single Sign-On > Configuration.
    2. Sous Provisionnement d'utilisateur, vérifiez que l'URL du locataire contient le nom de domaine complet de VC_i.
    3. Copiez la chaîne URL de locataire et enregistrez ces informations pour les utiliser avec le fournisseur d'identité externe.
    4. Sous Jeton secret, cliquez sur Générer, copiez la chaîne de jeton générée et enregistrez ces informations pour les utiliser avec le fournisseur d'identité externe.
    5. Sous OpenID Connect, vérifiez que l'URI de redirection contient le nom de domaine complet de VC_i.
    6. Copiez la chaîne URI de redirection et enregistrez ces informations pour les utiliser avec le fournisseur d'identité externe.
  3. Ouvrez un navigateur sur la page d'administration du fournisseur d'identité externe.
    Note : Pour plus d'informations, reportez-vous aux détails spécifiques du fournisseur d'identité externe pour effectuer les étapes suivantes.
    1. Recherchez l'enregistrement OAuth2 qui a été configuré lors de la configuration initiale du fournisseur d'identité externe dans VC_1.
    2. Modifiez l'enregistrement OAuth2 et ajoutez l'URI de redirection précédemment obtenu pour VC_i.
    3. Si le fournisseur d'identité externe prend en charge les configurations de transfert SCIM avec plusieurs destinations, alors :
      • Recherchez la configuration de transfert SCIM qui a été configurée lors de la configuration initiale du fournisseur d'identité externe dans VC_1.
      • Modifiez la configuration de transfert SCIM et ajoutez l'URL du locataire et le Jeton secret qui ont été précédemment obtenus pour VC_i.
    4. Si le fournisseur d'identité externe prend en charge les configurations de transfert SCIM avec une seule destination :
      • Créez une configuration de transfert SCIM avec l'URL du locataire et le Jeton secret qui ont été précédemment obtenus pour VC_i.
      • Assurez-vous que la configuration de transfert SCIM envoie les mêmes données d'utilisateur/de groupe que la configuration de transfert SCIM qui a été configurée lors de la configuration initiale du fournisseur d'identité externe dans VC_1.
    5. Initiez une opération de transfert SCIM pour vous assurer que VC_i est renseignée avec les données d'utilisateur ou de groupe les plus récentes.