Après l'installation ou la mise à niveau vers vSphere 8.0 Update 3, vous pouvez configurer les hôtes vCenter Server pour VMware Single Sign-On. Lorsque vous configurez VMware Single Sign-On, vous utilisez un fournisseur d'identité externe pour vous connecter à vos hôtes vCenter Server.

VMware Single Sign-On vous permet de connecter les hôtes vCenter Server dans une configuration non-Enhanced Linked Mode. Autrement dit, tant que vous configurez un fournisseur d'identité externe, vous pouvez exploiter cette configuration pour l'authentification unique sur d'autres hôtes vCenter Server.L'hôte vCenter Server sur lequel le fournisseur d'identité externe est configuré agit comme fournisseur d'identité pour les autres hôtes vCenter Server.

Vous pouvez configurer plusieurs hôtes vCenter Server pour exécuter VMware Single Sign-On. Pour ce faire, vous devez configurer chaque hôte vCenter Server pour qu'il pointe vers l'hôte vCenter Server configuré avec un fournisseur d'identité externe.

Après avoir effectué la configuration de VMware Single Sign-On, vous pouvez toujours vous connecter à vos hôtes vCenter Server avec un compte local.

Note : VMware Single Sign-On ne partage pas d'inventaires entre les hôtes vCenter Server, comme cela se produit en mode Enhanced Linked Mode.

Conditions préalables

Configuration requise pour VMware Single Sign-On :

  • L'instance de vCenter Server sur laquelle vous configurez VMware Single Sign-On exécute vSphere 8.0 Update 3.
  • Les hôtes vCenter Server auxquels vous souhaitez vous connecter exécutent au moins vSphere 8.0 Update 1.
  • Vous avez configuré l'un des fournisseurs d'identité externes suivants :
    • Microsoft Entra ID
    • Okta
    • PingFederate
  • Vous devez ajouter le certificat racine approuvé à partir de l'hôte vCenter Server sur lequel le fournisseur d'identité externe est configuré à l'hôte vCenter Server sur lequel vous configurez VMware Single Sign-On.

Procédure

  1. Téléchargez le certificat racine approuvé à partir de l'hôte vCenter Server sur lequel le fournisseur d'identité externe est configuré. Pour obtenir un exemple, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2108294.
  2. Téléchargez ce certificat racine approuvé vers l'hôte vCenter Server sur lequel vous configurez VMware SSO.
    Reportez-vous à la section Ajouter un certificat racine approuvé au magasin de certificats avec vSphere Client.
  3. Utilisez vSphere Client pour vous connecter en tant qu'administrateur à l'hôte vCenter Server sur lequel vous configurez VMware SSO.
  4. Accédez à Accueil > Administration > Single Sign-On > Configuration.
  5. Cliquez sur Changer de fournisseur et sélectionnez VMware SSO.
    L'assistant Configurer le fournisseur d'identité principal s'ouvre.
  6. Dans le panneau Conditions préalables, vérifiez les conditions requises pour vCenter Server.
  7. Cliquez sur Exécuter les vérifications préalables.
    Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
  8. Lorsque la vérification préalable réussit, cochez la case de confirmation, puis cliquez sur Suivant.
  9. Dans le panneau OpenID Connect, entrez les informations suivantes.
    • Nom du fournisseur d'identité : renseigné avec VMware SSO.
    • Nom de domaine complet de l'instance de vCenter Server : entrez le nom de domaine complet de l'hôte vCenter Server sur lequel le fournisseur d'identité externe est configuré.
    • Numéro de port : acceptez la valeur par défaut de 443 ou remplacez le port que vous souhaitez utiliser.
    • Nom d'utilisateur et mot de passe : entrez le nom d'utilisateur et le mot de passe d'un compte d'administrateur sur cet hôte vCenter Server sur lequel le fournisseur d'identité externe est configuré.
  10. Cliquez sur Suivant.
  11. Passez vos informations en revue et cliquez sur Terminer.
    vCenter Server crée le fournisseur VMware SSO et affiche les informations de configuration. Cet hôte vCenter Server contient désormais la même configuration de fournisseur d'identité externe que l'hôte sur lequel la configuration a été créée. Par exemple, lorsque vous comparez les configurations OpenID entre les deux hôtes, elles sont identiques.
  12. Configurez cette instance de vCenter Server pour utiliser le fournisseur d'identité externe pour l'autorisation.
    Vous pouvez attribuer les utilisateurs de fournisseurs d'identité externes à un groupe vCenter Server ou attribuer des autorisations au niveau de l'inventaire et globales aux utilisateurs. L'autorisation minimale requise pour la connexion est Lecture seule.
    Pour attribuer les utilisateurs du fournisseur d'identité externe à un groupe, reportez-vous à la section Ajouter des membres à un groupe vCenter Single Sign-On. Pour attribuer des autorisations au niveau de l'inventaire et globales aux utilisateurs, reportez-vous à la rubrique sur la gestion des autorisations pour les composants de vCenter Server, dans la documentation Sécurité vSphere.
  13. Vérifiez que vous vous connectez à cet hôte vCenter Server avec un utilisateur de fournisseur d'identité externe.
    Lorsque vous lancez vSphere Client, l'écran Bienvenue dans VMware vSphere s'affiche, avec le bouton Se connecter avec SSO. Lorsque vous cliquez sur ce bouton, vous êtes redirigé vers l'écran de connexion du fournisseur d'identité externe.