È possibile configurare VMware Cloud Foundation in modo che utilizzi Active Directory Federation Services (AD FS) come provider di identità esterno al posto di vCenter Single Sign-On. In questa configurazione, il provider di identità esterno interagisce con l'origine identità per conto del vCenter Server.

È possibile aggiungere un solo provider di identità esterno a VMware Cloud Foundation. La modifica del provider di identità da vCenter Single Sign-On ad AD FS rimuove tutti gli utenti e i gruppi aggiunti a VMware Cloud Foundation da origini identità AD su LDAP o OpenLDAP. Gli utenti e i gruppi del dominio di sistema ( ad esempio vsphere.local) non sono interessati.

Prerequisiti

Requisiti di Active Directory Federation Services:

  • AD FS for Windows Server 2016 o versione successiva deve essere già distribuito.
  • AD FS deve essere connesso ad Active Directory.
  • È stato creato un gruppo di amministratori di vCenter Server in AD FS contenente gli utenti a cui si desidera concedere i privilegi di amministratore di vCenter Server.

Per ulteriori informazioni sulla configurazione di AD FS, consultare la documentazione di Microsoft.

vCenter Server e altri requisiti:

  • vSphere 7.0 o versioni successive
  • vCenter Server deve essere in grado di connettersi all'endpoint di esplorazione di AD FS, nonché agli endpoint di autorizzazione, token, disconnessione, JWKS e a tutti gli altri endpoint annunciati nei metadati dell'endpoint di esplorazione.
  • È necessario disporre del privilegio VcIdentityProviders.Manage per creare, aggiornare o eliminare un provider di identità di vCenter Server necessario per l'autenticazione federata. Per limitare un utente alla sola visualizzazione delle informazioni di configurazione del provider di identità, assegnare il privilegio VcIdentityProviders.Read.

Procedura

  1. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  2. Fare clic su Provider di identità.
  3. Fare clic su Modifica provider di identità e selezionare ADFS.
    Opzioni di menu che mostrano ADFS.
  4. Fare clic su Avanti.
  5. Selezionare la casella di controllo per confermare i prerequisiti e fare clic su Avanti.
  6. Se il certificato del server AD FS è firmato da un'autorità di certificazione pubblicamente attendibile, fare clic su Avanti. Se si utilizza un certificato autofirmato, aggiungere il certificato CA root di AD FS aggiunto all'archivio dei certificati root attendibili.
    1. Fare clic su Sfoglia.
    2. Passare al certificato e fare clic su Apri.
    3. Fare clic su Avanti.
  7. Copiare gli URI di reindirizzamento.
    Saranno necessari al momento della creazione del gruppo di applicazioni AD FS nel passaggio successivo.
  8. Creare una configurazione di OpenID Connect in AD FS.

    Per stabilire una relazione di attendibilità relying party tra il vCenter Server e un provider di identità, è necessario impostare le informazioni di identificazione e un segreto condiviso tra loro. In AD FS, è possibile farlo creando una configurazione di OpenID Connect, nota come gruppo di applicazioni, che include un'applicazione server e un'API Web. I due componenti specificano le informazioni che vCenter Server utilizza per considerare attendibile il server AD FS e comunicare con tale server. Per abilitare OpenID Connect in AD FS, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/78029.

    Quando si crea il gruppo di applicazioni di AD FS, tenere presente quanto segue.

    • Sono necessari i due URI di reindirizzamento ottenuti nel passaggio precedente.
    • Copiare le seguenti informazioni in un file o annotarle per poterle utilizzare durante la configurazione del provider di identità nel passaggio successivo.
      • Identificatore client
      • Segreto condiviso
      • Indirizzo OpenID del server AD FS
  9. Immettere le informazioni necessarie per il gruppo di applicazioni e fare clic su Avanti.
    Utilizzare le informazioni raccolte nel passaggio precedente e immettere:
    • Identificatore client
    • Segreto condiviso
    • Indirizzo OpenID del server AD FS
  10. Immettere le informazioni relative a utenti e gruppi per la connessione Active Directory su LDAP per poter cercare utenti e gruppi.
    Il vCenter Server deriva il dominio di AD da utilizzare per le autorizzazioni dal nome distinto di base per gli utenti. È possibile aggiungere autorizzazioni relative a oggetti di vSphere solo per gli utenti e i gruppi di questo dominio di AD. Gli utenti o i gruppi dei domini secondari di AD o di altri domini nella foresta di AD non sono supportati dalla federazione del provider di identità di vCenter Server.
    Opzione Descrizione
    Nome distinto di base per gli utenti Nome distinto di base per gli utenti.
    Nome distinto di base per i gruppi Il nome distinto di base per i gruppi.
    Nome utente ID di un utente nel dominio che dispone di un minimo di accesso in sola lettura al DN di base per utenti e gruppi.
    Password ID di un utente nel dominio che dispone di un minimo di accesso in sola lettura al DN di base per utenti e gruppi.
    URL server primario Server LDAP del controller di dominio primario relativo al dominio.

    Utilizzare il formato ldap://hostname:port o ldaps://hostname:port. La porta è in genere 389 per le connessioni LDAP e 636 per le connessioni LDAPS. In caso di distribuzioni del controller multi-dominio Active Directory, le porte sono in genere 3268 per LDAP e 3269 per LDAPS.

    Quando si utilizza ldaps:// nell'URL LDAP primario o secondario, è necessario un certificato che stabilisca l'attendibilità per l'endpoint LDAPS del server di Active Directory.

    URL server secondario Indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover.
    Certificati (per LDAPS) Se si desidera utilizzare LDAPS fare clic su Sfoglia per selezionare un certificato.
  11. Rivedere le informazioni e fare clic su Invia.

Operazioni successive

Dopo aver aggiunto correttamente AD FS come provider di identità esterno è possibile aggiungere utenti e gruppi a VMware Cloud Foundation. Vedere Aggiunta di un utente o un gruppo in VMware Cloud Foundation.