L'utilizzo di Microsoft Entra ID come provider di identità per il vCenter Server del dominio di gestione consente la federazione delle identità tra SDDC Manager, vCenter Server e NSX Manager.

La configurazione della federazione delle identità con Microsoft Entra ID implica l'esecuzione di attività nella console di amministrazione di Microsoft Entra e nell' Interfaccia utente di SDDC Manager. Dopo la sincronizzazione degli utenti e dei gruppi, è possibile assegnare autorizzazioni in SDDC Manager, vCenter Server e NSX Manager.
  1. Creare un'applicazione OpenID Connect per VMware Cloud Foundation in Microsoft Entra ID.
  2. Configurare Microsoft Entra ID come provider di identità nell'Interfaccia utente di SDDC Manager.
  3. Aggiornare l'applicazione OpenID Connect di Microsoft Entra ID con l'URI di reindirizzamento da SDDC Manager.
  4. Creare un'applicazione SCIM 2.0 per VMware Cloud Foundation.
  5. Assegnare le autorizzazioni per utenti e gruppi di Microsoft Entra ID in SDDC Manager, vCenter Server e NSX Manager.
Nota: Se sono stati creati domini del carico di lavoro VI isolati che utilizzano domini SSO diversi, è necessario utilizzare vSphere Client per configurare Microsoft Entra ID come provider di identità per tali domini SSO. Quando si configura Microsoft Entra ID come provider di identità per un dominio del carico di lavoro isolato in vSphere Client, NSX Manager viene registrato automaticamente come relying party. Ciò significa che dopo che un utente Microsoft Entra ID con le autorizzazioni necessarie ha effettuato l'accesso al vCenter Server del dominio del carico di lavoro VI isolato, può accedere direttamente a NSX Manager del dominio del carico di lavoro VI dall' Interfaccia utente di SDDC Manager senza dover eseguire nuovamente l'accesso.

Prerequisiti

Integrare Active Directory (AD) con Microsoft Entra ID. Per ulteriori informazioni, vedere la documentazione di Microsoft.
Nota: Questa operazione non è necessaria se non si desidera eseguire l'integrazione con AD oppure se AD e Microsoft Entra ID sono già stati integrati in precedenza.

Creazione di un'applicazione OpenID Connect per VMware Cloud Foundation in Microsoft Entra ID

Prima di poter utilizzare Microsoft Entra ID come provider di identità in VMware Cloud Foundation, è necessario creare un'applicazione OpenID Connect in Microsoft Entra ID e assegnare utenti e gruppi all'applicazione OpenID Connect.

Procedura

  1. Accedere alla console di amministrazione di Microsoft Entra e seguire le indicazioni della documentazione di Microsoft per creare un'applicazione OpenID Connect.
    Quando si crea l'applicazione OpenID Connect nella procedura guidata Crea nuova integrazione app:
    • Selezionare Home > Directory Azure AD > Registrazione app > Nuova registrazione.
    • Immettere un nome appropriato per l'applicazione OpenID Connect, ad esempio EntraID-vCenter-app.
    • In Tipi di account supportati lasciare il valore predefinito o selezionare il valore desiderato in base alle proprie esigenze.
    • Impostare URI reindirizzamento su Web. Non è necessario immettere un URI di reindirizzamento. Questo valore può infatti essere inserito in un secondo momento.
  2. Dopo aver creato l'applicazione OpenID Connect, generare il segreto client.
    1. Fare clic su Certificati e segreti > Segreti client > Nuovo segreto client.
    2. Immettere una descrizione per il segreto client e selezionare la validità nel menu a discesa Scadenza.
    3. Fare clic su Aggiungi.
    4. Una volta generato un segreto, copiare il contenuto in Valore e salvarlo per utilizzarlo nella creazione del provider di identità Microsoft Entra ID in SDDC Manager.
      Nota: SDDC Manager utilizza il termine Segreto condiviso anziché Segreto client.
  3. Recuperare l'ID client.
    1. Fare clic su Panoramica.
    2. Copiare il valore dall'ID applicazione (client).
      Nota: SDDC Manager utilizza il termine Identificatore client anziché ID client.
  4. Fare clic su Panoramica > Endpoint e copiare il valore per il documento dei metadati di OpenID Connect.
  5. Fare clic su Gestisci > Autenticazione, scorrere fino alla sezione Impostazioni avanzate, spostare l'interruttore su in Abilita flussi mobili e desktop seguenti e fare clic su Salva.
    Schermata Impostazioni avanzate che include l'opzione per abilitare i flussi mobili e desktop.
  6. Fare clic su Gestisci > Autorizzazioni API e quindi su Concedi consenso amministratore per <tenant_organization_name>. Ad esempio, Concedi consenso amministratore per vCenter Auth Services.
    Schermata che include l'opzione Concedi consenso amministratore per vCenter Auth Services. VCenter Auth Services è un nome di organizzazione tenant di esempio.

Operazioni successive

Configurare Microsoft Entra ID come provider di identità nell' Interfaccia utente di SDDC Manager utilizzando il segreto client, l'ID client e le informazioni di OpenID Connect copiate.

Configurazione di Microsoft Entra ID come provider di identità nell'interfaccia utente di SDDC Manager

È possibile configurare VMware Cloud Foundation in modo che utilizzi Microsoft Entra ID come provider di identità esterno al posto di vCenter Single Sign-On. In questa configurazione, il provider di identità esterno interagisce con l'origine identità per conto del vCenter Server.

È possibile aggiungere un solo provider di identità esterno a VMware Cloud Foundation.

Questa procedura configura Microsoft Entra ID come provider di identità per il vCenter Server del dominio di gestione. L'endpoint delle informazioni di VMware Identity Services viene replicato in tutti gli altri nodi vCenter Server che fanno parte del gruppo ELM (Enhanced Linked Mode) di vCenter Server del dominio di gestione. Questo significa che quando un utente accede ed è autorizzato dal vCenter Server del dominio di gestione, è autorizzato anche in qualsiasi vCenter Server del dominio del carico di lavoro VI che fa parte dello stesso gruppo ELM. Lo stesso vale se l'utente accede innanzitutto al vCenter Server dominio del carico di lavoro VI.
Nota: Le informazioni di configurazione di Microsoft Entra ID e le informazioni relative a utente/gruppo non vengono replicate tra i nodi vCenter Server in modalità collegata avanzata. Non utilizzare vSphere Client per configurare Microsoft Entra ID come provider di identità per qualsiasi vCenter Server del dominio del carico di lavoro VI che fa parte del gruppo ELM.

Prerequisiti

Requisiti di Microsoft Entra ID:
  • Si utilizza Microsoft Entra ID e si dispone di un account Azure AD.
  • Per eseguire accessi OIDC e gestire le autorizzazioni di utenti e gruppi, è necessario creare le applicazioni di Microsoft Entra ID seguenti.
    • Un'applicazione nativa di Microsoft Entra ID con OpenID Connect come metodo di accesso. L'applicazione nativa deve includere i tipi di concessione del codice di autorizzazione, il token di aggiornamento e la password del proprietario della risorsa.
    • Un'applicazione System for Cross-domain Identity Management (SCIM) 2.0 con un token Bearer OAuth 2.0 per eseguire la sincronizzazione di utenti e gruppi tra il server Microsoft Entra ID e vCenter Server.
Requisiti di rete:
  • Se la rete non è disponibile pubblicamente, è necessario creare un tunnel di rete tra il sistema vCenter Server e il server Microsoft Entra ID, quindi utilizzare l'URL accessibile pubblicamente appropriato come URL del tenant SCIM 2.0.
Requisiti di vSphere e NSX:
  • vSphere 8.0 Update 2 o versioni successive.
  • NSX 4.1.2 o versioni successive.
Nota: Se sono state aggiunte appartenenze ai gruppi di vCenter per tutti gli utenti o i gruppi AD/LDAP remoti, vCenter Server tenta di preparare queste appartenenze in modo che siano compatibili con la configurazione del nuovo provider di identità. Questo processo di preparazione viene eseguito automaticamente all'avvio del servizio, ma deve essere completato per poter continuare con la configurazione di Microsoft Entra ID. Fare clic su Esegui verifiche preliminari per verificare lo stato di questo processo prima di procedere.

Procedura

  1. Accedere all'Interfaccia utente di SDDC Manager come utente con il ruolo AMMINISTRATORE
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Fare clic su Modifica provider di identità e selezionare Microsoft Entra ID.
    Menu Provider esterni con Microsoft Entra ID.
  5. Fare clic su Avanti.
  6. Nel pannello Prerequisiti rivedere e confermare i prerequisiti.
  7. Fare clic su Esegui verifiche preliminari per assicurarsi che il sistema sia pronto per modificare i provider di identità.
    Se la verifica preliminare rileva errori, fare clic su Visualizza dettagli ed eseguire i passaggi necessari per risolvere gli errori come indicato.
  8. Nel pannello Informazioni directory immettere le informazioni seguenti.
    Sezione Informazioni directory della procedura guidata Connessione del provider di identità.
    • Nome directory: nome della directory locale da creare in vCenter Server in cui sono archiviati gli utenti e i gruppi inviati da Microsoft Entra ID. Ad esempio, vcenter-entra-directory.
    • Nomi di dominio: immettere i nomi dei domini che contengono gli utenti e i gruppi di Microsoft Entra ID che si desidera sincronizzare con vCenter Server.

      Dopo aver immesso il nome di un dominio, fare clic sull'icona con il segno più (+) per aggiungerlo. Se si immettono più nomi di dominio, specificare il dominio predefinito.

  9. Fare clic su Avanti.
  10. Nel pannello Configurazione OpenID Connect immettere le informazioni seguenti.
    Sezione Configurazione OpenID Connect della procedura guidata Connessione del provider di identità.
    • URI di reindirizzamento: questo campo viene compilato automaticamente. Comunicare all'amministratore di Microsoft Entra ID l'URI di reindirizzamento da utilizzare per la creazione dell'applicazione OpenID Connect.
    • Nome provider di identità: questo campo viene compilato automaticamente come Entra.
    • Identificatore client: ottenuto quando è stata creata l'applicazione OpenID Connect in Microsoft Entra ID. (Microsoft Entra ID fa riferimento all'identificatore client come ID client.)
    • Segreto condiviso: ottenuto quando è stata creata l'applicazione OpenID Connect in Microsoft Entra ID. (Microsoft Entra ID fa riferimento al segreto condiviso come segreto client.)
    • Indirizzo OpenID: ottenuto quando è stata creata l'applicazione OpenID Connect in Microsoft Entra ID. (Microsoft Entra ID fa riferimento all'indirizzo OpenID come documento dei metadati di OpenID Connect).
  11. Fare clic su Avanti.
  12. Rivedere le informazioni e fare clic su Fine.

Aggiornamento dell'applicazione OpenID Connect di Microsoft Entra ID con l'URI di reindirizzamento da SDDC Manager

Dopo aver creato la configurazione del provider di identità Microsoft Entra ID nell'Interfaccia utente di SDDC Manager, aggiornare l'applicazione OpenID Connect di Microsoft Entra ID con l'URI di reindirizzamento da SDDC Manager.

Prerequisiti

Copiare l'URI di reindirizzamento dall' Interfaccia utente di SDDC Manager.
  1. Accedere all'Interfaccia utente di SDDC Manager.
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Nella sezione OpenID Connect, copiare e salvare l'URI di reindirizzamento.
    Sezione OpenID Connect per un provider di identità Microsoft Entra ID, con l'URI di reindirizzamento.

Procedura

  1. Accedere alla console di amministrazione di Microsoft Entra.
  2. Nella schermata Registrazioni app dell'applicazione OpenID Connect, fare clic su Autenticazione.
  3. Selezionare Aggiungi una piattaforma e quindi selezionare Web.
  4. Nella casella di testo URI di reindirizzamento incollare l'URI di reindirizzamento copiato da SDDC Manager.
  5. Fare clic su Configura.

Creazione di un'applicazione SCIM 2.0 per l'utilizzo di Microsoft Entra ID con VMware Cloud Foundation

La creazione di un'applicazione SCIM 2.0 per Microsoft Entra ID consente di specificare quali utenti e gruppi di Active Directory inviare a vCenter Server.

Se il vCenter Server accetta il traffico in entrata, eseguire la procedura seguente per creare un'applicazione SCIM 2.0. Se il vCenter Server non accetta il traffico in entrata, cercare metodi alternativi nella documentazione di Microsoft Entra ID:
  • Agente di provisioning di connessione di Microsoft Entra
  • Agente proxy dell'applicazione Microsoft Entra

Prerequisiti

Copiare l'URL del tenant e il token segreto dall' Interfaccia utente di SDDC Manager.
  1. Accedere all'Interfaccia utente di SDDC Manager.
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Nella sezione Provisioning utente, fare clic su Genera quindi copiare e salvare il token segreto e l'URL del tenant.
    Sezione Provisioning utente per un provider di identità Microsoft Entra ID in cui sono presenti l'URL del tenant e il token segreto.

Queste informazioni verranno utilizzate per configurare le impostazioni di provisioning seguenti.

Procedura

  1. Accedere alla console di amministrazione di Microsoft Entra.
  2. Passare a Applicazioni > Applicazioni aziendali e fare clic su Nuova applicazione.
  3. Cercare "VMware Identity Services" e selezionarlo nei risultati della ricerca.
  4. Immettere un nome appropriato per l'applicazione SCIM 2.0, ad esempio VCF SCIM 2.0 app.
  5. Fare clic su Crea.
  6. Dopo aver creato l'applicazione SCIM 2.0, fare clic su Gestisci > Provisioning e specificare le impostazioni del provisioning.
    1. Selezionare Automatica come modalità del provisioning.
    2. Immettere l'URL del tenant e il token segreto copiati dall'Interfaccia utente di SDDC Manager e fare clic su Prova connessione.
      Nota: Se si dispone di un tunnel di rete tra il sistema vCenter Server e il server Microsoft Entra ID, utilizzare l'URL accessibile pubblicamente appropriato come URL del tenant.
    3. Fare clic su Salva.
    4. Espandere la sezione Mappature e fare clic su Esegui provisioning utenti Active Directory Azure.
    5. Nella schermata Mappatura attributi fare clic su userPrincipalName.
    6. Nella schermata Modifica attributo aggiornare le impostazioni, quindi fare clic su OK.

      Opzione Descrizione
      Tipo di mappatura Selezionare Espressione.
      Espressione Immettere il testo seguente:
      Item(Split[userPrincipalName], "@"), 1)
    7. Fare clic su Aggiungi nuova mappatura.
    8. Nella schermata Modifica attributo aggiornare le impostazioni, quindi fare clic su OK.

      Opzione Descrizione
      Tipo di mappatura Selezionare Espressione.
      Espressione Immettere il testo seguente:
      Item(Split[userPrincipalName], "@"), 2)
      Attributo di destinazione Selezionare urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:domain.
    9. Fare clic su Salva.
    10. Impostare Stato provisioning su Attivo.
  7. Eseguire il provisioning degli utenti.
    1. Fare clic su Gestisci > Utenti e gruppi.
    2. Fare clic su Aggiungi utente/gruppo.
    3. Cercare utenti e gruppi e fare clic su Seleziona.
    4. Fare clic su Assegna.
    5. Fare clic su Gestisci > Provisioning.
    6. Fare clic su Avvia provisioning.

Assegnazione di utenti e gruppi di Microsoft Entra ID come amministratori in SDDC Manager, vCenter Server e NSX Manager

Dopo aver configurato correttamente Microsoft Entra ID e aver sincronizzato gli utenti e i gruppi, è possibile aggiungere utenti e gruppi come amministratori in SDDC Manager, vCenter Server e NSX Manager. In questo modo, gli utenti amministratori possono accedere all'interfaccia utente di un prodotto (ad esempio, SDDC Manager) e non devono specificare nuovamente le credenziali quando accedono all'interfaccia utente di un altro prodotto (ad esempio, NSX Manager).

Procedura

  1. Aggiungere utenti/gruppi di Microsoft Entra ID come amministratori in SDDC Manager.
    1. Nell'Interfaccia utente di SDDC Manager, fare clic su Amministrazione > Single Sign-On.
    2. Fare clic su Utenti e gruppi e quindi su + Utente o gruppo.
      Immagine che mostra il pulsante Aggiungi utente o gruppo.
    3. Selezionare uno o più utenti o gruppi facendo clic sulla casella di controllo accanto all'utente o al gruppo.
      È possibile cercare un utente o un gruppo in base al nome oppure eseguire un filtro in base al tipo di utente o al dominio.
      Nota: Gli utenti e i gruppi di Microsoft Entra ID sono presenti nei domini specificati durante la configurazione di Microsoft Entra ID come provider di identità nell' Interfaccia utente di SDDC Manager.
    4. Selezionare il ruolo AMMINISTRATORE per ciascun utente e gruppo.
      Menu a discesa Scegli ruolo.
    5. Scorrere fino in fondo alla pagina e fare clic su Aggiungi.
  2. Aggiungere utenti/gruppi di Microsoft Entra ID come amministratori in vCenter Server.
    1. Accedere a vSphere Client come amministratore locale.
    2. Selezionare Amministrazione e fare clic su Permessi globali nell'area Controllo degli accessi.
      Menu Autorizzazioni globali.
    3. Fare clic su Aggiungi.
    4. Nel menu a discesa Dominio, selezionare il dominio per l'utente o il gruppo.
    5. Immettere un nome nella casella Cerca.
      Il sistema esegue una ricerca nei nomi degli utenti e dei gruppi.
    6. Selezionare un utente o un gruppo.
    7. Selezionare Amministratore dal menu a discesa Ruolo.
    8. Selezionare la casella di controllo Propaga agli elementi secondari.
      Finestra di dialogo Aggiungi autorizzazione.
    9. Fare clic su OK.
  3. Verificare di aver effettuato l'accesso a SDDC Manager con un utente di Microsoft Entra ID.
    1. Disconnettersi dall'Interfaccia utente di SDDC Manager.
    2. Fare clic su Accedi con SSO.
      Pulsante Accedi con SSO.
    3. Immettere nome utente e password e fare clic su Accedi.
  4. Verificare di aver effettuato l'accesso a vCenter Server con un utente di Microsoft Entra ID.
    1. Disconnettersi dall'vSphere Client.
    2. Fare clic su Accedi con SSO.
      Pulsante Accedi con SSO.
  5. Aggiungere utenti/gruppi di Microsoft Entra ID come amministratori in NSX Manager.
    1. Accedere a NSX Manager.
    2. Passare a Sistema > Gestione utenti.
      Menu Gestione utenti.
    3. Nella scheda Assegnazione ruolo utente fare clic su Aggiungi ruolo per l'utente di OpenID Connect.
      Assegnazione ruolo utente per Gestione utenti.
    4. Selezionare vcenter-idp-federation dal menu a discesa, quindi immettere il testo per cercare e selezionare un utente o un gruppo di Microsoft Entra ID.
    5. Fare clic su Imposta nella colonna Ruoli.
    6. Fare clic su Aggiungi ruolo.
    7. Selezionare Amministratore aziendale dal menu a discesa e fare clic su Aggiungi.
      Finestra di dialogo Imposta ruoli/ambito.
    8. Fare clic su Applica.
    9. Fare clic su Salva.
  6. Verificare di aver effettuato l'accesso a NSX Manager con un utente di Microsoft Entra ID.
    1. Disconnettersi da NSX Manager.
    2. Fare clic su Accedi con vCenter-IPD-Federation.
      Pulsante Accedi con vCenter-IDP-Federation.