L'utilizzo di Okta come provider di identità per il vCenter Server del dominio di gestione consente la federazione delle identità tra SDDC Manager, vCenter Server e NSX Manager.

La configurazione della federazione delle identità con Okta implica l'esecuzione di attività nella console di amministrazione di Okta e nell' Interfaccia utente di SDDC Manager. Dopo la sincronizzazione degli utenti e dei gruppi, è possibile assegnare autorizzazioni in SDDC Manager, vCenter Server e NSX Manager.
  1. Creare un'applicazione OpenID Connect per VMware Cloud Foundation in Okta.
  2. Configurare Okta come provider di identità nell'Interfaccia utente di SDDC Manager.
  3. Aggiornare l'applicazione OpenID Connect di Okta con l'URI di reindirizzamento da SDDC Manager.
  4. Creare un'applicazione SCIM 2.0 per VMware Cloud Foundation.
  5. Assegnare le autorizzazioni per utenti e gruppi di Okta in SDDC Manager, vCenter Server e NSX Manager.
Nota: Se sono stati creati domini del carico di lavoro VI isolati che utilizzano domini SSO diversi, è necessario utilizzare vSphere Client per configurare Okta come provider di identità per tali domini SSO. Quando si configura Okta come provider di identità per un dominio del carico di lavoro isolato in vSphere Client, NSX Manager viene registrato automaticamente come relying party. Ciò significa che dopo che un utente Okta con le autorizzazioni necessarie ha effettuato l'accesso al vCenter Server del dominio del carico di lavoro VI isolato, può accedere direttamente a NSX Manager del dominio del carico di lavoro VI dall' Interfaccia utente di SDDC Manager senza dover eseguire nuovamente l'accesso.

Prerequisiti

Integrare Active Directory (AD) con Okta. Per ulteriori informazioni, vedere Gestione dell'integrazione di Active Directory nella documentazione di Okta.
Nota: Questa operazione non è necessaria se non si desidera eseguire l'integrazione con AD oppure se AD e Okta sono già stati integrati in precedenza.

Creazione di un'applicazione OpenID Connect per VMware Cloud Foundation in Okta

Prima di poter utilizzare Okta come provider di identità in VMware Cloud Foundation, è necessario creare un'applicazione OpenID Connect in Okta e assegnare utenti e gruppi all'applicazione OpenID Connect.

Procedura

  1. Accedere alla console di amministrazione di Okta e seguire le indicazioni della documentazione di Okta, Creazioni di integrazioni di app OIDC, per creare un'applicazione OpenID Connect.
    Quando si crea l'applicazione OpenID Connect nella procedura guidata Crea nuova integrazione app:
    • Selezionare OIDC - OpenID Connect come metodo di accesso.
    • Selezionare Applicazione nativa in Tipo di applicazione.
    • Immettere un nome appropriato per l'applicazione OpenID Connect, ad esempio Okta-VCF-app.
    • In Impostazioni generali lasciare selezionata l'opzione Codice di autorizzazione, quindi selezionare Token di aggiornamento e Password proprietario risorsa.
    • Per ora, ignorare URI di reindirizzamento accesso e URI di reindirizzamento disconnessione. Questi valori verranno immessi in un secondo momento.
    • Quando si sceglie come controllare l'accesso, è possibile selezionare Ignora assegnazione gruppo per ora se lo si desidera.
  2. Dopo aver creato l'applicazione OpenID Connect, generare il segreto client.
    1. Selezionare la scheda Generale.
    2. In Credenziali client fare clic su Modifica e in Autenticazione client selezionare Segreto client.
    3. Per Proof Key for Code Exchange (PKCE), deselezionare Richiedi PKCE come verifica aggiuntiva.
    4. Fare clic su Salva.
      Viene generato il segreto client.
    5. Copiare l'ID client e il segreto client e salvarli per utilizzarli nella creazione del provider di identità Okta in SDDC Manager.
      Nota: SDDC Manager utilizza i termini Identificatore client e Segreto condiviso.
  3. Assegnare utenti e gruppi all'applicazione OpenID Connect.
    1. Selezionare la scheda Assegnazioni e selezionare Assegna a gruppi dal menu a discesa Assegna.
    2. Immettere il gruppo da cercare nel campo Search.
    3. Selezionare il gruppo e fare clic su Assign.
    4. Cercare, selezionare e assegnare altri gruppi in base alle esigenze.
    5. Al termine dell'assegnazione dei gruppi, fare clic su Done.
      Per visualizzare gli utenti assegnati, fare clic su Persone in Filtri nella pagina Assegnazioni.
      Okta assegna i gruppi.

Configurazione di Okta come provider di identità nell'interfaccia utente di SDDC Manager

È possibile configurare VMware Cloud Foundation in modo che utilizzi Okta come provider di identità esterno al posto di vCenter Single Sign-On. In questa configurazione, il provider di identità esterno interagisce con l'origine identità per conto del vCenter Server.

È possibile aggiungere un solo provider di identità esterno a VMware Cloud Foundation.

Questa procedura configura Okta come provider di identità per il vCenter Server del dominio di gestione. L'endpoint delle informazioni di VMware Identity Services viene replicato in tutti gli altri nodi vCenter Server che fanno parte del gruppo ELM (Enhanced Linked Mode) di vCenter Server del dominio di gestione. Questo significa che quando un utente accede ed è autorizzato dal vCenter Server del dominio di gestione, è autorizzato anche in qualsiasi vCenter Server del dominio del carico di lavoro VI che fa parte dello stesso gruppo ELM. Lo stesso vale se l'utente accede innanzitutto al vCenter Server dominio del carico di lavoro VI.
Nota: Le informazioni sulla configurazione di Okta e le informazioni relative a utente/gruppo non vengono replicate tra i nodi vCenter Server in modalità collegata avanzata. Non utilizzare vSphere Client per configurare Okta come provider di identità per qualsiasi vCenter Server del dominio del carico di lavoro VI che fa parte del gruppo ELM.

Prerequisiti

Requisiti di Okta:
  • Si utilizza Okta e si dispone di uno spazio di dominio dedicato. Ad esempio: https://your-company.okta.com.
  • Per eseguire gli accessi OIDC e gestire le autorizzazioni di utenti e gruppi, è necessario creare le applicazioni di Okta seguenti.
    • Un'applicazione nativa di Okta con OpenID Connect come metodo di accesso. L'applicazione nativa deve includere i tipi di concessione del codice di autorizzazione, il token di aggiornamento e la password del proprietario della risorsa.
    • Un'applicazione System for Cross-domain Identity Management (SCIM) 2.0 con un token Bearer OAuth 2.0 per eseguire la sincronizzazione di utenti e gruppi tra il server Okta e vCenter Server.

Requisiti di connettività di Okta:

  • vCenter Server deve essere in grado di connettersi all'endpoint di rilevamento di Okta, nonché agli endpoint di autorizzazione, token, disconnessione, JWKS e a tutti gli altri endpoint annunciati nei metadati dell'endpoint di rilevamento.
  • Okta deve inoltre essere in grado di connettersi a vCenter Server per inviare i dati di utenti e gruppi per il provisioning di SCIM.
Requisiti di rete:
  • Se la rete non è disponibile pubblicamente, è necessario creare un tunnel di rete tra il sistema vCenter Server e il server Okta, quindi utilizzare l'URL accessibile pubblicamente appropriato come URI di base di SCIM 2.0.
Requisiti di vSphere e NSX:
  • vSphere 8.0 Update 2 o versioni successive.
  • NSX 4.1.2 o versioni successive.
Nota: Se sono state aggiunte appartenenze ai gruppi di vCenter per tutti gli utenti o i gruppi AD/LDAP remoti, vCenter Server tenta di preparare queste appartenenze in modo che siano compatibili con la configurazione del nuovo provider di identità. Questo processo di preparazione viene eseguito automaticamente all'avvio del servizio, ma deve essere completato per poter continuare con la configurazione di Okta. Fare clic su Esegui verifiche preliminari per verificare lo stato di questo processo prima di procedere.

Procedura

  1. Accedere all'Interfaccia utente di SDDC Manager come utente con il ruolo AMMINISTRATORE
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Fare clic su Modifica provider di identità e selezionare OKTA.
    Menu Provider esterni in cui è presente Okta.
  5. Fare clic su Avanti.
  6. Nel pannello Prerequisiti rivedere e confermare i prerequisiti.
  7. Fare clic su Esegui verifiche preliminari per assicurarsi che il sistema sia pronto per modificare i provider di identità.
    Se la verifica preliminare rileva errori, fare clic su Visualizza dettagli ed eseguire i passaggi necessari per risolvere gli errori come indicato.
  8. Nel pannello Informazioni directory immettere le informazioni seguenti.
    Sezione Informazioni directory della procedura guidata Connessione del provider di identità.
    • Nome directory: nome della directory locale da creare in vCenter Server in cui sono archiviati gli utenti e i gruppi inviati da Okta. Ad esempio, vcenter-okta-directory.
    • Nomi di dominio: immettere i nomi di dominio di Okta che contengono gli utenti e i gruppi di Okta che si desidera sincronizzare con vCenter Server.

      Dopo aver immesso il nome del dominio di Okta, fare clic sull'icona con il segno più (+) per aggiungerlo. Se si immettono più nomi di dominio, specificare il dominio predefinito.

  9. Fare clic su Avanti.
  10. Nel pannello Configurazione OpenID Connect immettere le informazioni seguenti.
    Sezione Configurazione OpenID Connect della procedura guidata Connessione del provider di identità.
    • URI di reindirizzamento: questo campo viene compilato automaticamente. Comunicare all'amministratore di Okta l'URI di reindirizzamento da utilizzare per la creazione dell'applicazione OpenID Connect.
    • Nome provider di identità: questo campo viene compilato automaticamente come Okta.
    • Identificatore client: ottenuto durante la creazione dell'applicazione OpenID Connect in Okta. (Okta fa riferimento all'identificatore client come ID client.)
    • Segreto condiviso: ottenuto durante la creazione dell'applicazione OpenID Connect in Okta. (Okta fa riferimento al segreto condiviso come segreto client.)
    • Indirizzo OpenID: ha il formato https://Okta domain space/oauth2/default/.well-known/openid-configuration.

      Ad esempio, se lo spazio del dominio Okta è example.okta.com, l'indirizzo OpenID è: https://example.okta.com/oauth2/default/.well-known/openid-configuration.

      Per ulteriori informazioni, vedere https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration.

  11. Fare clic su Avanti.
  12. Rivedere le informazioni e fare clic su Fine.

Aggiornamento dell'applicazione OpenID Connect di Okta con l'URI di reindirizzamento da SDDC Manager

Dopo aver creato la configurazione del provider di identità Okta nell'Interfaccia utente di SDDC Manager, aggiornare l'applicazione OpenID Connect di Okta con l'URI di reindirizzamento da SDDC Manager.

Prerequisiti

Copiare l'URI di reindirizzamento dall' Interfaccia utente di SDDC Manager.
  1. Accedere all'Interfaccia utente di SDDC Manager.
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Nella sezione OpenID Connect, copiare e salvare l'URI di reindirizzamento.
    Sezione OpenID Connect per un provider di identità Okta, con l'URI di reindirizzamento.

Procedura

  1. Accedere alla console di amministrazione di Okta.
  2. Nella schermata Impostazioni generali per l'applicazione OpenID Connect creata, fare clic su Modifica.
  3. Nella casella di testo URI di reindirizzamento di accesso, incollare l'URI di reindirizzamento copiato da SDDC Manager.
  4. Fare clic su Salva.

Creazione di un'applicazione SCIM 2.0 per l'utilizzo di Okta con VMware Cloud Foundation

La creazione di un'applicazione SCIM 2.0 per Okta consente di specificare gli utenti e i gruppi di Active Directory da inviare a vCenter Server.

Prerequisiti

Copiare l'URL del tenant e il token segreto dall' Interfaccia utente di SDDC Manager.
  1. Accedere all'Interfaccia utente di SDDC Manager.
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Nella sezione Provisioning utente, fare clic su Genera quindi copiare e salvare il token segreto e l'URL del tenant.
    Sezione Provisioning utente per un provider di identità Okta che include l'URL del tenant e il token segreto.

Queste informazioni verranno utilizzate nel passaggio 4 seguente.

Procedura

  1. Accedere alla console di amministrazione di Okta.
  2. Sfogliare il catalogo delle app per SCIM 2.0 Test App (OAuth Bearer Token) e fare clic su Aggiungi integrazione.
    Nota: La parola "Test" viene scelta da Okta. L'applicazione SCIM creata utilizzando questo modello "Test" è di qualità di produzione.
  3. Utilizzare le impostazioni seguenti durante la creazione dell'applicazione SCIM 2.0:
    • Immettere un nome appropriato per l'applicazione SCIM 2.0, ad esempio VCF SCIM 2.0 app.
    • In General settings · Required page lasciare selezionata l'opzione Automatically log in when user lands on login page.
    • Nella pagina Sign-on Options:
      • Per i metodi di accesso, lasciare selezionata l'opzione SAML 2.0.
      • Per i dettagli delle credenziali:
        • Application username format: selezionare AD SAM Account name.
        • Update application username on: lasciare selezionata l'opzione Create and update.
        • Password reveal: lasciare selezionata l'opzione Allow users to securely see their password.
  4. Assegnare all'applicazione SCIM 2.0 utenti e gruppi da inviare da Active Directory a vCenter Server:
    1. Nell'applicazione SCIM 2.0 di Okta, in Provisioning, fare clic su Configure API integration.
    2. Selezionare la casella di controllo Enable API integration.
    3. Immettere l'URL di base di SCIM 2.0 e il token Bearer di OAuth.
      In SDDC Manager, l'URL di base di SCIM 2.0 viene chiamato "URL del tenant" e il token Bearer di OAuth viene chiamato "Token segreto".
      Nota: Se si dispone di un tunnel di rete tra il sistema vCenter Server e il server Okta, utilizzare l'URL appropriato accessibile pubblicamente come URL di base.
    4. Lasciare selezionata l'opzione Import Groups.
    5. Per verificare le credenziali di SCIM, fare clic su Test API Credentials.
    6. Fare clic su Salva.
  5. Eseguire il provisioning degli utenti.
    1. Fare clic sulla scheda Provisioning e selezionare To App, quindi fare clic su Edit.
    2. Selezionare Create users, Update User Attributes e Deactivate Users.
    3. Non selezionare Sync Password.
    4. Fare clic su Salva.
  6. Eseguire le assegnazioni.
    1. Fare clic sulla scheda Assignments e selezionare Assign to Groups dal menu a discesa Assign.
    2. Immettere il gruppo da cercare nel campo Search.
    3. Selezionare il gruppo e fare clic su Assign.
    4. Se necessario, immettere le informazioni sugli attributi, quindi fare clic su Save and Go Back.
    5. Cercare, selezionare e assegnare altri gruppi in base alle esigenze.
    6. Al termine dell'assegnazione dei gruppi, fare clic su Done.
    7. In Filters, selezionare People e Groups per visualizzare gli utenti e i gruppi assegnati.
  7. Fare clic sulla scheda Push Groups e selezionare un'opzione dal menu a discesa Invia gruppi.
    • Find groups by name: selezionare questa opzione per individuare i gruppi in base al nome.
    • Find groups by rule: selezionare questa opzione per creare una regola di ricerca che invii all'app i gruppi che soddisfano tale regola.
    Nota: A meno che non si deselezioni la casella di controllo Push group memberships immediately, l'appartenenza selezionata viene inviata immediatamente e il valore di Push Status è Active. Per ulteriori informazioni, vedere Enable Group Push nella documentazione di Okta.

Assegnazione di utenti e gruppi di Okta come amministratori in SDDC Manager, vCenter Server e NSX Manager

Dopo aver configurato correttamente Okta e aver sincronizzato gli utenti e i gruppi, è possibile aggiungere utenti e gruppi come amministratori in SDDC Manager, vCenter Server e NSX Manager. In questo modo, gli utenti amministratori possono accedere all'interfaccia utente di un prodotto (ad esempio, SDDC Manager) e non devono specificare nuovamente le credenziali quando accedono all'interfaccia utente di un altro prodotto (ad esempio, NSX Manager).

Procedura

  1. Aggiungere utenti/gruppi di Okta come amministratori in SDDC Manager.
    1. Nell'Interfaccia utente di SDDC Manager, fare clic su Amministrazione > Single Sign-On.
    2. Fare clic su Utenti e gruppi e quindi su + Utente o gruppo.
      Immagine che mostra il pulsante Aggiungi utente o gruppo.
    3. Selezionare uno o più utenti o gruppi facendo clic sulla casella di controllo accanto all'utente o al gruppo.
      È possibile cercare un utente o un gruppo in base al nome oppure eseguire un filtro in base al tipo di utente o al dominio.
      Nota: Gli utenti e i gruppi di Okta sono presenti nei domini specificati durante la configurazione di Okta come provider di identità nell' Interfaccia utente di SDDC Manager.
    4. Selezionare il ruolo AMMINISTRATORE per ciascun utente e gruppo.
      Menu a discesa Scegli ruolo.
    5. Scorrere fino in fondo alla pagina e fare clic su Aggiungi.
  2. Aggiungere utenti/gruppi di Okta come amministratori in vCenter Server.
    1. Accedere a vSphere Client come amministratore locale.
    2. Selezionare Amministrazione e fare clic su Permessi globali nell'area Controllo degli accessi.
      Menu Autorizzazioni globali.
    3. Fare clic su Aggiungi.
    4. Nel menu a discesa Dominio, selezionare il dominio per l'utente o il gruppo.
    5. Immettere un nome nella casella Cerca.
      Il sistema esegue una ricerca nei nomi degli utenti e dei gruppi.
    6. Selezionare un utente o un gruppo.
    7. Selezionare Amministratore dal menu a discesa Ruolo.
    8. Selezionare la casella di controllo Propaga agli elementi secondari.
      Finestra di dialogo Aggiungi autorizzazione.
    9. Fare clic su OK.
  3. Verificare di aver effettuato l'accesso a SDDC Manager con un utente di Okta.
    1. Disconnettersi dall'Interfaccia utente di SDDC Manager.
    2. Fare clic su Accedi con SSO.
      Pulsante Accedi con SSO.
    3. Immettere nome utente e password e fare clic su Accedi.
      Schermata di accesso per Okta.
  4. Verificare di aver effettuato l'accesso a vCenter Server con un utente di Okta.
    1. Disconnettersi dall'vSphere Client.
    2. Fare clic su Accedi con SSO.
      Pulsante Accedi con SSO.
  5. Aggiungere utenti/gruppi di Okta come amministratori in NSX Manager.
    1. Accedere a NSX Manager.
    2. Passare a Sistema > Gestione utenti.
      Menu Gestione utenti.
    3. Nella scheda Assegnazione ruolo utente fare clic su Aggiungi ruolo per l'utente di OpenID Connect.
      Assegnazione ruolo utente per Gestione utenti.
    4. Selezionare vcenter-idp-federation dal menu a discesa, quindi immettere il testo da cercare e selezionare un utente o un gruppo di Okta.
    5. Fare clic su Imposta nella colonna Ruoli.
    6. Fare clic su Aggiungi ruolo.
    7. Selezionare Amministratore aziendale dal menu a discesa e fare clic su Aggiungi.
      Finestra di dialogo Imposta ruoli/ambito.
    8. Fare clic su Applica.
    9. Fare clic su Salva.
  6. Verificare di aver effettuato l'accesso a NSX Manager con un utente di Okta.
    1. Disconnettersi da NSX Manager.
    2. Fare clic su Accedi con vCenter-IPD-Federation.
      Pulsante Accedi con vCenter-IDP-Federation.