È possibile configurare VMware Cloud Foundation in modo che utilizzi Microsoft ADFS come provider di identità esterno al posto di vCenter Single Sign-On. In questa configurazione, il provider di identità esterno interagisce con l'origine identità per conto del vCenter Server.

È possibile aggiungere un solo provider di identità esterno a VMware Cloud Foundation.

Prerequisiti

Requisiti di Microsoft Active Directory Federation Services (ADFS):

  • Microsoft ADFS per Windows Server 2016 o versione successiva deve essere già distribuito.
  • Microsoft ADFS deve essere connesso ad Active Directory.
  • È stato creato un gruppo di amministratori di vCenter Server in Microsoft ADFS contenente gli utenti a cui si desidera concedere i privilegi di amministratore di vCenter Server.

Per ulteriori informazioni sulla configurazione di Microsoft ADFS, consultare la documentazione di Microsoft.

vCenter Server e altri requisiti:

  • vSphere 7.0 o versioni successive
  • vCenter Server deve essere in grado di connettersi all'endpoint di rilevamento di Microsoft ADFS, nonché agli endpoint di autorizzazione, token, disconnessione, JWKS e a tutti gli altri endpoint annunciati nei metadati dell'endpoint di rilevamento.

Procedura

  1. Accedere all'Interfaccia utente di SDDC Manager come utente con il ruolo AMMINISTRATORE
  2. Nel riquadro di navigazione fare clic su Amministrazione > Single Sign-On.
  3. Fare clic su Provider di identità.
  4. Fare clic su Modifica provider di identità e selezionare Microsoft ADFS.
    Opzioni di menu che mostrano ADFS.
  5. Fare clic su Avanti.
  6. Selezionare la casella di controllo per confermare i prerequisiti e fare clic su Avanti.
  7. Se il certificato del server Microsoft ADFS è firmato da un'autorità di certificazione pubblicamente attendibile, fare clic su Avanti. Se si utilizza un certificato autofirmato, aggiungere il certificato CA root di Microsoft ADFS aggiunto all'archivio dei certificati root attendibili.
    1. Fare clic su Sfoglia.
    2. Passare al certificato e fare clic su Apri.
    3. Fare clic su Avanti.
  8. Copiare gli URI di reindirizzamento.
    Saranno necessari al momento della creazione del gruppo di applicazioni di Microsoft ADFS nel passaggio successivo.
  9. Creare una configurazione di OpenID Connect in Microsoft ADFS.

    Per stabilire una relazione di attendibilità relying party tra il vCenter Server e un provider di identità, è necessario impostare le informazioni di identificazione e un segreto condiviso tra loro. In Microsoft ADFS, è possibile farlo creando una configurazione di OpenID Connect, nota come gruppo di applicazioni, che include un'applicazione server e un'API Web. I due componenti specificano le informazioni che vCenter Server utilizza per considerare attendibile il server Microsoft ADFS e comunicare con tale server. Per abilitare OpenID Connect in Microsoft ADFS, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/78029.

    Quando si crea il gruppo di applicazioni di Microsoft ADFS, si tenga presente quanto segue.

    • Sono necessari i due URI di reindirizzamento ottenuti nel passaggio precedente.
    • Copiare le seguenti informazioni in un file o annotarle per poterle utilizzare durante la configurazione del provider di identità nel passaggio successivo.
      • Identificatore client
      • Segreto condiviso
      • Indirizzo OpenID del server Microsoft ADFS
  10. Immettere le informazioni necessarie per il gruppo di applicazioni e fare clic su Avanti.
    Utilizzare le informazioni raccolte nel passaggio precedente e immettere:
    • Identificatore client
    • Segreto condiviso
    • Indirizzo OpenID del server Microsoft ADFS
  11. Immettere le informazioni relative a utenti e gruppi per la connessione Active Directory su LDAP per poter cercare utenti e gruppi.
    Il vCenter Server deriva il dominio di AD da utilizzare per le autorizzazioni dal nome distinto di base per gli utenti. È possibile aggiungere autorizzazioni relative a oggetti di vSphere solo per gli utenti e i gruppi di questo dominio di AD. Gli utenti o i gruppi dei domini secondari di AD o di altri domini nella foresta di AD non sono supportati dalla federazione del provider di identità di vCenter Server.
    Opzione Descrizione
    Nome distinto di base per gli utenti Nome distinto di base per gli utenti.
    Nome distinto di base per i gruppi Il nome distinto di base per i gruppi.
    Nome utente ID di un utente nel dominio che dispone di un minimo di accesso in sola lettura al DN di base per utenti e gruppi.
    Password ID di un utente nel dominio che dispone di un minimo di accesso in sola lettura al DN di base per utenti e gruppi.
    URL server primario Server LDAP del controller di dominio primario relativo al dominio.

    Utilizzare il formato ldap://hostname:port o ldaps://hostname:port. La porta è in genere 389 per le connessioni LDAP e 636 per le connessioni LDAPS. In caso di distribuzioni del controller multi-dominio Active Directory, le porte sono in genere 3268 per LDAP e 3269 per LDAPS.

    Quando si utilizza ldaps:// nell'URL LDAP primario o secondario, è necessario un certificato che stabilisca l'attendibilità per l'endpoint LDAPS del server di Active Directory.

    URL server secondario Indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover.
    Certificati (per LDAPS) Se si desidera utilizzare LDAPS fare clic su Sfoglia per selezionare un certificato.
  12. Rivedere le informazioni e fare clic su Invia.

Operazioni successive

Dopo aver aggiunto correttamente Microsoft ADFS come provider di identità esterno, è possibile aggiungere utenti e gruppi in VMware Cloud Foundation. Vedere Aggiunta di un utente o un gruppo in VMware Cloud Foundation.