La federazione di vCenter abilita Single Sign-On (SSO) in modo che gli utenti possano autenticarsi in modo sicuro al proprio vCenter Server SDDC senza dover immettere nuovamente le proprie credenziali.

Quando si abilita la funzionalità di federazione di vCenter nell'SDDC, VMware Cloud on AWS sostituisce tutti i provider di identità esterni (utilizzando il tipo di origine AD su LDAP e LDAP nativo) con i provider di identità federati con la propria organizzazione VMware Cloud Services (con tipo di origine SSO). La modifica dei provider di identità modifica le modalità di autenticazione ma non altera l'autorizzazione in alcun modo. Nessun utente o gruppo aggiuntivo può accedere al vCenter Server.

Dopo aver abilitato l'accesso federato nell'SDDC, è possibile che vengano visualizzate alcune modifiche di comportamento nel proprio vCenter Server dell'SDDC:
  • Il messaggio relativo alla gestione di vCenter da parte di VMware Cloud Services nel Provider di identità della sezione Single Sign On > Configurazione dell'amministrazione di vCenter. Ciò è dovuto al fatto che dopo aver abilitato l'accesso federato, vCenter Single Sign-On viene gestito esclusivamente da VMware Cloud Services.
  • Errori di autenticazione per le automazioni e le integrazioni di terze parti. Se il provider di identità non supporta il fallback per l'autenticazione con password o richiede l'autenticazione multifattore, l'integrazione programmatica con vCenter produrrà un errore durante la fase di autenticazione.
L'abilitazione della federazione comporta la modifica dell'origine identità (autenticazione), ma non influisce su utenti e autorizzazioni. Il workflow elimina l'origine identità LDAP e aggiunge un'origine identità SSO.

La federazione di vCenter utilizza VMware Cloud Services per abilitare SSO. Qualsiasi manutenzione o interruzione di VMware Cloud Services potrebbe influire sulla disponibilità di SSO per vCenter. Vedere Accesso di emergenza a vCenter quando l'accesso federato non riesce per informazioni sull'URL dell'accesso di emergenza e le relative istruzioni.

Se è stato abilitato l'accesso federato ed è necessario modificare l'origine dell'identità SSO oppure aggiungerne una nuova, è necessario configurare la federazione aziendale per la nuova origine identità SSO, quindi disabilitare e abilitare nuovamente l'accesso federato in modo che il vCenter Server dell'SDDC riconosca la nuova origine identità, quindi configurare le autorizzazioni per la nuova origine identità.

Per ulteriori informazioni sull'accesso federato, vedere l'articolo di VMware Cloud Tech Zone Feature Brief: vCenter Federated Login for VMware Cloud on AWS.

Prerequisiti

  • Importante:

    La federazione di vCenter non supporta l'uso simultaneo delle origini identità SSO e AD/LDAP. Se si dispone di più origini identità LDAP configurate in vCenter ed è necessario autenticare gli utenti di tali domini dopo aver abilitato l'accesso federato per vCenter, tutti i domini dovranno soddisfare tali prerequisiti.

    Non è necessario abilitare l'accesso federato per vCenter in un SDDC configurato per la protezione della conformità. Vedere Configurazione della protezione della conformità dell'SDDC per ulteriori informazioni sulla configurazione e le specifiche richieste.

  • Salvare la configurazione dell'origine identità LDAP corrente. Se si decide di disabilitare l'accesso federato a vCenter, sarà necessario ripristinare manualmente la configurazione.
  • Abilitare la federazione aziendale per tutti i domini che richiedono l'accesso a vCenter. Vedere Che cos'è e come funziona una federazione aziendale.
  • Collegare il proprio provider di identità all'organizzazione VMware Cloud Services. Vedere Perché è necessario collegare il proprio provider di identità?.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
    È necessario disporre del ruolo di Amministratore di VMware Cloud on AWS per abilitare l'accesso federato per vCenter.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Aprire la scheda Impostazioni di SDDC.
  4. Passare a Accesso federato nella sezione Informazioni su vCenter e fare clic su Abilita.
    Rivedere i prerequisiti e fare clic su Abilita quando si è pronti per procedere. L'abilitazione richiede che VMware Cloud on AWS importi i dati dal provider di identità federato. Il tempo necessario per completare l'abilitazione dipende dalla quantità di dati importati e dalla larghezza di banda di rete disponibile.

risultati

Al termine dell'abilitazione, la schermata di accesso di vSphere Client richiede agli utenti di effettuare l'accesso con VMware Cloud Services.

Operazioni successive

Se si tratta di un nuovo SDDC e l'accesso federato non è mai stato abilitato, accedere al vCenter Server dell'SDDC all'URL dell'accesso di emergenza utilizzando cloudadmin@vmc.local e configurando le autorizzazioni per il dominio SSO. In caso contrario, l'URL dell'accesso di emergenza non fornirà l'accesso di emergenza.