Nozioni di base sulla Federazione del provider di identità di vCenter Server

In vSphere 7.0 e versioni successive, vCenter Server supporta l'autenticazione federata. In questo scenario, quando un utente accede a vCenter Server, vCenter Server reindirizza l'accesso utente al provider di identità esterno. Le credenziali dell'utente non vengono più fornite direttamente a vCenter Server. Al contrario, l'utente fornisce le credenziali al provider di identità esterno. vCenter Server considera attendibile il provider di identità esterno per eseguire l'autenticazione. Nel modello di federazione, gli utenti non forniscono mai le credenziali direttamente a un servizio o un'applicazione, ma solo al provider di identità. Di conseguenza, è possibile "federare" le applicazioni e i servizi, ad esempio vCenter Server, con il provider di identità.

Supporto del provider di identità esterno di vCenter Server

vCenter Server supporta i seguenti provider di identità esterni:

• AD FS (vSphere 7.0 e versioni successive)
• Okta (vSphere 8.0 Update 1 e versioni successive)
• Microsoft Entra ID, denominato in precedenza Azure AD (vSphere 8.0 Update 2 e versioni successive)
• PingFederate (a partire da vSphere 8.0 Update 3)

Vantaggi della Federazione del provider di identità divCenter Server

La Federazione del provider di identità di vCenter Server offre i seguenti vantaggi.

• È possibile utilizzare Single Sign-On con applicazioni e infrastruttura federate esistenti.
• È possibile migliorare la sicurezza del data center perché vCenter Server non gestisce mai le credenziali dell'utente.
• È possibile utilizzare meccanismi di autenticazione, come l'autenticazione a più fattori, supportati dal provider di identità esterno.

Architettura della Federazione del provider di identità di vCenter Server

Per stabilire una relazione di attendibilità relying party tra vCenter Server e un provider di identità esterno, è necessario impostare le informazioni di identificazione e un segreto condiviso tra loro. vCenter Server utilizza il protocollo OpenID Connect (OIDC) per ricevere un token di identità che esegue l'autenticazione dell'utente con vCenter Server.

I passaggi generali per configurare un provider di identità esterno con vCenter Server includono:

1. Definizione di una relazione di attendibilità relying party tra vCenter Server e il provider di identità esterno tramite una configurazione OIDC. Per AD FS, creare un gruppo di applicazioni o un'applicazione. Per Okta, Microsoft Entra ID e PingFederate, creare un'applicazione nativa con OpenID Connect come metodo di accesso. La configurazione OIDC è costituita da un'applicazione server e da un'API Web. I due componenti specificano le informazioni che vCenter Server utilizza per considerare attendibile il provider di identità esterno e comunicare con tale provider.
2. Creazione di un provider di identità corrispondente in vCenter Server.
3. Configurazione delle appartenenze ai gruppi in vCenter Server per autorizzare gli accessi degli utenti nel dominio del provider di identità esterno.

Per creare la configurazione del provider di identità di vCenter Server, l'amministratore del provider di identità deve fornire le seguenti informazioni:

• Identificatore client: stringa UUID generata in AD FS quando si crea il gruppo di applicazioni (o l'applicazione) e che identifica il gruppo di applicazioni (o l'applicazione) oppure generata in Okta, Microsoft Entra ID o PingFederate quando si crea l'applicazione OpenID Connect.
• Segreto condiviso: segreto generato in AD FS quando si crea il gruppo di applicazioni (o l'applicazione) o generato in Okta, Microsoft Entra ID o PingFederate quando si crea l'applicazione OpenID Connect. Tale segreto viene utilizzato per eseguire l'autenticazione di vCenter Server nel provider di identità esterno.
• Indirizzo OpenID: URL dell'endpoint di OpenID Provider Discovery del server del provider di identità esterno, che specifica un indirizzo noto corrispondente in genere all'endpoint dell'emittente concatenato con il percorso /.well-known/openid-configuration. Il seguente è un indirizzo OpenID di esempio per una configurazione di AD FS:

  https://webserver.example.com/adfs/.well-known/openid-configuration

  Analogamente, il seguente è un indirizzo OpenID di esempio per una configurazione di Okta:

  https://example.okta.com/oauth2/default/.well-known/openid-configuration

  Il seguente è un indirizzo OpenID di esempio per una configurazione di Microsoft Entra ID:

  https://login.microsoftonline.com/11111111-2222-3333-4444-555555555555/v2.0/.well-known/openid-configuration

  Il seguente è un indirizzo OpenID di esempio per una configurazione di PingFederate:

  https://pingfederate-fqdn-and-port/.well-known/openid-configuration

VMware Identity Services e autenticazione federata

A partire da vSphere 8.0 Update 1, VMware Identity Services fornisce l'integrazione con provider di identità esterni come provider di identità federato. VMware Identity Services è una versione semplificata di VMware Workspace ONE integrata in vSphere.

Quando si installa o si esegue l'aggiornamento a vSphere 8.0 Update 1 o versioni successive, VMware Identity Services viene attivato per impostazione predefinita in vCenter Server. Quando si configura Okta, Microsoft Entra ID o PingFederate come provider di identità esterno, vCenter Server utilizza VMware Identity Services per comunicare con il server Okta, Microsoft Entra ID o PingFederate.

vCenter Server supporta Okta, Microsoft Entra ID e PingFederate come provider di identità esterno in una configurazione in modalità collegata avanzata. Anche se in una configurazione in modalità collegata avanzata più sistemi vCenter Server eseguono VMware Identity Services, un solo vCenter Server e la relativa istanza di VMware Identity Services comunicano con il server del provider di identità esterno. Se ad esempio è presente una configurazione in modalità collegata avanzata di tre sistemi vCenter Server, A, B e C e si configura il provider di identità esterno Okta in vCenter Server A, vCenter Server A è l'unico sistema che gestisce tutti gli accessi di Okta. vCenter Server B e vCenter Server C non comunicano direttamente con il server Okta. Per configurare VMware Identity Services in altri vCenter Server nella configurazione ELM in modo che interagiscano con il server IDP esterno, vedere Processo di attivazione per provider di identità esterni nelle configurazioni in modalità collegata avanzata.

Processo di autenticazione di VMware Identity Services

Quando si configura vCenter Server per utilizzare VMware Identity Services per comunicare con il provider di identità esterno, viene eseguito il processo di autenticazione seguente:

1. Un utente accede a vCenter Server con vSphere Client.
2. vCenter Single Sign-On delega l'autenticazione dell'utente e reindirizza la richiesta dell'utente a VMware Identity Services.
3. Il processo di VMware Identity Services richiede un token al provider di identità esterno per stabilire la sessione utente.
4. Il provider di identità esterno esegue l'autenticazione dell'utente (può utilizzare l'autenticazione multifattore (MFA) o le credenziali SSO) e restituisce il token a VMware Identity Services.

   Il token contiene le attestazioni dell'utente.

5. Il processo di VMware Identity Services convalida il token del provider di identità, genera un token di VMware Identity Services corrispondente e invia il token di VMware Identity Services a vCenter Single Sign-On.
6. vCenter Single Sign-On convalida il token e concede la richiesta di accesso.

In che modo vCenter Server interagisce con utenti e gruppi inviati da SCIM

Quando si configura un provider di identità esterno, vCenter Server utilizza il sistema per la gestione delle identità tra domini (SCIM) per la gestione di utenti e gruppi. SCIM è uno standard aperto per automatizzare lo scambio di informazioni sull'identità degli utenti. Un'applicazione SCIM creata nel server IDP esterno gestisce gli utenti e i gruppi nel provider di identità esterno di cui si desidera eseguire il push in vCenter Server. vCenter Server utilizza SCIM anche quando cerca utenti e gruppi a cui assegnare autorizzazioni per gli oggetti di vCenter Server.

Componenti della Federazione del provider di identità divCenter Server

I seguenti componenti includono una configurazione della federazione del provider di identità di vCenter Server:

• Un vCenter Server
  • Per AD FS: vCenter Server 7.0 o versione successiva
  • Per Okta: vCenter Server 8.0 Update 1 o versioni successive
  • Per Microsoft Entra ID: vCenter Server 8.0 Update 2 o versioni successive
  • Per PingFederate: vCenter Server 8.0 Update 3
• Un servizio provider di identità configurato in vCenter Server
• Un provider di identità esterno (AD FS, Okta, Microsoft Entra ID o PingFederate)
• Una configurazione di OpenID Connect (OIDC):
  • Per AD FS: un gruppo di applicazioni (denominato anche applicazione)
  • Per Okta, Microsoft Entra ID o PingFederate: un'applicazione OpenID Connect
• Un'applicazione SCIM (System for Cross-domain Identity Management) per la gestione di utenti e gruppi (solo per Okta, Microsoft Entra ID o PingFederate)
• Utenti e gruppi del provider di identità esterno mappati a utenti e gruppi di vCenter Server
• VMware Identity Services abilitato in vCenter Server (solo per Okta, Microsoft Entra ID o PingFederate)
• Facoltativamente, per PingFederate, il certificato SSL o la catena di certificati, del server PingFederate, se questo certificato non è stato emesso da un'autorità di certificazione pubblica nota. Importare il certificato SSL di PingFederate in vCenter Server.

Meccanismi di autenticazione

In una configurazione che adotta la Federazione del provider di identità di vCenter Server, il provider di identità esterno gestisce i meccanismi di autenticazione (password, MFA, biometria e così via).

AD FS e supporto per un singolo dominio di Active Directory

Quando si configura la federazione del provider di identità di vCenter Server per AD FS, la procedura guidata Configura provider di identità principale richiede di immettere le informazioni LDAP per il singolo dominio di AD che contiene gli utenti e i gruppi a cui si desidera che vCenter Server acceda. vCenter Server deriva il dominio di AD da utilizzare per le autorizzazioni dal DN di base utente specificato nella procedura guidata. È possibile aggiungere autorizzazioni relative a oggetti di vSphere solo per gli utenti e i gruppi di questo dominio di AD. Gli utenti o i gruppi dei domini secondari di AD o di altri domini nella foresta di AD non sono supportati dalla federazione del provider di identità di vCenter Server.

Supporto di Okta, Microsoft Entra ID e PingFederate per più domini

Quando si configura la Federazione del provider di identità di vCenter Server per Okta, Microsoft Entra ID o PingFederate, la procedura guidata Configura provider di identità principale consente di immettere le informazioni LDAP per più domini che contengono gli utenti e i gruppi a cui si desidera concedere l'accesso a vCenter Server.

Criteri di password, blocco e token

Quando vCenter Server funge da provider di identità, controllare i criteri di password, blocco e token di vCenter Server per il dominio predefinito (vsphere.local o il nome di dominio immesso durante l'installazione di vSphere). Quando si utilizza l'autenticazione federata con vCenter Server, il provider di identità esterno controlla i criteri di token, blocco e password relativi agli account archiviati nell'origine identità, ad esempio Active Directory.

Auditing e conformità

Quando si utilizza la Federazione del provider di identità di vCenter Server, vCenter Server continua a creare voci di registro per relativi agli accessi eseguiti con esito positivo. Tuttavia, la responsabilità delle azioni di monitoraggio e registrazione, come i tentativi di immissione della password non riusciti e i blocchi degli account utente, passa al provider di identità esterno. vCenter Server non registra tali eventi perché non risultano più visibili a vCenter Server. Ad esempio, quando AD FS è il provider di identità, AD FS tiene traccia e registra gli errori relativi agli accessi federati. Quando vCenter Server è il provider di identità per gli accessi locali, vCenter Server tiene traccia e registra gli errori relativi agli accessi locali. In una configurazione federata, vCenter Server continua a registrare le azioni degli utenti dopo l'accesso.

Integrazione di prodotti VMware esistenti con provider di identità esterni

I prodotti VMware integrati in vCenter Server (ad esempio, VMware Aria Operations, vSAN, NSX e così via) continuano a funzionare come prima.

Prodotti con integrazione successiva all'accesso

I prodotti che si integrano dopo l'accesso (ovvero, non richiedono un accesso separato) continuano a funzionare come prima.

Autenticazione semplice per API, SDK e accesso CLI

Gli script, i prodotti e le altre funzionalità esistenti che si basano su comandi CLI, API o SDK e utilizzano l'autenticazione semplice (ovvero il nome utente e la password) continuano a funzionare come prima. Internamente, l'autenticazione viene eseguita passando il nome utente e la password. Questo passaggio di nome utente e password compromette alcuni vantaggi propri dell'utilizzo della federazione di identità, perché espone la password a vCenter Server (e agli script). Se possibile, è consigliabile eseguire la migrazione all'autenticazione basata su token.

Accesso all'interfaccia di gestione di vCenter Server

Se l'utente è membro del gruppo di amministratori di vCenter Server può accedere all'interfaccia di gestione di vCenter Server (in precedenza denominata vCenter Server Appliance Management Interface o VAMI).

Immissione del testo del nome utente nella pagina di accesso ad AD FS

La pagina di accesso ad AD FS non supporta il passaggio di testo per popolare automaticamente la casella di testo del nome utente. Di conseguenza, durante gli accessi federati con AD FS, dopo aver immesso il nome utente nella pagina di destinazione di vCenter Server e aver eseguito il reindirizzamento alla pagina di accesso ad AD FS, è necessario immettere nuovamente il nome utente nella pagina di accesso ad AD FS. L'immissione del nome utente nella pagina di destinazione di vCenter Server è necessaria per reindirizzare l'accesso al corretto provider di identità. L'immissione del nome utente nella pagina di accesso ad AD FS è invece necessaria per eseguire l'autenticazione con AD FS. L'impossibilità di passare il nome utente alla pagina di accesso ad AD FS è una limitazione di AD FS. Non è possibile configurare o modificare questo comportamento direttamente da vCenter Server.

Supporto per gli indirizzi IPv6

AD FS, Microsoft Entra ID e Ping Federate supportano gli indirizzi IPv6. Okta non supporta gli indirizzi IPv6.

Configurazione di una singola istanza di VMware Identity Services

Per impostazione predefinita, quando si installa o si esegue l'aggiornamento a vSphere 8.0 Update 1 o versioni successive, VMware Identity Services è abilitato in vCenter Server. Quando si configura Okta, Microsoft Entra ID o PingFederate in una configurazione Modalità collegata avanzata, si utilizza VMware Identity Services in un singolo sistema vCenter Server. Ad esempio, se si utilizza Okta in una configurazione Modalità collegata avanzata costituita da tre sistemi vCenter Server, solo un vCenter Server e la relativa istanza di VMware Identity Services vengono utilizzati per comunicare con il server Okta.

Riconfigurazione dell'identificatore di rete primario

La riconfigurazione dell'identificatore di rete primario (PNID) di vCenter Server richiede l'aggiornamento della configurazione del provider di identità esterno come indicato di seguito.

• AD FS: aggiunta dei nuovi URI di reindirizzamento al server AD FS.
• Okta: riconfigurazione di Okta. Vedere Configurazione della federazione del provider di identità di vCenter Server per Okta ed eseguire i passaggi per creare il provider di identità in vCenter Server.
• Microsoft Entra ID: riconfigurare Entra ID. Vedere Configurazione della federazione del provider di identità di vCenter Server per Microsoft Entra ID ed eseguire i passaggi per creare il provider di identità in vCenter Server.
• PingFederate: riconfigurare PingFederate. Vedere Configurazione della federazione del provider di identità di vCenter Server per PingFederate ed eseguire i passaggi per creare il provider di identità in vCenter Server.

Passaggio dall'utilizzo di Active Directory all'utilizzo di un provider di identità esterno

Se si utilizza Active Directory come origine identità per vCenter Server, il passaggio all'utilizzo di un provider di identità esterno è molto semplice. Se i gruppi e i ruoli di Active Directory corrispondono ai gruppi e ai ruoli del provider di identità, non è necessario eseguire ulteriori azioni. Quando i gruppi e i ruoli non corrispondono, è necessario eseguire alcune operazioni aggiuntive. Se vCenter Server è un membro del dominio, è consigliabile rimuoverlo dal dominio perché non è necessario o non viene utilizzato per la federazione di identità.

Migrazione e ripuntamento tra domini

La Federazione del provider di identità di vCenter Server supporta il ripuntamento tra domini, ovvero lo spostamento di un vCenter Server da un dominio SSO di vSphere a un altro. Il vCenter Server ripuntato riceve la configurazione del provider di identità replicata dal sistema o dai sistemi vCenter Server a cui originariamente puntava.

In generale, non è necessario eseguire alcuna riconfigurazione aggiuntiva del provider di identità per un ripuntamento tra domini, a meno che non si verifichi una delle seguenti condizioni.

1. La configurazione del provider di identità del vCenter Server ripuntato è diversa dalla configurazione del provider di identità del vCenter Server a cui originariamente puntava.
2. Questa è la prima volta che il vCenter Server ripuntato riceve la configurazione di un provider di identità.

In questi casi, è necessaria qualche operazione aggiuntiva. Ad esempio, per AD FS è necessario aggiungere gli URI di reindirizzamento del sistema vCenter Server al gruppo di applicazioni corrispondente nel server AD FS. Ad esempio, se vCenter Server 1 con il gruppo di applicazioni A di AD FS (o privo di configurazione AD FS) viene contrassegnato come vCenter Server 2 con gruppo di applicazioni B di AD FS, è necessario aggiungere gli URI di reindirizzamento di vCenter Server 1 al gruppo di applicazioni B.

Sincronizzazione di utenti e gruppi, backup e ripristino di vCenter Server

A seconda di quando si sincronizzano gli utenti e i gruppi con vCenter Server e di quando si esegue il backup di vCenter Server, se si deve ripristinare vCenter Server potrebbe essere necessario risincronizzare gli utenti e i gruppi pubblicati da SCIM.

Per ripristinare un utente o un gruppo eliminato, non è sufficiente eseguire il push dell'utente o del gruppo dal provider di identità esterno a vCenter Server. È necessario aggiornare l'applicazione SCIM 2.0 nel provider di identità esterno con l'utente o il gruppo mancante. Vedere Ripristino di utenti e gruppi SCIM eliminati.