Dopo l'installazione o l'aggiornamento a vSphere 8.0 Update 2 o versione successiva, è possibile configurare la federazione del provider di identità di vCenter Server per Microsoft Entra ID (denominato in precedenza Azure AD) come provider di identità esterno.

vCenter Server supporta un solo provider di identità esterno configurato (un'origine) e l'origine identità vsphere.local (origine locale). Non è possibile utilizzare più provider di identità esterni. La federazione del provider di identità di vCenter Server utilizza OpenID Connect (OIDC) per l'accesso degli utenti a vCenter Server.

È possibile configurare i privilegi utilizzando i gruppi e gli utenti di Microsoft Entra ID tramite le autorizzazioni globali o degli oggetti in vCenter Server. Vedere la documentazione Sicurezza di vSphere per maggiori dettagli sull'aggiunta delle autorizzazioni.

Per informazioni dettagliate sul processo di configurazione, vedere il video seguente:

Autenticazione di vCenter: integrazione con AzureAD/Entra ID | vSphere 8 Update 2

Prerequisiti

Requisiti di Microsoft Entra ID:
  • Si è clienti di Microsoft e si dispone di un account Microsoft Entra ID.
Requisiti di connettività di Microsoft Entra ID:
  • È stata creata un'applicazione aziendale (non della raccolta) con OpenID Connect come metodo di accesso.
  • Aggiungere il codice di autorizzazione, il token di aggiornamento e la password del proprietario della risorsa come tipi di concessione nell'applicazione creata.
  • Per la sincronizzazione di utenti e gruppi, è necessario configurare l'applicazione Raccolta di VMware Identity Services per il provisioning di SCIM 2.0 in Microsoft Entra ID con token di connessione OAuth 2.0.
Requisiti di vCenter Server:
  • vSphere 8.0 Update 2 o versione successiva, con VMware Identity Services attivati (sono attivati per impostazione predefinita).
  • Nel vCenter Server in cui si desidera creare l'origine identità di Microsoft Entra ID, verificare che VMware Identity Services sia attivato.
  • Gli utenti e i gruppi del provider di identità vengono sottoposti a provisioning nel vCenter Server.
Requisiti dei privilegi di vSphere:
  • È necessario disporre del privilegio VcIdentityProviders.Manage per creare, aggiornare o eliminare un provider di identità di vCenter Server necessario per l'autenticazione federata. Per limitare un utente alla sola visualizzazione delle informazioni di configurazione del provider di identità, assegnare il privilegio VcIdentityProviders.Read.
Requisiti della modalità collegata avanzata:
  • È possibile configurare la federazione del provider di identità di vCenter Server per Microsoft Entra ID in una configurazione in modalità collegata avanzata. Quando si configura Microsoft Entra ID in una configurazione in modalità collegata avanzata, si configura il provider di identità di Microsoft Entra ID per l'utilizzo di VMware Identity Services in un singolo sistema vCenter Server. Ad esempio se la configurazione in modalità collegata avanzata è costituita da due sistemi vCenter Server, solo un vCenter Server e la relativa istanza di VMware Identity Services vengono utilizzati per comunicare con il server Microsoft Entra ID. Se questo sistema vCenter Server diventa non disponibile, è possibile configurare VMware Identity Services in altri sistemi vCenter Server nella configurazione ELM in modo che interagisca con il server Microsoft Entra ID. Per ulteriori informazioni, vedere Processo di attivazione per provider di identità esterni nelle configurazioni in modalità collegata avanzata.
  • Quando si configura Microsoft Entra ID come provider di identità esterno, tutti i sistemi vCenter Server in una configurazione in modalità collegata avanzata devono eseguire almeno vSphere 8.0 Update 2.
Requisiti di rete:
  • Se la rete non è disponibile pubblicamente, è necessario creare un tunnel di rete tra il sistema vCenter Server e il server Microsoft Entra ID, quindi utilizzare l'URL accessibile pubblicamente appropriato come URI di base.

Procedura

  1. Creare un'applicazione OpenID Connect in Microsoft Entra ID e assegnare gruppi e utenti all'applicazione OpenID Connect.
    Per creare l'applicazione OpenID Connect e assegnare gruppi e utenti, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/94182. Eseguire i passaggi della sezione intitolata "Creazione dell'applicazione OpenID Connect". Dopo aver creato l'applicazione OpenID Connect, copiare le informazioni seguenti dall'applicazione OpenID Connect di Microsoft Entra ID in un file da utilizzare durante la configurazione del provider di identità di vCenter Server nel passaggio successivo.
    • Identificatore client
    • Segreto client (visualizzato come segreto condiviso in vSphere Client).
    • Informazioni sul dominio di Active Directory o sul dominio di Microsoft Entra ID se non si esegue Active Directory.
  2. Per creare il provider di identità in vCenter Server:
    1. Utilizzare vSphere Client per accedere come amministratore a vCenter Server.
    2. Passare a Home > Amministrazione > Single Sign-On > Configurazione.
    3. Fare clic su Modifica provider e selezionare Microsoft Entra ID.
      Verrà aperta la procedura guidata Configura provider di identità principale.
    4. Nel pannello Prerequisiti verificare i requisiti di Microsoft Entra ID e vCenter Server.
    5. Fare clic su Esegui verifiche preliminari.
      Se la verifica preliminare rileva errori, fare clic su Visualizza dettagli ed eseguire i passaggi necessari per risolvere gli errori come indicato.
    6. Al termine della verifica preliminare, fare clic sulla casella di controllo di conferma e quindi su Avanti.
    7. Nel pannello Informazioni directory immettere le informazioni seguenti.
      • Nome directory: nome della directory locale da creare in vCenter Server in cui sono archiviati gli utenti e i gruppi inviati da Microsoft Entra ID. Ad esempio, vcenter-entraid-directory.
      • Nomi di dominio: immettere i nomi di dominio di Microsoft Entra ID che contengono gli utenti e i gruppi di Microsoft Entra ID che si desidera sincronizzare con vCenter Server.

        Dopo aver immesso il nome del dominio di Microsoft Entra ID, fare clic sull'icona più (+) per aggiungerlo. Se si immettono più nomi di dominio, specificare il dominio predefinito.

    8. Fare clic su Avanti.
    9. Nel pannello OpenID Connect immettere le informazioni seguenti.
      • Interfaccia utente di reindirizzamento: compilata automaticamente. Assegnare all'amministratore di Microsoft Entra ID l'interfaccia utente di reindirizzamento da utilizzare nella creazione dell'applicazione OpenID Connect.
      • Nome provider di identità: compilato automaticamente come Microsoft Entra ID.
      • Identificatore client: ottenuto quando è stata creata l'applicazione OpenID Connect in Microsoft Entra ID nel passaggio 1. (Microsoft Entra ID fa riferimento all'identificatore client come ID client.)
      • Segreto condiviso: ottenuto quando è stata creata l'applicazione OpenID Connect in Microsoft Entra ID nel passaggio 1. (Microsoft Entra ID fa riferimento al segreto condiviso come segreto client.)
      • Indirizzo OpenID: ha il formato https://Microsoft Entra ID domain space/oauth2/default/.well-known/openid-configuration.

        Ad esempio, se lo spazio del dominio di Microsoft Entra ID è example.EntraID.com, l'indirizzo di OpenID è: https://example.EntraID.com/oauth2/default/.well-known/openid-configuration

    10. Fare clic su Avanti.
    11. Rivedere le informazioni e fare clic su Fine.
      vCenter Server crea il provider di identità di Microsoft Entra ID e visualizza le informazioni di configurazione.
    12. Se necessario, scorrere verso il basso e fare clic sull'icona Copia dell'URI di reindirizzamento e salvarlo in un file.
      Utilizzare l'URI di reindirizzamento nell'applicazione OpenID Connect di Microsoft Entra ID.
    13. Fare clic sull'icona Copia per l'URL del tenant e salvarlo in un file.
      Nota: Se la rete non è disponibile pubblicamente, è necessario creare un tunnel di rete tra il sistema vCenter Server e il server Microsoft Entra ID. Dopo aver creato il tunnel di rete, utilizzare l'URL accessibile pubblicamente appropriato come URI di base.
    14. In Provisioning utente fare clic su Genera per creare il token segreto, selezionare la durata del token dal menu a discesa e quindi fare clic su Copia negli Appunti. Salvare il token in una posizione sicura.
      Utilizzare l'URL del tenant e il token nell'applicazione SCIM 2.0 di Microsoft Entra ID. L'applicazione SCIM 2.0 di Microsoft Entra ID utilizza il token per sincronizzare gli utenti e i gruppi di Microsoft Entra ID in VMware Identity Services. Queste informazioni sono necessarie per eseguire il push di utenti e gruppi di Microsoft Entra ID da Microsoft Entra ID a vCenter Server.
  3. Tornare all'articolo della Knowledge Base di VMware in https://kb.vmware.com/s/article/94182 per aggiornare l'URI di reindirizzamento di Microsoft Entra ID.
    Eseguire i passaggi della sezione intitolata "Aggiornamento dell'URI di reindirizzamento di Azure AD".
  4. Per creare l'applicazione SCIM 2.0, rimanere nell'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/94182.
    Eseguire i passaggi della sezione intitolata "Creazione dell'applicazione SCIM 2.0 e push di utenti e gruppi a vCenter Server".
    Una volta completata la creazione dell'applicazione SCIM 2.0 come descritto nell'articolo della Knowledge Base, continuare con il passaggio successivo.
  5. Configurare l'appartenenza al gruppo in vCenter Server per l'autorizzazione di Microsoft Entra ID.
    Affinché gli utenti di Microsoft Entra ID possano accedere a vCenter Server, è necessario configurare l'appartenenza al gruppo.
    1. In vSphere Client, dopo aver effettuato l'accesso come amministratore locale, passare a Amministrazione > Single Sign-On > Utenti e gruppi.
    2. Fare clic sulla scheda Gruppi.
    3. Fare clic sul gruppo Amministratori e quindi su Aggiungi membri.
    4. Nel menu a discesa selezionare il nome di dominio del gruppo di Microsoft Entra ID che si desidera aggiungere.
    5. Nella casella di testo sotto il menu a discesa, immettere i primi caratteri del gruppo di Microsoft Entra ID che si desidera aggiungere e attendere che venga visualizzata la selezione a discesa.
    6. Selezionare il gruppo di Microsoft Entra ID e aggiungerlo al gruppo di amministratori.
    7. Fare clic su Salva.
  6. Verificare di aver effettuato l'accesso a vCenter Server con un utente di Microsoft Entra ID.
  7. Per assegnare autorizzazioni a livello di inventario e globali agli utenti di Microsoft Entra ID, vedere l'argomento sulla gestione delle autorizzazioni per i componenti di vCenter Server nella documentazione di Sicurezza di vSphere.