Quando si abilita la Federazione del provider di identità in ambienti vCenter Server che utilizzano la Modalità collegata avanzata, l'autenticazione e i workflow continuano a funzionare come prima.

Se si utilizza la configurazione Modalità collegata avanzata, tenere presente quanto segue quando si accede a vCenter Server utilizzando l'autenticazione federata.

  • Gli utenti continuano a visualizzare lo stesso inventario e possono eseguire le stesse azioni, in base al modello di ruoli e alle autorizzazioni di vCenter Server.
  • Non è necessario che gli host di vCenter Server in Modalità collegata avanzata abbiano accesso ad entrambi i rispettivi provider di identità. Si considerino ad esempio due sistemi vCenter Server A e B e che utilizzano la Modalità collegata avanzata. Dopo che vCenter Server A avrà autorizzato un utente, quell'utente risulterà autorizzato anche da vCenter Server B.

Modalità collegata avanzata e AD FS

La figura seguente illustra il workflow di autenticazione quando si utilizza AD FS con la Modalità collegata avanzata.

Figura 1. Modalità collegata avanzata e federazione del provider di identità AD FS
Questa figura illustra come i sistemi di vCenter Server che utilizzano la Modalità collegata avanzata interagiscono con AD FS.
  1. Vengono distribuiti due nodi vCenter Server con la configurazione Modalità collegata avanzata.
  2. L'impostazione di AD FS è stata configurata in vCenter Server A mediante la procedura guidata Modifica provider di identità utilizzando vSphere Client. Sono state inoltre stabilite le appartenenze e le autorizzazioni per gli utenti o i gruppi AD FS.
  3. vCenter Server A replica la configurazione di AD FS in vCenter Server B.
  4. Tutti gli URI di reindirizzamento per entrambi i nodi di vCenter Server vengono aggiunti al gruppo di applicazioni OAuth in AD FS. Viene creato un solo gruppo di applicazioni OAuth.
  5. Quando un utente accede a ed è autorizzato da vCenter Server A, viene autorizzato anche da vCenter Server B. Lo stesso accade se l'utente accede prima a vCenter Server B.

Scenari di configurazione della Modalità collegata avanzata con AD FS

La Modalità collegata avanzata di vCenter Server supporta i seguenti scenari di configurazione per AD FS. In questa sezione, i termini "Impostazioni AD FS" e "Configurazione AD FS" si riferiscono alle impostazioni configurate in vSphere Client mediante la procedura guidata Modifica provider di identità e a tutte le appartenenze ai gruppi o le autorizzazioni definite per i gruppi e per gli utenti di AD FS.

Abilitazione di AD FS in una configurazione Modalità collegata avanzata esistente

Passaggi principali:

  1. Distribuire N nodi di vCenter Server in una configurazione Modalità collegata avanzata.
  2. Configurare AD FS in uno dei nodi vCenter Server collegati.
  3. La configurazione di AD FS viene replicata in tutti gli altri nodi di vCenter Server (N-1).
  4. Aggiungere tutti gli URI di reindirizzamento per tutti gli N nodi di vCenter Server al gruppo di applicazioni OAuth configurato in AD FS.

Collegare un nuovo vCenter Server a una configurazione di AD FS in Modalità collegata avanzata esistente

Passaggi principali:

  1. (Prerequisito) Configurare AD FS in una configurazione Modalità collegata avanzata di un nodo N di vCenter Server.
  2. Distribuire un nuovo nodo di vCenter Server indipendente.
  3. Ripuntare il nuovo vCenter Server al dominio con Modalità collegata avanzata di AD FS del nodo N, utilizzando uno dei nodi N come partner di replica.
  4. Tutte le impostazioni di AD FS nella configurazione Modalità collegata avanzata esistente vengono replicate nel nuovo vCenter Server.

    Le impostazioni di AD FS che si trovano nel dominio con Modalità collegata avanzata di AD FS del nodo N sovrascrivono tutte le impostazioni di AD FS esistenti nel vCenter Server appena collegato.

  5. Aggiungere tutti gli URI di reindirizzamento per il nuovo vCenter Server al gruppo di applicazioni OAuth esistente configurato in AD FS.

Scollegare un vCenter Server da una configurazione di AD FS in Modalità collegata avanzata

Passaggi principali:

  1. (Prerequisito) Configurare AD FS in una configurazione Modalità collegata avanzata di un nodo N di vCenter Server.
  2. Annullare la registrazione di uno degli host di vCenter Server nella configurazione del nodo N e ripuntarlo a un nuovo dominio, per scollegarlo dalla configurazione del nodo N.
  3. Il processo di ripuntamento del dominio non conserva le impostazioni SSO, quindi tutte le impostazioni AD FS nel nodo di vCenter Server scollegato vengono ripristinate e perse. Per continuare a utilizzare AD FS in questo nodo di vCenter Server scollegato, è necessario riconfigurare AD FS dall'inizio oppure collegare nuovamente vCenter Server a una configurazione Modalità collegata avanzata in cui è già configurato AD FS.

Modalità collegata avanzata e Okta, Microsoft Entra ID o PingFederate Identity Provider Federation

La figura seguente illustra il workflow di autenticazione quando si utilizza Okta, Microsoft Entra ID o PingFederate con la modalità collegata avanzata.

Figura 2. Modalità collegata avanzata e Okta, Microsoft Entra ID o PingFederate Identity Provider Federation
Questa figura illustra in che modo i sistemi di vCenter Server che utilizzano la Modalità collegata avanzata interagiscono con Okta, Microsoft Entra ID o PingFederate.
Nota: Quando si configura Okta, Microsoft Entra ID o PingFederate come provider di identità esterno, tutti i sistemi vCenter Server in una configurazione della modalità collegata avanzata devono eseguire almeno vSphere 8.0 Update 1 per Okta, vSphere 8.0 Update 2 per Microsoft Entra ID e vSphere 8.0 Update 3 per PingFederate.
  1. Vengono distribuiti due nodi vCenter Server con la configurazione Modalità collegata avanzata.
  2. L'impostazione di Okta, Microsoft Entra ID o PingFederate è stata configurata in vCenter Server A mediante la procedura guidata Modifica provider di identità in vSphere Client. Sono state inoltre stabilite le appartenenze ai gruppi e le autorizzazioni per gli utenti o i gruppi di Okta, Microsoft Entra ID o PingFederate.
    Nota: In vCenter Server A e B è abilitato VMware Identity Services ma solo VMware Identity Services in vCenter Server A comunica con il server fornitore di identità.
  3. VMware Identity Services in esecuzione in vCenter Server A consente a vCenter Server B di accedere al proprio endpoint.
  4. L'URI di reindirizzamento per vCenter Server A viene aggiunto all'applicazione OAuth in Okta, Microsoft Entra ID, o PingFederate. Viene creata una sola applicazione OAuth.
  5. Quando un utente accede a ed è autorizzato da vCenter Server A, viene autorizzato anche da vCenter Server B. Lo stesso accade se l'utente accede prima a vCenter Server B.

Scenari di configurazione della Modalità collegata avanzata con Okta, Microsoft Entra ID o PingFederate

La modalità collegata avanzata di vCenter Server supporta i seguenti scenari di configurazione per Okta, Microsoft Entra ID e PingFederate. In questa sezione, i termini "impostazioni di Okta" e "configurazione di Okta" o "impostazioni di Microsoft Entra ID" e "configurazione di Microsoft Entra ID" o "impostazioni di PingFederate" e "configurazione di PingFederate" si riferiscono alle impostazioni configurate in vSphere Client mediante la procedura guidata Modifica provider di identità e a tutte le appartenenze ai gruppi o le autorizzazioni definite per i gruppi e gli utenti di Okta, Microsoft Entra ID o PingFederate.

Abilitazione di Okta, Microsoft Entra ID o PingFederate in una configurazione Modalità collegata avanzata esistente

Passaggi principali:

  1. Distribuire N nodi di vCenter Server in una configurazione Modalità collegata avanzata.
  2. Configurare Okta, Microsoft Entra ID o PingFederate in uno dei nodi vCenter Server collegati.
  3. Le informazioni dell'endpoint di VMware Identity Services vengono replicate in tutti gli altri nodi vCenter Server (N-1).

    Le informazioni di configurazione di Okta, Microsoft Entra ID o PingFederate (ID client condiviso e così via) e le informazioni relative a utenti e gruppi non vengono replicate.

Collegamento di un nuovo vCenter Server a una configurazione di Okta, Microsoft Entra ID o PingFederate in Modalità collegata avanzata esistente

Passaggi principali:

  1. (Prerequisito) Configurare Okta, Microsoft Entra ID o PingFederate in una configurazione Modalità collegata avanzata a N nodi di vCenter Server.
  2. Distribuire un nuovo nodo di vCenter Server indipendente.
  3. Ripuntare il nuovo vCenter Server al dominio con Modalità collegata avanzata di Okta, Microsoft Entra ID o PingFederate a N nodi utilizzando uno degli N nodi come partner di replica.
  4. Le informazioni dell'endpoint di VMware Identity Services vengono replicate in tutti gli altri nodi vCenter Server (N-1).

    Le informazioni di configurazione di Okta, Microsoft Entra ID o PingFederate (ID client condiviso e così via) e le informazioni relative a utenti e gruppi non vengono replicate.

Nota: È possibile aggiungere un nodo vCenter Server con una configurazione di VMware Identity Services esistente. In questo scenario, la configurazione di VMware Identity Services esistente viene sostituita con la configurazione in Modalità collegata avanzata di VMware Identity Services a cui si sta unendo.

Non è possibile aggiungere un nodo vCenter Server con una configurazione di VMware Identity Services esistente a una configurazione ELM che non sia stata configurata con VMware Identity Services. In questo scenario, rimuovere innanzitutto la configurazione di VMware Identity Services esistente da vCenter Server prima di aggiungerla alla configurazione ELM.

Scollegamento di un vCenter Server da una configurazione Modalità collegata avanzata di Okta, Microsoft Entra ID o PingFederate

Passaggi principali:

  1. (Prerequisito) Configurare Okta, Microsoft Entra ID o PingFederate in una configurazione Modalità collegata avanzata a N nodi di vCenter Server.
  2. Annullare la registrazione di uno degli host di vCenter Server nella configurazione del nodo N e ripuntarlo a un nuovo dominio, per scollegarlo dalla configurazione del nodo N.
  3. Il processo di ripuntamento del dominio non conserva le impostazioni di SSO, quindi tutte le impostazioni di Okta, Microsoft Entra ID o PingFederate nel nodo di vCenter Server scollegato vengono annullate e perse. Per continuare a utilizzare Okta, Microsoft Entra ID o PingFederate in questo nodo di vCenter Server scollegato, è necessario riconfigurare Okta, Microsoft Entra ID o PingFederate dall'inizio oppure collegare nuovamente vCenter Server a una configurazione Modalità collegata avanzata in cui Okta, Microsoft Entra ID o PingFederate è già configurato.
Nota: Non è possibile scollegare un vCenter Server con una configurazione attiva di VMware Identity Services.