È possibile arrestare e avviare VMware Identity Services, rigenerare un token SCIM e ripristinare utenti e gruppi di SCIM eliminati.

In base all'attività, utilizzare vSphere Client o la console di amministrazione del provider di identità esterno.

Arresto e avvio di VMware Identity Services

Per configurare ed eseguire Okta, Microsoft Entra ID (precedentemente Azure AD) o PingFederate come fornitore di identità esterno, è necessario avviare VMware Identity Services in vCenter Server. Per impostazione predefinita quando si installa o si esegue l'aggiornamento a vSphere 8.0 Update 1 o versione successiva, VMware Identity Services viene avviato. È possibile utilizzare l'interfaccia di gestione di vCenter Server per gestire VMware Identity Services.

A partire dalla versione 8.0 Update 1, vSphere include VMware Identity Services per supportare l'autenticazione a Okta. A partire dalla versione 8.0 Update 2, VMware Identity Services supporta l'autenticazione a Microsoft Entra ID. A partire dalla versione 8.0 Update 3, VMware Identity Services supporta l'autenticazione a PingFederate.

Prerequisiti

Quando si installa o si esegue l'aggiornamento a vSphere 8.0 Update 1 o versione successiva, VMware Identity Services viene avviato automaticamente. Quando si configura Okta, Microsoft Entra ID o PingFederate come fornitore di identità esterno, non è necessario avviare VMware Identity Services perché è già in esecuzione. Per avviare o arrestare VMware Identity Services, è necessario disporre delle credenziali di utente root.

È possibile configurare il fornitore di identità esterno solo su un singolo vCenter Server. Tale vCenter Server, tramite l'istanza di VMware Identity Services, comunica con il fornitore di identità. VMware Identity Services è in esecuzione anche negli altri sistemi vCenter Server con la configurazione Modalità collegata avanzata, ma tali sistemi non comunicano direttamente con il fornitore di identità.

Procedura

  1. In un browser Web, passare all'interfaccia di gestione di vCenter Server all'indirizzo https://vcenter-IP-address-or-FQDN:5480.
  2. Accedere come root.
    La password root predefinita è la password impostata durante la distribuzione di vCenter Server.
  3. Selezionare Servizi.
  4. Visualizzare lo stato di VMware Identity Services.
  5. Per arrestare o avviare il servizio, selezionare VMware Identity Services e fare clic su Interrompi o su Avvia.
    Dopo aver avviato VMware Identity Services, non è necessario riavviare vCenter Server.

Rigenerazione del token SCIM in vCenter Server

In vCenter Server, è possibile rigenerare un token System for Cross-Domain Identity Management (SCIM) per un fornitore di identità esterno.

Se si genera un altro token, diventa immediatamente attivo e il token precedente viene revocato.

Prerequisiti

È necessario aver creato un fornitore di identità esterno in vCenter Server.

Procedura

  1. Accedere come amministratore con vSphere Client a vCenter Server.
  2. Passare all'interfaccia utente di configurazione.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-On fare clic su Configurazione.
  3. Nella pagina Configurazione, in Provisioning utente/Token segreto, fare clic su Genera di nuovo per rigenerare il token segreto, selezionare la durata del token dal menu a discesa, quindi fare clic su Copia negli Appunti. Salvare il token in una posizione sicura.
  4. Il token copiato è disponibile per aggiornare la configurazione del fornitore di identità esterno.

Ripristino di utenti e gruppi SCIM eliminati

Se gli utenti e i gruppi SCIM in vCenter Server non sono più sincronizzati con il provider di identità esterno, è possibile eseguire i passaggi necessari per risolvere il problema.

Quando si desidera ripristinare un utente o un gruppo SCIM eliminato da vCenter Server, non è possibile eseguire semplicemente il push dell'utente o del gruppo dal provider di identità. A causa del modo in cui vCenter Server utilizza System for Cross-domain Identity Management (SCIM) per la gestione di utenti e gruppi, è necessario aggiornare l'applicazione SCIM 2.0 con l'utente o il gruppo mancante.

Procedura

  1. Accedere alla console di amministrazione dell'IDP esterno.
  2. Passare all'applicazione SCIM 2.0.
  3. Assegnare l'utente o il gruppo eliminato o mancante.
  4. Selezionare l'azione appropriata per eliminare il gruppo o l'utente di cui è stato eseguito il push per scollegare il gruppo o l'utente di cui è stato eseguito il push.
  5. Selezionare l'azione appropriata per eseguire il push del gruppo.
  6. Verificare in vCenter Server che l'IDP esterno abbia sincronizzato il gruppo o l'utente.