Configurazione della federazione del provider di identità di vCenter Server per Okta

Dopo l'installazione o l'aggiornamento a vSphere 8.0 Update 1 o versione successiva, è possibile configurare la federazione del provider di identità di vCenter Server per Okta come provider di identità esterno.

vCenter Server supporta un solo provider di identità esterno configurato (un'origine) e l'origine identità vsphere.local (origine locale). Non è possibile utilizzare più provider di identità esterni. La federazione del provider di identità di vCenter Server utilizza OpenID Connect (OIDC) per l'accesso degli utenti a vCenter Server.

È possibile configurare i privilegi utilizzando i gruppi e gli utenti di Okta tramite le autorizzazioni globali o degli oggetti in vCenter Server. Vedere la documentazione Sicurezza di vSphere per maggiori dettagli sull'aggiunta delle autorizzazioni.

Prerequisiti

Requisiti di Okta:

È necessario utilizzare Okta e disporre di uno spazio di dominio dedicato, ad esempio https://tua-azienda.okta.com.
Per eseguire gli accessi OIDC e gestire le autorizzazioni di utenti e gruppi, è necessario creare le seguenti applicazioni Okta.
- Un'applicazione nativa di Okta con OpenID Connect come metodo di accesso. L'applicazione nativa deve includere i tipi di concessione del codice di autorizzazione, il token di aggiornamento e la password del proprietario della risorsa.
- Un'applicazione System for Cross-domain Identity Management (SCIM) 2.0 con un token di connessione OAuth 2.0 per eseguire la sincronizzazione di utenti e gruppi tra il server Okta e vCenter Server.
Vedere l'articolo della Knowledge base di VMware all'indirizzo https://kb.vmware.com/s/article/90835.
Sono stati identificati gli utenti e i gruppi Okta che si desidera condividere con vCenter Server. Questa condivisione è un'operazione SCIM (non un'operazione OIDC).

Requisiti di connettività di Okta:

vCenter Server deve essere in grado di connettersi all'endpoint di rilevamento di Okta, nonché agli endpoint di autorizzazione, token, JWKS e a tutti gli altri endpoint annunciati nei metadati dell'endpoint di rilevamento.
Okta deve inoltre essere in grado di connettersi a vCenter Server per inviare i dati di utenti e gruppi per il provisioning di SCIM.

Requisiti di vCenter Server:

vSphere 8.0 Update 1 o versioni successive
Nel vCenter Server in cui si desidera creare l'origine identità Okta, verificare che i VMware Identity Services siano attivati.
Nota: Quando si installa o si esegue l'aggiornamento a vSphere 8.0 Update 1 o versione successiva, i VMware Identity Services vengono attivati per impostazione predefinita. È possibile utilizzare l'interfaccia di gestione di vCenter Server per verificare lo stato dei VMware Identity Services. Vedere Arresto e avvio di VMware Identity Services.

Requisiti dei privilegi di vSphere:

È necessario disporre del privilegio VcIdentityProviders.Gestisci per creare, aggiornare o eliminare un provider di identità di vCenter Server necessario per l'autenticazione federata. Per limitare un utente alla sola visualizzazione delle informazioni di configurazione del provider di identità, assegnare il privilegio VcIdentityProviders.Lettura.

Requisiti della modalità collegata avanzata:

È possibile configurare la federazione del provider di identità di vCenter Server per Okta in una configurazione della modalità collegata avanzata. Quando si configura Okta in una configurazione della modalità collegata avanzata, si configura il provider di identità Okta per l'utilizzo dei VMware Identity Services in un singolo sistema vCenter Server. Ad esempio se la configurazione della modalità collegata avanzata è costituita da due sistemi vCenter Server, solo un vCenter Server e la relativa istanza di VMware Identity Services vengono utilizzati per comunicare con il server Okta. Se questo sistema vCenter Server diventa non disponibile, è possibile configurare VMware Identity Services in altri vCenter Server nella configurazione ELM per interagire con il server Okta. Per ulteriori informazioni, vedere Processo di attivazione per provider di identità esterni nelle configurazioni in modalità collegata avanzata.
Quando si configura Okta come provider di identità esterno, tutti i sistemi vCenter Server in una configurazione della modalità collegata avanzata devono eseguire almeno vSphere 8.0 Update 1.

Requisiti di rete:

Se la rete non è disponibile pubblicamente, è necessario creare un tunnel di rete tra il sistema vCenter Server e il server Okta, quindi utilizzare l'URL accessibile pubblicamente appropriato come URI di base.

Procedura

Creare un'applicazione OpenID Connect in Okta e assegnare gruppi e utenti all'applicazione OpenID Connect.
Per creare l'applicazione OpenID Connect e assegnare gruppi e utenti, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/90835. Eseguire i passaggi della sezione intitolata "Creazione dell'applicazione OpenID Connect". Dopo aver creato l'applicazione OpenID Connect di Okta, copiare le seguenti informazioni dall'applicazione OpenID Connect di Okta in un file da utilizzare durante la configurazione del provider di identità di vCenter Server nel passaggio successivo.
- Identificatore client
- Segreto client (visualizzato come segreto condiviso in vSphere Client)
- Informazioni sul dominio di Active Directory o sul dominio di Okta se non si esegue Active Directory
Per creare il provider di identità in vCenter Server:
1. Utilizzare vSphere Client per accedere come amministratore a vCenter Server.
2. Passare a Home > Amministrazione > Single Sign-On > Configurazione.
3. Fare clic su Modifica provider e selezionare Okta.
  Verrà aperta la procedura guidata Configura provider di identità principale.
4. Nel pannello Prerequisiti esaminare i requisiti di Okta e vCenter Server.
5. Fare clic su Esegui verifiche preliminari.
  Se la verifica preliminare rileva errori, fare clic su Visualizza dettagli ed eseguire i passaggi necessari per risolvere gli errori come indicato.
6. Al termine della verifica preliminare, fare clic sulla casella di controllo di conferma e quindi su Avanti.
7. Nel pannello Informazioni directory immettere le informazioni seguenti.
  - Nome directory: nome della directory locale da creare in vCenter Server in cui sono archiviati gli utenti e i gruppi inviati da Okta. Ad esempio, vcenter-okta-directory.
  - Nomi di dominio: immettere i nomi di dominio di Okta che contengono gli utenti e i gruppi di Okta che si desidera sincronizzare con vCenter Server.
    Dopo aver immesso il nome del dominio di Okta, fare clic sull'icona più (+) per aggiungerlo. Se si immettono più nomi di dominio, specificare il dominio predefinito.
8. Fare clic su Avanti.
9. Nel pannello OpenID Connect immettere le informazioni seguenti.
  - Interfaccia utente di reindirizzamento: compilata automaticamente. Si assegna all'amministratore di Okta l'interfaccia utente di reindirizzamento da utilizzare nella creazione dell'applicazione OpenID Connect.
  - Nome provider di identità: compilato automaticamente come Okta.
  - Identificatore client: ottenuto quando è stata creata l'applicazione OpenID Connect in Okta nel passaggio 1. (Okta fa riferimento all'identificatore client come ID client.)
  - Segreto condiviso: ottenuto quando è stata creata l'applicazione OpenID Connect in Okta nel passaggio 1. (Okta fa riferimento al segreto condiviso come segreto client.)
  - Indirizzo OpenID: ha il formato https://Okta domain space/oauth2/default/.well-known/openid-configuration.
    Ad esempio, se lo spazio del dominio Okta è esempio.okta.com, l'indirizzo di OpenID è: https://example.okta.com/oauth2/default/.well-known/openid-configuration
    Per ulteriori informazioni, vedere https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration.
10. Fare clic su Avanti.
11. Rivedere le informazioni e fare clic su Fine.
  vCenter Server crea il provider di identità Okta e visualizza le informazioni di configurazione.
12. Se necessario, scorrere verso il basso e fare clic sull'icona Copia dell'URI di reindirizzamento e salvarlo in un file.
  Utilizzare l'URI di reindirizzamento nell'applicazione OpenID Connect di Okta.
13. Fare clic sull'icona Copia per l'URL del tenant e salvarlo in un file.
  
  Nota: Se la rete non è disponibile pubblicamente, è necessario creare un tunnel di rete tra il sistema vCenter Server e il server Okta. Dopo aver creato il tunnel di rete, utilizzare l'URL accessibile pubblicamente appropriato come URI di base.
14. In Provisioning utente fare clic su Genera per creare il token segreto, selezionare la durata del token dal menu a discesa e quindi fare clic su Copia negli Appunti. Salvare il token in una posizione sicura.
  Utilizzare l'URL del tenant e il token nell'applicazione SCIM 2.0 di Okta. L'applicazione SCIM 2.0 di Okta utilizza il token per sincronizzare gli utenti e i gruppi di Okta in VMware Identity Services. Queste informazioni sono necessarie per eseguire il push di utenti e gruppi di Okta da Okta a vCenter Server.
Tornare all'articolo della Knowledge Base di VMware in https://kb.vmware.com/s/article/90835 per aggiornare l'URI di reindirizzamento di Okta.
Eseguire i passaggi della sezione intitolata "Aggiornamento dell'URI di reindirizzamento di Okta".
Per creare l'applicazione SCIM 2.0, rimanere nell'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/90835.
Eseguire i passaggi della sezione intitolata "Creazione dell'applicazione SCIM 2.0 e push di utenti e gruppi a vCenter Server".

Una volta completata la creazione dell'applicazione SCIM 2.0 come descritto nell'articolo della Knowledge Base, continuare con il passaggio successivo.
Configurare vCenter Server per l'autorizzazione di Okta.
È possibile assegnare gli utenti di Okta a un gruppo di vCenter Server oppure assegnare autorizzazioni a livello di inventario e globali agli utenti di Okta. L'autorizzazione minima richiesta per accedere è Sola lettura.

Per assegnare gli utenti di Okta a un gruppo, vedere Aggiunta di membri a un gruppo di vCenter Single Sign-On. Per assegnare autorizzazioni a livello di inventario e globali agli utenti di Okta, vedere l'argomento sulla gestione delle autorizzazioni per i componenti di vCenter Server nella documentazione di Sicurezza di vSphere.
Verificare di aver effettuato l'accesso a vCenter Server con un utente di Okta.