Dopo l'installazione o l'aggiornamento a vSphere 7.0 o versioni successive, è possibile configurare la federazione del provider di identità di vCenter Server per AD FS come provider di identità esterno.

Nota: Queste istruzioni sono per vSphere 8.0 Update 1 e versioni successive. Per vSphere 8.0, vedere l'argomento relativo alla configurazione della federazione del provider di identità di vCenter Server per AD FS nella documentazione Autenticazione di vSphere all'indirizzo https://docs.vmware.com/it/VMware-vSphere/8.0/vsphere-documentation-80.zip.

vCenter Server supporta un solo provider di identità esterno configurato (origine unica) e l'origine identità vsphere.local. Non è possibile utilizzare più provider di identità esterni. La federazione del provider di identità di vCenter Server utilizza OpenID Connect (OIDC) per l'accesso degli utenti a vCenter Server.

Questa attività descrive l'aggiunta di un gruppo di AD FS al gruppo di amministratori di vSphere come un modo per controllare le autorizzazioni. In vCenter Server, è inoltre possibile configurare i privilegi utilizzando AD FS Authorization tramite le autorizzazioni globali o degli oggetti. Vedere la documentazione Sicurezza di vSphere per maggiori dettagli sull'aggiunta delle autorizzazioni.

Attenzione:

Se si utilizza un'origine identità di Active Directory precedentemente aggiunta in vCenter Server come origine identità di AD FS, non eliminare tale origine identità esistente da vCenter Server. In caso contrario si verificherebbe una regressione dei ruoli e delle appartenenze ai gruppi precedentemente assegnati. Sia l'utente di AD FS con autorizzazioni globali sia gli utenti aggiunti al gruppo degli amministratori non potrebbero più accedere.

Soluzione: se i ruoli e le appartenenze ai gruppi precedentemente assegnati non sono necessari e si desidera rimuovere l'origine identità di Active Directory precedente, rimuovere l'origine identità prima di creare il provider di AD FS e configurare le appartenenze ai gruppi in vCenter Server.

Prerequisiti

Nota: Per questo processo di configurazione di un provider di identità AD FS, è necessario disporre dell'accesso amministrativo a vCenter Server e al server AD FS. Durante il processo di configurazione, le informazioni vengono immesse in vCenter Server, poi nel server AD FS e quindi in vCenter Server.

Requisiti di Active Directory Federation Services:

  • AD FS for Windows Server 2016 o versione successiva deve essere già distribuito.
  • AD FS deve essere connesso ad Active Directory.
  • È necessario creare un gruppo di applicazioni per vCenter Server in AD FS come parte del processo di configurazione. Vedere l'articolo della Knowledge base di VMware all'indirizzo https://kb.vmware.com/s/article/78029.
  • Un certificato del server AD FS (o un certificato CA o intermedio che ha firmato il certificato del server AD FS) aggiunto all'archivio dei certificati root attendibili.
  • È necessario creare un gruppo di amministratori di vCenter Server in AD FS contenente gli utenti a cui si desidera concedere i privilegi di amministratore di vCenter Server.

Per ulteriori informazioni sulla configurazione di AD FS, consultare la documentazione di Microsoft.

Requisiti di vCenter Server e altri requisiti:

  • vSphere 7.0 o versioni successive
  • vCenter Server deve essere in grado di connettersi all'endpoint di esplorazione di AD FS, nonché agli endpoint di autorizzazione, token, disconnessione, JWKS e a tutti gli altri endpoint annunciati nei metadati dell'endpoint di esplorazione.
  • È necessario disporre del privilegio VcIdentityProviders.Gestisci per creare, aggiornare o eliminare un provider di identità di vCenter Server necessario per l'autenticazione federata. Per limitare un utente alla sola visualizzazione delle informazioni di configurazione del provider di identità, assegnare il privilegio VcIdentityProviders.Lettura.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Aggiungere il certificato del server AD FS (o un certificato CA o intermedio che ha firmato il certificato del server AD FS) all'archivio dei certificati root attendibili.
    Nota: Per ulteriori informazioni, vedere Aggiunta di un certificato root attendibile all'archivio certificati mediante vSphere Client.
    1. Passare ad Amministrazione > Certificati > Gestione certificati.
    2. Accanto ad Archivio root attendibile, fare clic su Aggiungi.
    3. Selezionare il certificato AD FS e fare clic su Aggiungi.
      Il certificato viene aggiunto in un pannello di Certificati root attendibili.
  3. Iniziare a creare il provider di identità in vCenter Server.
    1. Utilizzare vSphere Client per accedere come amministratore a vCenter Server.
    2. Passare a Home > Amministrazione > Single Sign-On > Configurazione.
    3. Fare clic su Modifica provider e selezionare ADFS.
      Verrà aperta la procedura guidata Configura provider di identità principale.
    4. Nel pannello Prerequisiti verificare i requisiti di AD FS e vCenter Server.
    5. Fare clic su Esegui verifiche preliminari.
      Se la verifica preliminare rileva errori, fare clic su Visualizza dettagli ed eseguire i passaggi necessari per risolvere gli errori come indicato.
    6. Al termine della verifica preliminare, fare clic sulla casella di controllo di conferma e quindi su Avanti.
    7. Nel pannello Utenti e gruppi immettere le informazioni relative a utenti e gruppi per la connessione Active Directory su LDAP per poter cercare utenti e gruppi.
      vCenter Server deriva il dominio di AD da utilizzare per le autorizzazioni dal nome distinto di base per gli utenti. È possibile aggiungere autorizzazioni relative a oggetti di vSphere solo per gli utenti e i gruppi di questo dominio di AD. Gli utenti o i gruppi dei domini secondari di AD o di altri domini nella foresta di AD non sono supportati dalla federazione del provider di identità di vCenter Server.
      Opzione Descrizione
      Nome distinto di base per gli utenti Nome distinto di base per gli utenti.
      Nome distinto di base per i gruppi Il nome distinto di base per i gruppi.
      Nome utente ID di un utente nel dominio che dispone di un minimo di accesso in sola lettura al DN di base per utenti e gruppi.
      Password ID di un utente nel dominio che dispone di un minimo di accesso in sola lettura al DN di base per utenti e gruppi.
      URL server primario Server LDAP del controller di dominio primario relativo al dominio.

      Utilizzare il formato ldap://hostname:port o ldaps://hostname:port. La porta è in genere 389 per le connessioni LDAP e 636 per le connessioni LDAPS. In caso di distribuzioni del controller multi-dominio Active Directory, le porte sono in genere 3268 per LDAP e 3269 per LDAPS.

      Quando si utilizza ldaps:// nell'URL LDAP primario o secondario, è necessario un certificato che stabilisca l'attendibilità per l'endpoint LDAPS del server di Active Directory.

      URL server secondario Indirizzo di un server LDAP del controller di dominio secondario utilizzato per il failover.
      Certificati SSL Se si desidera utilizzare LDAPS con il server LDAP di Active Directory o con l'origine identità del server OpenLDAP Server, fare clic su Sfoglia per selezionare un certificato.
    8. Fare clic su Avanti.
    9. Nel pannello OpenID Connect copiare l'URI di reindirizzamento e l'URI di reindirizzamento della disconnessione.
      Per il momento lasciare vuoti gli altri campi. Tornare al pannello OpenID Connect dopo aver creato la configurazione della connessione OpenID nel passaggio successivo.
  4. Creare una configurazione di OpenID Connect in AD FS e configurarla per vCenter Server.
    Per stabilire una relazione di attendibilità relying party tra vCenter Server e un provider di identità, è necessario impostare le informazioni di identificazione e un segreto condiviso tra loro. In AD FS, è possibile farlo creando una configurazione di OpenID Connect, nota come gruppo di applicazioni, che include un'applicazione server e un'API Web. I due componenti specificano le informazioni che vCenter Server utilizza per considerare attendibile il server AD FS e comunicare con tale server. Per abilitare OpenID Connect in AD FS, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/78029.

    Quando si crea il gruppo di applicazioni di AD FS, tenere presente quanto segue.

    • Sono necessari i due URI di reindirizzamento di vCenter Server ottenuti nel passaggio precedente.
    • Copiare le seguenti informazioni dal gruppo di applicazioni AD FS in un file o prenderne nota per utilizzarle al termine della creazione del provider di identità di vCenter Server nel passaggio successivo.
      • Identificatore client
      • Segreto condiviso
      • Indirizzo OpenID del server AD FS
    Nota: Se necessario, recuperare l'indirizzo OpenID del server AD FS eseguendo il comando di PowerShell seguente come amministratore di AD FS. 
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    Copiare l'URL restituito (selezionare solo l'URL stesso, non la parentesi di chiusura o la parte "@{FullUrl=" iniziale).

  5. Nel pannello OpenID Connect di vCenter Server:
    1. Immettere le seguenti informazioni recuperate nel passaggio precedente durante la creazione del gruppo di applicazioni di AD FS:
      • Identificatore client
      • Segreto condiviso
      • Indirizzo OpenID

      Il nome del fornitore di identità viene compilato automaticamente come Microsoft ADFS.

    2. Fare clic su Avanti.
  6. Rivedere le informazioni e fare clic su Fine.
    vCenter Server crea il provider di identità AD FS e visualizza le informazioni di configurazione.
  7. Configurare l'appartenenza al gruppo in vCenter Server per AD FS Authorization.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-on, fare clic su Utenti e gruppi.
    3. Fare clic sulla scheda Gruppi.
    4. Fare clic sul gruppo Amministratori e quindi su Aggiungi membri.
    5. Selezionare il dominio dal menu a discesa.
    6. Nella casella di testo sotto il menu a discesa, immettere i primi caratteri del gruppo di AD FS che si desidera aggiungere e attendere che venga visualizzata la selezione a discesa.
      La visualizzazione della selezione potrebbe richiedere alcuni secondi perché vCenter Server stabilisce la connessione con Active Directory ed esegue una ricerca.
    7. Selezionare il gruppo di AD FS e aggiungerlo al gruppo di amministratori.
    8. Fare clic su Salva.
  8. Verificare di aver effettuato l'accesso a vCenter Server con un utente di Active Directory.