Ulteriori informazioni sulle considerazioni relative alla disponibilità nelle configurazioni in modalità collegata avanzata con Okta, Microsoft Entra ID o PingFederate.

Prerequisiti

  • Due o più sistemi vCenter Server in una configurazione in modalità collegata avanzata. Ad esempio, i sistemi vengono etichettati come VC_1, VC_2, VC_3 fino a VC_N, dove N è il numero di sistemi vCenter Server della configurazione in modalità collegata avanzata.
  • Per Okta e Microsoft Entra ID, tutti i sistemi vCenter Server devono eseguire vSphere 8.0 Update 2 o versioni successive. Per PingFederate, tutti i sistemi vCenter Server devono eseguire almeno vSphere 8.0 Update 3.
  • Okta, Microsoft Entra ID o PingFederate è configurato come provider di identità esterno in uno dei sistemi vCenter Server. Ad esempio, il sistema viene etichettato come VC_1.
  • Il provider di identità esterno è configurato con tutte le applicazioni OAuth2 e SCIM richieste.

Procedura

  1. Per attivare un determinato VC_i vCenter Server in cui i è compreso tra 2 e N:
    1. Ottenere l'accesso alla shell locale per VC_i per eseguire lo script di attivazione.
      Nota: Per eseguire i passaggi seguenti, è possibile specificare l'account utente vCenter Server con privilegi amministrativi nella riga di comando o nei prompt della console.
    2. Eseguire 'status' dallo script di attivazione per ottenere lo stato di attivazione corrente di vCenter Server. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. Se il comando 'status' indica che il vCenter Server non è attivato, eseguire 'activate' dallo script di attivazione: 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. Se il comando 'status' indica che il vCenter Server è già attivato, eseguire l'opzione 'deactivate' e quindi l'opzione 'activate'. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • Ad esempio, eseguire l'opzione 'activate'.
      • In alternativa, è possibile specificare l'opzione '--force-replace' nel comando 'activate'.
  2. Aprire un browser in VC_i di vCenter Server e accedere come amministratore a vCenter Server.
    1. Passare a Home > Amministrazione > Single Sign-On > Configurazione.
    2. In Provisioning utente verificare che l'URL Tenant contenga il nome di dominio completo di VC_i.
    3. Copiare la stringa URL tenant e salvare queste informazioni per utilizzarle con il provider di identità esterno.
    4. In Token segreto, fare clic su Genera, copiare la stringa del token generata e salvare queste informazioni per utilizzarle con il provider di identità esterno.
    5. In OpenID Connect, verificare che l'URI di reindirizzamento contenga il nome di dominio completo di VC_i.
    6. Copiare la stringa URI di reindirizzamento e salvare queste informazioni per utilizzarle con il provider di identità esterno.
  3. Aprire un browser alla pagina di amministrazione del provider di identità esterno.
    Nota: Per ulteriori informazioni, fare riferimento ai dettagli specifici del provider di identità esterno per eseguire i passaggi seguenti.
    1. Individuare la registrazione OAuth2 configurata quando il provider di identità esterno è stato originariamente configurato in VC_1.
    2. Modificare la registrazione di OAuth2 e aggiungere l'URI di reindirizzamento ottenuto in precedenza per VC_i.
    3. Se il provider di identità esterno supporta le configurazioni push di SCIM con più destinazioni:
      • Individuare la configurazione push SCIM che è stata configurata quando il provider di identità esterno è stato originariamente configurato in VC_1.
      • Modificare la configurazione push SCIM e aggiungere l'URL Tenant e il Token segreto ottenuti in precedenza per VC_i.
    4. Se il provider di identità esterno supporta le configurazioni push di SCIM con una sola destinazione:
      • Creare una nuova configurazione push SCIM con l'URL Tenant e il Token segreto ottenuti in precedenza per VC_i.
      • Assicurarsi che la configurazione push SCIM inserisca gli stessi dati di utenti/gruppi della configurazione push SCIM configurata quando il provider di identità esterno è stato originariamente configurato in VC_1.
    5. Avviare un'operazione push di SCIM per assicurarsi che VC_i sia popolato con i dati più recenti di utenti o gruppi.