安裝或升級至 vSphere 7.0 或更新版本之後,您可以設定 vCenter Server 身分識別提供者聯盟。

vCenter Server 僅支援一個設定的外部身分識別提供者 (一個來源) 和 vsphere.local 身分識別來源。無法使用多個外部身分識別提供者。vCenter Server 身分識別提供者聯盟使用 OpenID Connect (OIDC),以供使用者登入 vCenter Server

此工作說明如何將 AD FS 群組新增至 vSphere 管理員群組以作為控制權限的方式。此外,還可以透過 vCenter Server 中的全域或物件權限使用 AD FS 授權設定權限。如需有關新增權限的詳細資料,請參閱vSphere 安全性說明文件。

注意:

如果您使用先前新增至 vCenter Server 的 Active Directory 身分識別來源做為 AD FS 身分識別來源,請不要從 vCenter Server 中刪除現有的身分識別來源。這樣做會導致先前指派的角色和群組成員資格出現回歸問題。具有全域權限的 AD FS 使用者和新增至管理員群組的使用者都將無法登入。

因應措施:如果您不需要先前指派的角色和群組成員資格,且想要移除先前的 Active Directory 身分識別來源,請先移除身分識別來源,然後再建立 AD FS 提供者並在 vCenter Server 中設定群組成員資格。

必要條件

Active Directory Federation Services 需求:

  • 必須已部署適用於 Windows Server 2016 或更新版本的 AD FS。
  • AD FS 必須連線至 Active Directory。
  • 在設定過程中,必須在 AD FS 中建立 vCenter Server 的應用程式群組。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/78029
  • 已將 AD FS 根 CA 憑證新增到受信任的根憑證存放區 (亦稱為 VMware 憑證存放區)。
  • 您已在 AD FS 中建立 vCenter Server 管理員群組,該群組包含您想要授與 vCenter Server 管理員權限的使用者。

如需有關設定 AD FS 的詳細資訊,請參閱 Microsoft 說明文件。

vCenter Server 和其他需求:

  • vSphere 7.0 或更新版本
  • vCenter Server 必須能夠連線至 AD FS 探索端點,以及在探索端點中繼資料中通告的授權、Token、登出、JWKS 和任何其他端點。
  • 您需要 VcIdentityProviders.管理權限,才能建立、更新或刪除同盟驗證所需的 vCenter Server 身分識別提供者。若要限制使用者僅檢視身分識別提供者組態資訊,請指派 VcIdentityProviders.讀取權限。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 將 AD FS 根 CA 憑證新增到受信任的根憑證存放區。
    1. 導覽至管理 > 憑證 > 憑證管理
    2. 受信任的根存放區旁邊,按一下新增
    3. 瀏覽 AD FS 根憑證,然後按一下新增
      憑證隨即新增至 受信任的根憑證下的面板中。
  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 選取身分識別提供者索引標籤,並取得重新導向 URI。
    1. 按一下「變更身分識別提供者」連結旁邊的資訊「i」圖示
      此時會在彈出橫幅中顯示兩個重新導向 URI。
    2. 將這兩個 URI 複製到檔案,或將其記下,以供稍後在設定 AD FS 伺服器的後續步驟中使用。
    3. 關閉彈出橫幅。
  5. 在 AD FS 中建立 OpenID Connect 組態,並將其設定用於 vCenter Server
    若要在 vCenter Server 和身分識別提供者之間建立信賴方信任,則必須在兩者之間建立識別資訊和共用密碼。在 AD FS 中,您可以透過建立稱為應用程式群組 (由伺服器應用程式和 Web API 組成) 的 OpenID Connect 組態來執行此操作。這兩個元件會指定 vCenter Server 用於信任和與 AD FS 伺服器進行通訊的資訊。若要在 AD FS 中啟用 OpenID Connect,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/78029

    建立 AD FS 應用程式群組時,請注意下列事項。

    • 需要用到在先前步驟中取得並儲存的兩個重新導向 URI。
    • 將下列資訊複製到檔案,或將其記下來,以供在下一個步驟中設定 vCenter Server 身分識別提供者時使用。
      • 用戶端識別碼
      • 共用密碼
      • AD FS 伺服器的 OpenID 位址
  6. vCenter Server 上建立身分識別提供者。
    1. 返回 vSphere Client 中的身分識別提供者索引標籤。
    2. 按一下「變更身分識別提供者」連結。
      [設定主要身分識別提供者] 精靈隨即開啟。
    3. 選取 Microsoft ADFS,然後按下一步
      在下列文字方塊中輸入先前收集的資訊:
      • 用戶端識別碼
      • 共用密碼
      • AD FS 伺服器的 OpenID 位址
    4. 下一步
    5. 輸入 Active Directory over LDAP 連線的使用者和群組資訊,以搜尋使用者和群組。
      vCenter Server 從使用者的基本辨別名稱中衍生用於授權和權限的 AD 網域。只能為此 AD 網域中的使用者和群組新增 vSphere 物件的權限。 vCenter Server 身分識別提供者聯盟不支援 AD 子網域或 AD 樹系中其他網域中的使用者或群組。
      選項 說明
      使用者的基本辨別名稱 使用者的基本辨別名稱。
      群組的基本辨別名稱 群組的基本辨別名稱。
      Username 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。
      密碼 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。
      主要伺服器 URL 網域的網域主控站 LDAP 伺服器。

      使用 ldap://hostname:portldaps://hostname:port 格式。通常為連接埠 389 用於 LDAP 連線,而連接埠 636 用於 LDAPS 連線。對於 Active Directory 多網域控制站部署,通常為連接埠 3268 用於 LDAP,而連接埠 3269 用於 LDAPS。

      在主要或次要 LDAP URL 中使用 ldaps:// 時,需要為 Active Directory 伺服器的 LDAPS 端點建立信任的憑證。

      次要伺服器 URL 用於容錯移轉之次要網域控制站 LDAP 伺服器的位址。
      SSL 憑證 如果您想要將 LDAPS 用於 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源,請按一下瀏覽以選取憑證。
    6. 下一步,檢閱資訊,然後按一下完成
  7. 導覽至 vCenter Single Sign-On 使用者組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下使用者和群組
  8. 針對 AD FS 授權設定群組成員資格 vCenter Server
    1. 按一下群組索引標籤。
    2. 按一下管理員群組,然後按一下新增成員
    3. 從下拉式功能表中選取網域。
    4. 在下拉式功能表下方的文字方塊中,輸入您想要新增之 AD FS 群組的前幾個字元,然後等待下拉式選取內容出現。
      可能需要幾秒鐘的時間才能顯示選取範圍,因為 vCenter Server 要建立與 Active Directory 的連線並進行搜尋。
    5. 選取 AD FS 群組並將其新增至管理員群組。
    6. 按一下儲存
  9. 確認以 Active Directory 使用者身分登入 vCenter Server