在 vSphere 7.0 及更新版本中,vCenter Server 支援對登入 vCenter Server 進行同盟驗證。
若要啟用對 vCenter Server 進行同盟驗證,您可以設定與外部身分識別提供者的連線。您設定的身分識別提供者執行個體會取代 vCenter Server 做為身分識別提供者。目前,vCenter Server 支援 Active Directory Federation Services (AD FS)、Okta、Microsoft Entra ID (先前稱為 Azure AD) 和 PingFederate 作為外部身分識別提供者。vCenter Server 在 vSphere 7.0 及更新版本中支援 AD FS,在 vSphere 8.0 Update 1 及更新版本中支援 Okta,在 vSphere 8.0 Update 2 及更新版本中支援 Microsoft Entra ID,以及從 vSphere 8.0 Update 3 開始支援 PingFederate。
vCenter Server 身分識別提供者聯盟的運作方式
vCenter Server 身分識別提供者聯盟可讓您設定外部身分識別提供者進行同盟驗證。在此組態中,外部身分識別提供者會代表 vCenter Server 與身分識別來源互動。
vCenter Server 身分識別提供者聯盟基礎
在 vSphere 7.0 及更新版本中,vCenter Server 支援同盟驗證。在此案例中,當使用者登入 vCenter Server 時,vCenter Server 會將使用者登入重新導向至外部身分識別提供者。使用者認證不再直接提供給 vCenter Server。而是由使用者將認證提供給外部身分識別提供者。vCenter Server 信任由外部身分識別提供者執行驗證。在聯盟模型中,使用者永遠不會將認證直接提供給任何服務或應用程式,而只會提供給身分識別提供者。因此,您可以使用身分識別提供者來「聯盟」應用程式和服務,例如 vCenter Server。
vCenter Server 外部身分識別提供者支援
vCenter Server 支援下列外部身分識別提供者:
- AD FS (vSphere 7.0 及更新版本)
- Okta (vSphere 8.0 Update 1 及更新版本)
- Microsoft Entra ID,以前稱為 Azure AD (vSphere 8.0 Update 2 及更新版本)
- PingFederate (從 vSphere 8.0 Update 3 開始)
vCenter Server 身分識別提供者聯盟優勢
vCenter Server 身分識別提供者聯盟提供以下優勢。
- 您可以將 Single Sign-On 與現有的同盟基礎結構和應用程式搭配使用。
- 可以提高資料中心的安全性,因為 vCenter Server 永遠不會處理使用者的認證。
- 您可以使用外部身分識別提供者支援的驗證機制,例如多重要素驗證。
vCenter Server 身分識別提供者聯盟架構
若要在 vCenter Server 和外部身分識別提供者之間建立信賴方信任,則必須在兩者之間建立識別資訊和共用密碼。vCenter Server 會使用 OpenID Connect (OIDC) 通訊協定來接收可向 vCenter Server 驗證使用者的身分識別 Token。
使用 vCenter Server 設定外部身分識別提供者的高層級步驟包括:
- 透過建立 OIDC 組態,在 vCenter Server 和外部身分識別提供者之間建立信賴方信任。對於 AD FS,可以建立應用程式群組或應用程式。對於 Okta、Microsoft Entra ID 和 PingFederate,您可以建立以 OpenID Connect 作為登入方法的原生應用程式。OIDC 組態包括伺服器應用程式和 Web API。這兩個元件會指定 vCenter Server 用於信任和與外部身分識別提供者進行通訊的資訊。
- 在 vCenter Server 中建立對應的身分識別提供者。
- 在 vCenter Server 中設定群組成員資格,以授權來自外部身分識別提供者網域中的使用者登入。
身分識別提供者管理員必須提供下列資訊,才能建立 vCenter Server 身分識別提供者組態:
- 用戶端識別碼:當您建立應用程式群組 (或應用程式) 時在 AD FS 中產生並識別應用程式群組 (或應用程式) 的 UUID 字串,或建立 OpenID Connect 應用程式時在 Okta、Microsoft Entra ID 或 PingFederate 中產生的 UUID 字串。
- 共用密碼:建立應用程式群組 (或應用程式) 時在 AD FS 中產生的密碼,或者建立 OpenID Connect 應用程式時在 Okta、Microsoft Entra ID 或 PingFederate 中產生的密碼,用於使用外部身分識別提供者對 vCenter Server 進行驗證。
- OpenID 位址:外部身分識別提供者伺服器的 OpenID 提供者探索端點 URL,指定眾所周知的位址,通常是與路徑「
/.well-known/openid-configuration
」相連接的簽發者端點。以下是 AD FS 組態的 OpenID 位址範例:https://webserver.example.com/adfs/.well-known/openid-configuration
同樣,以下是 Okta 組態的 OpenID 位址範例:https://example.okta.com/oauth2/default/.well-known/openid-configuration
以下是 Microsoft Entra ID 組態的 OpenID 位址範例:https://login.microsoftonline.com/11111111-2222-3333-4444-555555555555/v2.0/.well-known/openid-configuration
以下是 PingFederate 組態的 OpenID 位址範例:https://pingfederate-fqdn-and-port/.well-known/openid-configuration
VMware Identity Services 和同盟驗證
在 vSphere 8.0 Update 1 和更新版本中,VMware Identity Services 會提供與做為同盟身分識別提供者的外部身分識別提供者的整合。可以將 VMware Identity Services 視為內建於 vSphere 的 VMware Workspace ONE 的「精簡」版本。
安裝或升級至 vSphere 8.0 Update 1 或更新版本時,vCenter Server 上會預設啟用 VMware Identity Services。將 Okta、Microsoft Entra ID 或 PingFederate 設定為外部身分識別提供者時,vCenter Server 會使用 VMware Identity Services 與 Okta 、Microsoft Entra ID 或 PingFederate 伺服器進行通訊。
vCenter Server 支援在增強型連結模式組態中將 Okta、Microsoft Entra ID 和 PingFederate 做為外部身分識別提供者。儘管在增強型連結模式組態中有多個 vCenter Server 系統執行 VMware Identity Services,但只有單一 vCenter Server 及其 VMware Identity Services 與外部身分識別提供者伺服器進行通訊。例如,如果增強型連結模式組態中包含三個 vCenter Server 系統 (A、B 和 C),並在 vCenter Server A 上設定了 Okta 外部身分識別提供者,則 vCenter Server A 是唯一處理所有 Okta 登入的系統。vCenter Server B 和 vCenter Server C 不會直接與 Okta 伺服器通訊。若要在 ELM 組態中的其他 vCenter Server 上設定 VMware Identity Services 以與外部 IDP 伺服器互動,請參閱增強型連結模式組態中外部身分識別提供者的啟用程序。
VMware Identity Services 驗證程式
將 vCenter Server 設定為使用 VMware Identity Services 與外部身分識別提供者通訊時,將執行下列驗證程序:
- 使用者使用 vSphere Client 登入 vCenter Server。
- vCenter Single Sign-On 會委派使用者驗證,並將使用者要求重新導向到 VMware Identity Services。
- VMware Identity Services 程式會從外部身分識別提供者要求 Token,以建立使用者會話。
- 外部身分識別提供者對使用者進行驗證 (可以使用多重要素驗證 (MFA) 或 SSO 認證),並將 Token 傳回到 VMware Identity Services。
Token 中包含使用者宣告。
- VMware Identity Services 程序驗證身分識別提供者 Token,產生相應的 VMware Identity Services Token,並將 VMware Identity Services Token 傳送到 vCenter Single Sign-On。
- vCenter Single Sign-On 驗證 Token 並授與登入要求。
vCenter Server 如何與 SCIM 推送的使用者和群組互動
在設定外部身分識別提供者時,vCenter Server 會使用跨網域身分識別管理系統 (SCIM) 進行使用者和群組管理。SCIM 是一種自動交換使用者身分識別資訊的開放式標準。在外部 IDP 伺服器上建立的 SCIM 應用程式可管理外部身分識別提供者上要推送至 vCenter Server 的使用者和群組。vCenter Server 在搜尋使用者和群組時也使用 SCIM 向 vCenter Server 物件指派權限。
vCenter Server 身分識別提供者聯盟元件
下列元件包括 vCenter Server 身分識別提供者聯盟組態:
- vCenter Server
- 對於 AD FS:vCenter Server 7.0 或更新版本
- 對於 Okta:vCenter Server 8.0 Update 1 或更新版本
- 對於 Microsoft Entra ID:vCenter Server 8.0 Update 2 或更新版本
- 對於 PingFederate:vCenter Server 8.0 Update 3
- vCenter Server 上設定的身分識別提供者服務
- 外部身分識別提供者 (AD FS、Okta、Microsoft Entra ID 或 PingFederate)
- OpenID Connect (OIDC) 組態:
- 對於 AD FS:應用程式群組 (也稱為應用程式)
- 對於 Okta、Microsoft Entra ID 或 PingFederate:OpenID Connect 應用程式
- 用於使用者和群組管理的跨網域身分識別管理系統 (SCIM) 應用程式 (僅適用於 Okta、Microsoft Entra ID 或 PingFederate)
- 對應至 vCenter Server 群組和使用者的外部身分識別提供者群組和使用者
- vCenter Server 上啟用的 VMware Identity Services (僅適用於 Okta、Microsoft Entra ID 或 PingFederate)
- (選擇性) 如果 PingFederate 的 SSL 憑證或憑證鏈不是由知名的公開憑證授權機構核發,則需要提供 PingFederate 伺服器的 SSL 憑證或憑證鏈。將 PingFederate SSL 憑證匯入到 vCenter Server。
vCenter Server 身分識別提供者同盟注意須知和互通性
vCenter Server 身分識別提供者同盟可以與許多其他 VMware 功能進行交互操作。
規劃 vCenter Server 身分識別提供者同盟策略時,請考慮可能的互通性限制。
驗證機制
在 vCenter Server 身分識別提供者聯盟組態中,外部身分識別提供者會處理驗證機制 (密碼、MFA、生物識別等)。
AD FS 和單一 Active Directory 網域支援
為 AD FS 設定 vCenter Server 身分識別提供者聯盟時,[設定主要身分識別提供者] 精靈會提示您輸入包含要存取 vCenter Server 之使用者和群組的單一 AD 網域的 LDAP 資訊。vCenter Server 將從您在精靈中指定的使用者基本 DN 衍生用於授權和權限的 AD 網域。只能為此 AD 網域中的使用者和群組新增 vSphere 物件的權限。vCenter Server 身分識別提供者聯盟不支援 AD 子網域或 AD 樹系中其他網域中的使用者或群組。
Okta、Microsoft Entra ID 和 PingFederate 支援多個網域
為 Okta、Microsoft Entra ID 或 PingFederate 設定 vCenter Server 身分識別提供者聯盟時,[設定主要身分識別提供者] 精靈可讓您輸入包含要存取 vCenter Server 之使用者和群組的多個網域的 LDAP 資訊。
密碼、鎖定和 Token 原則
當 vCenter Server 充當身分識別提供者時,您可以控制預設網域 (vsphere.local 或在安裝 vSphere 時輸入的網域名稱) 的 vCenter Server 密碼、鎖定和 Token 原則。將同盟驗證與 vCenter Server 搭配使用時,外部身分識別提供者會控制儲存在身分識別來源 (例如 Active Directory) 中帳戶的密碼、鎖定和 Token 原則。
稽核與符合性
使用 vCenter Server 身分識別提供者同盟時,vCenter Server 會繼續為成功的使用者登入建立記錄項目。但是,外部身分識別提供者會負責追蹤和記錄動作,例如失敗的密碼輸入嘗試和使用者帳戶鎖定。vCenter Server 不會記錄此類事件,因為它們無法向 vCenter Server 顯示。例如,當 AD FS 為身分識別提供者時,AD FS 會追蹤並記錄同盟登入的錯誤。當 vCenter Server 是用於本機登入的身分識別提供者時,vCenter Server 會追蹤並記錄本機登入的錯誤。在同盟組態中,vCenter Server 會繼續記錄使用者在登入後的動作。
現有 VMware 產品與外部身分識別提供者整合
VMware 產品與 vCenter Server (例如 VMware Aria Operations、vSAN、NSX 等) 的整合會繼續像之前一樣運作。
整合登入後的產品
整合登入後的產品 (即不需要單獨登入) 會繼續像之前一樣運作。
API、SDK 和 CLI 存取的簡單驗證
依賴 API、SDK 或使用簡單驗證 (即使用者名稱和密碼) 的 CLI 命令的現有指令碼、產品和其他功能,可如以往般繼續運作。在內部,驗證是透過傳遞使用者名稱和密碼進行。此使用者名稱和密碼的傳遞會削弱使用身分識別聯盟的某些優點,因為它會公開密碼給 vCenter Server (和您的指令碼)。如果可能,請考慮移轉至以 Token 為基礎的驗證。
存取 vCenter Server 管理介面
如果使用者是 vCenter Server Administrators 群組的成員,則支援存取 vCenter Server 管理介面 (先前稱為 vCenter Server 應用裝置管理介面或 VAMI)。
在 AD FS 登入頁面上輸入使用者名稱文字
AD FS 登入頁面不支援傳遞文字以預先填入使用者名稱文字方塊。因此,在使用 AD FS 進行同盟登入期間,於 vCenter Server 登陸頁面上輸入您的使用者名稱並重新導向至 AD FS 登入頁面後,您必須在 AD FS 登入頁面上重新輸入您的使用者名稱。需要您在 vCenter Server 登陸頁面上輸入的使用者名稱,以將登入重新導向至適當的身分識別提供者,並且需要 AD FS 登入頁面上的使用者名稱,以使用 AD FS 進行驗證。無法將使用者名稱傳遞至 AD FS 登入頁面,這是 AD FS 的限制。您無法直接從 vCenter Server 設定或變更此行為。
支援 IPv6 位址
AD FS、Microsoft Entra ID 和 Ping Federate 支援 IPv6 位址。Okta 不支援 IPv6 位址。
VMware Identity Services 單一執行個體組態
依預設,安裝或升級到 vSphere 8.0 Update 1 或更新版本時,將在 vCenter Server 上啟用 VMware Identity Services。在增強型連結模式組態下設定 Okta、Microsoft Entra ID 或 PingFederate 時,使用單一 vCenter Server 系統上的 VMware Identity Services。例如,如果您在包含三個 vCenter Server 系統的增強模式連結組態中使用 Okta,則僅使用一個 vCenter Server 及其 VMware Identity Services 執行個體與 Okta 伺服器進行通訊。
在使用 VMware Identity Services 的 ELM 組態中,如果與外部身分識別提供者通訊的 vCenter Server 系統變得不可用,您可以在 ELM 組態中的其他 vCenter Server 上設定 VMware Identity Services,以便與外部 IDP 伺服器進行互動。請參閱增強型連結模式組態中外部身分識別提供者的啟用程序。
重新設定主要網路識別碼
重新設定 vCenter Server 的主要網路識別碼 (PNID) 需要按以下方式更新外部身分識別提供者組態。
- AD FS:將新的重新導向 URI 新增到 AD FS 伺服器。
- Okta:重新設定 Okta。請參閱為 Okta 設定 vCenter Server 身分識別提供者聯盟,然後按照相應的步驟在 vCenter Server 上建立身分識別提供者。
- Microsoft Entra ID:重新設定 Entra ID。請參閱為 Microsoft Entra ID 設定 vCenter Server 身分識別提供者聯盟,然後按照相應的步驟在 vCenter Server 上建立身分識別提供者。
- PingFederate:重新設定 PingFederate。請參閱為 PingFederate 設定 vCenter Server 身分識別提供者聯盟,然後按照相應的步驟在 vCenter Server 上建立身分識別提供者。
vCenter Server 身分識別提供者同盟生命週期
管理 vCenter Server 身分識別提供者同盟的生命週期時,有一些特定考量事項。
您可以使用下列方式管理 vCenter Server 身分識別提供者同盟生命週期。
從使用 Active Directory 移轉到外部身分識別提供者
如果要使用 Active Directory 作為 vCenter Server 的身分識別來源,則移轉為使用外部身分識別提供者最直接。如果您的 Active Directory 群組和角色與您的身分識別提供者群組和角色相符,則無需執行任何其他動作。當群組和角色不相符時,您必須執行一些額外的工作。如果 vCenter Server 是網域成員,請考慮將其從網域中移除,因為不需要它或用於身分識別聯盟。
跨網域重新指向和移轉
vCenter Server 身分識別提供者同盟支援跨網域重新指向,也就是將 vCenter Server 從一個 vSphere SSO 網域移到另一個。重新指向的 vCenter Server 會從所指向的 vCenter Server 系統或系統接收已複寫的身分識別提供者組態。
一般而言,除非下列其中一項成立,否則您不需要針對跨網域重新指向執行任何其他身分識別提供者重新設定。
- 重新指向的 vCenter Server 的身分識別提供者組態與所指向之 vCenter Server 的身分識別提供者組態不同。
- 這是重新指向的 vCenter Server 第一次接收身分識別提供者組態。
在這些情況下,需要執行一些額外的工作。例如,對於 AD FS,必須將 vCenter Server 系統的重新導向 URI 新增到 AD FS 伺服器上對應的應用程式群組。例如,如果將具有 AD FS 應用程式群組 A (或沒有 AD FS 組態) 的 vCenter Server 1 重新指向至具有 AD FS 應用程式群組 B 的 vCenter Server 2,則必須將 vCenter Server 1 的重新導向 URI 新增至應用程式群組 B。
使用者和群組同步以及 vCenter Server 備份和還原
根據將使用者和群組與 vCenter Server 同步的時間以及備份 vCenter Server 的時間,如果必須還原 vCenter Server,可能需要重新同步由 SCIM 推送的使用者和群組。
若要還原已刪除的使用者或群組,不能簡單地將使用者或群組從外部身分識別提供者推送到 vCenter Server。必須使用缺失的使用者或群組更新外部身分識別提供者上的 SCIM 2.0 應用程式。請參閱還原已刪除的 SCIM 使用者和群組。