安裝或升級到 vSphere 8.0 Update 2 或更新版本後,您可以為 Microsoft Entra ID (以前稱為 Azure AD,作為外部身分識別提供者) 設定 vCenter Server 身分識別提供者聯盟。

vCenter Server 僅支援一個設定的外部身分識別提供者 (一個來源) 和 vsphere.local 身分識別來源 (本機來源)。無法使用多個外部身分識別提供者。vCenter Server 身分識別提供者聯盟使用 OpenID Connect (OIDC),以供使用者登入 vCenter Server

可以透過 vCenter Server 中的全域或物件權限使用 Microsoft Entra ID 群組和使用者設定權限。如需有關新增權限的詳細資料,請參閱vSphere 安全性說明文件。

有關設定程序的逐步說明,請觀看以下視訊:

vCenter 驗證:AzureAD/Entra ID 整合 | vSphere 8 Update 2

必要條件

Microsoft Entra ID 需求:
  • 您是 Microsoft 的客戶,且擁有 Microsoft Entra ID 帳戶。
Microsoft Entra ID 連線需求:
  • 您已使用 OpenID Connect 作為登入方法建立企業 (非資源庫) 應用程式。
  • 在已建立的應用程式中,新增授權碼、重新整理 Token 和資源擁有者密碼作為授與類型。
  • 對於使用者和群組同步,您需要在 Microsoft Entra ID 中使用 OAuth 2.0 Bearer Token 為 SCIM 2.0 佈建設定 VMware Identity Services 資源庫應用程式。
vCenter Server 需求
  • vSphere 8.0 Update 2 或更新版本,且啟用了 VMware Identity Services (預設為啟用)。
  • 在要建立 Microsoft Entra ID 身分識別來源的 vCenter Server 上,確認已啟用 VMware Identity Services。
  • 身分識別提供者中的使用者和群組在 vCenter Server 中佈建。
vSphere 權限需求:
  • 您必須擁有 VcIdentityProviders.Manage 權限,才能建立、更新或刪除同盟驗證所需的 vCenter Server 身分識別提供者。若要限制使用者僅檢視身分識別提供者組態資訊,請指派 VcIdentityProviders.Read 權限。
增強型連結模式需求:
  • 可以在增強型連結模式組態中為 Microsoft Entra ID 設定 vCenter Server 身分識別提供者聯盟。在增強型連結模式組態中設定 Microsoft Entra ID 時,可以將 Microsoft Entra ID 身分識別提供者設定為使用單一 vCenter Server 系統上的 VMware Identity Services。例如,如果增強型連結模式組態包含兩個 vCenter Server 系統,則僅使用一個 vCenter Server 及其 VMware Identity Services 執行個體與 Microsoft Entra ID 伺服器進行通訊。如果此 vCenter Server 系統變成無法使用,則可以在 ELM 組態中的其他 vCenter Server 系統上設定 VMware Identity Services,以便與 Microsoft Entra ID 伺服器互動。如需詳細資訊,請參閱增強型連結模式組態中外部身分識別提供者的啟用程序
  • 將 Microsoft Entra ID 設定為外部身分識別提供者時,增強型連結模式組態中的所有 vCenter Server 系統必須至少執行 vSphere 8.0 Update 2。
網路需求:
  • 如果您的網路不對外公開,則必須在 vCenter Server 系統和 Microsoft Entra ID 伺服器之間建立網路通道,然後使用適當的可公開存取 URL 作為基本 URI。

程序

  1. 在 Microsoft Entra ID 中建立 OpenID Connect 應用程式,並將群組和使用者指派給 OpenID Connect 應用程式。
    若要建立 OpenID Connect 應用程式並指派群組和使用者,請參閱 VMware 知識庫文章,網址為: https://kb.vmware.com/s/article/94182。請遵循標題為「建立 OpenID Connect 應用程式」章節中的步驟。建立 OpenID Connect 應用程式後,將下列資訊從 Microsoft Entra ID OpenID Connect 應用程式複製到檔案,以便在下一步設定 vCenter Server 身分識別提供者時使用。
    • 用戶端識別碼
    • 用戶端密碼 (在 vSphere Client 中顯示為共用密碼)。
    • Active Directory 網域資訊或 Microsoft Entra ID 網域資訊 (如果未執行 Active Directory)。
  2. 若要在 vCenter Server 上建立身分識別提供者,請執行下列作業:
    1. 使用 vSphere Client 以管理員身分登入 vCenter Server
    2. 導覽到首頁 > 管理 > Single Sign On > 組態
    3. 按一下變更提供者並選取 Microsoft Entra ID
      設定主要身分識別提供者精靈隨即開啟。
    4. 必要條件面板中,檢閱 Microsoft Entra ID 和 vCenter Server 需求。
    5. 按一下執行預先檢查
      如果預先檢查發現錯誤,請按一下 檢視詳細資料,然後按照指示採取措施,解決錯誤。
    6. 如果預先檢查通過,請按一下確認核取方塊,然後按下一步
    7. 目錄資訊面板中,輸入下列資訊。
      • 目錄名稱:要在 vCenter Server 上建立的本機目錄的名稱,該目錄用於儲存從 Microsoft Entra ID 推送的使用者和群組。例如,vcenter-entraid-directory
      • 網域名稱:輸入 Microsoft Entra ID 網域名稱,其中包含要與 vCenter Server 同步的 Microsoft Entra ID 使用者和群組。

        輸入 Microsoft Entra ID 網域名稱後,按一下加號圖示 (+) 進行新增。如果輸入多個網域名稱,請指定預設網域。

    8. 下一步
    9. OpenID Connect 面板中,輸入下列資訊。
      • 重新導向 UI:自動填寫。您可以將重新導向 UI 提供給 Microsoft Entra ID 管理員,以用於建立 OpenID Connect 應用程式。
      • 身分識別提供者名稱:自動填寫為 Microsoft Entra ID。
      • 用戶端識別碼:在步驟 1 中在 Microsoft Entra ID 中建立 OpenID Connect 應用程式時取得。(Microsoft Entra ID 將用戶端識別碼稱為用戶端 ID。)
      • 共用密碼:在步驟 1 中在 Microsoft Entra ID 中建立 OpenID Connect 應用程式時取得。(Microsoft Entra ID 將共用密碼稱為用戶端密碼。)
      • OpenID 位址:採用 https://Microsoft Entra ID domain space/oauth2/default/.well-known/openid-configuration 形式。

        例如,如果您的 Microsoft Entra ID 網域空間為 example.EntraID.com,則 OpenID 位址為:https://example.EntraID.com/oauth2/default/.well-known/openid-configuration

    10. 下一步
    11. 檢閱資訊,然後按一下完成
      vCenter Server 會建立 Microsoft Entra ID 身分識別提供者並顯示組態資訊。
    12. 如有必要,向下捲動,然後按一下重新導向 URI 的複製圖示,並將其儲存到檔案中。
      您可以在 Microsoft Entra ID OpenID Connection 應用程式中使用重新導向 URI。
    13. 按一下承租人 URL 的複製圖示,並將其儲存到檔案中。
      備註: 如果您的網路不對外公開,則必須在 vCenter Server 系統和 Microsoft Entra ID 伺服器之間建立網路通道。建立網路通道後,使用適當的可公開存取 URL 做為基本 URI。
    14. 使用者佈建下,按一下產生以建立密碼 Token,從下拉式清單中選取 Token 週期,然後按一下複製到剪貼簿。將 Token 儲存到安全位置。
      您可以在 Microsoft Entra ID SCIM 2.0 應用程式中使用承租人 URL 和該 Token。Microsoft Entra ID SCIM 2.0 應用程式會使用 Token 將 Microsoft Entra ID 使用者和群組同步至 VMware Identity Services。若要將 Microsoft Entra ID 使用者和群組從 Microsoft Entra ID 推送到 vCenter Server,必須提供此資訊。
  3. 返回 VMware 知識庫文章 (https://kb.vmware.com/s/article/94182),瞭解如何更新 Microsoft Entra ID 重新導向 URI。
    請遵循標題為「更新 Azure AD 重新導向 URI」章節中的步驟。
  4. 若要建立 SCIM 2.0 應用程式,請繼續查閱 VMware 知識庫文章 (https://kb.vmware.com/s/article/94182)。
    請遵循標題為「建立 SCIM 2.0 應用程式並將使用者和群組推送到 vCenter Server」章節中的步驟。
    如知識庫文章所述建立 SCIM 2.0 應用程式後,繼續執行下一步。
  5. vCenter Server 中為 Microsoft Entra ID 授權設定群組成員資格。
    設定群組成員資格後,Microsoft Entra ID 使用者才能登入 vCenter Server
    1. vSphere Client 中以本機管理員身分登入時,系統會移至管理 > Single Sign On > 使用者和群組
    2. 按一下群組索引標籤。
    3. 按一下管理員群組,然後按一下新增成員
    4. 從下拉式功能表中選取您要新增之 Microsoft Entra ID 群組的網域名稱。
    5. 在下拉式功能表下方的文字方塊中,輸入您想要新增之 Microsoft Entra ID 群組的前幾個字元,然後等待下拉式選取內容出現。
    6. 選取 Microsoft Entra ID 群組,並將其新增至管理員群組。
    7. 按一下儲存
  6. 確認能否以 Microsoft Entra ID 使用者身分登入 vCenter Server
  7. 若要將詳細目錄層級權限和全域權限指派給 Microsoft Entra ID 使用者,請參閱vSphere 安全性說明文件中有關管理 vCenter Server 元件的權限的主題。