安裝或升級至 vSphere 8.0 Update 1 或更新版本之後,您可以為 Okta (作為外部身分識別提供者) 設定 vCenter Server 身分識別提供者聯盟。

vCenter Server 僅支援一個設定的外部身分識別提供者 (一個來源) 和 vsphere.local 身分識別來源 (本機來源)。無法使用多個外部身分識別提供者。vCenter Server 身分識別提供者聯盟使用 OpenID Connect (OIDC),以供使用者登入 vCenter Server

可以透過 vCenter Server 中的全域或物件權限使用 Okta 群組和使用者設定權限。如需有關新增權限的詳細資料,請參閱vSphere 安全性說明文件。

必要條件

Okta 需求:

  • 您使用的是 Okta,且擁有專用的網域空間,例如 https://your-company.okta.com。
  • 若要執行 OIDC 登入並管理使用者和群組權限,您必須建立下列 Okta 應用程式。
    • 以 OpenID Connect 做為登入方法的 Okta 原生應用程式。原生應用程式必須包含下列授與類型:授權代碼、重新整理 Token 和資源擁有者密碼。
    • 具有 OAuth 2.0 Bearer Token 的跨網域身分識別管理系統 (SCIM) 2.0 應用程式,用於在 Okta 伺服器與 vCenter Server 之間執行使用者和群組同步。

    請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/90835

  • 已確定要與 vCenter Server 共用的 Okta 使用者和群組。此共用是一種 SCIM 作業 (而不是 OIDC 作業)。

Okta 連線需求:

  • vCenter Server 必須能夠連線至 Okta 探索端點,以及在探索端點中繼資料中通告的授權、Token、JWKS 和任何其他端點。
  • Okta 還必須能夠與 vCenter Server 連線,以傳送用於 SCIM 佈建的使用者和群組資料。

vCenter Server 需求

  • vSphere 8.0 Update 1 或更新版本
  • 在要建立 Okta 身分識別來源的 vCenter Server 上,確認已啟用 VMware Identity Services。
    備註: 安裝或升級至 vSphere 8.0 Update 1 或更新版本時,預設啟用 VMware Identity Services。可以使用 vCenter Server 管理介面確認 VMware Identity Services 的狀態。請參閱 停止和啟動 VMware Identity Services

vSphere 權限需求:

  • 您必須擁有 VcIdentityProviders.管理權限,才能建立、更新或刪除同盟驗證所需的 vCenter Server 身分識別提供者。若要限制使用者僅檢視身分識別提供者組態資訊,請指派 VcIdentityProviders.讀取權限。

增強型連結模式需求:

  • 可以在增強型連結模式組態中為 Okta 設定 vCenter Server 身分識別提供者聯盟。在增強型連結模式組態中設定 Okta 時,可以將 Okta 身分識別提供者設定為使用單一 vCenter Server 系統上的 VMware Identity Services。例如,如果增強型連結模式組態包含兩個 vCenter Server 系統,則僅使用一個 vCenter Server 及其 VMware Identity Services 執行個體與 Okta 伺服器進行通訊。如果此 vCenter Server 系統變成無法使用,則可以在 ELM 組態中的其他 vCenter Server 上設定 VMware Identity Services 以便與 Okta 伺服器互動。如需詳細資訊,請參閱增強型連結模式組態中外部身分識別提供者的啟用程序
  • 將 Okta 設定為外部身分識別提供者時,增強型連結模式組態中的所有 vCenter Server 系統必須至少執行 vSphere 8.0 Update 1。

網路需求:

  • 如果您的網路不對外公開,則必須在 vCenter Server 系統和 Okta 伺服器之間建立網路通道,然後使用適當的可公開存取 URL 作為基本 URI。

程序

  1. 在 Okta 中建立 OpenID Connect 應用程式,並將群組和使用者指派給 OpenID Connect 應用程式。
    若要建立 OpenID Connect 應用程式並指派群組和使用者,請參閱 VMware 知識庫文章,網址為: https://kb.vmware.com/s/article/90835。請遵循標題為「建立 OpenID Connect 應用程式」章節中的步驟。建立 Okta OpenID Connect 應用程式後,將下列資訊從 Okta OpenID Connect 應用程式複製到檔案,以便在下一步設定 vCenter Server 身分識別提供者時使用。
    • 用戶端識別碼
    • 用戶端密碼 (在 vSphere Client 中顯示為共用密碼)
    • Active Directory 網域資訊或 Okta 網域資訊 (如果未執行 Active Directory)
  2. 若要在 vCenter Server 上建立身分識別提供者,請執行下列作業:
    1. 使用 vSphere Client 以管理員身分登入 vCenter Server
    2. 導覽到首頁 > 管理 > Single Sign On > 組態
    3. 按一下變更提供者並選取 Okta
      設定主要身分識別提供者精靈隨即開啟。
    4. 必要條件面板中,檢閱 Okta 和 vCenter Server 需求。
    5. 按一下執行預先檢查
      如果預先檢查發現錯誤,請按一下 檢視詳細資料,然後按照指示採取措施,解決錯誤。
    6. 如果預先檢查通過,請按一下確認核取方塊,然後按下一步
    7. 目錄資訊面板中,輸入下列資訊。
      • 目錄名稱:要在 vCenter Server 上建立的本機目錄的名稱,該目錄用於儲存從 Okta 推送的使用者和群組。例如,vcenter-okta-directory
      • 網域名稱:輸入 Okta 網域名稱,其中包含要與 vCenter Server 同步的 Okta 使用者和群組。

        輸入 Okta 網域名稱後,按一下加號圖示 (+) 進行新增。如果輸入多個網域名稱,請指定預設網域。

    8. 下一步
    9. OpenID Connect 面板中,輸入下列資訊。
      • 重新導向 UI:自動填寫。您可以將重新導向 UI 交給 Okta 管理員,以便在建立 OpenID Connect 應用程式時使用。
      • 身分識別提供者名稱:自動填寫為 Okta。
      • 用戶端識別碼:在步驟 1 中在 Okta 中建立 OpenID Connect 應用程式時取得。(Okta 將用戶端識別碼稱為用戶端 ID。)
      • 共用密碼:在步驟 1 中在 Okta 中建立 OpenID Connect 應用程式時取得。(Okta 將共用密碼稱為用戶端密碼。)
      • OpenID 位址:採用 https://Okta domain space/oauth2/default/.well-known/openid-configuration 形式。

        例如,如果您的 Okta 網域空間為 example.okta.com,則 OpenID 位址為:https://example.okta.com/oauth2/default/.well-known/openid-configuration

        如需詳細資訊,請參閱https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration

    10. 下一步
    11. 檢閱資訊,然後按一下完成
      vCenter Server 會建立 Okta 身分識別提供者並顯示組態資訊。
    12. 如有必要,向下捲動,然後按一下重新導向 URI 的複製圖示,並將其儲存到檔案中。
      將在 Okta OpenID Connection 應用程式中使用重新導向 URI。
    13. 按一下承租人 URL 的複製圖示,並將其儲存到檔案中。
      備註: 如果您的網路不對外公開,則必須在 vCenter Server 系統和 Okta 伺服器之間建立網路通道。建立網路通道後,使用適當的可公開存取 URL 做為基本 URI。
    14. 使用者佈建下,按一下產生以建立密碼 Token,從下拉式清單中選取 Token 週期,然後按一下複製到剪貼簿。將 Token 儲存到安全位置。
      您可以在 Okta SCIM 2.0 應用程式中使用承租人 URL 和該 Token。Okta SCIM 2.0 應用程式會使用該 Token 將 Okta 使用者和群組同步到 VMware Identity Services 中。若要將 Okta 使用者和群組從 Okta 推送到 vCenter Server,必須提供此資訊。
  3. 返回 VMware 知識庫文章 (https://kb.vmware.com/s/article/90835),瞭解如何更新 Okta 重新導向 URI。
    請遵循標題為「更新 Okta 重新導向 URI」章節中的步驟。
  4. 若要建立 SCIM 2.0 應用程式,請繼續查閱 VMware 知識庫文章 (https://kb.vmware.com/s/article/90835)。
    請遵循標題為「建立 SCIM 2.0 應用程式並將使用者和群組推送到 vCenter Server」章節中的步驟。
    如知識庫文章所述建立 SCIM 2.0 應用程式後,繼續執行下一步。
  5. 為 Okta 授權設定 vCenter Server
    您可以將 Okta 使用者指派給 vCenter Server 群組,也可以為 Okta 使用者指派詳細目錄層級權限和全域權限。登入所需的最低權限為唯讀。
    若要將 Okta 使用者指派給群組,請參閱 向 vCenter Single Sign-On 群組新增成員。若要將詳細目錄層級權限和全域權限指派給 Okta 使用者,請參閱 vSphere 安全性說明文件中有關管理 vCenter Server 元件的權限的主題。
  6. 確認以 Okta 使用者身分登入 vCenter Server