安裝或升級至 vSphere 7.0 或更新版本後,可以為 AD FS (作為外部身分識別提供者) 設定 vCenter Server 身分識別提供者聯盟。

備註: 這些指示適用於 vSphere 8.0 Update 1。對於 vSphere 8.0,請參閱 vSphere 驗證說明文件 (網址為 https://docs.vmware.com/tw/VMware-vSphere/8.0/vsphere-documentation-80.zip) 中有關為 AD FS 設定 vCenter Server 身分識別提供者聯盟的主題。

vCenter Server 僅支援一個設定的外部身分識別提供者 (一個來源) 和 vsphere.local 身分識別來源。無法使用多個外部身分識別提供者。vCenter Server 身分識別提供者聯盟使用 OpenID Connect (OIDC),以供使用者登入 vCenter Server

此工作說明如何將 AD FS 群組新增至 vSphere 管理員群組以作為控制權限的方式。此外,還可以透過 vCenter Server 中的全域或物件權限使用 AD FS 授權設定權限。如需有關新增權限的詳細資料,請參閱vSphere 安全性說明文件。

注意:

如果您使用先前新增至 vCenter Server 的 Active Directory 身分識別來源做為 AD FS 身分識別來源,請不要從 vCenter Server 中刪除現有的身分識別來源。這樣做會導致先前指派的角色和群組成員資格出現回歸問題。具有全域權限的 AD FS 使用者和新增至管理員群組的使用者都將無法登入。

因應措施:如果您不需要先前指派的角色和群組成員資格,且想要移除先前的 Active Directory 身分識別來源,請先移除身分識別來源,然後再建立 AD FS 提供者並在 vCenter Server 中設定群組成員資格。

必要條件

備註: 此 AD FS 身分識別提供者的設定程序要求您對 vCenter Server 和 AD FS 伺服器具有管理存取權。在設定程序中,請依序在 vCenter Server、AD FS 伺服器以及 vCenter Server 中輸入資訊。

Active Directory Federation Services 需求:

  • 必須已部署適用於 Windows Server 2016 或更新版本的 AD FS。
  • AD FS 必須連線至 Active Directory。
  • 在設定過程中,必須在 AD FS 中建立 vCenter Server 的應用程式群組。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/78029
  • 新增至受信任的根憑證存放區的 AD FS 伺服器憑證 (或簽署了 AD FS 伺服器憑證的 CA 憑證或中繼憑證)。
  • 您已在 AD FS 中建立 vCenter Server 管理員群組,該群組包含您想要授與 vCenter Server 管理員權限的使用者。

如需有關設定 AD FS 的詳細資訊,請參閱 Microsoft 說明文件。

vCenter Server 和其他需求:

  • vSphere 7.0 或更新版本
  • vCenter Server 必須能夠連線至 AD FS 探索端點,以及在探索端點中繼資料中通告的授權、Token、登出、JWKS 和任何其他端點。
  • 您需要 VcIdentityProviders.管理權限,才能建立、更新或刪除同盟驗證所需的 vCenter Server 身分識別提供者。若要限制使用者僅檢視身分識別提供者組態資訊,請指派 VcIdentityProviders.讀取權限。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 將 AD FS 伺服器憑證 (或簽署了 AD FS 伺服器憑證的 CA 憑證或中繼憑證) 新增至受信任的根憑證存放區。
    備註: 若要瞭解詳細資訊,請參閱 使用 vSphere Client 將受信任的根憑證新增到憑證存放區
    1. 導覽至管理 > 憑證 > 憑證管理
    2. 受信任的根存放區旁邊,按一下新增
    3. 瀏覽 AD FS 憑證,然後按一下新增
      憑證隨即新增至 受信任的根憑證下的面板中。
  3. 開始在 vCenter Server 上建立身分識別提供者。
    1. 使用 vSphere Client 以管理員身分登入 vCenter Server
    2. 導覽到首頁 > 管理 > Single Sign On > 組態
    3. 按一下變更提供者並選取 ADFS
      設定主要身分識別提供者精靈隨即開啟。
    4. 必要條件面板中,檢閱 AD FS 和 vCenter Server 需求。
    5. 按一下執行預先檢查
      如果預先檢查發現錯誤,請按一下 檢視詳細資料,然後按照指示採取措施,解決錯誤。
    6. 如果預先檢查通過,請按一下確認核取方塊,然後按下一步
    7. 使用者和群組面板中,輸入 Active Directory over LDAP 連線的使用者和群組資訊,以搜尋使用者和群組。
      vCenter Server 從使用者的基本辨別名稱中衍生用於授權和權限的 AD 網域。只能為此 AD 網域中的使用者和群組新增 vSphere 物件的權限。 vCenter Server 身分識別提供者聯盟不支援 AD 子網域或 AD 樹系中其他網域中的使用者或群組。
      選項 說明
      使用者的基本辨別名稱 使用者的基本辨別名稱。
      群組的基本辨別名稱 群組的基本辨別名稱。
      Username 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。
      密碼 網域中使用者的識別碼,該使用者對使用者和群組的基本 DN 僅具有最小唯讀存取權。
      主要伺服器 URL 網域的網域主控站 LDAP 伺服器。

      使用 ldap://hostname:portldaps://hostname:port 格式。通常為連接埠 389 用於 LDAP 連線,而連接埠 636 用於 LDAPS 連線。對於 Active Directory 多網域控制站部署,通常為連接埠 3268 用於 LDAP,而連接埠 3269 用於 LDAPS。

      在主要或次要 LDAP URL 中使用 ldaps:// 時,需要為 Active Directory 伺服器的 LDAPS 端點建立信任的憑證。

      次要伺服器 URL 用於容錯移轉之次要網域控制站 LDAP 伺服器的位址。
      SSL 憑證 如果您想要將 LDAPS 用於 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源,請按一下瀏覽以選取憑證。
    8. 下一步
    9. OpenID Connect 面板中,複製重新導向 URI 和登出重新導向 URI。
      目前將其他欄位保留空白。在下一步中建立 OpenID Connection 組態後,您將返回 OpenID Connect 面板。
  4. 在 AD FS 中建立 OpenID Connect 組態,並將其設定用於 vCenter Server
    若要在 vCenter Server 和身分識別提供者之間建立信賴方信任,則必須在兩者之間建立識別資訊和共用密碼。在 AD FS 中,您可以透過建立稱為應用程式群組 (由伺服器應用程式和 Web API 組成) 的 OpenID Connect 組態來執行此操作。這兩個元件會指定 vCenter Server 用於信任和與 AD FS 伺服器進行通訊的資訊。若要在 AD FS 中啟用 OpenID Connect,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/78029

    建立 AD FS 應用程式群組時,請注意下列事項。

    • 需要兩個在上述步驟中取得的 vCenter Server 重新導向 URI。
    • 將以下資訊從 AD FS 應用程式群組複製到檔案,或將其記下來,以供在下一個步驟中完成建立 vCenter Server 身分識別提供者時使用。
      • 用戶端識別碼
      • 共用密碼
      • AD FS 伺服器的 OpenID 位址
    備註: 如有必要,請以 AD FS 管理員身分執行以下 PowerShell 命令,以取得 AD FS 伺服器的 OpenID 位址。
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    複製返回的 URL (只選取 URL 本身,不要選取閉合括弧或開頭的 "@{FullUrl=" 部分)。

  5. vCenter Server OpenID Connect 面板中:
    1. 輸入在上一步建立 AD FS 應用程式群組時取得的以下資訊:
      • 用戶端識別碼
      • 共用密碼
      • OpenID 位址

      身分識別提供者名稱會自動填入為 Microsoft ADFS

    2. 下一步
  6. 檢閱資訊,然後按一下完成
    vCenter Server 會建立 AD FS 身分識別提供者並顯示組態資訊。
  7. 針對 AD FS 授權設定 vCenter Server 中的群組成員資格。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下使用者和群組
    3. 按一下群組索引標籤。
    4. 按一下管理員群組,然後按一下新增成員
    5. 從下拉式功能表中選取網域。
    6. 在下拉式功能表下方的文字方塊中,輸入您想要新增之 AD FS 群組的前幾個字元,然後等待下拉式選取內容出現。
      可能需要幾秒鐘的時間才能顯示選取範圍,因為 vCenter Server 要建立與 Active Directory 的連線並進行搜尋。
    7. 選取 AD FS 群組並將其新增至管理員群組。
    8. 按一下儲存
  8. 確認以 Active Directory 使用者身分登入 vCenter Server