增強型連結模式組態中外部身分識別提供者的啟用程序

進一步瞭解在增強型連結模式組態中使用 Okta、Microsoft Entra ID 或 PingFederate 時的可用性考量事項。

必要條件

增強型連結模式組態中的兩個或更多 vCenter Server 系統。例如，系統透過 VC_N 標記為 VC_1、VC_2、VC_3，其中 N 是增強型連結模式組態中 vCenter Server 系統的數量。
對於 Okta 和 Microsoft Entra ID，所有 vCenter Server 系統都必須執行 vSphere 8.0 Update 2 或更新版本。對於 PingFederate，所有 vCenter Server 系統都必須至少執行 vSphere 8.0 Update 3。
Okta、Microsoft Entra ID 或 PingFederate 被設定為其中一個 vCenter Server 系統上的外部身分識別提供者。例如，系統標記為 VC_1。
外部身分識別提供者設定了所有必需的 OAuth2 和 SCIM 應用程式。

程序

若要啟用指定 vCenter Server VC_i (i 介於 2 和 N 之間)，請執行以下作業：
1. 取得 VC_i 的本機 shell 存取權以執行啟用指令碼。
  
  備註：若要執行以下步驟，可以在命令列或主控台提示中指定具有管理權限的 vCenter Server 使用者帳戶。
2. 從啟用指令碼執行 'status' 以取得 vCenter Server 的目前啟用狀態。
```
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
```
3. 如果 'status' 命令指示 vCenter Server 未啟用，則從啟用指令碼執行 'activate'：
```
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
```
4. 如果 'status' 命令指示 vCenter Server 已啟用，則執行 'deactivate' 選項，然後執行 'activate' 選項。
```
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
```
  - 例如，執行 'activate' 選項。
  - 或者，也可以在 'activate' 命令中指定 '--force-replace' 選項。
開啟瀏覽器存取 vCenter Server VC_i，然後以管理員身分登入 vCenter Server。
1. 導覽至首頁 > 管理 > Single Sign On > 組態。
2. 在使用者佈建下，確認承租人 URL 包含 VC_i 的 FQDN。
3. 複製承租人 URL 字串並儲存此資訊，以便將其與外部身分識別提供者搭配使用。
4. 在密碼 Token 下，按一下產生，複製產生的 Token 字串，然後儲存此資訊，以便將其與外部身分識別提供者搭配使用。
5. 在 OpenID Connect 下，確認重新導向 URI 包含 VC_i 的 FQDN。
6. 複製重新導向 URI 字串並儲存此資訊，以便將其與外部身分識別提供者搭配使用。
開啟瀏覽器存取外部身分識別提供者的管理頁面。

備註：如需詳細資訊，請參閱外部身分識別提供者特定詳細資料以執行下列步驟。
1. 尋找最初在 VC_1 中設定外部身分識別提供者時所設定的 OAuth2 登錄。
2. 編輯 OAuth2 登錄，並新增先前為 VC_i 取得的重新導向 URI。
3. 如果外部身分識別提供者支援具有多個目的地的 SCIM 推送組態，則：
  - 尋找最初在 VC_1 中設定外部身分識別提供者時設定的 SCIM 推送組態。
  - 編輯 SCIM 推送組態，並新增先前為 VC_i 取得的承租人 URL 和密碼 Token。
4. 如果外部身分識別提供者支援僅有一個目的地的 SCIM 推送組態：
  - 使用先前為 VC_i 取得的承租人 URL 和密碼 Token 建立新的 SCIM 推送組態。
  - 確保 SCIM 推送組態推送的使用者/群組資料與最初在 VC_1 中設定外部身分識別提供者時設定的 SCIM 推送組態相同。
5. 起始 SCIM 推送作業，以確保 VC_i 中會填入最新的使用者或群組資料。