進一步瞭解在增強型連結模式組態中使用 Okta、Microsoft Entra ID 或 PingFederate 時的可用性考量事項。
必要條件
- 增強型連結模式組態中的兩個或更多 vCenter Server 系統。例如,系統透過 VC_N 標記為 VC_1、VC_2、VC_3,其中 N 是增強型連結模式組態中 vCenter Server 系統的數量。
- 對於 Okta 和 Microsoft Entra ID,所有 vCenter Server 系統都必須執行 vSphere 8.0 Update 2 或更新版本。對於 PingFederate,所有 vCenter Server 系統都必須至少執行 vSphere 8.0 Update 3。
- Okta、Microsoft Entra ID 或 PingFederate 被設定為其中一個 vCenter Server 系統上的外部身分識別提供者。例如,系統標記為 VC_1。
- 外部身分識別提供者設定了所有必需的 OAuth2 和 SCIM 應用程式。
程序
- 若要啟用指定 vCenter Server VC_i (i 介於 2 和 N 之間),請執行以下作業:
- 取得 VC_i 的本機 shell 存取權以執行啟用指令碼。
備註: 若要執行以下步驟,可以在命令列或主控台提示中指定具有管理權限的
vCenter Server 使用者帳戶。
- 從啟用指令碼執行 'status' 以取得 vCenter Server 的目前啟用狀態。
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
- 如果 'status' 命令指示 vCenter Server 未啟用,則從啟用指令碼執行 'activate':
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
- 如果 'status' 命令指示 vCenter Server 已啟用,則執行 'deactivate' 選項,然後執行 'activate' 選項。
python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
- 例如,執行 'activate' 選項。
- 或者,也可以在 'activate' 命令中指定 '--force-replace' 選項。
- 開啟瀏覽器存取 vCenter Server VC_i,然後以管理員身分登入 vCenter Server。
- 導覽至首頁 > 管理 > Single Sign On > 組態。
- 在使用者佈建下,確認承租人 URL 包含 VC_i 的 FQDN。
- 複製承租人 URL 字串並儲存此資訊,以便將其與外部身分識別提供者搭配使用。
- 在密碼 Token 下,按一下產生,複製產生的 Token 字串,然後儲存此資訊,以便將其與外部身分識別提供者搭配使用。
- 在 OpenID Connect 下,確認重新導向 URI 包含 VC_i 的 FQDN。
- 複製重新導向 URI 字串並儲存此資訊,以便將其與外部身分識別提供者搭配使用。
- 開啟瀏覽器存取外部身分識別提供者的管理頁面。
備註: 如需詳細資訊,請參閱外部身分識別提供者特定詳細資料以執行下列步驟。
- 尋找最初在 VC_1 中設定外部身分識別提供者時所設定的 OAuth2 登錄。
- 編輯 OAuth2 登錄,並新增先前為 VC_i 取得的重新導向 URI。
- 如果外部身分識別提供者支援具有多個目的地的 SCIM 推送組態,則:
- 尋找最初在 VC_1 中設定外部身分識別提供者時設定的 SCIM 推送組態。
- 編輯 SCIM 推送組態,並新增先前為 VC_i 取得的承租人 URL 和密碼 Token。
- 如果外部身分識別提供者支援僅有一個目的地的 SCIM 推送組態:
- 使用先前為 VC_i 取得的承租人 URL 和密碼 Token 建立新的 SCIM 推送組態。
- 確保 SCIM 推送組態推送的使用者/群組資料與最初在 VC_1 中設定外部身分識別提供者時設定的 SCIM 推送組態相同。
- 起始 SCIM 推送作業,以確保 VC_i 中會填入最新的使用者或群組資料。
