Bagikan melalui

Gunakan Azure AD sebagai penyedia identitas untuk vCenter di CloudSimple Private Cloud

  • Artikel

Anda dapat mengatur CloudSimple Private Cloud vCenter Anda untuk mengautentikasi dengan Azure Active Directory (Azure AD) agar administrator VMware Anda dapat mengakses vCenter. Setelah sumber identitas sistem masuk tunggal disiapkan, pengguna cloudowner dapat menambahkan pengguna dari sumber identitas ke vCenter.

Anda dapat menyiapkan domain Active Directory dan pengontrol domain dengan salah satu cara berikut:

  • Domain Active Directory dan pengontrol domain yang berjalan secara lokal
  • Domain Active Directory dan pengontrol domain yang berjalan di Azure sebagai komputer virtual di langganan Azure Anda
  • Domain Active Directory baru dan pengontrol domain yang berjalan di CloudSimple Private Cloud Anda
  • Layanan Azure Active Directory

Panduan ini menjelaskan tugas yang diperlukan untuk menyiapkan Azure AD sebagai sumber identitas. Untuk informasi tentang cara menggunakan Active Directory lokal atau Active Directory yang berjalan di Azure, lihat Menyiapkan sumber identitas vCenter untuk menggunakan Active Directory untuk petunjuk terperinci dalam menyiapkan sumber identitas.

Tentang Azure AD

Azure AD adalah layanan manajemen identitas dan direktori berbasis cloud multi-penyewa Microsoft. Azure AD menyediakan mekanisme autentikasi yang dapat diskalakan, konsisten, dan andal bagi pengguna untuk mengautentikasi dan mengakses berbagai layanan di Azure. Ini juga menyediakan layanan LDAP yang aman untuk layanan pihak ketiga mana pun untuk menggunakan Azure AD sebagai sumber autentikasi/identitas. Azure AD menggabungkan layanan direktori inti, tata kelola identitas tingkat lanjut, dan manajemen akses aplikasi, yang dapat digunakan untuk memberikan akses ke Cloud Privat Anda untuk pengguna yang mengelola Private Cloud.

Untuk menggunakan Azure AD sebagai sumber identitas dengan vCenter, Anda harus menyiapkan layanan domain Azure AD dan Azure AD. Ikuti petunjuk ini:

  1. Cara menyiapkan layanan domain Azure AD dan Azure AD
  2. Cara menyiapkan sumber identitas di Private Cloud vCenter

Menyiapkan layanan domain Azure AD dan Azure AD

Sebelum memulai, Anda memerlukan akses ke langganan Azure dengan hak istimewa Administrator Global. Langkah-langkah berikut memberikan panduan umum. Detail terkandung dalam dokumentasi Azure.

Azure Active Directory

Catatan

Jika Anda sudah memiliki Azure AD, Anda dapat melewati bagian ini.

  1. Siapkan Azure AD pada langganan Anda seperti yang dijelaskan dalam dokumentasi Azure AD.
  2. Aktifkan Azure Active Directory Premium pada langganan Anda seperti yang dijelaskan dalam Mendaftar ke Azure Active Directory Premium.
  3. Siapkan nama domain khusus dan verifikasi nama domain kustom seperti yang dijelaskan di Menambahkan nama domain khusus ke Azure Active Directory.
    1. Siapkan rekaman DNS di domain Anda dengan informasi yang disediakan di Azure.
    2. Tetapkan nama domain kustom menjadi domain utama.

Anda dapat secara opsional mengonfigurasi fitur Azure AD lainnya. Ini tidak diperlukan untuk mengaktifkan autentikasi vCenter dengan Azure AD.

Layanan domain Azure AD

Catatan

Ini adalah langkah penting untuk mengaktifkan Azure AD sebagai sumber identitas untuk vCenter. Untuk menghindari masalah apa pun, pastikan semua langkah dilakukan dengan benar.

  1. Aktifkan layanan domain Azure AD seperti yang dijelaskan dalam Mengaktifkan layanan domain Azure Active Directory menggunakan portal Azure.

  2. Siapkan jaringan yang akan digunakan oleh layanan domain Azure AD seperti yang dijelaskan di Mengaktifkan Azure Active Directory Domain Services menggunakan portal Azure.

  3. Konfigurasikan Grup Administrator untuk mengelola Layanan Domain Azure AD seperti yang dijelaskan dalam Mengaktifkan Azure Active Directory Domain Services menggunakan portal Azure.

  4. Perbarui setelan DNS untuk Layanan Domain Azure AD Anda seperti yang dijelaskan dalam Mengaktifkan Azure Active Directory Domain Services. Jika Anda ingin menyambung ke AD melalui Internet, siapkan rekaman DNS untuk alamat IP publik dari layanan domain Azure AD ke nama domain.

  5. Aktifkan sinkronisasi hash kata sandi untuk pengguna. Langkah ini memungkinkan sinkronisasi hash kata sandi yang diperlukan untuk NT LAN Manager (NTLM) dan autentikasi Kerberos ke Layanan Domain Azure AD. Setelah Anda menyiapkan sinkronisasi hash kata sandi, pengguna dapat masuk ke domain terkelola dengan kredensial perusahaan mereka. Lihat Mengaktifkan sinkronisasi hash kata sandi ke Azure Active Directory Domain Services.

    1. Jika ada pengguna khusus cloud, mereka harus mengubah sandi menggunakan panel akses Azure AD untuk memastikan hash kata sandi disimpan dalam format yang diperlukan oleh NTLM atau Kerberos. Ikuti petunjuk di Mengaktifkan sinkronisasi hash kata sandi ke domain terkelola untuk akun pengguna khusus cloud. Langkah ini harus dilakukan untuk pengguna individual dan setiap pengguna baru yang dibuat di direktori Azure AD Anda menggunakan portal Azure atau cmdlet Azure AD PowerShell. Pengguna yang memerlukan akses ke layanan domain Azure AD harus menggunakan panel akses Azure AD dan mengakses profil mereka untuk mengubah sandi.

      Catatan

      Jika organisasi Anda memiliki akun pengguna khusus cloud, semua pengguna yang perlu menggunakan Azure Active Directory Domain Services harus mengubah kata sandi mereka. Akun pengguna khusus cloud adalah akun yang dibuat di direktori Azure AD Anda menggunakan portal Azure atau cmdlet Azure AD PowerShell. Akun pengguna tersebut tidak disinkronkan dari direktori lokal.

    2. Jika Anda menyinkronkan kata sandi dari Active Directory lokal, ikuti langkah-langkah dalam Dokumentasi Active Directory.

  6. Konfigurasikan LDAP aman di Azure Active Directory Domain Services Anda seperti yang dijelaskan dalam Mengonfigurasi LDAP aman (LDAPS) untuk domain terkelola Azure AD Domain Services.

    1. Unggah sertifikat untuk digunakan oleh LDAP aman seperti yang dijelaskan dalam topik Azure mendapatkan sertifikat untuk LDAP aman. CloudSimple merekomendasikan penggunaan sertifikat bertanda tangan yang dikeluarkan oleh otoritas sertifikat untuk memastikan bahwa vCenter dapat mempercayai sertifikat tersebut.
    2. Aktifkan LDAP aman seperti yang dijelaskan dalam Mengaktifkan LDAP aman (LDAPS) untuk domain terkelola Layanan Domain Azure AD.
    3. Simpan bagian publik dari sertifikat (tanpa kunci privat) dalam format .cer untuk digunakan dengan vCenter saat mengonfigurasi sumber identitas.
    4. Jika akses Internet ke layanan domain Azure AD diperlukan, aktifkan opsi 'Izinkan akses aman ke LDAP melalui internet'.
    5. Tambahkan aturan keamanan masuk untuk NSG layanan Domain Azure AD untuk port TCP 636.

Siapkan sumber identitas di Private Cloud vCenter Anda

  1. Tingkatkan hak istimewa untuk Private Cloud vCenter Anda.

  2. Kumpulkan parameter konfigurasi yang diperlukan untuk menyiapkan sumber identitas.

    Opsi Deskripsi
    Nama Nama sumber identitas.
    DN Dasar untuk pengguna Dasarkan nama khusus untuk pengguna. Untuk Azure AD, gunakan: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Contoh: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nama domain FQDN domain, misalnya, example.com. Jangan berikan alamat IP di kotak teks ini.
    Alias ​​domain (opsional) Nama domain NetBIOS. Tambahkan nama NetBIOS domain Active Directory sebagai alias dari sumber identitas jika Anda menggunakan autentikasi SSPI.
    DN dasar untuk grup Nama khusus dasar untuk grup. Untuk Azure AD, gunakan: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Contoh:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL Server Utama Server LDAP pengendali domain utama untuk domain.

    Gunakan format ldaps://hostname:port. Port biasanya 636 untuk koneksi LDAPS.

    Sertifikat yang menetapkan kepercayaan untuk titik akhir LDAPS dari server Active Directory diperlukan saat Anda menggunakan ldaps:// di URL LDAP primer atau sekunder.
    URL server sekunder Alamat server LDAP pengendali domain sekunder yang digunakan untuk failover.
    Pilih sertifikat Jika Anda ingin menggunakan LDAPS dengan Server LDAP Active Directory atau sumber identitas Server OpenLDAP, tombol Pilih sertifikat muncul setelah Anda mengetik ldaps:// di kotak teks URL. URL sekunder tidak diperlukan.
    Nama pengguna ID pengguna di domain yang memiliki akses baca-saja minimum ke Base DN untuk pengguna dan grup.
    Kata Sandi Kata sandi pengguna yang ditentukan oleh Nama Pengguna.

  3. Masuk ke Private Cloud vCenter Anda setelah hak istimewa ditingkatkan.

  4. Ikuti petunjuk di Menambahkan sumber identitas di vCenter menggunakan nilai dari langkah sebelumnya untuk menyiapkan Azure Active Directory sebagai sumber identitas.

  5. Tambahkan pengguna/grup dari Azure AD ke grup vCenter seperti yang dijelaskan dalam topik VMware Menambahkan Anggota ke Grup Akses Menyeluruh vCenter.

Perhatian

Pengguna baru harus ditambahkan hanya ke Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group atau, Cloud-Global-VM-Admin-Group. Pengguna yang ditambahkan ke grup Administrator akan dihapus secara otomatis. Hanya akun layanan yang harus ditambahkan ke grup Administrator.

Langkah berikutnya