Share via

Gebruik Azure AD als id-provider voor vCenter in cloudsimple-privécloud

  • Artikel

U kunt uw CloudSimple Private Cloud vCenter instellen voor verificatie met Azure Active Directory (Azure AD) zodat uw VMware-beheerders toegang krijgen tot vCenter. Nadat de identiteitsbron voor eenmalige aanmelding is ingesteld, kan de cloudeigenaar-gebruiker gebruikers van de identiteitsbron toevoegen aan vCenter.

U kunt uw Active Directory-domeinen en -domeincontrollers op een van de volgende manieren instellen:

  • Active Directory-domein en -domeincontrollers die on-premises worden uitgevoerd
  • Active Directory-domein en -domeincontrollers die worden uitgevoerd op Azure als virtuele machines in uw Azure-abonnement
  • Nieuwe Active Directory-domeincontrollers die worden uitgevoerd in uw CloudSimple-privécloud
  • Azure Active Directory-service

In deze handleiding worden de taken uitgelegd die nodig zijn voor het instellen van Azure AD als identiteitsbron. Raadpleeg vCenter-identiteitsbronnen instellen voor gebruik van Active Directory voor gedetailleerde instructies bij het instellen van de identiteitsbron voor meer informatie over het gebruik van on-premises Active Directory of Active Directory die wordt uitgevoerd in Azure.

Over Azure AD

Azure AD is de Microsoft-service voor directory- en identiteitsbeheer in de cloud met meerdere tenants. Azure AD biedt een schaalbaar, consistent en betrouwbaar verificatiemechanisme voor gebruikers voor verificatie en toegang tot verschillende services in Azure. Het biedt ook Secure LDAP-services voor services van derden om Azure AD te gebruiken als verificatie-/identiteitsbron. Azure AD combineert kerndirectoryservices, geavanceerd identiteitsbeheer en toepassingstoegangsbeheer, dat kan worden gebruikt voor het verlenen van toegang tot uw privécloud voor gebruikers die de privécloud beheren.

Als u Azure AD wilt gebruiken als een identiteitsbron met vCenter, moet u Azure AD en Azure AD domeinservices instellen. Volg deze instructies:

  1. Azure AD en Azure AD domeinservices instellen
  2. Een identiteitsbron instellen in uw privécloud vCenter

Domeinservices voor Azure AD en Azure AD instellen

Voordat u aan de slag gaat, hebt u toegang nodig tot uw Azure-abonnement met globale beheerdersbevoegdheden. De volgende stappen geven algemene richtlijnen. Details vindt u in de Azure-documentatie.

Azure AD

Notitie

Als u al Azure AD hebt, kunt u deze sectie overslaan.

  1. Stel Azure AD voor uw abonnement in zoals beschreven in Azure AD documentatie.
  2. Schakel Azure Active Directory Premium in voor uw abonnement, zoals beschreven in Registreren voor Azure Active Directory Premium.
  3. Stel een aangepaste domeinnaam in en verifieer de aangepaste domeinnaam, zoals beschreven in Een aangepaste domeinnaam toevoegen aan Azure Active Directory.
    1. Stel een DNS-record in op uw domeinregistrar met de informatie in Azure.
    2. Stel de naam van het aangepaste domein in op het primaire domein.

U kunt desgewenst andere Azure AD-functies configureren. Deze zijn niet vereist voor het inschakelen van vCenter-verificatie met Azure AD.

Azure AD domeinservices

Notitie

Dit is een belangrijke stap voor het inschakelen van Azure AD als identiteitsbron voor vCenter. Als u problemen wilt voorkomen, moet u ervoor zorgen dat alle stappen correct worden uitgevoerd.

  1. Schakel Azure AD domeinservices in, zoals beschreven in Azure Active Directory-domeinservices inschakelen met behulp van de Azure Portal.

  2. Stel het netwerk in dat door Azure AD domeinservices wordt gebruikt, zoals beschreven in Azure-Active Directory Domain Services inschakelen met behulp van de Azure Portal.

  3. Configureer beheerdersgroep voor het beheren van Azure AD Domain Services, zoals beschreven in Azure Active Directory Domain Services inschakelen met behulp van de Azure Portal.

  4. Werk DE DNS-instellingen voor uw Azure AD Domain Services bij zoals beschreven in Azure Active Directory Domain Services inschakelen. Als u verbinding wilt maken met AD via internet, stelt u de DNS-record in voor het openbare IP-adres van de Azure AD domeinservices voor de domeinnaam.

  5. Schakel wachtwoord-hashsynchronisatie in voor gebruikers. Deze stap maakt synchronisatie mogelijk van wachtwoordhashes die vereist zijn voor NT LAN Manager-verificatie (NTLM) en Kerberos-verificatie met Azure AD Domain Services. Wanneer u de synchronisatie voor wachtwoordhashes hebt ingesteld, kunnen gebruikers zich bij het beheerde domein aanmelden met hun zakelijke referenties. Zie Wachtwoord-hashsynchronisatie inschakelen naar Azure Active Directory Domain Services.

    1. Als cloudgebruikers aanwezig zijn, moeten ze hun wachtwoord wijzigen met behulp van Azure AD toegangsvenster om ervoor te zorgen dat wachtwoordhashes worden opgeslagen in de indeling die is vereist door NTLM of Kerberos. Volg de instructies in Wachtwoord-hashsynchronisatie inschakelen voor uw beheerde domein voor cloudgebruikersaccounts. Deze stap moet worden uitgevoerd voor afzonderlijke gebruikers en elke nieuwe gebruiker die is gemaakt in uw Azure AD-directory met behulp van de Azure Portal- of Azure AD PowerShell-cmdlets. Gebruikers die toegang nodig hebben tot Azure AD domeinservices, moeten het toegangsvenster Azure AD gebruiken en hun profiel openen om het wachtwoord te wijzigen.

      Notitie

      Als uw organisatie gebruikersaccounts in de cloud heeft, moeten alle gebruikers die Azure Active Directory Domain Services willen gebruiken, hun wachtwoord wijzigen. Een cloudgebruikersaccount is een account dat is gemaakt in uw Azure AD-directory via de Azure portal of Azure AD PowerShell-cmdlets. Deze gebruikersaccounts zijn niet gesynchroniseerd vanuit een on-premises map.

    2. Als u wachtwoorden synchroniseert vanuit uw on-premises Active Directory, volgt u de stappen in de Active Directory-documentatie.

  6. Configureer Secure LDAP op uw Azure Active Directory Domain Services zoals beschreven in Secure LDAP (LDAPS) configureren voor een door Azure AD Domain Services beheerd domein.

    1. Upload een certificaat voor gebruik door Secure LDAP, zoals beschreven in het Azure-onderwerp , een certificaat voor Secure LDAP ophalen. CloudSimple raadt aan een ondertekend certificaat te gebruiken dat is uitgegeven door een certificeringsinstantie om ervoor te zorgen dat vCenter het certificaat kan vertrouwen.
    2. Schakel Secure LDAP in zoals beschreven Enable secure LDAP (LDAPS) for an Azure AD Domain Services managed domain.
    3. Sla het openbare deel van het certificaat (zonder de persoonlijke sleutel) op in cer-indeling voor gebruik met vCenter tijdens het configureren van de identiteitsbron.
    4. Als internettoegang tot de Azure AD domeinservices is vereist, schakelt u de optie Beveiligde toegang tot LDAP via internet toestaan in.
    5. Voeg de binnenkomende beveiligingsregel toe voor de NSG Azure AD Domain Services voor TCP-poort 636.

Een identiteitsbron instellen in uw vCenter van de privécloud

  1. Escaleer de bevoegdheden voor uw privécloud vCenter.

  2. Verzamel de configuratieparameters die vereist zijn voor het instellen van de identiteitsbron.

    Optie Beschrijving
    Naam Naam van de identiteitsbron.
    Basis-DN voor gebruikers DN-basisnaam voor gebruikers. Gebruik voor Azure AD: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Voorbeeld: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Domeinnaam FQDN van het domein, bijvoorbeeld example.com. Geef geen IP-adres op in dit tekstvak.
    Domeinalias (optioneel) De NetBIOS-naam van het domein. Voeg de NetBIOS-naam van het Active Directory-domein toe als alias van de identiteitsbron als u SSPI-verificaties gebruikt.
    Basis-DN voor groepen De DN-basisnaam voor groepen. Gebruik voor Azure AD: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Voorbeeld:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL van primaire server Primaire domeincontroller LDAP-server voor het domein.

    Gebruik de indeling ldaps://hostname:port. De poort is doorgaans 636 voor LDAPS-verbindingen.

    Een certificaat waarmee een vertrouwensrelatie voor het LDAPS-eindpunt van de Active Directory-server wordt ingesteld, is vereist wanneer u in ldaps:// de primaire of secundaire LDAP-URL gebruikt.
    URL van secundaire server Adres van een secundaire domeincontroller LDAP-server die wordt gebruikt voor failover.
    Certificaat kiezen Als u LDAPS wilt gebruiken met uw Active Directory LDAP-server of OpenLDAP Server-identiteitsbron, wordt de knop Certificaat kiezen weergegeven nadat u in het tekstvak URL hebt getypt ldaps:// . Een secundaire URL is niet vereist.
    Gebruikersnaam Id van een gebruiker in het domein die minimaal alleen-lezentoegang heeft tot basis-DN voor gebruikers en groepen.
    Wachtwoord Wachtwoord van de gebruiker die is opgegeven door gebruikersnaam.

  3. Meld u aan bij uw vCenter van de privécloud nadat de bevoegdheden zijn geëscaleerd.

  4. Volg de instructies in Een identiteitsbron toevoegen in vCenter met behulp van de waarden uit de vorige stap om Azure Active Directory in te stellen als een identiteitsbron.

  5. Voeg gebruikers/groepen van Azure AD toe aan vCenter-groepen, zoals beschreven in het VMware-onderwerp Leden toevoegen aan een vCenter Single Sign-On Group.

Waarschuwing

Nieuwe gebruikers moeten alleen worden toegevoegd aan Cloud-Owner-Group, Cloud-Global-Cluster-Beheer-Group, Cloud-Global-Storage-Beheer-Group, Cloud-Global-Network-Beheer-Group of Cloud-Global-VM-Beheer-Group. Gebruikers die zijn toegevoegd aan de groep Administrators , worden automatisch verwijderd. Alleen serviceaccounts moeten worden toegevoegd aan de groep Administrators .

Volgende stappen