Share via

Używanie Azure AD jako dostawcy tożsamości dla programu vCenter w chmurze prywatnej CloudSimple

  • Artykuł

Możesz skonfigurować usługę CloudSimple Private Cloud vCenter do uwierzytelniania za pomocą usługi Azure Active Directory (Azure AD) dla administratorów programu VMware w celu uzyskania dostępu do programu vCenter. Po skonfigurowaniu źródła tożsamości logowania jednokrotnego użytkownik chmury może dodać użytkowników ze źródła tożsamości do programu vCenter.

Domenę i kontrolery domeny usługi Active Directory można skonfigurować na dowolny z następujących sposobów:

  • Domeny i kontrolery domeny usługi Active Directory działające lokalnie
  • Domeny i kontrolery domeny usługi Active Directory uruchomione na platformie Azure jako maszyny wirtualne w subskrypcji platformy Azure
  • Nowa domena i kontrolery domeny usługi Active Directory uruchomione w chmurze prywatnej CloudSimple
  • Usługa Azure Active Directory

W tym przewodniku wyjaśniono zadania wymagane do skonfigurowania Azure AD jako źródła tożsamości. Aby uzyskać informacje na temat używania lokalna usługa Active Directory lub usługi Active Directory uruchomionej na platformie Azure, zobacz Konfigurowanie źródeł tożsamości vCenter w celu korzystania z usługi Active Directory, aby uzyskać szczegółowe instrukcje dotyczące konfigurowania źródła tożsamości.

Informacje o usłudze Azure AD

Azure AD to wielodostępna, oparta na chmurze usługa zarządzania katalogami i tożsamościami firmy Microsoft. Azure AD zapewnia skalowalny, spójny i niezawodny mechanizm uwierzytelniania dla użytkowników w celu uwierzytelniania i uzyskiwania dostępu do różnych usług na platformie Azure. Zapewnia również bezpieczne usługi LDAP dla wszystkich usług innych firm do używania Azure AD jako źródła uwierzytelniania/tożsamości. Azure AD łączy podstawowe usługi katalogowe, zaawansowane zarządzanie tożsamościami i zarządzanie dostępem do aplikacji, które mogą służyć do udzielania dostępu do chmury prywatnej dla użytkowników, którzy administrowają chmurą prywatną.

Aby użyć Azure AD jako źródła tożsamości w programie vCenter, należy skonfigurować usługi Azure AD i Azure AD usług domenowych. Postępuj zgodnie z tymi instrukcjami:

  1. Jak skonfigurować usługi Azure AD i Azure AD domen
  2. Jak skonfigurować źródło tożsamości w centrum vCenter chmury prywatnej

Konfigurowanie usług Azure AD i Azure AD domenowych

Przed rozpoczęciem będziesz potrzebować dostępu do subskrypcji platformy Azure z uprawnieniami administratora globalnego. Poniższe kroki zawierają ogólne wytyczne. Szczegółowe informacje znajdują się w dokumentacji platformy Azure.

Azure AD

Uwaga

Jeśli masz już Azure AD, możesz pominąć tę sekcję.

  1. Skonfiguruj Azure AD subskrypcji zgodnie z opisem w dokumentacji Azure AD.
  2. Włącz Azure Active Directory — wersja Premium w subskrypcji zgodnie z opisem w temacie Rejestracja w celu Azure Active Directory — wersja Premium.
  3. Skonfiguruj niestandardową nazwę domeny i zweryfikuj niestandardową nazwę domeny zgodnie z opisem w temacie Dodawanie niestandardowej nazwy domeny do usługi Azure Active Directory.
    1. Skonfiguruj rekord DNS u rejestratora domen przy użyciu informacji podanych na platformie Azure.
    2. Ustaw niestandardową nazwę domeny na domenę podstawową.

Opcjonalnie można skonfigurować inne funkcje Azure AD. Nie są one wymagane do włączenia uwierzytelniania w programie vCenter przy użyciu Azure AD.

Azure AD usług domenowych

Uwaga

Jest to ważny krok umożliwiający włączenie Azure AD jako źródła tożsamości dla programu vCenter. Aby uniknąć wszelkich problemów, upewnij się, że wszystkie kroki są wykonywane poprawnie.

  1. Włącz usługi domenowe Azure AD zgodnie z opisem w temacie Włączanie usług domenowych Azure Active Directory przy użyciu Azure Portal.

  2. Skonfiguruj sieć, która będzie używana przez usługi domenowe Azure AD zgodnie z opisem w temacie Włączanie usługi Azure Active Directory Domain Services przy użyciu Azure Portal.

  3. Skonfiguruj grupę administratorów do zarządzania usługami Azure AD Domain Services zgodnie z opisem w temacie Włączanie usługi Azure Active Directory Domain Services przy użyciu Azure Portal.

  4. Zaktualizuj ustawienia DNS dla usług Azure AD Domain Services zgodnie z opisem w temacie Włączanie usługi Azure Active Directory Domain Services. Jeśli chcesz nawiązać połączenie z usługą AD za pośrednictwem Internetu, skonfiguruj rekord DNS dla publicznego adresu IP usług Azure AD domenowych z nazwą domeny.

  5. Włącz synchronizację skrótów haseł dla użytkowników. Ten krok umożliwia synchronizację skrótów haseł wymaganych do uwierzytelniania NT LAN Manager (NTLM) i Kerberos w celu Azure AD usług Domain Services. Po skonfigurowaniu synchronizacji skrótów haseł użytkownik może zalogować się do domeny zarządzanej przy użyciu poświadczeń firmowych. Zobacz Włączanie synchronizacji skrótów haseł w usłudze Azure Active Directory Domain Services.

    1. Jeśli użytkownicy tylko w chmurze są obecni, muszą zmienić swoje hasło przy użyciu panelu dostępu Azure AD, aby upewnić się, że skróty haseł są przechowywane w formacie wymaganym przez NTLM lub Kerberos. Postępuj zgodnie z instrukcjami w temacie Włączanie synchronizacji skrótów haseł w domenie zarządzanej dla kont użytkowników tylko w chmurze. Ten krok należy wykonać dla poszczególnych użytkowników i każdego nowego użytkownika, który jest tworzony w katalogu Azure AD przy użyciu poleceń cmdlet Azure Portal lub Azure AD programu PowerShell. Użytkownicy, którzy wymagają dostępu do usług Azure AD domenowych, muszą używać panelu dostępu Azure AD i uzyskiwać do niego dostęp, aby zmienić hasło.

      Uwaga

      Jeśli organizacja ma konta użytkowników tylko w chmurze, wszyscy użytkownicy, którzy muszą korzystać z usług Azure Active Directory Domain Services, muszą zmienić swoje hasła. Konto użytkownika tylko w chmurze to konto, które zostało utworzone w katalogu usługi Azure AD przy użyciu witryny Azure Portal lub poleceń cmdlet programu Azure AD PowerShell. Takie konta użytkownika nie są synchronizowane z poziomu katalogu lokalnego.

    2. Jeśli synchronizujesz hasła z lokalnej usługi Active Directory, wykonaj kroki opisane w dokumentacji usługi Active Directory.

  6. Skonfiguruj bezpieczny protokół LDAP na platformie Azure Active Directory Domain Services zgodnie z opisem w temacie Konfigurowanie protokołu Secure LDAP (LDAPS) dla domeny zarządzanej usług Azure AD Domain Services.

    1. Przekaż certyfikat do użycia przez bezpieczny protokół LDAP, zgodnie z opisem w temacie platformy Azure , uzyskaj certyfikat dla protokołu Secure LDAP. Usługa CloudSimple zaleca użycie podpisanego certyfikatu wystawionego przez urząd certyfikacji w celu zapewnienia, że program vCenter może ufać certyfikatowi.
    2. Włącz bezpieczny protokół LDAP zgodnie z opisem Włączanie protokołu Secure LDAP (LDAPS) dla domeny zarządzanej usług Azure AD Domain Services.
    3. Zapisz publiczną część certyfikatu (bez klucza prywatnego) w formacie cer do użycia z programem vCenter podczas konfigurowania źródła tożsamości.
    4. Jeśli wymagany jest dostęp do Internetu do usług domenowych Azure AD, włącz opcję "Zezwalaj na bezpieczny dostęp do protokołu LDAP za pośrednictwem Internetu".
    5. Dodaj regułę zabezpieczeń dla ruchu przychodzącego dla sieciowej grupy zabezpieczeń usług domenowych Azure AD dla portu TCP 636.

Konfigurowanie źródła tożsamości w centrum vCenter chmury prywatnej

  1. Eskaluj uprawnienia dla centrum vCenter chmury prywatnej.

  2. Zbierz parametry konfiguracji wymagane do skonfigurowania źródła tożsamości.

    Opcja Opis
    Nazwa Nazwa źródła tożsamości.
    Podstawowa nazwa dn dla użytkowników Podstawowa nazwa wyróżniająca dla użytkowników. W przypadku Azure AD użyj: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Przykład: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nazwa domeny Nazwa FQDN domeny, na przykład, example.com. Nie należy podawać adresu IP w tym polu tekstowym.
    Alias domeny (opcjonalnie) Nazwa NetBIOS domeny. Dodaj nazwę NetBIOS domeny usługi Active Directory jako alias źródła tożsamości, jeśli używasz uwierzytelniania SSPI.
    Podstawowa nazwa dn dla grup Podstawowa nazwa wyróżniająca grup. W przypadku Azure AD użyj: Przykład: OU=AADDC Users,DC=<domain>,DC=<domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    Adres URL serwera podstawowego Podstawowy serwer LDAP kontrolera domeny dla domeny.

    Użyj formatu ldaps://hostname:port. Port jest zazwyczaj 636 dla połączeń LDAPS.

    Certyfikat, który ustanawia zaufanie dla punktu końcowego LDAPS serwera usługi Active Directory jest wymagany w przypadku użycia ldaps:// w podstawowym lub pomocniczym adresie URL LDAP.
    Adres URL serwera pomocniczego Adres pomocniczego serwera LDAP kontrolera domeny, który jest używany do pracy w trybie failover.
    Wybieranie certyfikatu Jeśli chcesz użyć protokołu LDAPS z serwerem LDAP usługi Active Directory lub źródłem tożsamości serwera OpenLDAP, po wpisaniu ldaps:// pola tekstowego adresu URL zostanie wyświetlony przycisk Wybierz certyfikat. Pomocniczy adres URL nie jest wymagany.
    Nazwa użytkownika Identyfikator użytkownika w domenie, który ma co najmniej dostęp tylko do odczytu do podstawowego dn dla użytkowników i grup.
    Password (Hasło) Hasło użytkownika, który jest określony przez nazwę użytkownika.

  3. Zaloguj się do centrum vCenter chmury prywatnej po eskalacji uprawnień.

  4. Postępuj zgodnie z instrukcjami w temacie Dodawanie źródła tożsamości w programie vCenter przy użyciu wartości z poprzedniego kroku, aby skonfigurować usługę Azure Active Directory jako źródło tożsamości.

  5. Dodaj użytkowników/grupy z Azure AD do grup programu vCenter zgodnie z opisem w temacie VMware Dodawanie członków do grupy pojedynczej Sign-On programu vCenter.

Przestroga

Do grupy Cloud-Owner-Group, Cloud-Global-Cluster-Administracja-Group, Cloud-Global-Storage-Administracja-Group, Cloud-Global-Network-Administracja-Group lub Cloud-Global-VM-Administracja-Group. Użytkownicy dodani do grupy Administratorzy zostaną automatycznie usunięci. Do grupy Administratorzy należy dodać tylko konta usług.

Następne kroki