Dela via

Använda Azure AD som identitetsprovider för vCenter i privat CloudSimple-moln

  • Artikel

Du kan konfigurera cloudsimple private cloud vCenter för autentisering med Azure Active Directory (Azure AD) så att dina VMware-administratörer får åtkomst till vCenter. När identitetskällan för enkel inloggning har konfigurerats kan molnägaranvändaren lägga till användare från identitetskällan till vCenter.

Du kan konfigurera active directory-domänen och domänkontrollanterna på något av följande sätt:

  • Active Directory-domän och domänkontrollanter som körs lokalt
  • Active Directory-domän och domänkontrollanter som körs på Azure som virtuella datorer i din Azure-prenumeration
  • Nya Active Directory-domäner och domänkontrollanter som körs i ditt privata CloudSimple-moln
  • Azure Active Directory-tjänsten

Den här guiden beskriver de uppgifter som krävs för att konfigurera Azure AD som identitetskälla. Information om hur du använder lokal Active Directory eller Active Directory som körs i Azure finns i Konfigurera vCenter-identitetskällor för att använda Active Directory för detaljerade anvisningar om hur du konfigurerar identitetskällan.

Om Azure AD

Azure AD är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera innehavare. Azure AD tillhandahåller en skalbar, konsekvent och tillförlitlig autentiseringsmekanism som användarna kan använda för att autentisera och komma åt olika tjänster i Azure. Det tillhandahåller också säkra LDAP-tjänster för tjänster från tredje part som kan använda Azure AD som autentiserings-/identitetskälla. Azure AD kombinerar kärnkatalogtjänster, avancerad identitetsstyrning och hantering av programåtkomst, som kan användas för att ge åtkomst till ditt privata moln för användare som administrerar det privata molnet.

Om du vill använda Azure AD som identitetskälla med vCenter måste du konfigurera Azure AD och Azure AD domäntjänster. Följ dessa anvisningar:

  1. Så här konfigurerar du Azure AD och Azure AD domäntjänster
  2. Så här konfigurerar du en identitetskälla i ditt privata moln i vCenter

Konfigurera Azure AD och Azure AD domäntjänster

Innan du börjar behöver du åtkomst till din Azure-prenumeration med behörighet som global administratör. Följande steg ger allmänna riktlinjer. Information finns i Azure-dokumentationen.

Azure AD

Anteckning

Om du redan har Azure AD kan du hoppa över det här avsnittet.

  1. Konfigurera Azure AD för din prenumeration enligt beskrivningen i Azure AD dokumentationen.
  2. Aktivera Azure Active Directory Premium för din prenumeration enligt beskrivningen i Registrera dig för Azure Active Directory Premium.
  3. Konfigurera ett anpassat domännamn och verifiera det anpassade domännamnet enligt beskrivningen i Lägg till ett anpassat domännamn i Azure Active Directory.
    1. Konfigurera en DNS-post på din domänregistrator med den information som tillhandahålls i Azure.
    2. Ange det anpassade domännamnet till den primära domänen.

Du kan också konfigurera andra Azure AD funktioner. Dessa krävs inte för att aktivera vCenter-autentisering med Azure AD.

Azure AD domäntjänster

Anteckning

Det här är ett viktigt steg för att aktivera Azure AD som identitetskälla för vCenter. Se till att alla steg utförs korrekt för att undvika problem.

  1. Aktivera Azure AD domäntjänster enligt beskrivningen i Aktivera Azure Active Directory-domäntjänster med hjälp av Azure Portal.

  2. Konfigurera det nätverk som ska användas av Azure AD domäntjänster enligt beskrivningen i Aktivera Azure Active Directory Domain Services med hjälp av Azure Portal.

  3. Konfigurera administratörsgrupp för att hantera Azure AD Domain Services enligt beskrivningen i Aktivera Azure Active Directory Domain Services med hjälp av Azure Portal.

  4. Uppdatera DNS-inställningarna för din Azure AD Domain Services enligt beskrivningen i Aktivera Azure Active Directory Domain Services. Om du vill ansluta till AD via Internet konfigurerar du DNS-posten för den offentliga IP-adressen för Azure AD domäntjänster till domännamnet.

  5. Aktivera synkronisering av lösenordshash för användare. Det här steget aktiverar synkronisering av lösenordshashvärden som krävs för NT LAN Manager (NTLM) och Kerberos-autentisering för att Azure AD Domain Services. När du har konfigurerat lösenordshashsynkronisering kan användarna logga in till den hanterade domänen med sina företagsuppgifter. Se Aktivera synkronisering av lösenordshash till Azure Active Directory Domain Services.

    1. Om det bara finns molnbaserade användare måste de ändra sina lösenord med hjälp av Azure AD åtkomstpanel för att säkerställa att lösenordshashvärden lagras i det format som krävs av NTLM eller Kerberos. Följ anvisningarna i Aktivera synkronisering av lösenordshash till din hanterade domän för endast molnbaserade användarkonton. Det här steget måste göras för enskilda användare och alla nya användare som skapas i din Azure AD-katalog med hjälp av Azure Portal- eller Azure AD PowerShell-cmdletar. Användare som behöver åtkomst till Azure AD domäntjänster måste använda Azure AD åtkomstpanelen och komma åt sin profil för att ändra lösenordet.

      Anteckning

      Om organisationen endast har molnbaserade användarkonton måste användare som behöver använda Azure Active Directory Domain Services ändra sina lösenord. Ett endast molnbaserat användarkonto är ett konto som skapats i Azure AD-katalogen med antingen Azure Portal eller Azure AD PowerShell-cmdletar. Dessa användarkonton är inte synkroniserade från en lokal katalog.

    2. Om du synkroniserar lösenord från din lokala Active Directory följer du stegen i Active Directory-dokumentationen.

  6. Konfigurera säkert LDAP på din Azure-Active Directory Domain Services enligt beskrivningen i Konfigurera säker LDAP (LDAPS) för en Azure AD Domain Services-hanterad domän.

    1. Ladda upp ett certifikat för användning av säkert LDAP enligt beskrivningen i Azure-ämnet för att hämta ett certifikat för säkert LDAP. CloudSimple rekommenderar att du använder ett signerat certifikat som utfärdats av en certifikatutfärdare för att säkerställa att vCenter kan lita på certifikatet.
    2. Aktivera säkert LDAP enligt beskrivningen Aktivera säker LDAP (LDAPS) för en Azure AD Domain Services-hanterad domän.
    3. Spara den offentliga delen av certifikatet (utan den privata nyckeln) i CER-format för användning med vCenter när du konfigurerar identitetskällan.
    4. Om Internetåtkomst till Azure AD domäntjänster krävs aktiverar du alternativet "Tillåt säker åtkomst till LDAP via Internet".
    5. Lägg till den inkommande säkerhetsregeln för Azure AD Domain Services NSG för TCP-port 636.

Konfigurera en identitetskälla i ditt privata moln vCenter

  1. Eskalera behörigheter för ditt privata moln vCenter.

  2. Samla in de konfigurationsparametrar som krävs för att konfigurera identitetskällan.

    Alternativ Beskrivning
    Namn Namnet på identitetskällan.
    Bas-DN för användare Grundläggande unikt namn för användare. För Azure AD använder du: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exempel: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Domännamn FQDN för domänen, till exempel example.com. Ange ingen IP-adress i den här textrutan.
    Domänalias (valfritt) Domänens NetBIOS-namn. Lägg till NetBIOS-namnet på Active Directory-domänen som ett alias för identitetskällan om du använder SSPI-autentiseringar.
    Bas-DN för grupper Det unika basnamnet för grupper. För Azure AD använder du: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exempel:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL för primär server Den primära domänkontrollantens LDAP-server för domänen.

    Använd formatet ldaps://hostname:port. Porten är vanligtvis 636 för LDAPS-anslutningar.

    Ett certifikat som upprättar förtroende för LDAPS-slutpunkten för Active Directory-servern krävs när du använder ldaps:// i den primära eller sekundära LDAP-URL:en.
    URL för sekundär server Adress till en sekundär domänkontrollant LDAP-server som används för redundans.
    Välj certifikat Om du vill använda LDAPS med din Active Directory LDAP-server eller OpenLDAP-serveridentitetskälla visas knappen Välj certifikat när du har angett ldaps:// URL-textrutan. En sekundär URL krävs inte.
    Användarnamn ID för en användare i domänen som har minst skrivskyddad åtkomst till bas-DN för användare och grupper.
    Lösenord Lösenord för den användare som anges av Användarnamn.

  3. Logga in på ditt privata moln vCenter när behörigheterna har eskalerats.

  4. Följ anvisningarna i Lägg till en identitetskälla på vCenter med hjälp av värdena från föregående steg för att konfigurera Azure Active Directory som en identitetskälla.

  5. Lägg till användare/grupper från Azure AD till vCenter-grupper enligt beskrivningen i VMware-avsnittet Lägg till medlemmar i en vCenter Single Sign-On-grupp.

Varning

Nya användare får endast läggas till i Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group eller, Cloud-Global-VM-Admin-Group. Användare som läggs till i gruppen Administratörer tas bort automatiskt. Endast tjänstkonton måste läggas till i gruppen Administratörer .

Nästa steg