CloudSimple Özel Bulutu'nda vCenter için kimlik sağlayıcısı olarak Azure AD kullanma
CloudSimple Özel Bulut vCenter'ınızı VMware yöneticilerinizin vCenter'a erişmesi için Azure Active Directory (Azure AD) ile kimlik doğrulaması yapmak üzere ayarlayabilirsiniz. Çoklu oturum açma kimlik kaynağı ayarlandıktan sonra , cloudowner kullanıcısı kimlik kaynağındaki kullanıcıları vCenter'a ekleyebilir.
Active Directory etki alanınızı ve etki alanı denetleyicilerinizi aşağıdaki yollardan herhangi biriyle ayarlayabilirsiniz:
- Şirket içinde çalışan Active Directory etki alanı ve etki alanı denetleyicileri
- Azure aboneliğinizde sanal makine olarak Azure'da çalışan Active Directory etki alanı ve etki alanı denetleyicileri
- CloudSimple Özel Bulutunuzda çalışan yeni Active Directory etki alanı ve etki alanı denetleyicileri
- Azure Active Directory hizmeti
Bu kılavuzda, kimlik kaynağı olarak Azure AD ayarlamak için gereken görevler açıklanmaktadır. Azure'da çalışan şirket içi Active Directory veya Active Directory kullanma hakkında bilgi için kimlik kaynağını ayarlamayla ilgili ayrıntılı yönergeler için bkz. Active Directory'yi kullanmak için vCenter kimlik kaynaklarını ayarlama.
Azure AD hakkında
Azure AD, Microsoft çok kiracılı, bulut tabanlı dizin ve kimlik yönetimi hizmetidir. Azure AD, kullanıcıların Azure'da kimlik doğrulaması ve farklı hizmetlere erişmesi için ölçeklenebilir, tutarlı ve güvenilir bir kimlik doğrulama mekanizması sağlar. Ayrıca tüm üçüncü taraf hizmetlerin kimlik doğrulaması/kimlik kaynağı olarak Azure AD kullanması için güvenli LDAP hizmetleri sağlar. Azure AD, Özel Bulutu yöneten kullanıcılar için Özel Bulutunuza erişim vermek için kullanılabilen temel dizin hizmetlerini, gelişmiş kimlik idaresini ve uygulama erişim yönetimini birleştirir.
vCenter ile kimlik kaynağı olarak Azure AD kullanmak için Azure AD ve Azure AD etki alanı hizmetlerini ayarlamanız gerekir. Şu yönergeleri izleyin:
- Azure AD ve Azure AD etki alanı hizmetlerini ayarlama
- Özel Bulut vCenter'ınızda kimlik kaynağı ayarlama
Azure AD ve Azure AD etki alanı hizmetlerini ayarlama
Başlamadan önce Genel Yönetici ayrıcalıklarıyla Azure aboneliğinize erişmeniz gerekir. Aşağıdaki adımlar genel yönergeler sağlar. Ayrıntılar Azure belgelerinde yer alır.
Azure AD
Not
Zaten Azure AD varsa bu bölümü atlayabilirsiniz.
- Azure AD belgelerinde açıklandığı gibi aboneliğinizde Azure AD ayarlayın.
- Azure Active Directory Premium için kaydolma bölümünde açıklandığı gibi aboneliğinizde Azure Active Directory Premium etkinleştirin.
- Azure Active Directory'ye özel etki alanı adı ekleme bölümünde açıklandığı gibi özel bir etki alanı adı ayarlayın ve özel etki alanı adını doğrulayın.
- Azure'da sağlanan bilgilerle etki alanı kayıt şirketinizde bir DNS kaydı ayarlayın.
- Özel etki alanı adını birincil etki alanı olarak ayarlayın.
İsteğe bağlı olarak diğer Azure AD özelliklerini yapılandırabilirsiniz. Bunlar, Azure AD ile vCenter kimlik doğrulamasını etkinleştirmek için gerekli değildir.
etki alanı hizmetlerini Azure AD
Not
Bu, vCenter için kimlik kaynağı olarak Azure AD etkinleştirmeye yönelik önemli bir adımdır. Herhangi bir sorun yaşamamak için tüm adımların doğru gerçekleştirildiğinden emin olun.
Azure portal kullanarak Azure Active Directory Domain Services'yi etkinleştirme bölümünde açıklandığı gibi Azure AD etki alanı hizmetleri tarafından kullanılacak ağı ayarlayın.
Azure portal kullanarak Azure Active Directory Domain Services'yi etkinleştirme bölümünde açıklandığı gibi Azure AD Etki Alanı Hizmetlerini yönetmek için Yönetici Grubunu yapılandırın.
azure Active Directory Domain Services etkinleştirme bölümünde açıklandığı gibi Azure AD Domain Services'inizin DNS ayarlarını güncelleştirin. İnternet üzerinden AD'ye bağlanmak istiyorsanız, Azure AD etki alanı hizmetlerinin genel IP adresi için DNS kaydını etki alanı adına ayarlayın.
Kullanıcılar için parola karması eşitlemeyi etkinleştirin. Bu adım, NT LAN Manager (NTLM) ve Kerberos kimlik doğrulaması için gereken parola karmalarının Azure AD Etki Alanı Hizmetleri'ne eşitlenmesini sağlar. Parola karma eşitlemesini ayarladıktan sonra kullanıcılar, şirket kimlik bilgileri ile yönetilen etki alanında oturum açabilir. Bkz. Azure Active Directory Domain Services parola karması eşitlemesini etkinleştirme.
Yalnızca bulut kullanıcıları varsa, parola karmalarının NTLM veya Kerberos için gereken biçimde depolandığından emin olmak için parolalarını Azure AD erişim panelini kullanarak değiştirmeleri gerekir. Yalnızca bulut kullanıcı hesapları için yönetilen etki alanınıza parola karması eşitlemeyi etkinleştirme başlığındaki yönergeleri izleyin. Bu adım, tek tek kullanıcılar ve Azure AD dizininizde Azure portal veya Azure AD PowerShell cmdlet'leri kullanılarak oluşturulan tüm yeni kullanıcılar için yapılmalıdır. Azure AD etki alanı hizmetlerine erişmesi gereken kullanıcıların parolayı değiştirmek için Azure AD erişim panelini kullanması ve profillerine erişmesi gerekir.
Not
Kuruluşunuz yalnızca bulutta yer alan bir kullanıcı hesabına sahipse Azure Active Directory Domain Services'i kullanması gereken tüm kullanıcıların parolalarını değiştirmesi gerekir. Yalnızca bulutta yer alan bir kullanıcı hesabı, Azure portal veya Azure AD PowerShell cmdlet’leri kullanılarak Azure AD dizininizde oluşturulmuş bir hesaptır. Bu tür kullanıcı hesapları şirket içi dizinden eşitlenmez.
Şirket içi Active Directory'nizden parolaları eşitlerseniz , Active Directory belgelerindeki adımları izleyin.
Azure AD Domain Services yönetilen etki alanı için güvenli LDAP (LDAPS) yapılandırma başlığı altında açıklandığı gibi Azure Active Directory Domain Services güvenli LDAP'yi yapılandırın.
- Azure konusunda açıklandığı gibi güvenli LDAP ile kullanmak üzere bir sertifika yükleyin, güvenli LDAP için bir sertifika alın. CloudSimple, vCenter'ın sertifikaya güvenebilmesini sağlamak için sertifika yetkilisi tarafından verilen imzalı bir sertifika kullanılmasını önerir.
- Azure AD Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı için güvenli LDAP'yi (LDAPS) etkinleştirme açıklandığı gibi güvenli LDAP'yi etkinleştirin.
- Kimlik kaynağını yapılandırırken vCenter ile kullanmak üzere sertifikanın ortak bölümünü (özel anahtar olmadan) .cer biçiminde kaydedin.
- Azure AD etki alanı hizmetlerine İnternet erişimi gerekiyorsa , 'İnternet üzerinden LDAP'ye güvenli erişime izin ver' seçeneğini etkinleştirin.
- 636 numaralı TCP bağlantı noktası için Azure AD Etki Alanı hizmetleri NSG'sine gelen güvenlik kuralını ekleyin.
Özel Bulut vCenter'unuzda kimlik kaynağı ayarlama
Özel Bulut vCenter'ınız için ayrıcalıkları yükseltme.
Kimlik kaynağını ayarlamak için gereken yapılandırma parametrelerini toplayın.
Seçenek Açıklama Ad Kimlik kaynağının adı. Kullanıcılar için temel DN Kullanıcılar için temel ayırt edici ad. Azure AD için şunu kullanın: OU=AADDC Users,DC=<domain>,DC=<domain suffix>
Örnek:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
.Etki alanı adı Etki alanının FQDN'sini, örneğin example.com. Bu metin kutusunda bir IP adresi belirtmeyin. Etki alanı diğer adı (isteğe bağlı) Etki alanı NetBIOS adı. SSPI kimlik doğrulamaları kullanıyorsanız, Kimlik kaynağının diğer adı olarak Active Directory etki alanının NetBIOS adını ekleyin. Gruplar için temel DN Grupların temel ayırt edici adı. Azure AD için şunu kullanın: OU=AADDC Users,DC=<domain>,DC=<domain suffix>
Örnek:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
Birincil Sunucu URL'si Etki alanı için birincil etki alanı denetleyicisi LDAP sunucusu.
ldaps://hostname:port
biçimini kullanın. LdapS bağlantıları için bağlantı noktası genellikle 636'dır.
Birincil veya ikincil LDAP URL'sinde kullandığınızdaldaps://
Active Directory sunucusunun LDAPS uç noktası için güven oluşturan bir sertifika gerekir.İkincil sunucu URL'si Yük devretme için kullanılan ikincil etki alanı denetleyicisi LDAP sunucusunun adresi. Sertifika seçme LDAPS'yi Active Directory LDAP Sunucunuz veya OpenLDAP Sunucusu kimlik kaynağınızla kullanmak istiyorsanız, URL metin kutusuna yazdıktan ldaps://
sonra sertifika seç düğmesi görüntülenir. İkincil URL gerekli değildir.Kullanıcı adı Kullanıcılar ve gruplar için Temel DN'ye en az salt okunur erişimi olan etki alanındaki bir kullanıcının kimliği. Parola Kullanıcı adı tarafından belirtilen kullanıcının parolası. Ayrıcalıklar yükseltildikten sonra Özel Bulut vCenter'unuzda oturum açın.
Azure Active Directory'yi kimlik kaynağı olarak ayarlamak için önceki adımdaki değerleri kullanarak vCenter'da kimlik kaynağı ekleme başlığındaki yönergeleri izleyin.
vCenter Tek Sign-On Grubuna Üye Ekleme VMware konusunda açıklandığı gibi Azure AD'den vCenter gruplarına kullanıcı/grup ekleme.
Dikkat
Yeni kullanıcıların yalnızca Bulut Sahibi-Grubu, Bulut-Global-Küme-Yönetici-Grubu, Bulut-Global-Depolama-Yönetici-Grubu, Bulut-Küresel-Ağ-Yönetici-Grubu veya Cloud-Global-VM-Yönetici-Group'a eklenmesi gerekir. Yöneticiler grubuna eklenen kullanıcılar otomatik olarak kaldırılır. Yöneticiler grubuna yalnızca hizmet hesapları eklenmelidir.