Configuración del origen de identidad externo de vCenter

  • Artículo
  • 8 minutos para leer

En Azure VMware Solution, vCenter tiene un usuario local integrado denominado cloudadmin que tiene asignado el rol CloudAdmin. Puede configurar usuarios y grupos en Active Directory (AD) con el rol CloudAdmin en la nube privada. En general, el rol CloudAdmin crea y administra las cargas de trabajo en la nube privada. En cambio, en Azure VMware Solution, el rol CloudAdmin tiene privilegios de vCenter que son distintos a los de otras soluciones de nube e implementaciones locales de VMware.

Importante

El usuario local cloudadmin debe tratarse como una cuenta de acceso de emergencia para escenarios de urgencia en la nube privada. No es para actividades administrativas diarias ni para la integración con otros servicios.

  • En una implementación local de vCenter y ESXi, el administrador tiene acceso a la cuenta de administrador de vCenter@vsphere.local. También se pueden tener más usuarios y grupos de AD asignados.

  • En una implementación de Azure VMware Solution, el administrador no tiene acceso a la cuenta de usuario de administrador. Sin embargo, puede asignar usuarios y grupos de AD al rol CloudAdmin en vCenter. El rol CloudAdmin no tiene permisos para agregar un origen de identidad, como un servidor LDAP o LDAPS local a vCenter. Sin embargo, puede usar comandos de ejecución para agregar un origen de identidad y asignar el rol cloudadmin a usuarios y grupos.

El usuario de nube privada no tiene acceso a los componentes de administración específicos que Microsoft admite y administra, ni tampoco puede configurarlos. Por ejemplo, clústeres, hosts, almacenes de datos y conmutadores virtuales distribuidos.

Nota

En Azure VMware Solution, el dominio de SSO vsphere.local se proporciona como un recurso administrado para admitir operaciones de plataforma. No admite la creación y administración de grupos y usuarios locales distintos de los proporcionados de forma predeterminada con la nube privada.

Nota

Los comandos de ejecución se ejecutan de uno en uno en el orden enviado.

En este procedimiento, aprenderá a:

  • Enumerar todos los orígenes de identidad externa integrados con el inicio de sesión único de vCenter.
  • Agregar Active Directory a través de LDAP, con o sin SSL.
  • Agregar un grupo de AD existente a otro de cloudadmin.
  • Eliminar un grupo de AD del rol cloudadmin.
  • Eliminar orígenes de identidad externa ya existentes.

Requisitos previos

Enumeración de identidades externas

Ejecute el cmdlet Get-ExternalIdentitySources para enumerar todos los orígenes de identidad externa ya integrados con el inicio de sesión único de vCenter.

  1. Inicie sesión en Azure Portal.

  2. Seleccione Comando de ejecución > Paquetes > Get-ExternalIdentitySources.

    Captura de pantalla en la que se muestra cómo acceder a los comandos de ejecución disponibles

  3. Proporcione los valores necesarios o cambie los predeterminados y, luego, seleccione Ejecutar.

    Captura de pantalla en la que se muestra cómo enumerar los orígenes de identidad externa

    Campo Valor
    Conservar hasta Período de retención de la salida del cmdlet. El valor predeterminado es 60 días.
    Especificar el nombre de la ejecución Nombre alfanumérico, por ejemplo, getExternalIdentity.
    Tiempo de espera Período después del cual se cierra un cmdlet si tarda demasiado tiempo en finalizar.

  4. Active Notificaciones o el panel Estado de la ejecución del proceso para ver el progreso.

Incorporación de Active Directory a través de LDAP con SSL

Ejecute el cmdlet New-AvsLDAPSIdentitySource para agregar un AD a través de LDAP con SSL como origen de identidad externa para con el fin de usarlo con SSO en vCenter.

  1. Descargue el certificado para la autenticación de AD y cárguelo en una cuenta de Azure Storage como almacenamiento de blobs. Si se requieren varios certificados, cargue cada certificado individualmente.

  2. Para cada certificado, conceda acceso a recursos de Azure Storage mediante una firma de acceso compartido (SAS). Estas cadenas SAS se proporcionan al cmdlet como parámetro.

    Importante

    Asegúrese de que copia cada cadena de SAS, ya que estas dejarán de estar disponibles una vez que salga de esta página.

  3. Seleccione Comando de ejecución > Paquetes > New-AvsLDAPSIdentitySource.

  4. Proporcione los valores necesarios o cambie los predeterminados y, luego, seleccione Ejecutar.

    Campo Valor
    Nombre Nombre descriptivo del origen de identidad externa, por ejemplo, avslap.local.
    DomainName FQDN del dominio.
    DomainAlias En el caso de orígenes de identidad de Active Directory, nombre NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de AD como alias del origen de identidad.
    PrimaryUrl Dirección URL principal del origen de identidad externa, por ejemplo, ldap://suservidor:636.
    SecondaryURL Dirección URL secundaria de reserva si se produce un error en la principal.
    BaseDNUsers Dónde se deben buscar usuarios válidos, por ejemplo, CN=users,DC=yourserver,DC=internal. El DN base es necesario para usar la autenticación LDAP.
    BaseDNGroups Dónde se deben buscar grupos, por ejemplo, CN=group1, DC=yourserver,DC= internal. El DN base es necesario para usar la autenticación LDAP.
    Credential: Nombre de usuario y contraseña usados para la autenticación con el origen de AD (no cloudadmin).
    CertificateSAS Ruta de acceso a cadenas SAS con los certificados para la autenticación en el origen de AD. Si usa varios certificados, separe cada cadena SAS con una coma. Por ejemplo, pathtocert1,pathtocert2.
    NombreDeGrupo Grupo del origen de identidad externo que proporciona acceso a cloudadmin. Por ejemplo, avs-admins.
    Conservar hasta Período de retención de la salida del cmdlet. El valor predeterminado es 60 días.
    Especificar el nombre de la ejecución Nombre alfanumérico, por ejemplo, addexternalIdentity.
    Tiempo de espera Período después del cual se cierra un cmdlet si tarda demasiado tiempo en finalizar.

  5. Active Notificaciones o el panel Estado de la ejecución del proceso para ver el progreso.

Incorporación de Active Directory a través de LDAP

Nota

Este método no es recomendable. En su lugar, use el método Incorporación de Active Directory a través de LDAP con SSL.

Ejecute el cmdlet New-AvsLDAPIdentitySource para agregar un AD a través de LDAP como origen de identidad externa para con el fin de usarlo con SSO en vCenter.

  1. Seleccione Comando de ejecución > Paquetes > New-AvsLDAPIdentitySource.

  2. Proporcione los valores necesarios o cambie los predeterminados y, luego, seleccione Ejecutar.

    Campo Valor
    Nombre Nombre descriptivo del origen de identidad externa, por ejemplo, avslap.local.
    DomainName FQDN del dominio.
    DomainAlias En el caso de orígenes de identidad de Active Directory, nombre NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de AD como alias del origen de identidad.
    PrimaryUrl Dirección URL principal del origen de identidad externa, por ejemplo, ldap://suservidor:389.
    SecondaryURL Dirección URL secundaria de reserva si se produce un error en la principal.
    BaseDNUsers Dónde se deben buscar usuarios válidos, por ejemplo, CN=users,DC=yourserver,DC=internal. El DN base es necesario para usar la autenticación LDAP.
    BaseDNGroups Dónde se deben buscar grupos, por ejemplo, CN=group1, DC=yourserver,DC= internal. El DN base es necesario para usar la autenticación LDAP.
    Credential: Nombre de usuario y contraseña usados para la autenticación con el origen de AD (no cloudadmin).
    NombreDeGrupo Grupo para proporcionar acceso de administrador de nube en el origen de identidad externa, por ejemplo, avs-admins.
    Conservar hasta Período de retención de la salida del cmdlet. El valor predeterminado es 60 días.
    Especificar el nombre de la ejecución Nombre alfanumérico, por ejemplo, addexternalIdentity.
    Tiempo de espera Período después del cual se cierra un cmdlet si tarda demasiado tiempo en finalizar.

  3. Active Notificaciones o el panel Estado de la ejecución del proceso para ver el progreso.

Agregar un grupo de AD existente a otro de cloudadmin.

Ejecute el cmdlet Add-GroupToCloudAdmins para agregar un grupo de AD ya existente al grupo cloudadmin. Los usuarios de este grupo tienen privilegios equivalente al rol cloudadmin (cloudadmin@vsphere.local) que se define en el inicio de sesión único de vCenter.

  1. Seleccione Comando de ejecución > Paquetes > Add-GroupToCloudAdmins.

  2. Proporcione los valores necesarios o cambie los predeterminados y, luego, seleccione Ejecutar.

    Campo Valor
    NombreDeGrupo Nombre del grupo que se va a agregar, por ejemplo, VcAdminGroup.
    Conservar hasta Período de retención de la salida del cmdlet. El valor predeterminado es 60 días.
    Especificar el nombre de la ejecución Nombre alfanumérico, por ejemplo, addADgroup.
    Tiempo de espera Período después del cual se cierra un cmdlet si tarda demasiado tiempo en finalizar.

  3. Active Notificaciones o el panel Estado de la ejecución del proceso para ver el progreso.

Eliminación de un grupo de AD del rol cloudadmin

Ejecute el cmdlet Remove-GroupFromCloudAdmins para eliminar del rol cloudadmin un grupo de AD especificado.

  1. Seleccione Comando de ejecución > Paquetes > Remove-GroupFromCloudAdmins.

  2. Proporcione los valores necesarios o cambie los predeterminados y, luego, seleccione Ejecutar.

    Campo Valor
    NombreDeGrupo Nombre del grupo que se va a eliminar, por ejemplo, VcAdminGroup.
    Conservar hasta Período de retención de la salida del cmdlet. El valor predeterminado es 60 días.
    Especificar el nombre de la ejecución Nombre alfanumérico, por ejemplo, removeADgroup.
    Tiempo de espera Período después del cual se cierra un cmdlet si tarda demasiado tiempo en finalizar.

  3. Active Notificaciones o el panel Estado de la ejecución del proceso para ver el progreso.

Eliminación de orígenes de identidad externa ya existentes

Ejecute el cmdlet Remove-ExternalIdentitySources para eliminar de forma masiva todos los orígenes de identidad externa ya existentes.

  1. Seleccione Comando de ejecución > Paquetes > Remove-ExternalIdentitySources.

  2. Proporcione los valores necesarios o cambie los predeterminados y, luego, seleccione Ejecutar.

    Campo Valor
    Conservar hasta Período de retención de la salida del cmdlet. El valor predeterminado es 60 días.
    Especificar el nombre de la ejecución Nombre alfanumérico, por ejemplo, remove_externalIdentity.
    Tiempo de espera Período después del cual se cierra un cmdlet si tarda demasiado tiempo en finalizar.

  3. Active Notificaciones o el panel Estado de la ejecución del proceso para ver el progreso.

Pasos siguientes

Ahora que ha aprendido a configurar LDAP y LDAPS, puede obtener más información sobre lo siguiente:

  • Configuración de una directiva de almacenamiento: a cada máquina virtual implementada en un almacén de datos vSAN se le asigna al menos una directiva de almacenamiento de máquina virtual. Puede asignar una directiva de almacenamiento de máquina virtual en una implementación inicial de una máquina virtual o al realizar otras operaciones de máquina virtual, como clonación o migración.

  • Conceptos de identidad de Azure VMware Solution: use vCenter para administrar cargas de trabajo de máquinas virtuales (VM) y NSX-T Manager para administrar y ampliar la nube privada. En la administración de identidades y acceso se usa el rol CloudAdmin para vCenter y derechos de administrador restringidos para NSX-T Manager.