A Azure AD használata identitásszolgáltatóként a vCenterhez a CloudSimple magánfelhőben

  • Cikk

Beállíthatja a CloudSimple magánfelhő vCentert úgy, hogy az Azure Active Directoryval (Azure AD) hitelesítse magát a VMware-rendszergazdák számára a vCenter eléréséhez. Az egyszeri bejelentkezési identitásforrás beállítása után a felhőtulajdonos felhasználó hozzáadhat felhasználókat az identitásforrásból a vCenterhez.

Az Active Directory-tartományt és a tartományvezérlőket az alábbi módokon állíthatja be:

  • A helyszínen futó Active Directory-tartomány és tartományvezérlők
  • Az Azure-előfizetésben virtuális gépként futó Active Directory-tartomány és tartományvezérlők
  • Új Active Directory-tartomány és tartományvezérlők futnak a CloudSimple magánfelhőben
  • Azure Active Directory szolgáltatás

Ez az útmutató ismerteti a Azure AD identitásforrásként való beállításához szükséges feladatokat. Az helyi Active Directory vagy az Azure-ban futó Active Directory használatáról a vCenter-identitásforrások beállítása az Active Directory használatához című témakörben talál részletes útmutatást az identitásforrás beállításához.

Az Azure AD ismertetése

Azure AD a Microsoft több-bérlős, felhőalapú címtár- és identitáskezelési szolgáltatása. Azure AD skálázható, konzisztens és megbízható hitelesítési mechanizmust biztosít a felhasználók számára az Azure különböző szolgáltatásainak hitelesítéséhez és eléréséhez. Emellett biztonságos LDAP-szolgáltatásokat is biztosít bármely külső szolgáltatás számára, hogy Azure AD használjon hitelesítési/identitásforrásként. Azure AD kombinálja az alapvető címtárszolgáltatásokat, a fejlett identitásszabályozást és az alkalmazáshozzáférés-kezelést, amelyekkel hozzáférést adhat a magánfelhőhöz a magánfelhőt kezelő felhasználók számára.

Ha Azure AD identitásforrásként szeretné használni a vCentert, be kell állítania Azure AD és Azure AD tartományi szolgáltatásokat. Kövesse az alábbi utasításokat:

  1. Azure AD és Azure AD tartományi szolgáltatások beállítása
  2. Identitásforrás beállítása a Magánfelhő vCenteren

Azure AD és Azure AD tartományi szolgáltatások beállítása

A kezdés előtt globális rendszergazdai jogosultságokkal kell hozzáférnie az Azure-előfizetéséhez. Az alábbi lépések általános útmutatást adnak. A részleteket az Azure dokumentációja tartalmazza.

Azure AD

Megjegyzés

Ha már rendelkezik Azure AD, kihagyhatja ezt a szakaszt.

  1. Állítsa be a Azure AD az előfizetésében az Azure AD dokumentációjában leírtak szerint.
  2. Engedélyezze prémium szintű Azure Active Directory az előfizetésében a Regisztráció prémium szintű Azure Active Directory című cikkben leírtak szerint.
  3. Állítson be egy egyéni tartománynevet, és ellenőrizze az egyéni tartománynevet az Egyéni tartománynév hozzáadása az Azure Active Directoryhoz című témakörben leírtak szerint.
    1. Állítson be egy DNS-rekordot a tartományregisztrálón az Azure-ban megadott információkkal.
    2. Állítsa be az egyéni tartománynevet elsődleges tartománynak.

Igény szerint más Azure AD funkciókat is konfigurálhat. Ezek nem szükségesek a vCenter-hitelesítés Azure AD való engedélyezéséhez.

tartományi szolgáltatások Azure AD

Megjegyzés

Ez fontos lépés a Azure AD a vCenter identitásforrásaként való engedélyezéséhez. A problémák elkerülése érdekében győződjön meg arról, hogy minden lépés megfelelően van végrehajtva.

  1. Engedélyezze Azure AD tartományi szolgáltatásokat az Azure Active Directory tartományi szolgáltatások engedélyezése a Azure Portal használatával című cikkben leírtak szerint.

  2. Állítsa be a Azure AD tartományi szolgáltatások által használt hálózatot az Azure Active Directory tartományi szolgáltatások engedélyezése a Azure Portal használatával című cikkben leírtak szerint.

  3. Konfigurálja a rendszergazdai csoportot a Azure AD Tartományi szolgáltatások kezeléséhez az Azure Active Directory tartományi szolgáltatások engedélyezése a Azure Portal használatával című cikkben leírtak szerint.

  4. Frissítse a Azure AD Domain Services DNS-beállításait az Azure Active Directory tartományi szolgáltatások engedélyezése című cikkben leírtak szerint. Ha az interneten keresztül szeretne csatlakozni az AD-hez, állítsa be az Azure AD tartományi szolgáltatások nyilvános IP-címéhez tartozó DNS-rekordot a tartománynévhez.

  5. Jelszókivonat-szinkronizálás engedélyezése a felhasználók számára. Ez a lépés lehetővé teszi az NT LAN Manager (NTLM) és a Kerberos-hitelesítéshez szükséges jelszókivonatok szinkronizálását a tartományi szolgáltatások Azure AD. A jelszókivonat-adatok szinkronizálásának beállítása után a felhasználók a vállalati hitelesítő adataikkal jelentkezhetnek be a felügyelt tartományba. Lásd: Jelszókivonat-szinkronizálás engedélyezése az Azure Active Directory tartományi szolgáltatások.

    1. Ha csak felhőalapú felhasználók vannak jelen, meg kell változtatniuk a jelszavukat Azure AD hozzáférési panel használatával, hogy a jelszókivonatok az NTLM vagy a Kerberos által megkövetelt formátumban legyenek tárolva. Kövesse a Jelszókivonat-szinkronizálás engedélyezése a felügyelt tartományra csak felhőalapú felhasználói fiókok esetében című témakör utasításait. Ezt a lépést az egyes felhasználók és a Azure AD címtárban létrehozott új felhasználók esetében kell elvégezni a Azure Portal vagy Azure AD PowerShell-parancsmagok használatával. Az Azure AD tartományi szolgáltatásokhoz hozzáférést igénylő felhasználóknak a Azure AD hozzáférési panelt kell használniuk, és hozzá kell férniük a profiljukhoz a jelszó módosításához.

      Megjegyzés

      Ha a szervezet rendelkezik csak felhőalapú felhasználói fiókokkal, az Active Directory Domain Servicest használó összes felhasználónak módosítania kell a jelszavát. A csak felhőalapú felhasználói fiókok olyan fiókok, amelyek az Azure AD-címtárban lettek létrehozva az Azure Portal vagy Azure AD PowerShell-parancsmagok használatával. Az ilyen felhasználói fiókok nem a helyszíni címtárból szinkronizálódnak.

    2. Ha a helyszíni Active Directoryból szinkronizálja a jelszavakat, kövesse az Active Directory dokumentációjának lépéseit.

  6. Konfigurálja a biztonságos LDAP-t az Azure-Active Directory tartományi szolgáltatások a Biztonságos LDAP (LDAPS) konfigurálása Azure AD Domain Services által felügyelt tartományhoz című cikkben leírtak szerint.

    1. Töltse fel a biztonságos LDAP által használható tanúsítványt az Azure-témakörben leírtak szerint , és szerezzen be egy tanúsítványt a biztonságos LDAP-hoz. A CloudSimple egy hitelesítésszolgáltató által kiadott aláírt tanúsítvány használatát javasolja annak biztosítása érdekében, hogy a vCenter megbízhasson a tanúsítványban.
    2. Engedélyezze a biztonságos LDAP-t az Enable secure LDAP (LDAPS) for an Azure AD Domain Services managed domain (Biztonságos LDAP (LDAPS) engedélyezése egy Azure AD Domain Services által felügyelt tartományhoz című cikkben leírtak szerint.
    3. Mentse a tanúsítvány nyilvános részét (titkos kulcs nélkül) .cer formátumban, hogy az identitásforrás konfigurálásakor a vCenterben használhassa.
    4. Ha internet-hozzáférésre van szükség a Azure AD tartományi szolgáltatásokhoz, engedélyezze az "LdAP biztonságos hozzáférésének engedélyezése interneten keresztül" beállítást.
    5. Adja hozzá a Azure AD Domain Services NSG bejövő biztonsági szabályát a 636-os TCP-porthoz.

Identitásforrás beállítása a magánfelhő vCenterjén

  1. Eszkalálja a magánfelhő vCenter jogosultságait.

  2. Gyűjtse össze az identitásforrás beállításához szükséges konfigurációs paramétereket.

    Beállítás Leírás
    Név Az identitásforrás neve.
    Alapszintű DN felhasználók számára A felhasználók megkülönböztető nevének alapszintű megadása. A Azure AD használja a következőt: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Példa: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Tartománynév A tartomány teljes tartományneve, például example.com. Ebben a szövegmezőben ne adjon meg IP-címet.
    Tartományalias (nem kötelező) A tartomány NetBIOS-neve. Ha SSPI-hitelesítéseket használ, adja hozzá az Active Directory-tartomány NetBIOS-nevét az identitásforrás aliasaként.
    Csoportok alapszintű DN-je A csoportok alap megkülönböztető neve. A Azure AD használja a következőt: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Példa:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    Elsődleges kiszolgáló URL-címe Elsődleges tartományvezérlő LDAP-kiszolgálója a tartományhoz.

    Használja a következő formátumot: ldaps://hostname:port. A port általában 636 LDAPS-kapcsolatok esetén.

    Az elsődleges vagy másodlagos LDAP URL-címben való használathoz ldaps:// olyan tanúsítványra van szükség, amely megbízhatóságot létesít az Active Directory-kiszolgáló LDAPS-végpontja számára.
    Másodlagos kiszolgáló URL-címe A feladatátvételhez használt másodlagos tartományvezérlő LDAP-kiszolgálójának címe.
    Tanúsítvány kiválasztása Ha az LDAPS-t az Active Directory LDAP-kiszolgálóval vagy az OpenLDAP-kiszolgáló identitásforrásával szeretné használni, az URL-cím szövegmezőbe való beírás ldaps:// után megjelenik a Tanúsítvány kiválasztása gomb. Nincs szükség másodlagos URL-címre.
    Felhasználónév A tartomány azon felhasználójának azonosítója, aki legalább írásvédett hozzáféréssel rendelkezik az alapszintű DN-hez a felhasználók és csoportok számára.
    Jelszó A felhasználónév által megadott felhasználó jelszava.

  3. Jelentkezzen be a privát felhőbeli vCenterbe a jogosultságok eszkalálása után.

  4. Az Azure Active Directory identitásforrásként való beállításához kövesse az Identitásforrás hozzáadása a vCenteren az előző lépés értékeit használva című témakör utasításait.

  5. Felhasználók/csoportok hozzáadása Azure AD-ből vCenter-csoportokba a VMware-témakör Tagok hozzáadása egy vCenter-Sign-On csoporthoz című témakörben leírtak szerint.

Figyelemfelhívás

Az új felhasználókat csak a Cloud-Owner-Group, a Cloud-Global-Cluster-Rendszergazda-Group, a Cloud-Global-Storage-Rendszergazda-Group, a Cloud-Global-Network-Rendszergazda-Group vagy a Cloud-Global-VM-Rendszergazda-Group csoportba kell felvenni. A Rendszergazdák csoporthoz hozzáadott felhasználók automatikusan törlődnek. Csak szolgáltatásfiókokat kell hozzáadni a Rendszergazdák csoporthoz.

Következő lépések