A Azure AD használata identitásszolgáltatóként a vCenterhez a CloudSimple magánfelhőben
Beállíthatja a CloudSimple magánfelhő vCentert úgy, hogy az Azure Active Directoryval (Azure AD) hitelesítse magát a VMware-rendszergazdák számára a vCenter eléréséhez. Az egyszeri bejelentkezési identitásforrás beállítása után a felhőtulajdonos felhasználó hozzáadhat felhasználókat az identitásforrásból a vCenterhez.
Az Active Directory-tartományt és a tartományvezérlőket az alábbi módokon állíthatja be:
- A helyszínen futó Active Directory-tartomány és tartományvezérlők
- Az Azure-előfizetésben virtuális gépként futó Active Directory-tartomány és tartományvezérlők
- Új Active Directory-tartomány és tartományvezérlők futnak a CloudSimple magánfelhőben
- Azure Active Directory szolgáltatás
Ez az útmutató ismerteti a Azure AD identitásforrásként való beállításához szükséges feladatokat. Az helyi Active Directory vagy az Azure-ban futó Active Directory használatáról a vCenter-identitásforrások beállítása az Active Directory használatához című témakörben talál részletes útmutatást az identitásforrás beállításához.
Az Azure AD ismertetése
Azure AD a Microsoft több-bérlős, felhőalapú címtár- és identitáskezelési szolgáltatása. Azure AD skálázható, konzisztens és megbízható hitelesítési mechanizmust biztosít a felhasználók számára az Azure különböző szolgáltatásainak hitelesítéséhez és eléréséhez. Emellett biztonságos LDAP-szolgáltatásokat is biztosít bármely külső szolgáltatás számára, hogy Azure AD használjon hitelesítési/identitásforrásként. Azure AD kombinálja az alapvető címtárszolgáltatásokat, a fejlett identitásszabályozást és az alkalmazáshozzáférés-kezelést, amelyekkel hozzáférést adhat a magánfelhőhöz a magánfelhőt kezelő felhasználók számára.
Ha Azure AD identitásforrásként szeretné használni a vCentert, be kell állítania Azure AD és Azure AD tartományi szolgáltatásokat. Kövesse az alábbi utasításokat:
- Azure AD és Azure AD tartományi szolgáltatások beállítása
- Identitásforrás beállítása a Magánfelhő vCenteren
Azure AD és Azure AD tartományi szolgáltatások beállítása
A kezdés előtt globális rendszergazdai jogosultságokkal kell hozzáférnie az Azure-előfizetéséhez. Az alábbi lépések általános útmutatást adnak. A részleteket az Azure dokumentációja tartalmazza.
Azure AD
Megjegyzés
Ha már rendelkezik Azure AD, kihagyhatja ezt a szakaszt.
- Állítsa be a Azure AD az előfizetésében az Azure AD dokumentációjában leírtak szerint.
- Engedélyezze prémium szintű Azure Active Directory az előfizetésében a Regisztráció prémium szintű Azure Active Directory című cikkben leírtak szerint.
- Állítson be egy egyéni tartománynevet, és ellenőrizze az egyéni tartománynevet az Egyéni tartománynév hozzáadása az Azure Active Directoryhoz című témakörben leírtak szerint.
- Állítson be egy DNS-rekordot a tartományregisztrálón az Azure-ban megadott információkkal.
- Állítsa be az egyéni tartománynevet elsődleges tartománynak.
Igény szerint más Azure AD funkciókat is konfigurálhat. Ezek nem szükségesek a vCenter-hitelesítés Azure AD való engedélyezéséhez.
tartományi szolgáltatások Azure AD
Megjegyzés
Ez fontos lépés a Azure AD a vCenter identitásforrásaként való engedélyezéséhez. A problémák elkerülése érdekében győződjön meg arról, hogy minden lépés megfelelően van végrehajtva.
Engedélyezze Azure AD tartományi szolgáltatásokat az Azure Active Directory tartományi szolgáltatások engedélyezése a Azure Portal használatával című cikkben leírtak szerint.
Állítsa be a Azure AD tartományi szolgáltatások által használt hálózatot az Azure Active Directory tartományi szolgáltatások engedélyezése a Azure Portal használatával című cikkben leírtak szerint.
Konfigurálja a rendszergazdai csoportot a Azure AD Tartományi szolgáltatások kezeléséhez az Azure Active Directory tartományi szolgáltatások engedélyezése a Azure Portal használatával című cikkben leírtak szerint.
Frissítse a Azure AD Domain Services DNS-beállításait az Azure Active Directory tartományi szolgáltatások engedélyezése című cikkben leírtak szerint. Ha az interneten keresztül szeretne csatlakozni az AD-hez, állítsa be az Azure AD tartományi szolgáltatások nyilvános IP-címéhez tartozó DNS-rekordot a tartománynévhez.
Jelszókivonat-szinkronizálás engedélyezése a felhasználók számára. Ez a lépés lehetővé teszi az NT LAN Manager (NTLM) és a Kerberos-hitelesítéshez szükséges jelszókivonatok szinkronizálását a tartományi szolgáltatások Azure AD. A jelszókivonat-adatok szinkronizálásának beállítása után a felhasználók a vállalati hitelesítő adataikkal jelentkezhetnek be a felügyelt tartományba. Lásd: Jelszókivonat-szinkronizálás engedélyezése az Azure Active Directory tartományi szolgáltatások.
Ha csak felhőalapú felhasználók vannak jelen, meg kell változtatniuk a jelszavukat Azure AD hozzáférési panel használatával, hogy a jelszókivonatok az NTLM vagy a Kerberos által megkövetelt formátumban legyenek tárolva. Kövesse a Jelszókivonat-szinkronizálás engedélyezése a felügyelt tartományra csak felhőalapú felhasználói fiókok esetében című témakör utasításait. Ezt a lépést az egyes felhasználók és a Azure AD címtárban létrehozott új felhasználók esetében kell elvégezni a Azure Portal vagy Azure AD PowerShell-parancsmagok használatával. Az Azure AD tartományi szolgáltatásokhoz hozzáférést igénylő felhasználóknak a Azure AD hozzáférési panelt kell használniuk, és hozzá kell férniük a profiljukhoz a jelszó módosításához.
Megjegyzés
Ha a szervezet rendelkezik csak felhőalapú felhasználói fiókokkal, az Active Directory Domain Servicest használó összes felhasználónak módosítania kell a jelszavát. A csak felhőalapú felhasználói fiókok olyan fiókok, amelyek az Azure AD-címtárban lettek létrehozva az Azure Portal vagy Azure AD PowerShell-parancsmagok használatával. Az ilyen felhasználói fiókok nem a helyszíni címtárból szinkronizálódnak.
Ha a helyszíni Active Directoryból szinkronizálja a jelszavakat, kövesse az Active Directory dokumentációjának lépéseit.
Konfigurálja a biztonságos LDAP-t az Azure-Active Directory tartományi szolgáltatások a Biztonságos LDAP (LDAPS) konfigurálása Azure AD Domain Services által felügyelt tartományhoz című cikkben leírtak szerint.
- Töltse fel a biztonságos LDAP által használható tanúsítványt az Azure-témakörben leírtak szerint , és szerezzen be egy tanúsítványt a biztonságos LDAP-hoz. A CloudSimple egy hitelesítésszolgáltató által kiadott aláírt tanúsítvány használatát javasolja annak biztosítása érdekében, hogy a vCenter megbízhasson a tanúsítványban.
- Engedélyezze a biztonságos LDAP-t az Enable secure LDAP (LDAPS) for an Azure AD Domain Services managed domain (Biztonságos LDAP (LDAPS) engedélyezése egy Azure AD Domain Services által felügyelt tartományhoz című cikkben leírtak szerint.
- Mentse a tanúsítvány nyilvános részét (titkos kulcs nélkül) .cer formátumban, hogy az identitásforrás konfigurálásakor a vCenterben használhassa.
- Ha internet-hozzáférésre van szükség a Azure AD tartományi szolgáltatásokhoz, engedélyezze az "LdAP biztonságos hozzáférésének engedélyezése interneten keresztül" beállítást.
- Adja hozzá a Azure AD Domain Services NSG bejövő biztonsági szabályát a 636-os TCP-porthoz.
Identitásforrás beállítása a magánfelhő vCenterjén
Eszkalálja a magánfelhő vCenter jogosultságait.
Gyűjtse össze az identitásforrás beállításához szükséges konfigurációs paramétereket.
Beállítás Leírás Név Az identitásforrás neve. Alapszintű DN felhasználók számára A felhasználók megkülönböztető nevének alapszintű megadása. A Azure AD használja a következőt: OU=AADDC Users,DC=<domain>,DC=<domain suffix>
Példa:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
.Tartománynév A tartomány teljes tartományneve, például example.com. Ebben a szövegmezőben ne adjon meg IP-címet. Tartományalias (nem kötelező) A tartomány NetBIOS-neve. Ha SSPI-hitelesítéseket használ, adja hozzá az Active Directory-tartomány NetBIOS-nevét az identitásforrás aliasaként. Csoportok alapszintű DN-je A csoportok alap megkülönböztető neve. A Azure AD használja a következőt: OU=AADDC Users,DC=<domain>,DC=<domain suffix>
Példa:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
Elsődleges kiszolgáló URL-címe Elsődleges tartományvezérlő LDAP-kiszolgálója a tartományhoz.
Használja a következő formátumot:ldaps://hostname:port
. A port általában 636 LDAPS-kapcsolatok esetén.
Az elsődleges vagy másodlagos LDAP URL-címben való használathozldaps://
olyan tanúsítványra van szükség, amely megbízhatóságot létesít az Active Directory-kiszolgáló LDAPS-végpontja számára.Másodlagos kiszolgáló URL-címe A feladatátvételhez használt másodlagos tartományvezérlő LDAP-kiszolgálójának címe. Tanúsítvány kiválasztása Ha az LDAPS-t az Active Directory LDAP-kiszolgálóval vagy az OpenLDAP-kiszolgáló identitásforrásával szeretné használni, az URL-cím szövegmezőbe való beírás ldaps://
után megjelenik a Tanúsítvány kiválasztása gomb. Nincs szükség másodlagos URL-címre.Felhasználónév A tartomány azon felhasználójának azonosítója, aki legalább írásvédett hozzáféréssel rendelkezik az alapszintű DN-hez a felhasználók és csoportok számára. Jelszó A felhasználónév által megadott felhasználó jelszava. Jelentkezzen be a privát felhőbeli vCenterbe a jogosultságok eszkalálása után.
Az Azure Active Directory identitásforrásként való beállításához kövesse az Identitásforrás hozzáadása a vCenteren az előző lépés értékeit használva című témakör utasításait.
Felhasználók/csoportok hozzáadása Azure AD-ből vCenter-csoportokba a VMware-témakör Tagok hozzáadása egy vCenter-Sign-On csoporthoz című témakörben leírtak szerint.
Figyelemfelhívás
Az új felhasználókat csak a Cloud-Owner-Group, a Cloud-Global-Cluster-Rendszergazda-Group, a Cloud-Global-Storage-Rendszergazda-Group, a Cloud-Global-Network-Rendszergazda-Group vagy a Cloud-Global-VM-Rendszergazda-Group csoportba kell felvenni. A Rendszergazdák csoporthoz hozzáadott felhasználók automatikusan törlődnek. Csak szolgáltatásfiókokat kell hozzáadni a Rendszergazdák csoporthoz.