Usare Azure AD come provider di identità per vCenter nel cloud privato CloudSimple

  • Articolo

È possibile configurare CloudSimple Private Cloud vCenter per eseguire l'autenticazione con Azure Active Directory (Azure AD) per gli amministratori VMware per accedere a vCenter. Dopo aver configurato l'origine dell'identità dell'accesso Single Sign-On, l'utente cloudowner può aggiungere utenti dall'origine identity a vCenter.

È possibile configurare i controller di dominio e dominio di Active Directory in uno dei modi seguenti:

  • Controller di dominio e dominio di Active Directory in esecuzione in locale
  • Controller di dominio e dominio di Active Directory in esecuzione in Azure come macchine virtuali nella sottoscrizione di Azure
  • Nuovi controller di dominio e dominio di Active Directory in esecuzione nel cloud privato Cloud CloudSimple
  • Servizio Azure Active Directory

Questa guida illustra le attività necessarie per configurare Azure AD come origine dell'identità. Per informazioni sull'uso di Active Directory locale o Active Directory in esecuzione in Azure, vedere Configurare origini di identità vCenter per usare Active Directory per istruzioni dettagliate nella configurazione dell'origine identità.

Informazioni su Azure AD

Azure AD è il servizio Microsoft multi-tenant, directory basata sul cloud e gestione delle identità. Azure AD offre un meccanismo di autenticazione scalabile, coerente e affidabile per gli utenti per l'autenticazione e l'accesso a servizi diversi in Azure. Fornisce anche servizi LDAP sicuri per tutti i servizi di terze parti da usare Azure AD come origine di autenticazione/identità. Azure AD combina i servizi directory principali, la governance avanzata delle identità e la gestione degli accessi alle applicazioni, che possono essere usati per concedere l'accesso al cloud privato per gli utenti che amministrano il cloud privato.

Per usare Azure AD come origine di identità con vCenter, è necessario configurare Azure AD e i servizi di dominio di Azure AD. Seguire queste istruzioni:

  1. Come configurare Azure AD e i servizi di dominio di Azure AD
  2. Come configurare un'origine di identità nel vCenter cloud privato

Configurare Azure AD e i servizi di dominio di Azure AD

Prima di iniziare, sarà necessario accedere alla sottoscrizione di Azure con privilegi di amministratore globale. I passaggi seguenti forniscono linee guida generali. I dettagli sono contenuti nella documentazione di Azure.

Azure AD

Nota

Se azure AD è già disponibile, è possibile ignorare questa sezione.

  1. Configurare Azure AD nella sottoscrizione come descritto nella documentazione di Azure AD.
  2. Abilitare Azure Active Directory Premium nella sottoscrizione, come descritto in Iscriversi per Azure Active Directory Premium.
  3. Configurare un nome di dominio personalizzato e verificare il nome di dominio personalizzato come descritto in Aggiungere un nome di dominio personalizzato ad Azure Active Directory.
    1. Configurare un record DNS nel registrar di dominio con le informazioni fornite in Azure.
    2. Impostare il nome di dominio personalizzato per essere il dominio primario.

Facoltativamente, è possibile configurare altre funzionalità di Azure AD. Questi non sono necessari per abilitare l'autenticazione di vCenter con Azure AD.

Servizi di dominio di Azure AD

Nota

Questo è un passaggio importante per abilitare Azure AD come origine di identità per vCenter. Per evitare eventuali problemi, assicurarsi che tutti i passaggi vengano eseguiti correttamente.

  1. Abilitare i servizi di dominio di Azure AD come descritto in Abilitare i servizi di dominio di Azure Active Directory usando il portale di Azure.

  2. Configurare la rete che verrà usata dai servizi di dominio di Azure AD, come descritto in Abilitare l'Active Directory Domain Services di Azure usando la portale di Azure.

  3. Configurare il gruppo di amministratore per la gestione di Azure AD Domain Services, come descritto in Abilitare Active Directory Domain Services di Azure usando l'portale di Azure.

  4. Aggiornare le impostazioni DNS per Azure AD Domain Services, come descritto in Abilitare l'Active Directory Domain Services di Azure. Se si vuole connettersi ad AD tramite Internet, configurare il record DNS per l'indirizzo IP pubblico dei servizi di dominio di Azure AD al nome di dominio.

  5. Abilitare la sincronizzazione dell'hash delle password per gli utenti. Questo passaggio consente la sincronizzazione degli hash delle password necessari per NT LAN Manager (NTLM) e l'autenticazione Kerberos in Azure AD Domain Services. Al termine della configurazione della sincronizzazione dell'hash delle password, gli utenti potranno accedere al dominio gestito con le credenziali aziendali. Vedere Abilitare la sincronizzazione dell'hash delle password in Azure Active Directory Domain Services.

    1. Se gli utenti solo cloud sono presenti, devono modificare la password usando il pannello di accesso di Azure AD per assicurarsi che gli hash delle password vengano archiviati nel formato richiesto da NTLM o Kerberos. Seguire le istruzioni in Abilitare la sincronizzazione dell'hash delle password al dominio gestito per gli account utente solo cloud. Questo passaggio deve essere eseguito per singoli utenti e per tutti i nuovi utenti creati nella directory di Azure AD usando i cmdlet di Portale di Azure o Azure AD PowerShell. Gli utenti che richiedono l'accesso ai servizi di dominio di Azure AD devono usare il pannello di accesso di Azure AD e accedere al profilo per modificare la password.

      Nota

      Se l'organizzazione include account utente solo cloud, tutti gli utenti che devono usare Azure Active Directory Domain Services devono cambiare le proprie password. Un account utente solo cloud è un account creato nella directory di Azure AD tramite il portale di Azure o i cmdlet di Azure AD PowerShell. Questi account utente non vengono sincronizzati da una directory locale.

    2. Se si sincronizzano le password dalla directory active locale, seguire la procedura descritta nella documentazione di Active Directory.

  6. Configurare LDAP sicuro nel Active Directory Domain Services di Azure, come descritto in Configurare LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain Services.

    1. Caricare un certificato per l'uso da LDAP sicuro, come descritto nell'argomento di Azure , ottenere un certificato per LDAP sicuro. CloudSimple consiglia di usare un certificato firmato rilasciato da un'autorità di certificazione per garantire che vCenter possa considerare attendibile il certificato.
    2. Abilitare LDAP sicuro come descritto Abilitare LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain Services.
    3. Salvare la parte pubblica del certificato (senza la chiave privata) in formato cer da usare con vCenter durante la configurazione dell'origine dell'identità.
    4. Se è necessario l'accesso a Internet ai servizi di dominio di Azure AD, abilitare l'opzione "Consenti accesso sicuro a LDAP tramite Internet".
    5. Aggiungere la regola di sicurezza in ingresso per il gruppo di sicurezza dei servizi di dominio azure AD per la porta TCP 636.

Configurare un'origine di identità nel vCenter cloud privato

  1. Eseguire l'escalation dei privilegi per il vCenter del cloud privato.

  2. Raccogliere i parametri di configurazione necessari per configurare l'origine identità.

    Opzione Descrizione
    Nome Nome dell'origine dell'identità.
    DN di base per gli utenti Nome distinto di base per gli utenti. Per Azure AD, usare: Esempio: OU=AADDC Users,DC=<domain>,DC=<domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nome di dominio FQDN del dominio, ad esempio example.com. Non specificare un indirizzo IP in questa casella di testo.
    Alias di dominio (facoltativo) Nome NetBIOS di dominio. Aggiungere il nome NetBIOS del dominio Active Directory come alias dell'origine identità se si usano le autenticazione SSPI.
    DN di base per i gruppi Nome distinto di base per i gruppi. Per Azure AD, usare: Esempio: OU=AADDC Users,DC=<domain>,DC=<domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL del server primario Server LDAP del controller di dominio primario per il dominio.

    Usare il formato ldaps://hostname:port. La porta è in genere 636 per le connessioni LDAPS.

    È necessario un certificato che stabilisce l'attendibilità per l'endpoint LDAPS del server Active Directory quando si usa ldaps:// nell'URL LDAP primario o secondario.
    URL del server secondario Indirizzo di un server LDAP del controller di dominio secondario usato per il failover.
    Scegliere il certificato Se si vuole usare LDAPS con il server LDAP di Active Directory o l'origine identità del server OpenLDAP, viene visualizzato un pulsante Scegli certificato dopo aver digitato ldaps:// nella casella di testo URL. Non è necessario un URL secondario.
    Nome utente ID di un utente nel dominio con accesso minimo di sola lettura a Base DN per utenti e gruppi.
    Password Password dell'utente specificato da Nome utente.

  3. Accedere al vCenter cloud privato dopo l'escalation dei privilegi.

  4. Seguire le istruzioni in Aggiungere un'origine identity in vCenter usando i valori del passaggio precedente per configurare Azure Active Directory come origine identità.

  5. Aggiungere utenti/gruppi da Azure AD ai gruppi vCenter, come descritto nell'argomento VMware Aggiungere membri a un gruppo di Sign-On single Sign-On vCenter.

Attenzione

I nuovi utenti devono essere aggiunti solo a Cloud-Owner-Group, Cloud-Global-Cluster-Amministrazione-Group, Cloud-Global-Storage-Amministrazione-Group, Cloud-Global-Network-Amministrazione-Group o Cloud-Global-VM-Amministrazione-Group. Gli utenti aggiunti al gruppo Administrators verranno rimossi automaticamente. Solo gli account di servizio devono essere aggiunti al gruppo Administrators .

Passaggi successivi