使用 Azure AD 作為 CloudSimple 私人雲端上 vCenter Server 的識別提供者

  • 發行項

您可以設定 CloudSimple 私人雲端 vCenter Server 以透過 Azure Active Directory (Azure AD) 進行驗證,方便 VMware 管理員存取 vCenter Server。 設定單一登入身分識別來源之後,cloudowner 使用者可以將身分識別來源的使用者新增至 vCenter Server。

您可以透過以下任一方式來設定 Active Directory 網域和網域控制站:

  • 在內部部署執行的 Active Directory 網域和網域控制站
  • Azure 訂閱中作為虛擬機器在 Azure 上執行的 Active Directory 網域和網域控制站
  • 在 CloudSimple 私人雲端中執行的新 Active Directory 網域和網域控制站
  • Azure Active Directory 服務

本指南說明將 Azure AD 設為身分識別來源所需的工作。 如需使用在 Azure 中執行之內部部署 Active Directory 或 Active Directory 的相關資訊,請參閱設定 vCenter Server 身分識別來源以使用 Active Directory,以取得設定身分識別來源的詳細指示。

關於 Azure AD

Azure AD 是 Microsoft 多租用戶雲端式目錄和身分識別管理服務。 Azure AD 提供可調整、一致且可靠的驗證機制,讓使用者在 Azure 上驗證和存取不同的服務。 它也會為任何協力廠商服務提供安全的 LDAP 服務,以使用 Azure AD 作為驗證/身分識別來源。 Azure AD 結合了核心目錄服務、進階身分識別治理,和應用程式存取管理,可用來為管理私人雲端之使用者提供私人雲端的存取權。

若要使用 Azure AD 作為 vCenter Server 的身分識別來源,您必須設定 Azure AD 和 Azure AD Domain Services。 遵循下列指示:

  1. 如何設定 Azure AD 和 Azure AD Domain Services
  2. 如何在私人雲端 vCenter Server 上設定身分識別來源

設定 Azure AD 和 Azure AD Domain Services

開始之前,您將需要具有全域管理員權限的 Azure 訂閱存取權。 下列步驟提供一般指導方針。 詳細說明包含在 Azure 文件中。

Azure AD

注意

如果您已經有 Azure AD,可以跳過這一節。

  1. 在您的訂閱上設定 Azure AD,如 Azure AD 文件中所述。
  2. 在您的訂閱上設定 Azure Active Diretory Premium,如註冊 Azure Active Directory Premium 中所述。
  3. 設定自訂網域名稱,並確認自訂網域名稱,如將自訂功能變數名稱新增至 Azure Active Directory 中所述。
    1. 使用 Azure 上提供的資訊,在您的網域登錄器上設定 DNS 記錄。
    2. 將自訂網域名稱設定為主要網域。

您可以選擇性地設定其他 Azure AD 功能。 啟用使用 Azure AD 的 vCenter Server 驗證不需要這些功能。

Azure AD Domain Services

注意

這是啟用 Azure AD 作為 vCenter Server 身分識別來源的重要步驟。 若要避免任何問題,請確保已正確執行所有步驟。

  1. 啟用 Azure AD Domain Services,如使用 Azure 入口網站啟用 Azure Active Directory Domain Services 中所述。

  2. 設定 Azure AD Domain Services 要使用的網路,如使用 Azure 入口網站啟用 Azure Active Directory Domain Services 中所述。

  3. 設定管理 Azure AD Domain Services 的管理員群組,如使用 Azure 入口網站啟用 Azure Active Directory Domain Services 中所述。

  4. 更新 Azure Active Directory Domain Services 的 DNS 設定。如啟用 Azure Active Directory Domain Services 中所述。 如果您想透過網際網路連線到 AD,請將 Azure AD Domain Services 的公用 IP 位址 DNS 記錄設為網域名稱。

  5. 針對使用者啟用密碼雜湊同步。 此步驟可以將 NT LAN Manager (NTLM) 和 Kerberos 驗證所需的密碼雜湊同步到 Azure AD Domain Services。 設定密碼雜湊同步後,使用者即可使用他們的公司認證來登入受控網域。 請參閱啟用 Azure Active Directory Domain Services 的密碼雜湊同步

    1. 如果有僅限雲端的使用者存在,他們必須使用 Azure AD 存取面板來變更其密碼,以確保密碼雜湊是以 NTLM 或 Kerberos 所需的格式儲存。 請遵循針對僅限雲端使用者帳戶啟用受控網域的密碼雜湊同步中的指示。 針對個別使用者,以及使用 Azure 入口網站或 Azure AD PowerShell Cmdlet 在 Azure AD 目錄中建立的任何新使用者,此為必要步驟。 需要存取 Azure AD 網域服務的使用者必須使用 Azure AD 存取面板,並存取其設定檔來變更密碼。

      注意

      如果您的組織有僅限雲端使用者帳戶,則需要使用 Azure Active Directory Domain Services 的所有使用者必須變更其密碼。 僅限雲端使用者帳戶是您使用 Azure 入口網站或 Azure AD PowerShell Cmdlet 在 Azure AD 目錄中建立的帳戶。 這類使用者帳戶不是從內部部署目錄進行同步。

    2. 如果您要從內部部署 Active Directory 同步密碼,請遵循 Active Directory 文件中的步驟。

  6. 在 Azure Active Directory Domain Services 上設定安全 LDAP,如設定 Azure AD Domain Services 受控網域的安全 LDAP (LDAPS) 中所述。

    1. 上傳憑證以供安全 LDAP 使用,如 Azure 主題取得安全 LDAP 的憑證中所述。 CloudSimple 建議使用憑證授權單位所簽發的已簽署憑證,以確保 vCenter Server 可以信任憑證。
    2. 啟用安全 LDAP,如針對 Azure Active Directory Domain Services 受控網域設定安全的 LDAP (LDAPS) 中所述。
    3. 在設定身分識別來源時,以 .cer 格式儲存憑證 (不含私密金鑰) 的公用部分以搭配 vCenter Server 使用。
    4. 如果需要 Azure AD Domain Services 的網際網路存取,請啟用 [允許透過網際網路安全存取 LDAP] 選項。
    5. 針對 TCP 埠 636 新增 Azure AD Domain Services NSG 的輸入安全性規則。

在私人雲端 vCenter Server 上設定身分識別來源

  1. 為私人雲端 vCenter Server 提升權限

  2. 收集設定識別來源所需的組態參數。

    選項 說明
    Name 身分識別來源的名稱。
    使用者的基準 DN 使用者的基準辨別名稱。 針對 Azure AD,請使用:OU=AADDC Users,DC=<domain>,DC=<domain suffix>。範例:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    網域名稱 網域的 FQDN,例如 example.com。 請勿在此文字輸入框中提供 IP 位址。
    網域別名 網域 NetBIOS 名稱。(選擇性) 如果您使用的是 SSPI 驗證,請將 Active Directory 網域的 NetBIOS 名稱新增為身分識別來源的別名。
    群組的基準 DN 群組的基準辨別名稱。 針對 Azure AD,請使用:OU=AADDC Users,DC=<domain>,DC=<domain suffix>。範例:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    主要伺服器 URL 網域的主要網域控制站 LDAP 伺服器。

    請使用 ldaps://hostname:port 格式。 LDAPS 連線通常是連接埠 636。

    當您在主要或次要 LDAP URL 中使用 ldaps:// 時,需要建立 Active Directory 伺服器 LDAPS 端點信任的憑證。
    次要伺服器 URL 用於容錯移轉的次要網域控制站 LDAP 伺服器的位址。
    選擇憑證 若您想搭配 Active Directory LDAP 伺服器或 OpenLDAP 伺服器身分識別來源使用 LDAPS,在 [URL] 文字輸入框中輸入 ldaps:// 後,即會出現「選擇憑證」按鈕。 不需要次要 URL。
    使用者名稱 網域中的使用者識別碼,該使用者對使用者和群組至少具基準 DN 的唯讀存取權。
    密碼 使用者名稱所指定的使用者密碼。

  3. 在提升權限之後登入您的私人雲端 vCenter Server。

  4. 遵循 vCenter Server 上新增身分識別來源中的指示,使用上一個步驟中的值,將 Azure Active Directory 設定為身分識別來源。

  5. 將使用者/群組從 Azure AD 新增至 vCenter Server 群組,如 VMware 主題將成員新增至 vCenter Server 單一登入群組中所述。

警告

新的使用者只能新增至 Cloud-Owner-GroupCloud-Global-Cluster-Admin-GroupCloud-Global-Storage-Admin-GroupCloud-Global-Network-Admin-GroupCloud-Global-VM-Admin-Group。 系統會自動移除新增至「系統管理員」群組的使用者。 只有服務帳戶必須新增至「管理員」群組。

下一步