Wdrażanie VCF 9 cz.4: Konfiguracja Single Sign-On (Identity Broker i vCenter)

Kontynuując wdrożenie VMware Cloud Foundation (VCF) 9, dochodzimy do jednego z najważniejszych etapów całego stosu — integracji Single Sign-On (SSO). W tej czwartej części serii przejdziemy przez konfigurację VCF Identity Broker oraz integrację z vCenter Server (pozostałe komponenty, takie jak VCF Operations, Operations for Logs czy Automation, zostaną omówione w kolejnych wpisach).

Poprawna konfiguracja SSO nie tylko zwiększa bezpieczeństwo i wygodę użytkowników, ale jest również kluczowa dla zapewnienia płynnego uwierzytelniania w całym środowisku VCF. VMware wprowadził usługę Identity Broker, która upraszcza integrację z korporacyjnymi dostawcami tożsamości, takimi jak:

• ADFS
• Okta
• Microsoft Entra ID

Wdrażanie VCF 9 cz. 3: VCF Operations for Logs

Tryby wdrożenia VCF Identity Broker

VCF Single Sign-On zapewnia jednolite uwierzytelnianie dla:

• Operations Orchestrator
• vCenter
• NSX
• Operations
• Automation
• Operations for Logs
• Operations for Networks
• HCX

Modele wdrożenia

Embedded:

Identity Broker działa bezpośrednio w vCenter domeny zarządzającej.

Appliance:

Identity Broker wdrażany jest jako osobny appliance w postaci klastra trzech węzłów.

więcej na ten temat: https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-9-0-and-later/9-0/fleet-management/what-is/deployment-models-for-sso.html

Konfiguracja VCF Identity Broker

1. Logowanie do VCF Operations

Zaloguj się do VCF Operations użytkownikiem: admin, przykładowy adres:

https://vcf9-md01-vrops01a.blanketvm.com

2. Fleet Management → Identity and Access

Przejdź do: Fleet Management -> Identity and Access i rozpocznij konfigurację VCF SSO.

Strategie wdrożenia SSO

W ramach jednej instancji VCF: wszystkie komponenty jednej instancji korzystają z jednego Identity Broker.

W ramach wielu instancji: ilkka instancji VCF może korzystać z jednego Identity Broker.

W całej flocie VCF: jedno źródło SSO dla wszystkich instancji VCF.

VMware rekomenduje:

• jeden embedded Identity Broker na instancję,
• lub jeden appliance Identity Broker dla maksymalnie pięciu instancji VCF.

3. Sekcja Prerequisites

Przed wdrożeniem należy dokładnie przeczytać sekcję wymagań.

vCenter: istniejące konfiguracje Identity Provider zostaną nadpisane przez VCF SSO.

Enhanced Linked Mode (ELM): VCF SSO nie współpracuje z ELM. Wszystkie instancje ELM muszą zostać wyłączone.

SDDC Manager: GUI SDDC Manager nadal używa lokalnych kont, ale API obsługuje użytkowników VCF SSO.

PowerCLI: skrypty automatyzacji mogą wymagać rekonfiguracji.

Access Control: użytkownik konfigurujący SSO musi mieć zakres: All Objects. Następnie wystarczy kliknąć: continue

4. Getting Started

Wybierz instancję VCF.

5. Enable Single Sign-On

Kliknij: Start, aby wybrać tryb wdrożenia.

W moim przypadku używam tylko jednej instancji VCF, więc wybrałem Embedded mode.

6. Configure Identity Broker

Kliknij: Configure Identity Broker

7. Wybór dostawcy tożsamości

Wybierz swój Identity Provider. W przypadku mojego labu, wykorzystuję Active Directory over LDAPS

8. Konfiguracja LDAPS

Najważniejsze ustawienia:

Directory name: nazwa katalogu AD.

DNS Server Location: pozwala wybierać kontroler domeny automatycznie przez DNS.

Global Catalog: opcjonalne użycie Global Catalog.

VMware opisuje ograniczenia tutaj: Global Catalog limitations in VCF9

LDAP / LDAPS:

ldap://<domainController>

Porty:

• 389
• 3268 (Global Catalog)

ldaps://<domainController>

Porty:

• 636
• 3269 (Global Catalog)

Ja osobiście rekomenduję LDAPS.

Certyfikaty: wymagane są certyfikaty Root CA oraz Intermediate CA w Base64.

Directory Search Attribute:

userPrincipalName - zalecane

zamiast:

sAMAccountName

Base DN: OU, w którym wyszukiwani będą użytkownicy i grupy.

Bind User Name: konto integracyjne z uprawnieniami tylko do odczytu.

9. Synchronizacja użytkowników i grup

Opcja:

Sync Nested Group

umożliwia synchronizację grup zagnieżdżonych.

10. Zakończenie konfiguracji

Kliknij: Done oraz: Finish Setup

11. Sync Status i częstotliwość synchronizacji

Przejdź do:

Sync Settings

i zmień częstotliwość synchronizacji.

Ja ustawiam:

15 minut

12. Sync Log

Sprawdź poprawność synchronizacji.

13. Component Configuration

vCenter konfiguruje się automatycznie. Pozostałe komponenty wymagają osobnej konfiguracji.

14. Konfiguracja uprawnień w vCenter

Zaloguj się jako:

administrator@vsphere.local

i dodaj grupę AD.

15. Test logowania

Wyloguj się i zaloguj ponownie kontem domenowym.

Zobaczysz skonfigurowaną domenę:

Ponowne logowanie

Wyloguj się i zaloguj ponownie do vCenter. Powinieneś móc zalogować się za pomocą funkcji logowania jednokrotnego VCF.

SUKCES!

Topologia sieci VCF 9

Podsieci zostały wspomniane w pierwszym poście dotyczącym VCF 9, ale poniżej przypomnę, jak one wyglądają (ilustracja zostanie powiększona w kolejnych postach).

Wszystkie podane poniżej nazwy FQDN muszą znajdować się w systemie DNS przed wdrożeniem usługi VCF.

Przykładowe komponenty:

Komponent	Adres IP	FQDN
VCF Operations	10.250.20.51	vcf9-md01-vrops01a.blanketvm.com
Fleet Management	10.250.20.10	vcf9-md01-vrops01cp01.blanketvm.com
vCenter Server	10.250.20.1	vcf9-md01-vcenter01.blanketvm.com
NSX Manager	10.250.20.30	vcf9-md01-nsx01.blanketvm.com
SDDC Manager	10.250.20.11	vcf9-md01-sddc.blanketvm.com

Wnioski

Konfiguracja Single Sign-On w VCF 9 przy użyciu Identity Broker stanowi podstawę centralnego i bezpiecznego systemu uwierzytelniania dla całego środowiska VMware Cloud Foundation.

Kolejne części serii będą obejmować integrację następnych komponentów platformy VCF.

Artykuł jest tłumaczeniem cyklu z bloga: Blanketvm.com

Partnerem naszych artykułów jest Broadcom, dostawca rozwiązań VMware