Použití Azure AD jako zprostředkovatele identity pro vCenter v privátním cloudu CloudSimple
VCenter privátního cloudu CloudSimple můžete nastavit ověřování pomocí Azure Active Directory (Azure AD), aby správci VMware měli přístup k vCenter. Po nastavení zdroje identity jednotného přihlašování může uživatel vlastníka cloudu přidávat uživatele ze zdroje identity do vCenter.
Doménu služby Active Directory a řadiče domény můžete nastavit některým z následujících způsobů:
- Doména služby Active Directory a řadiče domény spuštěné místně
- Doména služby Active Directory a řadiče domény spuštěné v Azure jako virtuální počítače ve vašem předplatném Azure
- Nová doména služby Active Directory a řadiče domény spuštěné v privátním cloudu CloudSimple
- Služba Azure Active Directory
Tato příručka vysvětluje úlohy potřebné k nastavení Azure AD jako zdroje identity. Informace o používání služby místní Active Directory nebo Active Directory spuštěné v Azure najdete v tématu Nastavení zdrojů identit vCenter pro použití služby Active Directory, kde najdete podrobné pokyny k nastavení zdroje identity.
Informace o Azure AD
Azure AD je cloudová adresářová služba Microsoftu pro více tenantů a služba pro správu identit. Azure AD poskytuje škálovatelný, konzistentní a spolehlivý mechanismus ověřování, který uživatelům umožňuje ověřovat různé služby a přistupovat k různým službám v Azure. Poskytuje také zabezpečené služby LDAP pro všechny služby třetích stran, které používají Azure AD jako zdroj ověřování nebo identity. Azure AD kombinuje základní adresářové služby, pokročilé zásady správného řízení identit a správu přístupu k aplikacím, které se dají použít k udělení přístupu k privátnímu cloudu uživatelům, kteří spravují privátní cloud.
Pokud chcete použít Azure AD jako zdroj identity s vCenter, musíte nastavit Azure AD a Azure AD doménové služby. Postupujte podle těchto pokynů:
- Nastavení Azure AD a Azure AD doménových služeb
- Nastavení zdroje identity na privátním cloudu vCenter
Nastavení Azure AD a Azure AD domain services
Než začnete, budete potřebovat přístup k předplatnému Azure s oprávněními globálního správce. Následující postup poskytuje obecné pokyny. Podrobnosti najdete v dokumentaci k Azure.
Azure AD
Poznámka
Pokud už máte Azure AD, můžete tuto část přeskočit.
- Nastavte ve svém předplatném Azure AD, jak je popsáno v dokumentaci k Azure AD.
- Povolte ve svém předplatném Azure Active Directory Premium, jak je popsáno v tématu Registrace k Azure Active Directory Premium.
- Nastavte vlastní název domény a ověřte ho, jak je popsáno v tématu Přidání vlastního názvu domény do Azure Active Directory.
- Nastavte záznam DNS u svého doménového registrátora s informacemi poskytnutými v Azure.
- Nastavte název vlastní domény jako primární doménu.
Volitelně můžete nakonfigurovat další funkce Azure AD. Nejsou potřeba k povolení ověřování vCenter s Azure AD.
Azure AD doménové služby
Poznámka
Jedná se o důležitý krok pro povolení Azure AD jako zdroje identity pro vCenter. Pokud se chcete vyhnout problémům, ujistěte se, že jsou všechny kroky provedeny správně.
Povolte Azure AD doménové služby, jak je popsáno v tématu Povolení služby Azure Active Directory Domain Services pomocí Azure Portal.
Nastavte síť, kterou budou používat Azure AD doménové služby, jak je popsáno v tématu Povolení Azure Active Directory Domain Services pomocí Azure Portal.
Nakonfigurujte skupinu správců pro správu služby Azure AD Domain Services podle popisu v tématu Povolení azure Active Directory Domain Services pomocí Azure Portal.
Aktualizujte nastavení DNS pro službu Azure AD Domain Services, jak je popsáno v tématu Povolení azure Active Directory Domain Services. Pokud se chcete připojit k AD přes internet, nastavte záznam DNS pro veřejnou IP adresu Azure AD domain services na název domény.
Povolte synchronizaci hodnot hash hesel pro uživatele. Tento krok umožňuje synchronizaci hodnot hash hesel požadovaných pro ověřování nt LAN Manager (NTLM) a kerberos do Azure AD Domain Services. Po nastavení synchronizace hodnot hash hesel se uživatelé můžou přihlásit ke spravované doméně s použitím podnikových přihlašovacích údajů. Viz Povolení synchronizace hodnot hash hesel do Azure Active Directory Domain Services.
Pokud jsou přítomni pouze cloudoví uživatelé, musí změnit heslo pomocí Azure AD přístupového panelu, aby se zajistilo, že hodnoty hash hesel budou uloženy ve formátu požadovaném protokoly NTLM nebo Kerberos. Postupujte podle pokynů v tématu Povolení synchronizace hodnot hash hesel do spravované domény pro uživatelské účty pouze v cloudu. Tento krok je nutné provést pro jednotlivé uživatele a všechny nové uživatele, kteří jsou vytvořeni ve vašem Azure AD adresáři pomocí rutin powershellu Azure Portal nebo Azure AD. Uživatelé, kteří potřebují přístup ke službě Azure AD Domain Services, musí ke změně hesla použít přístupový panel Azure AD a získat přístup ke svému profilu.
Poznámka
Pokud má vaše organizace výhradně uživatelské účty jenom cloudu, všichni uživatelé, kteří potřebují používat službu Azure Active Directory Domain Services, si musí změnit heslo. Uživatelský účet jenom cloudu je účet vytvořený v adresáři služby Azure AD pomocí webu Azure Portal nebo rutin Azure AD PowerShellu. Takové uživatelské účty se nesynchronizují z místního adresáře.
Pokud synchronizujete hesla z místní služby Active Directory, postupujte podle pokynů v dokumentaci ke službě Active Directory.
Nakonfigurujte protokol Secure LDAP ve službě Azure Active Directory Domain Services, jak je popsáno v tématu Konfigurace protokolu SECURE LDAP (LDAPS) pro spravovanou doménu služby Azure AD Domain Services.
- Nahrajte certifikát pro použití protokolem Secure LDAP, jak je popsáno v tématu Azure o získání certifikátu pro protokol SECURE LDAP. CloudSimple doporučuje použít podepsaný certifikát vystavený certifikační autoritou, aby se zajistilo, že vCenter může certifikátu důvěřovat.
- Povolte secure LDAP podle popisu Povolení protokolu LDAP (LDAPS) pro spravovanou doménu Azure AD Domain Services.
- Uložte veřejnou část certifikátu (bez privátního klíče) ve formátu .cer pro použití se serverem vCenter při konfiguraci zdroje identity.
- Pokud se vyžaduje internetový přístup ke službě Azure AD Domain Services, povolte možnost Povolit zabezpečený přístup k protokolu LDAP přes internet.
- Přidejte příchozí pravidlo zabezpečení pro skupinu zabezpečení sítě Azure AD Domain Services pro port TCP 636.
Nastavení zdroje identity na privátním cloudu vCenter
Eskalujte oprávnění pro vCenter privátního cloudu.
Shromážděte parametry konfigurace požadované pro nastavení zdroje identity.
Možnost Popis Název Název zdroje identity. Základní dn pro uživatele Základní rozlišující název pro uživatele. Pro Azure AD použijte: OU=AADDC Users,DC=<domain>,DC=<domain suffix>
Příklad:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
.Název domény Plně kvalifikovaný název domény, například example.com. Do tohoto textového pole nezadávejte IP adresu. Alias domény (volitelné) Název netBIOS domény. Pokud používáte ověřování SSPI, přidejte název NetBIOS domény služby Active Directory jako alias zdroje identity. Základní dn pro skupiny Základní rozlišující název pro skupiny. Pro Azure AD použijte: OU=AADDC Users,DC=<domain>,DC=<domain suffix>
Příklad:OU=AADDC Users,DC=cloudsimplecustomer,DC=com
Adresa URL primárního serveru Server LDAP primárního řadiče domény pro doménu.
Použijte formátldaps://hostname:port
. Port pro připojení LDAPS je obvykle 636.
Certifikát, který naváže vztah důvěryhodnosti pro koncový bod LDAPS serveru Active Directory, se vyžaduje při použitíldaps://
v primární nebo sekundární adrese URL ldap.Adresa URL sekundárního serveru Adresa serveru LDAP sekundárního řadiče domény, který se používá k převzetí služeb při selhání. Zvolit certifikát Pokud chcete použít LDAPS se zdrojem identity Serveru LDAP služby Active Directory nebo OpenLDAP Serveru, zobrazí se po zadání ldaps://
do textového pole Adresa URL tlačítko Zvolit certifikát. Sekundární adresa URL není nutná.Uživatelské jméno ID uživatele v doméně, který má minimálně přístup jen pro čtení k základnímu dnu pro uživatele a skupiny. Heslo Heslo uživatele, který je zadaný pomocí uživatelského jména. Po eskalaci oprávnění se přihlaste k serveru vCenter privátního cloudu.
Postupujte podle pokynů v tématu Přidání zdroje identity na vCenter pomocí hodnot z předchozího kroku a nastavte Azure Active Directory jako zdroj identity.
Přidejte uživatele nebo skupiny z Azure AD do skupin vCenter, jak je popsáno v tématu Přidání členů do skupiny vCenter Single Sign-On.
Upozornění
Nové uživatele je potřeba přidat jenom do cloud-owner-group, Cloud-Global-Cluster-Správa-Group, Cloud-Global-Storage-Správa-Group, Cloud-Global-Network-Správa-Group nebo Cloud-Global-VM-Správa-Group. Uživatelé přidaní do skupiny Administrators budou automaticky odebráni. Do skupiny Administrators musí být přidány pouze účty služeb.