Partager via

Utiliser Azure AD comme fournisseur d’identité pour vCenter sur un cloud privé CloudSimple

  • Article

Vous pouvez configurer votre vCenter cloud privé CloudSimple pour l’authentification auprès d’Azure Active Directory (Azure AD) pour que vos administrateurs VMware accèdent à vCenter. Une fois la source d’identité d’authentification unique configurée, l'utilisateur cloudowner peut ajouter des utilisateurs à partir de la source d’identité à vCenter.

Vous pouvez configurer votre domaine Active Directory et vos contrôleurs de domaine de l’une des manières suivantes :

  • Domaine et contrôleurs de domaine Active Directory exécutés localement
  • Domaine et contrôleurs de domaine Active Directory exécutés sur Azure en tant que machines virtuelles dans votre abonnement Azure
  • Nouveaux domaine et contrôleurs de domaine Active Directory exécutés dans votre cloud privé CloudSimple
  • Service Azure Active Directory

Ce guide explique les tâches requises pour configurer Azure AD en tant que source d’identité. Pour plus d’informations sur l’utilisation d’Active Directory en local ou d’Active Directory s’exécutant dans Azure, consultez Configurer des sources d’identité vCenter pour utiliser Active Directory afin d’obtenir des instructions détaillées sur la configuration de la source d’identité.

À propos d’Azure AD

Azure AD est le service Microsoft de gestion des répertoires et des identités basé sur le cloud mutualisé. Azure AD fournit un mécanisme d’authentification scalable, cohérent et fiable permettant aux utilisateurs de s’authentifier et d’accéder à différents services sur Azure. Il fournit également des services LDAP sécurisés pour tous les services tiers afin d’utiliser Azure AD en tant que source d’authentification/d’identité. Azure AD combine les services d’annuaire principaux, la gouvernance avancée des identités et la gestion de l’accès aux applications, qui peuvent être utilisés pour donner accès à votre cloud privé pour les utilisateurs qui administrent le cloud privé.

Pour utiliser Azure AD comme source d’identité avec vCenter, vous devez configurer Azure AD et Azure AD Domain Services. Suivez ces instructions :

  1. Comment configurer Azure AD et Azure AD Domain Services
  2. Comment configurer une source d’identité sur votre cloud privé vCenter

Configurer Azure AD et Azure AD Domain Services

Avant de commencer, vous aurez besoin d’un accès à votre abonnement Azure avec des privilèges d’administrateur général. Les étapes suivantes fournissent des instructions générales. Les détails sont contenus dans la documentation Azure.

Azure AD

Notes

Si vous avez déjà Azure AD, vous pouvez ignorer cette section.

  1. Configurez Azure AD sur votre abonnement, comme décrit dans la documentation Azure AD.
  2. Activez Azure Active Directory Premium sur votre abonnement, comme décrit dans S’inscrire à Azure Active Directory Premium.
  3. Configurez un nom de domaine personnalisé et vérifiez le nom de domaine personnalisé comme décrit dans Ajouter un nom de domaine personnalisé à Azure Active Directory.
    1. Configurez un enregistrement DNS sur votre bureau d’enregistrement de domaines avec les informations fournies sur Azure.
    2. Configurez le nom de domaine personnalisé comme domaine principal.

Vous pouvez éventuellement configurer d’autres fonctionnalités d’Azure AD. Celles-ci ne sont pas obligatoires pour l’activation de l’authentification vCenter avec Azure AD.

Azure AD Domain Services

Notes

Il s’agit d’une étape importante pour l’activation d’Azure AD en tant que source d’identité pour vCenter. Pour éviter tout problème, assurez-vous que toutes les étapes sont effectuées correctement.

  1. Activez Azure AD Domain Services comme indiqué dans Activer Azure Active Directory Domain Services à l’aide du portail Azure.

  2. Configurez le réseau qui sera utilisé par Azure AD Domain Services comme indiqué dans Activer Azure Active Directory Domain Services à l’aide du portail Azure.

  3. Configurez le groupe d’administrateurs pour la gestion d’Azure AD Domain Services comme indiqué dans Activer Azure Active Directory Domain Services à l’aide du portail Azure.

  4. Mettez à jour les paramètres DNS de vos Azure AD Domain Services comme décrit dans Activer Azure Active Directory Domain Services. Si vous souhaitez vous connecter à AD via Internet, configurez l’enregistrement DNS pour l’adresse IP publique d’Azure AD Domain Services sur le nom de domaine.

  5. Activez la synchronisation de hachage de mot de passe pour les utilisateurs. Cette étape active la synchronisation des hachages de mot de passe requise pour l’authentification NT LAN Manager (NTLM) et Kerberos avec Azure AD Domain Services. Une fois la synchronisation des informations de hachage de mot de passe configurée, les utilisateurs peuvent se connecter au domaine managé à l’aide de leurs informations d’identification d’entreprise. Consultez Activer la synchronisation de hachage de mot de passe pour Azure Active Directory Domain Services.

    1. Si des utilisateurs cloud uniquement sont présents, ils doivent modifier leur mot de passe à l’aide du panneau d’accès Azure AD pour s’assurer que les hachages de mot de passe sont stockés au format requis par NTLM ou Kerberos. Suivez les instructions sous Activer la synchronisation de hachage de mot de passe avec votre domaine managé pour les comptes d’utilisateurs uniquement dans le cloud. Cette étape doit être effectuée pour les utilisateurs individuels et tout nouvel utilisateur créé dans votre annuaire Azure AD à l’aide des cmdlets Azure AD PowerShell ou du portail Azure. Les utilisateurs qui ont besoin d’accéder à Azure AD Domain Services doivent utiliser le panneau d’accès Azure AD et accéder à leur profil pour modifier le mot de passe.

      Notes

      Si votre organisation utilise des comptes d’utilisateur dans le cloud uniquement, tous les utilisateurs ayant besoin d’Azure Active Directory Domain Services doivent modifier leur mot de passe. Un compte d’utilisateur uniquement dans le cloud est un compte qui a été créé dans votre répertoire Azure AD à l’aide du portail Azure ou d’applets de commande PowerShell Azure AD. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un répertoire local.

    2. Si vous synchronisez des mots de passe à partir de votre annuaire Active Directory local, suivez les étapes de la documentation de Active Directory.

  6. Configurez le protocole LDAP sécurisé sur votre Azure Active Directory Domain Services comme décrit dans Configurer le protocole LDAPS (LDAP sécurisé) pour un domaine managé Azure AD Domain Services.

    1. Chargez un certificat pour une utilisation par le protocole LDAP sécurisé, comme décrit dans la rubrique Azure Obtenir un certificat pour le protocole LDAP sécurisé. CloudSimple recommande d’utiliser un certificat signé émis par une autorité de certification pour s’assurer que vCenter peut approuver le certificat.
    2. Activez le protocole LDAP sécurisé comme indiqué dans Configurer le protocole LDAPS (LDAP sécurisé) pour un domaine managé Azure AD Domain Services.
    3. Enregistrez la partie publique du certificat (sans la clé privée) au format .cer pour une utilisation avec vCenter lors de la configuration de la source d’identité.
    4. Si l’accès Internet à Azure AD Domain Services est requis, activez l’option « Autoriser l’accès sécurisé à LDAP sur Internet ».
    5. Ajoutez la règle de sécurité de trafic entrant pour le NSG Azure AD Domain Services pour le port TCP 636.

Configurer une source d’identité sur votre cloud privé vCenter

  1. Élevez les privilèges pour votre cloud privé vCenter.

  2. Collectez les paramètres de configuration requis pour la configuration de la source d’identité.

    Option Description
    Nom Nom de la source d’identité.
    DN de base pour les utilisateurs Nom unique de base pour les utilisateurs. Pour Azure AD, utilisez : Exemple OU=AADDC Users,DC=<domain>,DC=<domain suffix> : OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nom de domaine Nom de domaine complet du domaine, par exemple « example.com ». Ne fournissez pas d’adresse IP dans cette zone de texte.
    Alias de domaine (facultatif) Nom NetBIOS du domaine. Ajoutez le nom NetBIOS du domaine Active Directory en tant qu’alias de la source d’identité si vous utilisez des authentifications SSPI.
    DN de base pour les groupes Nom unique de base pour les groupes. Pour Azure AD, utilisez : Exemple OU=AADDC Users,DC=<domain>,DC=<domain suffix> : OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL du serveur principal Serveur LDAP du contrôleur de domaine principal pour le domaine.

    Utilisez le format ldaps://hostname:port. Le port est généralement 636 pour les connexions LDAPS.

    Un certificat établissant une relation de confiance pour le point de terminaison LDAPS du serveur Active Directory est nécessaire lorsque vous utilisez ldaps:// dans l'URL LDAP principale ou secondaire.
    URL du serveur secondaire Adresse d’un serveur LDAP de contrôleur de domaine secondaire utilisé pour le basculement.
    Choisir un certificat Si vous souhaitez utiliser LDAPS avec votre serveur LDAP Active Directory ou votre source d'identité serveur OpenLDAP, un bouton Choisir un certificat s'affiche une fois que vous avez entré ldaps:// dans la zone de texte URL. Une URL secondaire n’est pas nécessaire.
    Nom d’utilisateur ID d’un utilisateur dans le domaine qui dispose au minimum d’un accès en lecture seule au DN de base pour les utilisateurs et les groupes.
    Mot de passe Mot de passe de l’utilisateur spécifié dans Nom d’utilisateur.

  3. Connectez-vous à votre cloud privé vCenter une fois les privilèges élevés.

  4. Suivez les instructions dans Ajouter une source d’identité sur vCenter en utilisant les valeurs de l’étape précédente pour configurer Azure Active Directory comme source d’identité.

  5. Ajoutez des utilisateurs/groupes à partir d’Azure AD à des groupes vCenter comme décrit dans la rubrique VMware Ajouter des membres à un groupe d’authentification unique vCenter.

Attention

Les nouveaux utilisateurs doivent être ajoutés uniquement à Cloud-Owner-Group, à Cloud-Global-Cluster-Admin-Group, à Cloud-Global-Storage-Admin-Group, à Cloud-Global-Network-Admin-Group ou à Cloud-Global-VM-Admin-Group. Les utilisateurs ajoutés au groupe Administrateurs seront automatiquement supprimés. Seuls les comptes de service doivent être ajoutés au groupe Administrateurs.

Étapes suivantes