Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Intégrez la fédération de fournisseurs d'identités de serveur vCenter à OCI IAM pour Oracle Cloud VMware Solution

Présentation

Dans le paysage informatique en évolution rapide d'aujourd'hui, une intégration transparente entre les systèmes est essentielle pour améliorer la sécurité et simplifier la gestion. Avec VMware vCenter Server Appliance (VCSA) 8.0 U2, les administrateurs peuvent maintenant tirer parti d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) pour la fédération des identités. Cette fonctionnalité est rendue possible grâce au contrôle total exercé par les clients d'Oracle Cloud VMware Solution sur leurs environnements, ce qui leur permet de mettre en oeuvre des modifications sans restrictions. En activant cette intégration, vous pouvez simplifier les processus d'authentification et établir un mécanisme de contrôle d'accès unifié qui garantit que votre environnement VMware reste sécurisé, conforme et conforme aux pratiques modernes de gestion des identités.

Ce tutoriel vise à mettre en évidence les avantages de l'adoption de fournisseurs d'identités externes pour les organisations utilisant VCSA 8.0 U2. En s'intégrant à un fournisseur d'identités externe comme OCI IAM, les organisations peuvent tirer parti de leur infrastructure d'identités existante, simplifier les processus d'authentification unique et améliorer la sécurité grâce à l'authentification multifacteur. En outre, cette intégration prend en charge la séparation des tâches entre l'infrastructure et la gestion des identités, en s'alignant sur les meilleures pratiques en matière de sécurité et d'efficacité administrative.

Architecture

L'architecture de fédération de fournisseurs d'identités externes reste cohérente sur vCenter, optimisée par les services d'identité VMware. Dans ce tutoriel, nous allons nous concentrer sur l'utilisation des domaines d'identité IAM pour OCI.

Cette intégration comprend 2 phases :

• Authentification de l'utilisateur : OAuth

  Lorsqu'un utilisateur tente de se connecter à VCSA, la demande d'authentification est redirigée de façon transparente au moyen d'une demande de jeton OAuth, lancée par VMware Identity Services, vers OCI IAM. Une fois l'authentification et la validation réussies par OCI IAM, un jeton sécurisé est retourné aux services d'identité VMware, qui accordent ensuite l'accès à l'utilisateur en fonction des autorisations qui lui sont affectées.

  

• Poussée d'utilisateurs/de groupes : Système pour la gestion d'identité interdomaine (SCIM)

  OCI IAM est responsable de la gestion des utilisateurs et des groupes dans l'environnement Oracle Cloud Infrastructure, tandis que vCenter gère l'infrastructure virtuelle dans les environnements VMware. Pour garantir que les bons utilisateurs disposent des autorisations d'accès correctes dans vCenter, le protocole SCIM est utilisé pour provisionner, mettre à jour ou déprovisionner automatiquement des utilisateurs d'OCI IAM vers vCenter. Lorsqu'un utilisateur ou un groupe est créé, modifié ou supprimé dans le service IAM pour OCI, SCIM synchronise automatiquement ces modifications dans vCenter. Cela garantit que les identités des utilisateurs dans les deux systèmes restent à jour sans intervention manuelle.

  

  Note : Lorsqu'un groupe est affecté dans l'application SCIM IAM OCI, ses membres sont provisionnés dans VCSA, mais le groupe lui-même n'est pas créé.

Public cible

Professionnels d'OCI IAM, administrateurs d'Oracle Integration, administrateurs d'Oracle Cloud VMware Solution et administrateurs d'VMware.

Préalables

• Exigences relatives au service IAM pour OCI :

  • Accès à une location OCI.

  • L'utilisateur dans le service IAM pour OCI doit avoir une valeur de nom d'utilisateur au format sAMAccountName (non au format de courriel ou UPN) car lorsque le processus de provisionnement SCIM dans le service IAM pour OCI crée des comptes d'utilisateur dans vCenter, sAMAccountName de l'utilisateur (par exemple, jdoe) est utilisé comme identificateur principal. Au cours du processus d'authentification, VCSA ajoute automatiquement le nom de domaine à sAMAccountName pour former l'identificateur d'utilisateur complet. Par exemple, si jdoe est le nom d'utilisateur et que le domaine est corp.example.com, l'identité obtenue utilisée dans VCSA devient jdoe@corp.example.com.

  • Vous devez disposer des autorisations nécessaires pour créer des applications intégrées dans le service IAM pour OCI. Pour plus d'informations, voir Présentation des rôles d'administrateur.

  • La configuration de l'accès client doit être activée sous Accéder au certificat de signature dans le paramètre Domaine du service IAM pour OCI.

  • VCN avec un sous-réseau public.

  • Politiques IAM OCI appropriées pour la création d'un ensemble d'autorité de certification et d'une passerelle d'API OCI.

• Configuration requise pour la connectivité IAM et vCenter pour OCI :

  • Le serveur vCenter doit pouvoir atteindre les points d'extrémité IAM OAuth pour OCI. Par défaut lors du déploiement d'Oracle Cloud VMware Solution, le réseau VLAN vSphere (où vCenter est déployé) est déjà connecté à la passerelle NAT.

  • Assurez-vous qu'OCI IAM peut atteindre les API SCIM vCenter. Cette connectivité est établie à l'aide du service de passerelle d'API OCI, qui sert de mandataire pour faciliter la communication sécurisée entre OCI IAM et les API SCIM vCenter.

  • La passerelle d'API doit disposer des routes appropriées pour atteindre VCSA. Dans ce tutoriel, le sous-réseau de passerelle d'API et le réseau VLAN vSphere VCSA sont tous deux sur le même CIDR.

  Note : Si la table de routage du réseau VLAN vSphere ne contient pas de route de passerelle NAT, vous devrez créer une nouvelle passerelle NAT dans le VCN et ajouter une règle de routage correspondante pour activer l'accès Internet.

Tâche 1 : Enregistrer une application confidentielle dans le domaine IAM OCI

Nous enregistrerons une application confidentielle dans le domaine IAM OCI correspondant. À l'aide de cette application confidentielle, nous utiliserons le flux de code d'autorisation OAuth 2.0 pour obtenir des jetons d'accès.

1. Connectez-vous à la console OCI, allez à Identité et sécurité et cliquez sur Domaines.

   

2. Sélectionnez votre domaine.

   

3. Cliquez sur Applications intégrées, sélectionnez Application confidentielle qui est utilisée pour OAuth et cliquez sur Lancer le flux de travail.

   

   

4. Entrez le nom de votre application et cliquez sur Suivant.

   

5. Dans la section Configuration du client, sélectionnez Données d'identification du client.

   

   Note : Enregistrez l'application sans activer le code d'autorisation et l'URL de redirection. Mettez à jour de nouveau l'application après avoir saisi l'URL de redirection à partir de la tâche 2. Voir ci-dessous

   

6. Terminez le flux de travail de l'application et activez-le. Copiez l'ID client et la clé secrète client.

   

7. Copiez l'URL du domaine à partir de la page Informations sur le domaine.

   

Tâche 2 : Configurer le fournisseur d'identités (IdP) dans le serveur vCenter et télécharger le certificat VCenter

Nous allons intégrer le serveur vCenter à OCI IAM pour activer l'authentification unique pour les utilisateurs. Dans cette tâche, configurez une valeur IdP dans VCSA. Une fois que IdP est configuré, nous devons télécharger le certificat vCenter à utiliser dans la configuration IdP pour établir la confiance entre vCenter et la passerelle d'API OCI.

1. Connectez-vous en tant qu'administrateur au serveur vCenter et naviguez jusqu'à Accueil, Administration, Connexion unique, Configuration, Fournisseur d'identités, Sources d'identités. Dans le menu déroulant, sélectionnez Okta pour Modifier le fournisseur.

   

   Note : Nous utiliserons le modèle Okta IdP, mais il sera modifié avec les détails du service IAM pour OCI.

2. Vérifiez que les préalables sont satisfaits et sélectionnez Suivant.

   

3. Entrez un nom de répertoire, un nom(s) de domaine et cliquez sur Suivant.

   

4. Sélectionnez une valeur Durée de vie du jeton dans le menu déroulant et cliquez sur Suivant.

   

5. Dans la section OpenID Connect, copiez l'URI de redirection, entrez un nom de fournisseur d'identités, un identificateur de client et une clé secrète copiés dans la tâche 1.

   Dans l'adresse OpenID, utilisez l'URL de domaine copiée dans la tâche 1 et ajoutez-la avec /.well-known/openid-configuration. Cliquez sur Suivant une fois les détails enregistrés.

   Note : Notez l'URI de redirection et mettez à jour l'application confidentielle dans le service IAM pour OCI, comme indiqué à l'étape 5 de la tâche 1.

   

6. Cliquez sur Terminer après avoir consulté la section des détails du fournisseur d'identités.

   

7. Cliquez sur Télécharger le certificat de l'AC racine approuvée pour télécharger votre certificat de l'AC racine approuvée à partir de vCenter.

   

Tâche 3 : Créer une application SCIM dans OCI IAM

Dans cette tâche, nous allons créer une application SCIM 2.0 dans le service IAM pour OCI qui nous permettra de spécifier les utilisateurs du service IAM pour OCI qui doivent être poussés vers le serveur vCenter.

1. Connectez-vous à la console OCI, naviguez jusqu'à Identité et sécurité, sélectionnez votre domaine et naviguez jusqu'à Applications intégrées et sélectionnez Catalogue d'applications pour ajouter une nouvelle application.

   

2. Entrez GenericSCIM - Jeton de porteur dans la barre de recherche et sélectionnez la vignette.

   

3. Entrez un nom d'application et cliquez sur Suivant.

   

4. Sélectionnez Activer le provisionnement.

   

5. Comme l'URL vCenter n'est pas une URL publique, le service IAM d'OCI ne pourra pas atteindre les API SCIM vCenter. Pour exposer l'API SCIM vCenter, nous configurerons la passerelle d'API OCI publique et ajouterons les routes d'API SCIM vCenter. Laissez les détails de la configuration de la connectivité pour le provisionnement vides pour le moment et remplissez la section Mappage d'attributs.

   Note :

   • Par défaut, user.id est mappé à externalId. Remplacez user.id par $(user.userName).
   • La section Provisionnement est mise à jour dans la tâche 6.

   

   Comme indiqué dans les préalables, le service IAM pour OCI doit avoir une valeur de nom d'utilisateur au format sAMAccountName (non au format courriel ou UPN) car lorsque le processus de provisionnement SCIM dans le service IAM pour OCI crée des comptes d'utilisateur dans vCenter, sAMAccountName de l'utilisateur (par exemple, jdoe) est utilisé comme identificateur principal. Reportez-vous à l'exemple de mappage d'attributs suivant.

   

6. Dans la section Sélectionner une opération de provisionnement, sélectionnez Créer un compte, Supprimer le compte, Pousser les mises à jour d'utilisateur, Pousser le statut d'activation/désactivation de l'utilisateur, activez Activer la synchronisation et utilisez la configuration par défaut.

   

   

Tâche 4 : Créer un ensemble AC

Pour établir une connectivité sécurisée entre la passerelle d'API OCI et VCenter, nous devons fournir des certificats d'autorité de certification racine approuvés VCenter dans la passerelle d'API OCI.

1. Connectez-vous à la console OCI, naviguez jusqu'à Identité et sécurité, Certificats et Ensembles AC.

   

2. Dans la page Créer un ensemble AC, sélectionnez un compartiment approprié et indiquez un nom valide pour votre ensemble et collez le contenu du certificat téléchargé dans la tâche 2.

   

Tâche 5 : Configurer la passerelle d'API OCI

Pour permettre au service IAM d'OCI d'atteindre en toute sécurité les API SCIM vCenter, qui ne sont pas exposées à Internet, une passerelle d'API OCI agit en tant que mandataire, assurant une communication transparente et sécurisée entre le service IAM d'OCI et les API SCIM vCenter.

1. Connectez-vous à la console OCI, naviguez jusqu'à Services de développement, Gestion d'API et Passerelles.

   

2. Dans la page Créer une passerelle, entrez un nom approprié, sélectionnez un réseau en nuage virtuel souhaité et un sous-réseau public. Utilisez le certificat par défaut et cliquez sur Terminer. Attendez que la passerelle soit complètement déployée.

   

   

3. Cliquez sur Ajouter des autorités de certification pour ajouter l'ensemble AC créé lors de la tâche 4.

   

4. Cliquez sur Déploiements et sur Créer un déploiement.

   

5. Dans la section Informations de base, entrez les informations suivantes.

   • Nom : Entrez un nom valide.
   • Préfixe de chemin : Entrez /.
   • Niveau du journal d'exécution : Sélectionnez Informations.

   

   

6. Sélectionnez Aucune authentification.

   

7. Dans la section Routes, ajoutez les points d'extrémité d'API SCIM vCenter appropriés en tant que routes différentes (route 1, route 2, route 3, route 4 et route 5) et cliquez sur Suivant.

   • Route 1 : Chemin en tant que /usergroup/t/CUSTOMER/scim/v2, URL en tant que https://<VSCA URL>

     

   • Route 2 : Chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Users, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users

     

   • Route 3 : Chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Groups, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups

     

   • Route 4 : Chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Groups/{object*}, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}

     

   • Route 5 : Chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Users/{object*}, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}

     

8. Attendez la fin du déploiement et copiez l'URL du point d'extrémité.

   

Tâche 6 : Mettre à jour l'application SCIM dans OCI IAM

1. Connectez-vous à la console OCI, naviguez jusqu'à Identité et sécurité, sélectionnez votre domaine et naviguez jusqu'à Applications intégrées, sélectionnez votre application de jeton de porteur SCIM générique, collez l'URL du point d'extrémité de déploiement du service de passerelle d'API OCI.

   

   Note : Assurez-vous que seul le nom d'hôte est utilisé.

2. Entrez un URIU de base.

   

3. Ajoutez le jeton d'accès vCenter. Pour cela, vous devez vous connecter au serveur vCenter, sélectionner la configuration vCenter, générer et copier le jeton.

   

4. Collez le jeton d'accès dans l'application SCIM et cliquez sur Tester la connectivité.

   

Tâche 7 : Synchroniser les utilisateurs d'OCI IAM vers vCenter

Pour spécifier quels utilisateurs du service IAM pour OCI doivent être poussés vers le serveur vCenter, nous affecterons ces utilisateurs à l'application SCIM.

1. Connectez-vous à la console OCI, naviguez jusqu'à Identité et sécurité, sélectionnez votre domaine et naviguez jusqu'à Applications intégrées, sélectionnez votre application SCIM, cliquez sur Utilisateur et sur Affecter des utilisateurs.

   

   

   

2. Validez maintenant dans vCenter les utilisateurs poussés et affectez les autorisations appropriées. Connectez-vous au serveur vCenter, sélectionnez la configuration vCenter, cliquez sur Utilisateur et groupes dans Authentification unique, sélectionnez le domaine ajouté et validez les utilisateurs.

   

Tâche 8 : Tester

1. Entrez l'URL vSphere dans un navigateur incognito et cliquez sur CLIENT LANCEMENT DE VSPHERE.

   

   

2. Dans la page de connexion à vSphere, cliquez sur Connexion avec OCI-IAM.

   

3. La demande est redirigée vers la page de connexion au service IAM pour OCI. Entrez le nom d'utilisateur et le mot de passe.

   

   Après une authentification réussie, il passe à la page d'accueil vSphere.

   

Étapes suivantes

Dans ce tutoriel, nous avons montré comment intégrer OCI IAM à vSphere pour l'authentification fédérée, ce qui permet aux utilisateurs de se connecter au moyen d'un fournisseur d'identités centralisé et du provisionnement SCIM, ce qui garantit une synchronisation efficace des comptes d'utilisateur entre les deux systèmes. Cette intégration simplifie la gestion des identités, améliore la sécurité et l'efficacité opérationnelle des administrateurs.

Liens connexes

• Présentation des rôles d'administrateur

• Création d'une passerelle d'API

• Authentifier avec OAuth 2.0

• Comment utiliser le modèle d'application SCIM générique?

Confirmation

• Auteurs - Gautam Mishra (architecte en nuage principal), Nikhil Verma (architecte en nuage principal)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Titre et Copyright

Integrate vCenter Server Identity Provider Federation with OCI IAM for Oracle Cloud VMware Solution

G15235-02

September 2024

Copyright ©2024,

Oracle et/ou ses sociétés affiliées.