Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Intégration de la fédération de fournisseurs d'identités de serveur vCenter à OCI IAM pour Oracle Cloud VMware Solution

Introduction

Dans le paysage informatique en pleine évolution, une intégration transparente entre les systèmes est essentielle pour améliorer la sécurité et simplifier la gestion. Avec l'appliance de serveur VMware vCenter (VCSA) 8.0 U2, les administrateurs peuvent désormais tirer parti d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) pour la fédération des identités. Cette fonctionnalité est rendue possible car les clients Oracle Cloud VMware Solution ont un contrôle total sur leurs environnements, ce qui leur permet d'implémenter des modifications sans restrictions. En activant cette intégration, vous pouvez rationaliser les processus d'authentification et établir un mécanisme de contrôle d'accès unifié qui garantit que votre environnement VMware reste sécurisé, conforme et aligné sur les pratiques modernes de gestion des identités.

Ce tutoriel vise à mettre en évidence les avantages de l'adoption de fournisseurs d'identités externes pour les organisations utilisant VCSA 8.0 U2. En s'intégrant à un fournisseur d'identités externe tel qu'OCI IAM, les entreprises peuvent tirer parti de leur infrastructure d'identités existante, rationaliser les processus d'accès avec connexion unique (SSO) et améliorer la sécurité grâce à l'authentification à plusieurs facteurs. En outre, cette intégration prend en charge la séparation des tâches entre l'infrastructure et la gestion des identités, en conformité avec les meilleures pratiques en matière de sécurité et d'efficacité administrative.

Architecture

L'architecture de la fédération de fournisseurs d'identités externes reste cohérente dans vCenter, optimisée par les services d'identité VMware. Dans ce tutoriel, nous allons nous concentrer sur l'utilisation des domaines d'identité OCI IAM.

Cette intégration comporte 2 phases :

• Authentification de l'utilisateur : OAuth

  Lorsqu'un utilisateur tente de se connecter à VCSA, la demande d'authentification est redirigée de manière transparente via une demande de jeton OAuth, lancée par les services d'identité VMware, vers OCI IAM. Une fois l'authentification et la validation réussies par OCI IAM, un jeton sécurisé est renvoyé à VMware Identity Services, qui accorde ensuite l'accès utilisateur en fonction des droits d'accès qui leur sont affectés.

  

• Push utilisateur/groupe : système de gestion des identités inter-domaines (SCIM)

  OCI IAM est responsable de la gestion des utilisateurs et des groupes dans l'environnement Oracle Cloud Infrastructure, tandis que vCenter gère l'infrastructure virtuelle dans les environnements VMware. Pour garantir que les utilisateurs appropriés disposent des droits d'accès appropriés dans vCenter, le protocole SCIM est utilisé pour provisionner, mettre à jour ou déprovisionner automatiquement les utilisateurs d'OCI IAM vers vCenter. Lorsqu'un utilisateur ou un groupe est créé, modifié ou supprimé dans OCI IAM, SCIM synchronise automatiquement ces modifications dans vCenter. Cela garantit que les identités des utilisateurs des deux systèmes restent à jour sans nécessiter d'intervention manuelle.

  

  Remarque : lorsqu'un groupe est affecté dans l'application SCIM OCI IAM, ses membres sont provisionnés dans VCSA, mais le groupe lui-même n'est pas créé.

Public

Professionnels OCI IAM, administrateurs Oracle Integration, administrateurs Oracle Cloud VMware Solution et administrateurs VMware.

Prérequis

• Exigences OCI IAM :

  • Accès à une location OCI.

  • L'utilisateur dans OCI IAM doit avoir une valeur de nom utilisateur au format sAMAccountName (et non au format courriel ou UPN) car lorsque le processus de provisionnement SCIM dans OCI IAM crée des comptes utilisateur dans vCenter, sAMAccountName de l'utilisateur (par exemple, jdoe) est utilisé comme identificateur principal. Au cours du processus d'authentification, VCSA ajoute automatiquement le nom de domaine à sAMAccountName pour former l'identificateur utilisateur complet. Par exemple, si jdoe est le nom utilisateur et que le domaine est corp.example.com, l'identité résultante utilisée dans VCSA devient jdoe@corp.example.com.

  • Vous devez disposer des droits d'accès permettant de créer des applications intégrées sur OCI IAM. Pour plus d'informations, reportez-vous à Présentation des rôles d'administrateur.

  • La configuration de l'accès client doit être activée sous Accès au certificat de signature dans le paramètre Domaine d'OCI IAM.

  • VCN avec un sous-réseau public.

  • Stratégies OCI IAM appropriées pour la création d'un package d'autorité de certification et d'OCI API Gateway.

• Exigences en matière de connectivité OCI IAM et vCenter :

  • Le serveur vCenter doit pouvoir atteindre les adresses OCI IAM OAuth. Par défaut, pendant le déploiement d'Oracle Cloud VMware Solution, le VLAN vSphere (où vCenter est déployé) est déjà connecté à la passerelle NAT.

  • Assurez-vous qu'OCI IAM peut atteindre les API SCIM vCenter. Cette connectivité est établie à l'aide du service OCI API Gateway, qui sert de proxy pour faciliter la communication sécurisée entre OCI IAM et les API SCIM vCenter.

  • La passerelle d'API doit disposer des routages appropriés pour atteindre VCSA. Dans ce tutoriel, le sous-réseau de passerelle d'API et le VLAN VCSA vSphere se trouvent tous deux sur le même CIDR.

  Remarque : si la table de routage VLAN vSphere ne contient pas de routage de passerelle NAT, vous devrez créer une passerelle NAT dans le VCN et ajouter une règle de routage correspondante pour activer l'accès Internet.

Tâche 1 : inscription d'une application confidentielle dans le domaine OCI IAM

Nous allons enregistrer une application confidentielle dans le domaine OCI IAM correspondant. En utilisant cette application confidentielle, nous utiliserons le flux de code d'autorisation OAuth 2.0 pour obtenir des jetons d'accès.

1. Connectez-vous à la console OCI, accédez à Identité et sécurité et cliquez sur Domaines.

   

2. Sélectionnez votre domaine.

   

3. Cliquez sur Applications intégrées, sélectionnez Application confidentielle utilisée pour OAuth, puis cliquez sur Lancer le workflow.

   

   

4. Entrez le nom de l'application, puis cliquez sur Suivant.

   

5. Dans la section Configuration client, sélectionnez Informations d'identification client.

   

   Remarque : enregistrez l'application sans activer le code d'autorisation et l'URL de réacheminement. Mettez à jour à nouveau l'application après avoir saisi l'URL de réacheminement à partir de la tâche 2. Reportez-vous à l'explication ci-après

   

6. Terminez le flux de travail de l'application et activez-le. Copiez l'ID client et la clé secrète client.

   

7. Copiez l'URL de domaine à partir de la page Informations sur le domaine.

   

Tâche 2 : configurer le fournisseur d'identités (IdP) dans le serveur vCenter et télécharger le certificat VCenter

Nous allons intégrer le serveur vCenter à OCI IAM afin d'activer SSO pour les utilisateurs. Dans cette tâche, configurez un fichier IdP dans VCSA. Une fois IdP configuré, nous devons télécharger le certificat vCenter à utiliser dans la configuration IdP afin d'établir la confiance entre vCenter et la passerelle d'API OCI.

1. Connectez-vous en tant qu'administrateur au serveur vCenter et accédez à Accueil, Administration, Accès avec connexion unique, Configuration, Fournisseur d'identités, Sources d'identité. Dans le menu déroulant, sélectionnez Okta dans Modifier le fournisseur.

   

   Remarque : nous allons utiliser le modèle IdP Okta, mais il sera modifié avec les détails OCI IAM.

2. Vérifiez que les prérequis sont remplis et sélectionnez Suivant.

   

3. Entrez un nom d'annuaire, un nom(s) de domaine et cliquez sur Suivant.

   

4. Sélectionnez une valeur Durée de vie du jeton dans le menu déroulant et cliquez sur Suivant.

   

5. Dans la section OpenID Connect, copiez l'URI de réacheminement, entrez un nom de fournisseur d'identités, un identificateur client et une clé secrète copiés dans la tâche 1.

   Dans l'adresse OpenID, utilisez l'URL de domaine copiée dans la tâche 1 et ajoutez-la à la fin avec /.well-known/openid-configuration. Cliquez sur Suivant une fois les détails enregistrés.

   Remarque : notez l'URI de réacheminement et mettez à jour l'application confidentielle dans OCI IAM comme indiqué à l'étape 5 de la tâche 1.

   

6. Cliquez sur Terminer après avoir consulté la section de détails Fournisseur d'identités.

   

7. Cliquez sur Télécharger le certificat d'autorité de certification racine sécurisée pour télécharger le certificat d'autorité de certification racine sécurisée à partir de vCenter.

   

Tâche 3 : création d'une application SCIM dans OCI IAM

Dans cette tâche, nous allons créer une application SCIM 2.0 dans OCI IAM qui nous permettra d'indiquer les utilisateurs à partir d'OCI IAM à propager vers le serveur vCenter.

1. Connectez-vous à la console OCI, accédez à Identité et sécurité, sélectionnez votre domaine, accédez à Applications intégrées et sélectionnez Catalogue d'applications pour ajouter une nouvelle application.

   

2. Entrez GenericSCIM - Jeton de porteur dans la barre de recherche et sélectionnez la mosaïque.

   

3. Entrez le nom d'une application, puis cliquez sur Suivant.

   

4. Sélectionnez Activer le provisionnement.

   

5. Etant donné que l'URL vCenter n'est pas une URL publique, OCI IAM ne pourra pas atteindre les API SCIM vCenter. Pour exposer l'API SCIM vCenter, nous allons configurer la passerelle d'API OCI publique et ajouter des routages d'API SCIM vCenter. Laissez les détails de configuration de la connectivité de provisionnement vides pour le moment et complétez la section Mappage d'attribut.

   Remarque :

   • Par défaut, user.id est mis en correspondance avec externalId. Remplacez user.id par $(user.userName).
   • La section Provisionnement est mise à jour dans la tâche 6.

   

   Comme indiqué dans les prérequis, OCI IAM doit avoir une valeur de nom utilisateur au format sAMAccountName (et non au format e-mail ou UPN). En effet, lorsque le processus de provisionnement SCIM dans OCI IAM crée des comptes utilisateur dans vCenter, sAMAccountName de l'utilisateur (par exemple, jdoe) est utilisé comme identificateur principal. Reportez-vous à l'exemple de mappage d'attribut suivant.

   

6. Dans la section Sélectionner une opération de provisionnement, sélectionnez Créer un compte, Supprimer le compte, Transmettre les mises à jour utilisateur, Transmettre le statut d'activation/de désactivation de l'utilisateur, activez l'option Activer la synchronisation et utilisez la configuration par défaut.

   

   

Tâche 4 : créer un package d'autorité de certification

Pour établir une connectivité sécurisée entre OCI API Gateway et VCenter, nous devons fournir des certificats d'autorité de certification racine sécurisée VCenter dans OCI API Gateway.

1. Connectez-vous à la console OCI, accédez à Identité et sécurité, à Certificats et à Groupes d'autorisations de certification.

   

2. Sur la page Créer un package d'autorité de certification, sélectionnez un compartiment approprié, indiquez un nom valide dans le package, puis collez le contenu du certificat téléchargé dans la tâche 2.

   

Tâche 5 : configuration d'OCI API Gateway

Pour permettre à OCI IAM d'atteindre en toute sécurité les API SCIM vCenter, qui ne sont pas exposées à Internet, OCI API Gateway agit en tant que proxy, garantissant ainsi une communication transparente et sécurisée entre OCI IAM et les API SCIM vCenter.

1. Connectez-vous à la console OCI, accédez aux services de développeur, à la gestion des API et aux passerelles.

   

2. Sur la page Créer une passerelle, entrez le nom approprié, sélectionnez le réseau cloud virtuel souhaité et un sous-réseau public. Utilisez le certificat par défaut et cliquez sur Terminer. Attendez que la passerelle soit complètement déployée.

   

   

3. Cliquez sur Ajouter des autorités de certification pour ajouter le package d'autorité de certification créé dans la tâche 4.

   

4. Cliquez sur Déploiements et sur Créer un déploiement.

   

5. Dans la section Informations de base, entrez les informations suivantes.

   • Nom : entrez un nom valide.
   • Préfixe de chemin : entrez /.
   • Niveau de journal d'exécution : sélectionnez Informations.

   

   

6. Sélectionnez Aucune authentification.

   

7. Dans la section Routes, ajoutez les adresses d'API SCIM vCenter appropriées en tant que différentes routes (route 1, route 2, route 3, route 4 et route 5), puis cliquez sur Suivant.

   • Route 1 : chemin en tant que /usergroup/t/CUSTOMER/scim/v2, URL en tant que https://<VSCA URL>

     

   • Route 2 : chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Users, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users

     

   • Route 3 : chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Groups, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups

     

   • Route 4 : chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Groups/{object*}, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}

     

   • Route 5 : chemin en tant que /usergroup/t/CUSTOMER/scim/v2/Users/{object*}, URL en tant que https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}

     

8. Attendez la fin du déploiement et copiez l'URL de l'adresse.

   

Tâche 6 : mise à jour de l'application SCIM dans OCI IAM

1. Connectez-vous à la console OCI, accédez à Identité et sécurité, sélectionnez votre domaine et accédez à Applications intégrées, sélectionnez votre application de jeton de support SCIM générique, collez l'URL d'adresse de déploiement OCI API Gateway.

   

   Remarque : assurez-vous que seul le nom d'hôte est utilisé.

2. Entrez l'URI de base.

   

3. Ajoutez le jeton d'accès vCenter. Pour cela, vous devez vous connecter au serveur vCenter, sélectionner la configuration vCenter, générer et copier le jeton.

   

4. Collez le jeton d'accès dans l'application SCIM et cliquez sur Tester la connectivité.

   

Tâche 7 : synchronisation des utilisateurs d'OCI IAM vers vCenter

Pour indiquer les utilisateurs d'OCI IAM à propager vers le serveur vCenter, nous allons les affecter à l'application SCIM.

1. Connectez-vous à la console OCI, accédez à Identité et sécurité, sélectionnez votre domaine et accédez à Applications intégrées, sélectionnez votre application SCIM, cliquez sur Utilisateur et sur Affecter des utilisateurs.

   

   

   

2. Validez à présent les utilisateurs propagés dans vCenter et affectez-leur les droits d'accès appropriés. Connectez-vous au serveur vCenter, sélectionnez la configuration vCenter, cliquez sur Utilisateur et groupes dans l'authentification unique, sélectionnez le domaine ajouté et validez les utilisateurs.

   

Tâche 8 : test

1. Entrez l'URL vSphere dans un navigateur incognito et cliquez sur CLIENT LAUNCH VSPHERE.

   

   

2. Sur la page de connexion vSphere, cliquez sur Se connecter à OCI-IAM.

   

3. La demande est redirigée vers la page de connexion à OCI IAM. Entrez le nom utilisateur et le mot de passe.

   

   Une fois l'authentification réussie, elle passe à la page d'accueil vSphere.

   

Etapes suivantes

Dans ce tutoriel, nous avons expliqué comment intégrer OCI IAM à vSphere pour l'authentification fédérée, ce qui permet aux utilisateurs de se connecter via un fournisseur d'identités centralisé et le provisionnement SCIM, garantissant ainsi une synchronisation efficace des comptes utilisateur entre les deux systèmes. Cette intégration simplifie la gestion des identités, améliore la sécurité et l'efficacité opérationnelle pour les administrateurs.

Liens connexes

• Présentation des rôles d'administrateur

• Création d'une passerelle d'API

• Authentifier avec OAuth 2.0

• Utilisation du modèle d'application SCIM générique

Remerciements

• Auteurs - Gautam Mishra (architecte cloud principal), Nikhil Verma (architecte cloud principal)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Integrate vCenter Server Identity Provider Federation with OCI IAM for Oracle Cloud VMware Solution

G15236-02

September 2024

Copyright ©2024,

Oracle et/ou ses affiliés.