Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Integra vCenter Server Identity Provider Federation con IAM OCI per Oracle Cloud VMware Solution

Introduzione

Nell'attuale panorama IT in rapida evoluzione, la perfetta integrazione tra i sistemi è essenziale per migliorare la sicurezza e semplificare la gestione. Con VMware vCenter Server Appliance (VCSA) 8.0 U2, gli amministratori possono ora sfruttare Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) per la federazione delle identità. Questa funzionalità è possibile perché i clienti di Oracle Cloud VMware Solution hanno il controllo completo sui propri ambienti, consentendo loro di implementare le modifiche senza restrizioni. Abilitando questa integrazione, puoi semplificare i processi di autenticazione e creare un meccanismo di controllo dell'accesso unificato che garantisca che l'ambiente VMware rimanga sicuro, conforme e allineato alle moderne pratiche di gestione delle identità.

Questo tutorial mira a evidenziare i vantaggi dell'adozione di provider di identità esterni per le organizzazioni che utilizzano VCSA 8.0 U2. Grazie all'integrazione con un provider di identità esterno come OCI IAM, le organizzazioni possono sfruttare la propria infrastruttura di identità esistente, semplificare i processi Single Sign-On (SSO) e migliorare la sicurezza tramite l'autenticazione a più fattori. Inoltre, questa integrazione supporta la separazione dei compiti tra infrastruttura e gestione delle identità, allineandosi alle best practice per la sicurezza e l'efficienza amministrativa.

Architettura

L'architettura per la federazione dei provider di identità esterni rimane coerente in vCenter, con tecnologia VMware Identity Services. In questa esercitazione ci concentreremo sull'utilizzo dei domini di Identity IAM OCI.

Questa integrazione prevede 2 fasi:

• Autenticazione utente: OAuth

  Quando un utente tenta di eseguire il login a VCSA, la richiesta di autenticazione viene reindirizzata senza problemi tramite una richiesta di token OAuth, avviata da VMware Identity Services, a IAM OCI. Dopo l'autenticazione e la convalida riuscite da parte di IAM OCI, un token sicuro viene restituito a VMware Identity Services, che quindi concede all'utente l'accesso in base alle autorizzazioni assegnate.

  

• Push utente/gruppo: sistema per SCIM (Cross-Domain Identity Management)

  IAM OCI è responsabile della gestione di utenti e gruppi all'interno dell'ambiente Oracle Cloud Infrastructure, mentre vCenter gestisce l'infrastruttura virtuale negli ambienti VMware. Per garantire che gli utenti giusti dispongano delle autorizzazioni di accesso corrette in vCenter, viene utilizzato il protocollo SCIM per eseguire automaticamente il provisioning, l'aggiornamento o l'annullamento del provisioning degli utenti da IAM OCI a vCenter. Quando un utente o un gruppo viene creato, modificato o eliminato in IAM OCI, SCIM sincronizza automaticamente queste modifiche in vCenter. Ciò garantisce che le identità degli utenti in entrambi i sistemi rimangano aggiornate senza richiedere l'intervento manuale.

  

  Nota: quando un gruppo viene assegnato nell'applicazione SCIM IAM OCI, il provisioning dei relativi membri viene eseguito in VCSA, ma il gruppo non viene creato.

Destinatari

Professionisti di IAM OCI, amministratori di Oracle Integration, amministratori di Oracle Cloud VMware Solution e amministratori di VMware.

Prerequisiti

• Requisiti IAM OCI:

  • Accesso a una tenancy OCI.

  • L'utente in IAM OCI deve avere il valore Nome utente in formato sAMAccountName (non in formato di posta elettronica o UPN) perché quando il processo di provisioning SCIM in IAM OCI crea gli account utente in vCenter, l'sAMAccountName dell'utente (ad esempio, jdoe) viene utilizzato come identificativo primario. Durante il processo di autenticazione, VCSA aggiunge automaticamente il nome di dominio al sAMAccountName per formare l'identificativo utente completamente qualificato. Ad esempio, se jdoe è il nome utente e il dominio è corp.example.com, l'identità risultante utilizzata in VCSA diventa jdoe@corp.example.com.

  • Per creare applicazioni integrate in IAM OCI, è necessario disporre delle autorizzazioni. Per ulteriori informazioni, vedere Introduzione ai ruoli di amministratore.

  • Configurare l'accesso client deve essere abilitato in Certificato di firma di accesso nell'impostazione Dominio di IAM OCI.

  • VCN con una subnet pubblica.

  • Criteri IAM OCI appropriati per la creazione del bundle CA (Certificate Authority) e del gateway API OCI.

• Requisiti di connettività IAM e vCenter OCI:

  • Il server vCenter deve essere in grado di raggiungere gli endpoint OAuth IAM OCI. Per impostazione predefinita, durante la distribuzione di Oracle Cloud VMware Solution, la VLAN vSphere (in cui è stato distribuito vCenter) è già connessa al gateway NAT.

  • Assicurati che IAM OCI possa raggiungere le API SCIM vCenter. Questa connettività viene stabilita utilizzando il servizio gateway API OCI, che funge da proxy per facilitare la comunicazione sicura tra IAM OCI e le API SCIM vCenter.

  • Il gateway API deve disporre di percorsi appropriati per raggiungere VCSA. In questa esercitazione, la subnet del gateway API e la VLAN VCSA vSphere si trovano entrambe nello stesso CIDR.

  Nota: se la tabella di instradamento della VLAN vSphere non contiene un instradamento del gateway NAT, sarà necessario creare un nuovo gateway NAT nella VCN e aggiungere una regola di instradamento corrispondente per abilitare l'accesso a Internet.

Task 1: registrare un'applicazione riservata nel dominio IAM OCI

Registreremo un'applicazione riservata nel rispettivo dominio IAM OCI. Utilizzando questa applicazione riservata utilizzeremo il flusso di codice di autorizzazione OAuth 2.0 per ottenere i token di accesso.

1. Eseguire il login a OCI Console, andare a Identità e sicurezza e fare clic su Domini.

   

2. Selezionare il dominio.

   

3. Fare clic su Applicazioni integrate, selezionare Applicazione riservata utilizzata per OAuth e fare clic su Avvia workflow.

   

   

4. Immettere il nome per l'applicazione e fare clic su Successivo.

   

5. Nella sezione Configurazione client, selezionare Credenziali client.

   

   Nota: salvare l'applicazione senza abilitare il codice autorizzazione e l'URL di reindirizzamento. Aggiornare di nuovo l'applicazione dopo aver recuperato l'URL di reindirizzamento dal task 2. Vedere di seguito

   

6. Completare il flusso di lavoro dell'applicazione e attivarlo. Copiare i valori ID client e Segreto client.

   

7. Copiare l'URL dominio dalla pagina Informazioni dominio.

   

Task 2: configurare il provider di identità (IdP) nel server vCenter e scaricare il certificato VCenter

Il server vCenter verrà integrato con IAM OCI per abilitare SSO per gli utenti. In questo task, configurare un valore IdP in VCSA. Una volta configurato IdP, è necessario scaricare il certificato vCenter da utilizzare nella configurazione IdP per stabilire la sicurezza tra vCenter e il gateway API OCI.

1. Eseguire il login come amministratore al server vCenter e passare a Home, Amministrazione, Single Sign On, Configurazione, Provider di identità, Origini di identità. Dal menu a discesa, selezionare Okta per Modifica provider.

   

   Nota: il modello IdP di Okta verrà utilizzato, ma verrà modificato con i dettagli IAM OCI.

2. Confermare che i prerequisiti siano stati soddisfatti e selezionare Avanti.

   

3. Immettere un valore in Nome directory, Nome o nomi di dominio e fare clic su Avanti.

   

4. Selezionare un valore per Durata token nell'elenco a discesa e fare clic su Avanti.

   

5. Nella sezione OpenID Connect copiare l'URI di reindirizzamento, immettere un nome provider di identità, un identificativo client e un segreto copiati nel task 1.

   In OpenID Indirizzo, utilizzare l'URL dominio copiato nel task 1 e aggiungerlo con /.well-known/openid-configuration. Dopo aver salvato i dettagli, fare clic su Avanti.

   Nota: tenere presente l'URI di reindirizzamento e aggiornare l'applicazione riservata in IAM OCI come indicato nel task 1, passo 5.

   

6. Fare clic su Fine dopo aver esaminato la sezione dei dettagli del provider di identità.

   

7. Fare clic su Scarica certificato CA root attendibile per scaricare il certificato CA root attendibile da vCenter.

   

Task 3: Creare un'applicazione SCIM in IAM OCI

In questo task, creeremo un'applicazione SCIM 2.0 in IAM OCI che ci consentirà di specificare quali utenti di IAM OCI devono essere sottoposti a push nel server vCenter.

1. Eseguire il login a OCI Console, passare a Identità e sicurezza, selezionare il dominio e passare a Applicazioni integrate, quindi selezionare Catalogo applicazioni per aggiungere una nuova applicazione.

   

2. Immettere GenericSCIM - Token servizio di trasporto nella barra di ricerca e selezionare la casella.

   

3. Immettere un nome per l'applicazione e fare clic su Successivo.

   

4. Selezionare Abilita provisioning.

   

5. Poiché l'URL vCenter non è un URL pubblico, IAM OCI non sarà in grado di raggiungere le API SCIM vCenter. Per esporre l'API SCIM vCenter, configureremo il gateway API OCI pubblico e aggiungeremo gli instradamenti API SCIM vCenter. Lasciare vuoti per il momento i dettagli di Configura connettività di provisioning e completare la sezione Mapping attributi.

   Nota:

   • Per impostazione predefinita, user.id viene mappato con externalId. Sostituire user.id con $(user.userName).
   • La sezione Provisioning viene aggiornata nel task 6.

   

   Come indicato nei prerequisiti, IAM OCI deve avere il valore Nome utente in formato sAMAccountName (non in formato di posta elettronica o UPN) perché quando il processo di provisioning SCIM in IAM OCI crea gli account utente in vCenter, sAMAccountName dell'utente (ad esempio, jdoe) viene utilizzato come identificativo primario. Fare riferimento al mapping degli attributi di esempio riportato di seguito.

   

6. Nella sezione Seleziona operazione di provisioning selezionare Crea un account, Elimina l'account, Esegui push aggiornamenti utente, Esegui push stato attivazione/disattivazione utente, abilitare Abilita sincronizzazione e utilizzare la configurazione predefinita.

   

   

Task 4: Creare un bundle CA

Per stabilire una connettività sicura tra il gateway API OCI e VCenter, è necessario fornire certificati CA root sicuri VCenter nel gateway API OCI.

1. Eseguire il login alla console OCI, passare a Identità e sicurezza, Certificati e Bundle CA.

   

2. Nella pagina Crea bundle CA selezionare un compartimento appropriato e fornire un nome valido al bundle, quindi incollare il contenuto del certificato scaricato nel task 2.

   

Task 5: Configurare OCI API Gateway

Per consentire a IAM OCI di raggiungere le API SCIM vCenter, che non sono esposte a Internet, un gateway API OCI funge da proxy, garantendo una comunicazione perfetta e sicura tra IAM OCI e le API SCIM vCenter.

1. Eseguire il login alla console OCI, passare a Servizi per sviluppatori, Gestione API e Gateway.

   

2. Nella pagina Crea gateway, immettere un nome appropriato, selezionare una rete cloud virtuale e una subnet pubblica desiderate. Utilizzare il certificato predefinito e fare clic su Fine. Attendere che il gateway venga distribuito completamente.

   

   

3. Fare clic su Aggiungi autorità di certificazione per aggiungere il bundle CA creato nel task 4.

   

4. Fare clic su Distribuzioni e su Crea distribuzione.

   

5. Nella sezione Informazioni di base, immettere le informazioni riportate di seguito.

   • Nome: immettere un nome valido.
   • Prefisso percorso: immettere /.
   • Livello di log di esecuzione: selezionare Informazioni.

   

   

6. Selezionare Nessuna autenticazione.

   

7. Nella sezione Instradamenti, aggiungere gli endpoint API vCenter SCIM appropriati come instradamenti diversi (instradamento 1, instradamento 2, instradamento 3, instradamento 4 e instradamento 5) e fare clic su Successivo.

   • Percorso 1: percorso come /usergroup/t/CUSTOMER/scim/v2, URL come https://<VSCA URL>

     

   • Percorso 2: percorso come /usergroup/t/CUSTOMER/scim/v2/Users, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users

     

   • Percorso 3: percorso come /usergroup/t/CUSTOMER/scim/v2/Groups, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups

     

   • Percorso 4: percorso come /usergroup/t/CUSTOMER/scim/v2/Groups/{object*}, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}

     

   • Percorso 5: percorso come /usergroup/t/CUSTOMER/scim/v2/Users/{object*}, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}

     

8. Attendere il completamento della distribuzione e copiare l'URL dell'endpoint.

   

Task 6: aggiornare l'applicazione SCIM in IAM OCI

1. Eseguire il login a OCI Console, passare a Identità e sicurezza, selezionare il dominio e passare a Applicazioni integrate, selezionare l'applicazione di token SCIM bearer generica, incollare l'URL dell'endpoint di distribuzione di OCI API Gateway.

   

   Nota: assicurarsi che venga utilizzato solo il nome host.

2. Immettere Base URI.

   

3. Aggiungere il token di accesso vCenter. Per eseguire questa operazione, è necessario eseguire il login al server vCenter, selezionare la configurazione vCenter, generare e copiare il token.

   

4. Incollare il token di accesso nell'applicazione SCIM e fare clic su Test della connettività.

   

Task 7: sincronizzare gli utenti da IAM OCI a vCenter

Per specificare quali utenti di IAM OCI devono essere sottoposti a push nel server vCenter, assegneremo tali utenti all'applicazione SCIM.

1. Eseguire il login alla console OCI, passare a Identità e sicurezza, selezionare il dominio e passare a Applicazioni integrate, selezionare l'applicazione SCIM, fare clic su Utente e Assegna utenti.

   

   

   

2. Ora convalidare in vCenter gli utenti sottoposti a PUSH e assegnare le autorizzazioni appropriate. Eseguire il login al server vCenter, selezionare la configurazione vCenter, fare clic su Utente e gruppi in Single Sign-On, selezionare il dominio aggiunto e convalidare gli utenti.

   

Task 8: Test

1. Immettere l'URL vSphere in un browser in incognito e fare clic su LANCIA CLIENTE VSPHERE.

   

   

2. Nella pagina di login vSphere fare clic su Iscriviti con IAM OCI.

   

3. La richiesta viene reindirizzata alla pagina di login di IAM OCI. Immettere il nome utente e la password.

   

   Una volta completata l'autenticazione, viene visualizzata la home page vSphere.

   

Passi successivi

In questa esercitazione abbiamo illustrato come integrare IAM OCI con vSphere per l'autenticazione federata, consentendo agli utenti di eseguire il login tramite un provider di identità centralizzato e il provisioning SCIM, garantendo la sincronizzazione efficiente degli account utente tra i due sistemi. Questa integrazione semplifica la gestione delle identità, migliora la sicurezza e migliora l'efficienza operativa per gli amministratori.

Collegamenti correlati

• Informazioni sui ruoli di amministratore

• Creazione di un gateway API

• Autentica con OAuth 2.0

• Modalità di utilizzo del modello di applicazione SCIM generico

Conferme

• Autori - Gautam Mishra (Principal Cloud Architect), Nikhil Verma (Principal Cloud Architect)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Integrate vCenter Server Identity Provider Federation with OCI IAM for Oracle Cloud VMware Solution

G15237-02

September 2024

Copyright ©2024,

Oracle e/o relative consociate.