Nota

Integra vCenter Server Identity Provider Federation con IAM OCI per Oracle Cloud VMware Solution

Introduzione

Nell'attuale panorama IT in rapida evoluzione, la perfetta integrazione tra i sistemi è essenziale per migliorare la sicurezza e semplificare la gestione. Con VMware vCenter Server Appliance (VCSA) 8.0 U2, gli amministratori possono ora sfruttare Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) per la federazione delle identità. Questa funzionalità è possibile perché i clienti di Oracle Cloud VMware Solution hanno il controllo completo sui propri ambienti, consentendo loro di implementare le modifiche senza restrizioni. Abilitando questa integrazione, puoi semplificare i processi di autenticazione e creare un meccanismo di controllo dell'accesso unificato che garantisca che l'ambiente VMware rimanga sicuro, conforme e allineato alle moderne pratiche di gestione delle identità.

Questo tutorial mira a evidenziare i vantaggi dell'adozione di provider di identità esterni per le organizzazioni che utilizzano VCSA 8.0 U2. Grazie all'integrazione con un provider di identità esterno come OCI IAM, le organizzazioni possono sfruttare la propria infrastruttura di identità esistente, semplificare i processi Single Sign-On (SSO) e migliorare la sicurezza tramite l'autenticazione a più fattori. Inoltre, questa integrazione supporta la separazione dei compiti tra infrastruttura e gestione delle identità, allineandosi alle best practice per la sicurezza e l'efficienza amministrativa.

Architettura

L'architettura per la federazione dei provider di identità esterni rimane coerente in vCenter, con tecnologia VMware Identity Services. In questa esercitazione ci concentreremo sull'utilizzo dei domini di Identity IAM OCI.

Questa integrazione prevede 2 fasi:

Destinatari

Professionisti di IAM OCI, amministratori di Oracle Integration, amministratori di Oracle Cloud VMware Solution e amministratori di VMware.

Prerequisiti

Task 1: registrare un'applicazione riservata nel dominio IAM OCI

Registreremo un'applicazione riservata nel rispettivo dominio IAM OCI. Utilizzando questa applicazione riservata utilizzeremo il flusso di codice di autorizzazione OAuth 2.0 per ottenere i token di accesso.

  1. Eseguire il login a OCI Console, andare a Identità e sicurezza e fare clic su Domini.

    Immagine 3

  2. Selezionare il dominio.

    Immagine 4

  3. Fare clic su Applicazioni integrate, selezionare Applicazione riservata utilizzata per OAuth e fare clic su Avvia workflow.

    Immagine 5

    Immagine 6

  4. Immettere il nome per l'applicazione e fare clic su Successivo.

    Immagine 7

  5. Nella sezione Configurazione client, selezionare Credenziali client.

    Immagine 61

    Nota: salvare l'applicazione senza abilitare il codice autorizzazione e l'URL di reindirizzamento. Aggiornare di nuovo l'applicazione dopo aver recuperato l'URL di reindirizzamento dal task 2. Vedere di seguito

    Immagine 58

  6. Completare il flusso di lavoro dell'applicazione e attivarlo. Copiare i valori ID client e Segreto client.

    Immagine 62

  7. Copiare l'URL dominio dalla pagina Informazioni dominio.

    Immagine 16

Task 2: configurare il provider di identità (IdP) nel server vCenter e scaricare il certificato VCenter

Il server vCenter verrà integrato con IAM OCI per abilitare SSO per gli utenti. In questo task, configurare un valore IdP in VCSA. Una volta configurato IdP, è necessario scaricare il certificato vCenter da utilizzare nella configurazione IdP per stabilire la sicurezza tra vCenter e il gateway API OCI.

  1. Eseguire il login come amministratore al server vCenter e passare a Home, Amministrazione, Single Sign On, Configurazione, Provider di identità, Origini di identità. Dal menu a discesa, selezionare Okta per Modifica provider.

    Immagine 12

    Nota: il modello IdP di Okta verrà utilizzato, ma verrà modificato con i dettagli IAM OCI.

  2. Confermare che i prerequisiti siano stati soddisfatti e selezionare Avanti.

    Immagine 13

  3. Immettere un valore in Nome directory, Nome o nomi di dominio e fare clic su Avanti.

    Immagine 14

  4. Selezionare un valore per Durata token nell'elenco a discesa e fare clic su Avanti.

    Immagine 15

  5. Nella sezione OpenID Connect copiare l'URI di reindirizzamento, immettere un nome provider di identità, un identificativo client e un segreto copiati nel task 1.

    In OpenID Indirizzo, utilizzare l'URL dominio copiato nel task 1 e aggiungerlo con /.well-known/openid-configuration. Dopo aver salvato i dettagli, fare clic su Avanti.

    Nota: tenere presente l'URI di reindirizzamento e aggiornare l'applicazione riservata in IAM OCI come indicato nel task 1, passo 5.

    Immagine 17

  6. Fare clic su Fine dopo aver esaminato la sezione dei dettagli del provider di identità.

    Immagine 18

  7. Fare clic su Scarica certificato CA root attendibile per scaricare il certificato CA root attendibile da vCenter.

    Immagine 30

Task 3: Creare un'applicazione SCIM in IAM OCI

In questo task, creeremo un'applicazione SCIM 2.0 in IAM OCI che ci consentirà di specificare quali utenti di IAM OCI devono essere sottoposti a push nel server vCenter.

  1. Eseguire il login a OCI Console, passare a Identità e sicurezza, selezionare il dominio e passare a Applicazioni integrate, quindi selezionare Catalogo applicazioni per aggiungere una nuova applicazione.

    Immagine 19

  2. Immettere GenericSCIM - Token servizio di trasporto nella barra di ricerca e selezionare la casella.

    Immagine 20

  3. Immettere un nome per l'applicazione e fare clic su Successivo.

    Immagine 21

  4. Selezionare Abilita provisioning.

    Immagine 22

  5. Poiché l'URL vCenter non è un URL pubblico, IAM OCI non sarà in grado di raggiungere le API SCIM vCenter. Per esporre l'API SCIM vCenter, configureremo il gateway API OCI pubblico e aggiungeremo gli instradamenti API SCIM vCenter. Lasciare vuoti per il momento i dettagli di Configura connettività di provisioning e completare la sezione Mapping attributi.

    Nota:

    • Per impostazione predefinita, user.id viene mappato con externalId. Sostituire user.id con $(user.userName).
    • La sezione Provisioning viene aggiornata nel task 6.

    Immagine 23

    Come indicato nei prerequisiti, IAM OCI deve avere il valore Nome utente in formato sAMAccountName (non in formato di posta elettronica o UPN) perché quando il processo di provisioning SCIM in IAM OCI crea gli account utente in vCenter, sAMAccountName dell'utente (ad esempio, jdoe) viene utilizzato come identificativo primario. Fare riferimento al mapping degli attributi di esempio riportato di seguito.

    Immagine 63

  6. Nella sezione Seleziona operazione di provisioning selezionare Crea un account, Elimina l'account, Esegui push aggiornamenti utente, Esegui push stato attivazione/disattivazione utente, abilitare Abilita sincronizzazione e utilizzare la configurazione predefinita.

    Immagine 64

    Immagine 65

Task 4: Creare un bundle CA

Per stabilire una connettività sicura tra il gateway API OCI e VCenter, è necessario fornire certificati CA root sicuri VCenter nel gateway API OCI.

  1. Eseguire il login alla console OCI, passare a Identità e sicurezza, Certificati e Bundle CA.

    Immagine 31

  2. Nella pagina Crea bundle CA selezionare un compartimento appropriato e fornire un nome valido al bundle, quindi incollare il contenuto del certificato scaricato nel task 2.

    Immagine 32

Task 5: Configurare OCI API Gateway

Per consentire a IAM OCI di raggiungere le API SCIM vCenter, che non sono esposte a Internet, un gateway API OCI funge da proxy, garantendo una comunicazione perfetta e sicura tra IAM OCI e le API SCIM vCenter.

  1. Eseguire il login alla console OCI, passare a Servizi per sviluppatori, Gestione API e Gateway.

    Immagine 27

  2. Nella pagina Crea gateway, immettere un nome appropriato, selezionare una rete cloud virtuale e una subnet pubblica desiderate. Utilizzare il certificato predefinito e fare clic su Fine. Attendere che il gateway venga distribuito completamente.

    Immagine 28

    Immagine 29

  3. Fare clic su Aggiungi autorità di certificazione per aggiungere il bundle CA creato nel task 4.

    Immagine 33

  4. Fare clic su Distribuzioni e su Crea distribuzione.

    Immagine 34

  5. Nella sezione Informazioni di base, immettere le informazioni riportate di seguito.

    • Nome: immettere un nome valido.
    • Prefisso percorso: immettere /.
    • Livello di log di esecuzione: selezionare Informazioni.

    Immagine 35

    Immagine 36

  6. Selezionare Nessuna autenticazione.

    Immagine 37

  7. Nella sezione Instradamenti, aggiungere gli endpoint API vCenter SCIM appropriati come instradamenti diversi (instradamento 1, instradamento 2, instradamento 3, instradamento 4 e instradamento 5) e fare clic su Successivo.

    • Percorso 1: percorso come /usergroup/t/CUSTOMER/scim/v2, URL come https://<VSCA URL>

      Immagine 38

    • Percorso 2: percorso come /usergroup/t/CUSTOMER/scim/v2/Users, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users

      Immagine 39

    • Percorso 3: percorso come /usergroup/t/CUSTOMER/scim/v2/Groups, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups

      Immagine 40

    • Percorso 4: percorso come /usergroup/t/CUSTOMER/scim/v2/Groups/{object*}, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}

      Immagine 41

    • Percorso 5: percorso come /usergroup/t/CUSTOMER/scim/v2/Users/{object*}, URL come https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}

      Immagine 42

  8. Attendere il completamento della distribuzione e copiare l'URL dell'endpoint.

    Immagine 43

Task 6: aggiornare l'applicazione SCIM in IAM OCI

  1. Eseguire il login a OCI Console, passare a Identità e sicurezza, selezionare il dominio e passare a Applicazioni integrate, selezionare l'applicazione di token SCIM bearer generica, incollare l'URL dell'endpoint di distribuzione di OCI API Gateway.

    Immagine 44

    Nota: assicurarsi che venga utilizzato solo il nome host.

  2. Immettere Base URI.

    Immagine 45

  3. Aggiungere il token di accesso vCenter. Per eseguire questa operazione, è necessario eseguire il login al server vCenter, selezionare la configurazione vCenter, generare e copiare il token.

    Immagine 67

  4. Incollare il token di accesso nell'applicazione SCIM e fare clic su Test della connettività.

    Immagine 66

Task 7: sincronizzare gli utenti da IAM OCI a vCenter

Per specificare quali utenti di IAM OCI devono essere sottoposti a push nel server vCenter, assegneremo tali utenti all'applicazione SCIM.

  1. Eseguire il login alla console OCI, passare a Identità e sicurezza, selezionare il dominio e passare a Applicazioni integrate, selezionare l'applicazione SCIM, fare clic su Utente e Assegna utenti.

    Immagine 48

    Immagine 49

    Immagine 50

  2. Ora convalidare in vCenter gli utenti sottoposti a PUSH e assegnare le autorizzazioni appropriate. Eseguire il login al server vCenter, selezionare la configurazione vCenter, fare clic su Utente e gruppi in Single Sign-On, selezionare il dominio aggiunto e convalidare gli utenti.

    Immagine 51

Task 8: Test

  1. Immettere l'URL vSphere in un browser in incognito e fare clic su LANCIA CLIENTE VSPHERE.

    Immagine 52

    Immagine 53

  2. Nella pagina di login vSphere fare clic su Iscriviti con IAM OCI.

    Immagine 54

  3. La richiesta viene reindirizzata alla pagina di login di IAM OCI. Immettere il nome utente e la password.

    Immagine 56

    Una volta completata l'autenticazione, viene visualizzata la home page vSphere.

    Immagine 55

Passi successivi

In questa esercitazione abbiamo illustrato come integrare IAM OCI con vSphere per l'autenticazione federata, consentendo agli utenti di eseguire il login tramite un provider di identità centralizzato e il provisioning SCIM, garantendo la sincronizzazione efficiente degli account utente tra i due sistemi. Questa integrazione semplifica la gestione delle identità, migliora la sicurezza e migliora l'efficienza operativa per gli amministratori.

Conferme

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.