附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱 Oracle Cloud Infrastructure Free Tier 入門。
• 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特定的值。

將 vCenter Server Identity Provider Federation 與 Oracle Cloud VMware Solution 的 OCI IAM 整合

簡介

在現今迅速發展的 IT 環境中，系統間的無縫整合對於加強安全性和簡化管理至關重要。透過 VMware vCenter Server Appliance (VCSA) 8.0 U2，管理員現在可以利用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 進行識別同盟。Oracle Cloud VMware Solution 客戶可以完全控制其環境，讓客戶無須限制即可導入變更。透過啟用此整合，您可以簡化驗證程序並建立統一的存取控制機制，確保您的 VMware 環境保持安全、符合規範，並符合現代化的身分管理實務。

本教學課程旨在重點介紹使用 VCSA 8.0 U2 為組織採用外部身分識別提供者的優點。透過與 OCI IAM 等外部身分識別提供者整合，組織可以利用現有的身分識別基礎架構、簡化單一登入 (SSO) 流程，並透過多重因素認證增強安全性。此外，此整合支援基礎架構與身分識別管理之間的職責劃分，符合安全性與管理效率的最佳做法。

架構

外部身分識別提供者同盟的架構在 vCenter 之間保持一致，由 VMware Identity Services 提供支援。在本教學課程中，我們將著重於運用 OCI IAM 識別網域。

此整合中有兩個階段：

• 使用者認證：OAuth

  當使用者嘗試登入 VCSA 時，會透過 VMware Identity Services 起始的 OAuth 權杖要求，順暢地將認證要求重新導向至 OCI IAM。OCI IAM 成功驗證並驗證後，安全權杖會傳回至 VMware Identity Services，然後根據使用者指定的權限授予使用者存取權。

  

• 使用者 / 群組推送：跨網域識別管理系統 (SCIM)

  OCI IAM 負責管理 Oracle Cloud Infrastructure 環境內的使用者和群組，而 vCenter 則負責管理 VMware 環境中的虛擬基礎架構。為了確保正確的使用者在 vCenter 中具有正確的存取權限， SCIM 通訊協定用於自動佈建、更新或取消佈建 OCI IAM 到 vCenter 的使用者。在 OCI IAM 中建立、修改或刪除使用者或群組時，SCIM 會自動同步處理 vCenter 中的這些變更。這可確保兩個系統中的使用者識別保持在最新狀態，而不需手動介入。

  

  注意：在 OCI IAM SCIM 應用程式中指派群組時，其成員會在 VCSA 中佈建，但不會建立群組本身。

適用對象

OCI IAM 專業人員、Oracle Integration 管理員、Oracle Cloud VMware Solution 管理員及 VMware 管理員。

必要條件

• OCI IAM 需求：

  • 存取 OCI 租用戶。

  • OCI IAM 中的使用者必須具有 sAMAccountName 格式的使用者名稱值 (不是電子郵件或 UPN 格式)，因為當 OCI IAM 中的 SCIM 佈建程序以 vCenter 建立使用者帳戶時，會使用使用者的 sAMAccountName (例如 jdoe) 作為主要 ID。進行認證程序時，VCSA 會自動將網域名稱附加到 sAMAccountName，以形成完整的使用者 ID。例如，如果 jdoe 是使用者名稱，而網域是 corp.example.com，則 VCSA 中使用的結果識別會變成 jdoe@corp.example.com。

  • 您必須具備在 OCI IAM 上建立整合應用程式的權限。如需詳細資訊，請參閱瞭解管理員角色。

  • 必須在 OCI IAM 之網域設定中的存取簽署憑證底下啟用設定從屬端存取。

  • 具有公用子網路的 VCN。

  • 用於建立憑證授權機構 (CA) 組合和 OCI API 閘道的適當 OCI IAM 原則。

• OCI IAM 和 vCenter 連線需求：

  • vCenter 伺服器必須能夠連線 OCI IAM OAuth 端點。依照預設，在 Oracle Cloud VMware Solution 部署期間，vSphere VLAN (部署 vCenter 的位置) 已連線至 NAT 閘道。

  • 確定 OCI IAM 可連線至 vCenter SCIM API。此連線使用 OCI API 閘道服務建立，此服務可作為代理主機，以促進 OCI IAM 與 vCenter SCIM API 之間的安全通訊。

  • API 閘道必須有適當的路由，才能連線 VCSA。在本教學課程中，API 閘道子網路和 vSphere VCSA VLAN 都位於相同的 CIDR 上。

  注意： 如果 vSphere VLAN 路由表未包含 NAT 閘道路由，您將需要在 VCN 中建立新的 NAT 閘道，然後新增對應的路由規則以啟用網際網路存取。

作業 1：在 OCI IAM 網域中註冊機密應用程式

我們會在個別的 OCI IAM 網域中註冊機密應用程式。使用此機密應用程式，我們將使用 OAuth 2.0 授權碼流程來取得存取權杖。

1. 登入 OCI 主控台，前往識別與安全，然後按一下網域。

   

2. 選取您的網域。

   

3. 按一下整合的應用程式，選取用於 OAuth 的機密應用程式，然後按一下啟動工作流程。

   

   

4. 輸入您應用程式的名稱，然後按一下下一步。

   

5. 在用戶端組態區段中，選取用戶端憑證。

   

   注意：儲存應用程式，但不啟用授權代碼和重新導向 URL 。從「任務 2」擷取重新導向 URL 之後，再次更新應用程式。請參見下方

   

6. 完成應用程式工作流程並加以啟用。複製從屬端 ID 和從屬端密碼。

   

7. 從網域資訊頁面複製網域 URL 。

   

工作 2：設定 vCenter 伺服器中的身分識別提供者 (IdP)，並下載 VCenter 憑證

我們將整合 vCenter 伺服器與 OCI IAM，為使用者啟用 SSO。在此工作中，設定 VCSA 中的 IdP。設定 IdP 之後，我們需要下載要在 IdP 組態中使用的 vCenter 憑證，才能建立 vCenter 與 OCI API 閘道之間的信任。

1. 以管理員身分登入 vCenter 伺服器，然後瀏覽至首頁、管理、單一登入、組態、識別提供者、識別來源。從下拉式功能表中，選取 Okta 至變更提供者。

   

   注意： 我們將使用 Okta IdP 樣板，但將會以 OCI IAM 詳細資訊進行修改。

2. 確認符合先決條件，然後選取下一步。

   

3. 輸入目錄名稱、網域名稱，然後按下一步。

   

4. 從下拉式功能表中選取一個記號有效期限值，然後按下一步。

   

5. 在 OpenID Connect 區段中，複製重新導向 URI ，輸入在任務 1 中複製的識別提供者名稱、用戶端識別碼及秘密。

   在 OpenID 位址中，使用在「任務 1」中複製的網域 URL ，並將其附加至 /.well-known/openid-configuration。儲存詳細資訊之後，請按下一步。

   注意：請記下重新導向 URI 並更新 OCI IAM 中的機密應用程式 (如工作 1 步驟 5 中所述)。

   

6. 複查識別提供者詳細資訊區段之後，請按一下完成。

   

7. 按一下下載受信任的根 CA 憑證，從 vCenter 下載受信任的根 CA 憑證。

   

作業 3：在 OCI IAM 中建立 SCIM 應用程式

在此任務中，我們將在 OCI IAM 中建立 SCIM 2.0 應用程式，以便我們指定應將哪些 OCI IAM 使用者推送至 vCenter 伺服器。

1. 登入 OCI 主控台，瀏覽至識別與安全性，選取您的網域並瀏覽至整合的應用程式，然後選取應用程式目錄以新增應用程式。

   

2. 在搜尋列中輸入 GenericSCIM - Bearer 權杖，然後選取動態磚。

   

3. 輸入應用程式名稱，然後按下一步。

   

4. 選取啟用佈建。

   

5. 由於 vCenter URL 不是公用 URL，因此 OCI IAM 將無法連線 vCenter SCIM API。若要公開 vCenter SCIM API，我們將設定公用 OCI API 閘道並新增 vCenter SCIM API 路由。讓我們現在將佈建設定連線詳細資訊保留為空白，然後完成屬性對應區段。

   注意：

   • 依預設，user.id 會與 externalId 對應。將 user.id 取代為 $(user.userName)。
   • 已更新「工作 6」中的「啟動設定」段落。

   

   如先決條件所述，OCI IAM 的使用者名稱值必須為 sAMAccountName 格式 (不是電子郵件或 UPN 格式)，因為當 OCI IAM 中的 SCIM 佈建處理作業以 vCenter 建立使用者帳戶時，使用者的 sAMAccountName (例如 jdoe) 會作為主要 ID。請參考下列範例屬性對應。

   

6. 在選取提供作業區段中，依序選取建立帳戶、刪除帳戶、推送使用者更新、推送使用者啟用 / 停用狀態、啟用啟用同步，以及使用預設組態。

   

   

作業 4：建立 CA 組合

若要在 OCI API 閘道與 VCenter 之間建立信任的連線，我們必須在 OCI API 閘道中提供 VCenter 個受信任的根 CA 憑證。

1. 登入 OCI 主控台，瀏覽至識別與安全、憑證以及 CA 組合。

   

2. 在建立 CA 組合頁面中，選取適當的區間並提供有效的名稱給組合，然後貼上「工作 2」中下載之憑證的內容。

   

作業 5：設定 OCI API 閘道

為了安全地讓 OCI IAM 連線至未對網際網路公開的 vCenter SCIM API，OCI API Gateway 作為代理，可確保 OCI IAM 與 vCenter SCIM API 之間的順暢且安全地通訊。

1. 登入 OCI 主控台，瀏覽至開發人員服務、 API 管理及閘道。

   

2. 在建立閘道頁面中，輸入適當的名稱，選取想要的虛擬雲端網路和一個公用子網路。使用預設憑證，然後按一下完成。等待閘道完全部署。

   

   

3. 按一下新增憑證授權機構，即可新增在「工作 4」中建立的 CA 組合。

   

4. 按一下部署和建立部署。

   

5. 在基本資訊區段中，輸入以下資訊。

   • 名稱： 輸入有效的名稱。
   • 路徑前置碼：輸入 /。
   • 執行記錄層級：選取資訊。

   

   

6. 選取沒有認證。

   

7. 在路由區段中，將適當的 vCenter SCIM API 端點新增為不同的路由 (路由 1、路由 2、路由 3、路由 4 和路由 5)，然後按下一步。

   • 路由 1： 路徑為 /usergroup/t/CUSTOMER/scim/v2，URL 為 https://<VSCA URL>

     

   • 路由 2： 路徑為 /usergroup/t/CUSTOMER/scim/v2/Users，URL 為 https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users

     

   • 路由 3： 路徑為 /usergroup/t/CUSTOMER/scim/v2/Groups，URL 為 https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups

     

   • 路由 4： 路徑為 /usergroup/t/CUSTOMER/scim/v2/Groups/{object*}，URL 為 https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}

     

   • 路由 5： 路徑為 /usergroup/t/CUSTOMER/scim/v2/Users/{object*}，URL 為 https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}

     

8. 等待部署完成並複製端點 URL。

   

作業 6：更新 OCI IAM 中的 SCIM 應用程式

1. 登入 OCI 主控台，瀏覽至識別與安全，選取您的網域並瀏覽至整合的應用程式，選取您的一般 SCIM Bearer 權杖應用程式，然後貼上 OCI API 閘道部署端點 URL。

   

   注意：請確定只使用主機名稱。

2. 輸入基礎 URI 。

   

3. 新增 vCenter 存取權杖。因此，您必須登入 vCenter 伺服器，選取 vCenter 組態，產生並複製記號。

   

4. 在 SCIM 應用程式中貼上存取權杖，然後按一下測試連線。

   

作業 7：將使用者從 OCI IAM 同步至 vCenter

若要指定要將哪些 OCI IAM 使用者推送至 vCenter 伺服器，我們會將這些使用者指派給 SCIM 應用程式。

1. 登入 OCI 主控台，瀏覽至識別與安全性，選取您的網域並瀏覽至整合的應用程式，選取您的 SCIM 應用程式，按一下使用者與指派使用者。

   

   

   

2. 現在在 vCenter 中驗證推送的使用者並指派適當的權限。登入 vCenter 伺服器，選取 vCenter 組態，按一下「單一登入」中的使用者和群組，選取新增的網域並驗證使用者。

   

作業 8：測試

1. 在無痕式瀏覽器中輸入 vSphere URL，然後按一下 LAUNCH VSPHERE CLIENT 。

   

   

2. 在 vSphere 登入頁面中，按一下使用 OCI-IAM 登入。

   

3. 要求會被重新導向至 OCI IAM 登入頁面。輸入使用者名稱以及密碼。

   

   驗證成功後，會移至 vSphere 首頁。

   

接下來的步驟

在本教學課程中，我們示範如何將 OCI IAM 與 vSphere 整合以進行同盟認證，讓使用者能夠透過集中式身分識別提供者和 SCIM 佈建進行登入，以確保兩個系統之間的使用者帳戶能夠有效率地同步。此整合可簡化身分識別管理、強化安全性，以及提升管理員的作業效率。

相關連結

• 瞭解管理員角色

• 建立 API 閘道

• 使用 OAuth 2.0 認證

• 如何使用一般 SCIM 應用程式範本？

認可

• 作者 - Gautam Mishra (Principal Cloud Architect)，Nikhil Verma (Principal Cloud Architect)

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Integrate vCenter Server Identity Provider Federation with OCI IAM for Oracle Cloud VMware Solution

G15243-02

September 2024

Copyright ©2024,

Oracle 和 (或) 其關係企業。