Uso de Azure AD como proveedor de identidades para vCenter en la nube privada de CloudSimple

Puede configurar la instancia de CloudSimple Private Cloud vCenter para autenticarse con Azure Active Directory (Azure AD) para que los administradores de VMware accedan a vCenter. Una vez configurado el origen de identidad de inicio de sesión único, el usuario de cloudowner puede agregar usuarios del origen de identidad a vCenter.

Puede configurar el dominio de Active Directory y los controladores de dominio de cualquiera de las maneras siguientes:

  • Dominio y controladores de dominio de Active Directory que se ejecutan en el entorno local
  • Dominio y controladores de dominio de Active Directory que se ejecutan en Azure como máquinas virtuales en la suscripción de Azure
  • Nuevo dominio y controladores de dominio de Active Directory que se ejecutan en la nube privada de CloudSimple
  • Servicio Azure Active Directory

En esta guía se explican las tareas necesarias para configurar Azure AD como origen de identidad. Para obtener información sobre el uso de Active Directory local o Active Directory que se ejecuta en Azure, consulte Configuración de orígenes de identidad de vCenter para usar Active Directory para obtener instrucciones detalladas sobre cómo configurar el origen de identidad.

Acerca de Azure AD

Azure AD es el servicio de administración de identidades y directorios basados en la nube y multiinquilino de Microsoft. Azure AD proporciona un mecanismo de autenticación escalable, coherente y confiable para que los usuarios autentiquen y accedan a diferentes servicios en Azure. También proporciona servicios LDAP seguros para que los servicios de terceros usen Azure AD como origen de autenticación o identidad. Azure AD combina los servicios de directorio principales, la gobernanza avanzada de identidades y la administración de acceso a aplicaciones, que se pueden usar para conceder acceso a la nube privada para los usuarios que administran la nube privada.

Para usar Azure AD como origen de identidad con vCenter, debe configurar Azure AD y los servicios de dominio de Azure AD. Siga estas instrucciones:

  1. Configuración de los servicios de dominio de Azure AD y Azure AD
  2. Configuración de un origen de identidad en vCenter de la nube privada

Configurar los servicios de Azure AD y de dominio de Azure AD

Antes de empezar, necesitará acceder a la suscripción de Azure con privilegios de administrador global. En los pasos siguientes se proporcionan instrucciones generales. Los detalles se incluyen en la documentación de Azure.

Azure AD

Nota:

Si ya tiene Azure AD, puede omitir esta sección.

  1. Configurar Azure AD en tu suscripción como se describe en la documentación de Azure AD.
  2. Habilite Azure Active Directory Premium en su suscripción, tal como se describe en Registro para Azure Active Directory Premium.
  3. Configure un nombre de dominio personalizado y compruebe el nombre de dominio personalizado tal como se describe en Incorporación de un nombre de dominio personalizado a Azure Active Directory.
    1. Configure un registro DNS en el registrador de dominios con la información proporcionada en Azure.
    2. Establezca el nombre de dominio personalizado para que sea el dominio principal.

Opcionalmente, puede configurar otras características de Azure AD. No son necesarios para habilitar la autenticación de vCenter con Azure AD.

Servicios de dominio de Azure AD

Nota:

Este es un paso importante para habilitar Azure AD como origen de identidad para vCenter. Para evitar cualquier problema, asegúrese de que todos los pasos se realizan correctamente.

  1. Habilite los servicios de dominio de Azure AD tal y como se describe en Habilitación de los servicios de dominio de Azure Active Directory mediante Azure Portal.

  2. Configure la red que usarán los servicios de dominio de Azure AD, tal como se describe en Habilitación de Azure Active Directory Domain Services mediante Azure Portal.

  3. Configure el grupo de administradores para administrar Azure AD Domain Services como se describe en Habilitación de Azure Active Directory Domain Services mediante Azure Portal.

  4. Actualice la configuración de DNS de Azure AD Domain Services como se describe en Habilitación de Azure Active Directory Domain Services. Si quiere conectarse a AD a través de Internet, configure el registro DNS para la dirección IP pública de los servicios de dominio de Azure AD en el nombre de dominio.

  5. Habilite la sincronización de hash de contraseñas para los usuarios. Este paso habilita la sincronización de hashes de contraseña necesarios para la autenticación NT LAN Manager (NTLM) y Kerberos en Azure AD Domain Services. Después de configurar la sincronización de hash de contraseñas, los usuarios pueden iniciar sesión en el dominio administrado con sus credenciales corporativas. Consulte Habilitación de la sincronización de hash de contraseña en Azure Active Directory Domain Services.

    1. Si los usuarios solo en la nube están presentes, deben cambiar su contraseña mediante el panel de acceso de Azure AD para asegurarse de que los hash de contraseña se almacenan en el formato requerido por NTLM o Kerberos. Siga las instrucciones de Habilitar la sincronización de 'hash' de contraseñas en el dominio administrado para cuentas de usuario exclusivamente en la nube. Este paso debe realizarse para usuarios individuales y para cualquier usuario nuevo que se cree en el directorio de Azure AD mediante Azure Portal o cmdlets de PowerShell de Azure AD. Los usuarios que requieren acceso a los servicios de dominio de Azure AD deben usar el panel de acceso de Azure AD y acceder a su perfil para cambiar la contraseña.

      Nota:

      Si su organización tiene cuentas de usuario solo en la nube, todos los usuarios que necesiten usar Azure Active Directory Domain Services deben cambiar sus contraseñas. Una cuenta de usuario solamente en la nube es una cuenta que se creó en el directorio de Azure AD mediante el Azure Portal o los cmdlets de Azure AD PowerShell. Estas cuentas de usuario no se sincronizan desde un directorio local.

    2. Si va a sincronizar contraseñas desde active directory local, siga los pasos descritos en la documentación de Active Directory.

  6. Configure LDAP seguro en Azure Active Directory Domain Services como se describe en Configuración de LDAP seguro (LDAPS) para un dominio administrado de Azure AD Domain Services.

    1. Cargue un certificado para usarlo mediante LDAP seguro tal como se describe en el tema de Azure obtener un certificado para LDAP seguro. CloudSimple recomienda usar un certificado firmado emitido por una entidad de certificación para asegurarse de que vCenter pueda confiar en el certificado.
    2. Habilite LDAP seguro como se describe en Habilitación de LDAP seguro (LDAPS) para un dominio administrado de Azure AD Domain Services.
    3. Guarde la parte pública del certificado (sin la clave privada) en .cer formato para su uso con vCenter al configurar el origen de identidad.
    4. Si se requiere acceso a Internet a los servicios de dominio de Azure AD, habilite la opción "Permitir el acceso seguro a LDAP a través de Internet".
    5. Agregue la regla de seguridad de entrada para el grupo de seguridad de red (NSG) de Servicios de Dominios de Azure AD para el puerto TCP 636.

Configuración de un origen de identidad en vCenter de la nube privada

  1. Escale los privilegios de vCenter de la nube privada.

  2. Recopile los parámetros de configuración necesarios para configurar el origen de identidad.

    Opción Descripción
    Nombre Nombre de la fuente de identidad.
    DN de base para usuarios Nombre distintivo base para los usuarios. Para Azure AD, use: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Ejemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nombre de dominio FQDN del dominio, por ejemplo, example.com. No proporcione una dirección IP en este cuadro de texto.
    Alias de dominio de (opcional) Nombre netBIOS del dominio. Agregue el nombre NetBIOS del dominio de Active Directory como alias del origen de identidad si usa autenticaciones SSPI.
    Base DN para grupos Nombre base distintivo para los grupos. Para Azure AD, use: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Ejemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    dirección URL del servidor principal Servidor LDAP del controlador de dominio principal para el dominio.

    Use el formato ldaps://hostname:port. El puerto suele ser 636 para las conexiones LDAPS.

    Se requiere un certificado que establezca confianza para el punto de conexión LDAPS del servidor de Active Directory cuando se usa ldaps:// en la dirección URL LDAP principal o secundaria.
    dirección URL del servidor secundario Dirección de un servidor LDAP del controlador de dominio secundario que se utiliza para la conmutación por error.
    Elegir certificado Si desea usar LDAPS con el servidor LDAP de Active Directory o el origen de identidad del servidor OpenLDAP, aparece un botón Elegir certificado después de escribir ldaps:// en el cuadro de texto URL. No se requiere una dirección URL secundaria.
    Nombre de usuario Identificador de un usuario del dominio que tiene acceso de solo lectura mínimo al DN base para usuarios y grupos.
    Contraseña Contraseña del usuario especificado por Nombre de usuario.

  3. Inicie sesión en vCenter de la nube privada después de que se escalen los privilegios.

  4. Siga las instrucciones de Incorporación de un origen de identidad en vCenter mediante los valores del paso anterior para configurar Azure Active Directory como origen de identidad.

  5. Agregue usuarios o grupos de Azure AD a grupos de vCenter como se describe en el tema de VMware Agregar miembros a un grupo de Sign-On único de vCenter.

Precaución

Los nuevos usuarios solo deben agregarse a Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group o Cloud-Global-VM-Admin-Group. Los usuarios agregados al grupo de administradores se eliminarán automáticamente. Solo se deben agregar cuentas de servicio al grupo Administradores .

Pasos siguientes

  • Last updated on