Usar o Azure AD como um provedor de identidade para o vCenter na Nuvem Privada cloudSimple

Você pode configurar seu vCenter de Nuvem Privada do CloudSimple para autenticar com o Azure AD (Azure Active Directory) para que os administradores do VMware acessem o vCenter. Depois que a fonte de identidade de login único for configurada, o usuário cloudowner poderá adicionar usuários da fonte de identidade no vCenter.

Você pode configurar seus controladores de domínio e domínio do Active Directory de qualquer uma das seguintes maneiras:

  • Controladores de domínio e domínio do Active Directory operando no local
  • Em sua assinatura do Azure, controladores de domínio e o domínio do Active Directory estão em execução como máquinas virtuais no Azure.
  • Novos domínios e controladores de domínio do Active Directory em execução na nuvem privada do CloudSimple
  • Serviço do Azure Active Directory

Este guia explica as tarefas necessárias para configurar o Azure AD como uma fonte de identidade. Para obter informações sobre como usar o Active Directory local ou o Active Directory em execução no Azure, consulte Configurar fontes de identidade do vCenter para usar o Active Directory para obter instruções detalhadas sobre como configurar a fonte de identidade.

Sobre o Azure AD

O Azure AD é o serviço de gerenciamento de identidade e diretório baseado em nuvem e multilocatário da Microsoft. O Azure AD fornece um mecanismo de autenticação escalonável, consistente e confiável para que os usuários autentiquem e acessem diferentes serviços no Azure. Ele também fornece serviços LDAP seguros para qualquer serviço de terceiros usar o Azure AD como uma fonte de autenticação/identidade. O Azure AD combina os principais serviços de diretório, governança de identidade avançada e gerenciamento de acesso de aplicativos, que podem ser usados para dar acesso à nuvem privada para usuários que administram a Nuvem Privada.

Para usar o Azure AD como uma fonte de identidade com o vCenter, você deve configurar os serviços de domínio do Azure AD e do Azure AD. Siga estas instruções:

  1. Como configurar o Azure AD e os serviços de domínio do Azure AD
  2. Como configurar uma fonte de identidade em seu vCenter de Nuvem Privada

Configurar o Azure AD e os serviços de domínio do Azure AD

Antes de começar, você precisará ter acesso à sua assinatura do Azure com privilégios de Administrador Global. As etapas a seguir fornecem diretrizes gerais. Os detalhes estão contidos na documentação do Azure.

Azure AD

Observação

Se você já tiver o Azure AD, poderá ignorar esta seção.

  1. Configure o Azure AD em sua assinatura, conforme descrito na documentação do Azure AD.
  2. Habilite o Azure Active Directory Premium em sua assinatura, conforme descrito na inscrição no Azure Active Directory Premium.
  3. Configure um nome de domínio personalizado e verifique o nome de domínio personalizado conforme descrito em Adicionar um nome de domínio personalizado ao Azure Active Directory.
    1. Configure um registro DNS no registrador de domínios com as informações fornecidas no Azure.
    2. Defina o nome de domínio personalizado como o domínio primário.

Opcionalmente, você pode configurar outros recursos do Azure AD. Elas não são necessárias para habilitar a autenticação do vCenter com o Azure AD.

Serviços de domínio do Azure AD

Observação

Esta é uma etapa importante para habilitar o Azure AD como uma fonte de identidade para o vCenter. Para evitar problemas, verifique se todas as etapas são executadas corretamente.

  1. Habilite os serviços de domínio do Azure AD conforme descrito em Habilitar serviços de domínio do Azure Active Directory usando o portal do Azure.

  2. Configure a rede que será usada pelos serviços de domínio do Azure AD, conforme descrito em Habilitar o Azure Active Directory Domain Services usando o portal do Azure.

  3. Configure o Grupo de Administradores para gerenciar os Serviços de Domínio do Azure AD, conforme descrito em Habilitar o Azure Active Directory Domain Services usando o portal do Azure.

  4. Atualize as configurações de DNS para seus Serviços de Domínio do Azure AD, conforme descrito em Habilitar o Azure Active Directory Domain Services. Se você quiser se conectar ao AD pela Internet, configure o registro DNS para o endereço IP público dos serviços de domínio do Azure AD para o nome de domínio.

  5. Habilite a sincronização de hash de senha para os usuários. Esta etapa permite a sincronização dos hashes de senha necessários para a autenticação NTLM (NT LAN Manager) e Kerberos no Azure AD Domain Services. Depois de configurar a sincronização de hash de senha, os usuários poderão entrar no domínio gerenciado com suas credenciais corporativas. Consulte Como habilitar a sincronização de hash de senha para o Azure Active Directory Domain Services.

    1. Se os usuários somente na nuvem estiverem presentes, eles deverão alterar a senha usando o painel de acesso do Azure AD para garantir que os hashes de senha sejam armazenados no formato exigido pelo NTLM ou Kerberos. Siga as instruções em Habilitar a sincronização de hash de senha para contas de usuário somente na nuvem no seu domínio gerenciado. Essa etapa deve ser feita para usuários individuais e qualquer novo usuário que seja criado no diretório do Azure AD usando o portal do Azure ou os cmdlets do Azure AD PowerShell. Os usuários que precisam de acesso aos serviços de domínio do Azure AD devem usar o painel de acesso do Azure AD e acessar seu perfil para alterar a senha.

      Observação

      Se sua organização tiver contas de usuário somente na nuvem, todos os usuários que precisam usar o Azure Active Directory Domain Services deverão alterar suas senhas. Uma conta de usuário somente na nuvem é uma conta que foi criada no diretório do Azure AD usando o portal do Azure ou os cmdlets do PowerShell do Azure AD. Essas contas de usuário não são sincronizadas de um diretório local.

    2. Se você estiver sincronizando senhas do active directory local, siga as etapas na documentação do Active Directory.

  6. Configure o LDAP seguro em seus Serviços de Domínio do Azure Active Directory, conforme descrito em Configurar LDAP seguro (LDAPS) para um domínio gerenciado do Azure AD Domain Services.

    1. Carregue um certificado para ser usado pelo LDAP seguro, conforme descrito no tópico do Azure obtenha um certificado para LDAP seguro. O CloudSimple recomenda o uso de um certificado assinado emitido por uma autoridade de certificação para garantir que o vCenter possa confiar no certificado.
    2. Habilite o LDAP seguro conforme descrito Habilitar LDAP seguro (LDAPS) para um domínio gerenciado do Azure AD Domain Services.
    3. Salve a parte pública do certificado (sem a chave privada) no formato .cer para uso com o vCenter ao configurar a fonte de identidade.
    4. Se o acesso à Internet aos serviços de domínio do Azure AD for necessário, habilite a opção "Permitir acesso seguro ao LDAP pela Internet".
    5. Adicione a regra de segurança de entrada para o NSG dos Serviços de Domínio do Azure AD para a porta TCP 636.

Configurar uma fonte de identidade em seu vCenter de Nuvem Privada

  1. Escalone privilégios para seu vCenter de Nuvem Privada.

  2. Colete os parâmetros de configuração necessários para a configuração da fonte de identidade.

    Opção Descrição
    Nome Nome da fonte de identidade.
    DN base para usuários Nome diferenciado de base para usuários. Para o Azure AD, use: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nome de domínio FQDN do domínio, por exemplo, example.com. Não forneça um endereço IP nesta caixa de texto.
    Alias de domínio (opcional) O nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Active Directory como um alias da fonte de identidade se você estiver usando autenticações SSPI.
    DN base para grupos O nome diferenciado de base para os grupos. Para o Azure AD, use: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL do Servidor Primário Servidor LDAP do controlador de domínio primário para o domínio.

    Use o formato ldaps://hostname:port. A porta normalmente é 636 para conexões LDAPS.

    Um certificado que estabelece a confiança para o ponto de extremidade LDAPS do servidor Active Directory é necessário quando você usa ldaps:// na URL LDAP primária ou secundária.
    URL do servidor secundário Endereço de um servidor LDAP do controlador de domínio secundário usado para failover.
    Escolher certificado Se você quiser usar LDAPS com o servidor LDAP do Active Directory ou a fonte de identidade do Servidor OpenLDAP, um botão Escolher certificado será exibido depois de digitar ldaps:// na caixa de texto url. Uma URL secundária não é necessária.
    Nome de usuário ID de um usuário no domínio que tem acesso mínimo de leitura ao DN base para usuários e grupos.
    Senha Senha do usuário especificado pelo Nome de Usuário.

  3. Faça login no vCenter da Nuvem Privada depois que os privilégios forem escalonados.

  4. Siga as instruções em Adicionar uma fonte de identidade no vCenter usando os valores da etapa anterior para configurar o Azure Active Directory como uma fonte de identidade.

  5. Adicione usuários/grupos do Azure AD a grupos do vCenter conforme descrito no tópico VMware Adicionar Membros a um grupo de Sign-On único do vCenter.

Cuidado

Novos usuários devem ser adicionados somente a Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group ou Cloud-Global-VM-Admin-Group. Os usuários adicionados ao grupo Administradores serão removidos automaticamente. Somente contas de serviço devem ser adicionadas ao grupo Administradores .

Próximas etapas

  • Last updated on