Partilhar via

Utilizar Azure AD como fornecedor de identidade para o vCenter na Cloud Privada do CloudSimple

  • Artigo

Pode configurar o seu cloudSimple Private Cloud vCenter para autenticar com o Azure Active Directory (Azure AD) para que os administradores do VMware acedam ao vCenter. Após a configuração da origem de identidade de início de sessão único, o utilizador cloudowner pode adicionar utilizadores da origem de identidade ao vCenter.

Pode configurar o seu domínio e controladores de domínio do Active Directory de qualquer uma das seguintes formas:

  • Domínio do Active Directory e controladores de domínio em execução no local
  • Controladores de domínio e domínio do Active Directory em execução no Azure como máquinas virtuais na sua subscrição do Azure
  • Novo domínio do Active Directory e controladores de domínio em execução na CloudSimple Private Cloud
  • Serviço do Azure Active Directory

Este guia explica as tarefas necessárias para configurar Azure AD como uma origem de identidade. Para obter informações sobre como utilizar Active Directory no local ou o Active Directory em execução no Azure, consulte Configurar origens de identidade do vCenter para utilizar o Active Directory para obter instruções detalhadas sobre como configurar a origem de identidade.

Sobre o Azure AD

Azure AD é o serviço de gestão de identidades e diretórios baseado na cloud da Microsoft. Azure AD fornece um mecanismo de autenticação dimensionável, consistente e fiável para os utilizadores autenticarem e acederem a diferentes serviços no Azure. Também fornece serviços LDAP seguros para quaisquer serviços de terceiros que utilizem Azure AD como uma origem de autenticação/identidade. Azure AD combina serviços de diretório principal, governação de identidade avançada e gestão de acesso a aplicações, que podem ser utilizados para dar acesso à sua Cloud Privada para utilizadores que administram a Cloud Privada.

Para utilizar Azure AD como uma origem de identidade com o vCenter, tem de configurar Azure AD e Azure AD serviços de domínio. Siga estas instruções:

  1. Como configurar Azure AD e Azure AD serviços de domínio
  2. Como configurar uma origem de identidade no vCenter da Cloud Privada

Configurar serviços de domínio Azure AD e Azure AD

Antes de começar, precisará de acesso à sua subscrição do Azure com privilégios de Administrador Global. Os passos seguintes dão diretrizes gerais. Os detalhes estão contidos na documentação do Azure.

Azure AD

Nota

Se já tiver Azure AD, pode ignorar esta secção.

  1. Configure Azure AD na sua subscrição, conforme descrito na documentação Azure AD.
  2. Ative Azure Active Directory Premium na sua subscrição, conforme descrito em Inscrever-se para Azure Active Directory Premium.
  3. Configure um nome de domínio personalizado e verifique o nome de domínio personalizado, conforme descrito em Adicionar um nome de domínio personalizado ao Azure Active Directory.
    1. Configure um registo DNS na sua entidade de registo de domínios com as informações fornecidas no Azure.
    2. Defina o nome de domínio personalizado como o domínio principal.

Opcionalmente, pode configurar outras funcionalidades de Azure AD. Estes não são necessários para ativar a autenticação do vCenter com Azure AD.

Azure AD serviços de domínio

Nota

Este é um passo importante para ativar Azure AD como uma origem de identidade para o vCenter. Para evitar problemas, certifique-se de que todos os passos são executados corretamente.

  1. Ative Azure AD serviços de domínio conforme descrito em Ativar os serviços de domínio do Azure Active Directory com o portal do Azure.

  2. Configure a rede que será utilizada por Azure AD serviços de domínio, conforme descrito em Ativar Active Directory Domain Services do Azure com o portal do Azure.

  3. Configure o Grupo de Administradores para gerir Azure AD Domain Services, conforme descrito em Ativar Active Directory Domain Services do Azure com o portal do Azure.

  4. Atualize as definições de DNS para o seu Azure AD Domain Services, conforme descrito em Ativar Active Directory Domain Services do Azure. Se quiser ligar ao AD através da Internet, configure o registo DNS para o endereço IP público do Azure AD serviços de domínio para o nome de domínio.

  5. Ativar a sincronização do hash de palavras-passe para os utilizadores. Este passo permite a sincronização de hashes de palavras-passe necessários para o NT LAN Manager (NTLM) e a autenticação Kerberos para Azure AD Domain Services. Assim que a sincronização de hash de palavras-passe estiver configurada, os utilizadores podem iniciar sessão no domínio gerido com as credenciais da empresa. Veja Ativar a sincronização do hash de palavras-passe no Azure Active Directory Domain Services.

    1. Se os utilizadores apenas na cloud estiverem presentes, têm de alterar a palavra-passe com Azure AD painel de acesso para garantir que os hashes de palavras-passe são armazenados no formato exigido pelo NTLM ou Kerberos. Siga as instruções em Ativar a sincronização do hash de palavras-passe com o seu domínio gerido para contas de utilizador apenas na cloud. Este passo tem de ser efetuado para utilizadores individuais e para qualquer novo utilizador que seja criado no seu diretório Azure AD com os cmdlets portal do Azure ou Azure AD PowerShell. Os utilizadores que necessitam de acesso a serviços de domínio Azure AD têm de utilizar o painel de acesso Azure AD e aceder ao respetivo perfil para alterar a palavra-passe.

      Nota

      Se a sua organização tiver contas de utilizador apenas na cloud, todos os utilizadores que precisam de utilizar o Azure Active Directory Domain Services têm de alterar as respetivas palavras-passe. Uma conta de utilizador apenas na cloud é uma conta que foi criada no diretório do Azure AD com o portal do Azure ou os cmdlets do PowerShell do Azure AD. Essas contas de utilizador não são sincronizadas a partir de um diretório no local.

    2. Se estiver a sincronizar palavras-passe do active directory no local, siga os passos na documentação do Active Directory.

  6. Configure o LDAP seguro no seu Active Directory Domain Services do Azure, conforme descrito em Configurar LDAP (LDAPS) seguro para um domínio gerido dos Serviços de Domínio Azure AD.

    1. Carregue um certificado para utilização pelo LDAP seguro, conforme descrito no tópico do Azure , obtenha um certificado para LDAP seguro. A CloudSimple recomenda a utilização de um certificado assinado emitido por uma autoridade de certificação para garantir que o vCenter pode confiar no certificado.
    2. Ative o LDAP seguro conforme descrito Ativar LDAP (LDAPS) seguro para um domínio gerido Azure AD Domain Services.
    3. Guarde a parte pública do certificado (sem a chave privada) no formato .cer para utilização com o vCenter enquanto configura a origem de identidade.
    4. Se for necessário acesso à Internet aos serviços de domínio Azure AD, ative a opção "Permitir acesso seguro ao LDAP através da Internet".
    5. Adicione a regra de segurança de entrada para o NSG Azure AD Domain Services para a porta TCP 636.

Configurar uma origem de identidade no vCenter da Cloud Privada

  1. Aumente os privilégios para o seu vCenter da Cloud Privada.

  2. Recolha os parâmetros de configuração necessários para a configuração da origem de identidade.

    Opção Descrição
    Nome Nome da origem de identidade.
    DN Base para utilizadores Nome único base para utilizadores. Para Azure AD, utilize: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nome de domínio FQDN do domínio, por exemplo, example.com. Não forneça um endereço IP nesta caixa de texto.
    Alias de domínio (opcional) O nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Active Directory como um alias da origem de identidade se estiver a utilizar autenticações SSPI.
    DN Base para grupos O nome único base para grupos. Para Azure AD, utilize: Exemplo: OU=AADDC Users,DC=<domain>,DC=<domain suffix>OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL do Servidor Primário Servidor LDAP do controlador de domínio principal para o domínio.

    Utilize o formato ldaps://hostname:port. Normalmente, a porta é 636 para ligações LDAPS.

    É necessário um certificado que estabeleça confiança para o ponto final LDAPS do servidor do Active Directory quando utiliza ldaps:// o URL LDAP primário ou secundário.
    URL do servidor secundário Endereço de um servidor LDAP do controlador de domínio secundário que é utilizado para ativação pós-falha.
    Escolher certificado Se quiser utilizar o LDAPS com o servidor LDAP do Active Directory ou a origem de identidade do Servidor OpenLDAP, é apresentado um botão Escolher certificado depois de escrever ldaps:// na caixa de texto URL. Não é necessário um URL secundário.
    Nome de Utilizador ID de um utilizador no domínio que tem um mínimo de acesso só de leitura ao DN Base para utilizadores e grupos.
    Palavra-passe Palavra-passe do utilizador que é especificado por Nome de Utilizador.

  3. Inicie sessão no seu vCenter da Cloud Privada depois de os privilégios serem escalados.

  4. Siga as instruções em Adicionar uma origem de identidade no vCenter com os valores do passo anterior para configurar o Azure Active Directory como uma origem de identidade.

  5. Adicione utilizadores/grupos de Azure AD a grupos vCenter, conforme descrito no tópico VMware Add Members to a vCenter Single Sign-On Group (Adicionar Membros a um Grupo de Sign-On Único do vCenter).

Atenção

Os novos utilizadores têm de ser adicionados apenas a Cloud-Owner-Group, Cloud-Global-Cluster-Administração-Group, Cloud-Global-Storage-Administração-Group, Cloud-Global-Network-Administração-Group ou Cloud-Global-VM-Administração-Group. Os utilizadores adicionados ao grupo Administradores serão removidos automaticamente. Apenas as contas de serviço têm de ser adicionadas ao grupo Administradores .

Passos seguintes