Usar o Azure AD como provedor de identidade para o vCenter na Nuvem Privada da CloudSimple

  • Artigo

Você pode configurar seu vCenter da Nuvem Privada da CloudSimple para autenticação com o Azure AD (Azure Active Directory) para que seus administradores do VMware acessem o vCenter. Após a fonte de identidade do logon único ser configurada, o usuário cloudowner poderá adicionar usuários da fonte de identidade ao vCenter.

Você pode configurar o domínio e os controladores de domínio do Active Directory de qualquer uma das seguintes maneiras:

  • Domínio e controladores de domínio do Active Directory em execução no local
  • Domínio e controladores de domínio do Active Directory em execução no Azure como máquinas virtuais em sua assinatura do Azure
  • Novo domínio e controladores de domínio do Active Directory Domain Services em execução em sua Nuvem Privada do CloudSimple
  • Serviço do Azure Active Directory

Este guia explica as tarefas necessárias para configurar o Azure AD como fonte de identidade. Para saber como usar o Active Directory local ou o Active Directory em execução no Azure, confira Configurar fontes de identidade do vCenter para usar o Active Directory para obter instruções detalhadas de como configurar a fonte de identidade.

Sobre o Azure AD

O Azure AD é o serviço multilocatário de gerenciamento de identidade e de diretório baseado em nuvem da Microsoft. Ele fornece um mecanismo de autenticação escalonável, consistente e confiável para os usuários se autenticarem e acessarem diferentes serviços no Azure. Além disso, fornece serviços de LDAP Seguro para que qualquer serviço de terceiros use o Azure AD como fonte de autenticação/identidade. O Azure AD combina os principais serviços de diretório, governança de identidade avançada e gerenciamento de acesso a aplicativos, que pode ser usado para conceder acesso à sua Nuvem Privada para usuários que a administram.

Para usar o Azure AD como fonte de identidade com o vCenter, você precisa configurar o Azure AD e o Azure AD Domain Services. Siga estas instruções:

  1. Como configurar o Azure AD e o Azure AD Domain Services
  2. Como configurar uma fonte de identidade no vCenter da Nuvem Privada

Configurar o Azure AD e o Azure AD Domain Services

Antes de começar, você precisará ter acesso à sua assinatura do Azure com privilégios de Administrador global. As etapas a seguir fornecem diretrizes gerais. Os detalhes estão na documentação do Azure.

AD do Azure

Observação

Se você já tem o Azure AD, ignore esta seção.

  1. Configure o Azure AD em sua assinatura conforme descrito na Documentação do Azure AD.
  2. Habilite o Azure Active Directory Premium em sua assinatura conforme descrito em Inscrever-se no Azure Active Directory Premium.
  3. Configure um nome de domínio personalizado e verifique-o conforme descrito em Adicionar um nome de domínio personalizado ao Azure Active Directory.
    1. Configure um registro DNS em seu registrador de domínios com as informações fornecidas no Azure.
    2. Defina o nome de domínio personalizado para ser o domínio primário.

Você também pode configurar outros recursos do Azure AD. Eles não são necessários para habilitar a autenticação do vCenter com o Azure AD.

Azure AD Domain Services

Observação

Esta é uma etapa importante para habilitar o Azure AD como fonte de identidade para o vCenter. Para evitar problemas, todas as etapas devem ser executadas corretamente.

  1. Habilite o Azure AD Domain Services conforme descrito em Habilitar o Azure Active Directory Domain Services usando o portal do Azure.

  2. Configure a rede que será usada pelo Azure AD Domain Services conforme descrito em Habilitar o Azure Active Directory Domain Services usando o portal do Azure.

  3. Configure o Grupo de Administradores para gerenciar o Azure AD Domain Services conforme descrito em Habilitar o Azure Active Directory Domain Services usando o portal do Azure.

  4. Atualize as configurações de DNS do Azure AD Domain Services conforme descrito em Habilitar o Azure Active Directory Domain Services. Se quiser se conectar ao AD pela Internet, configure o registro DNS para o endereço IP público do Azure AD Domain Services para o nome de domínio.

  5. Habilitar sincronização de hash de senha para os usuários. Esta etapa habilita a sincronização dos hashes de senha necessários para autenticação Kerberos e NTLM (NT LAN Manager) para o Azure AD Domain Services. Depois que a sincronização de hashes de senha é configurada, os usuários podem entrar no domínio gerenciado com suas credenciais corporativas. Confira Habilitar a sincronização de hash de senha para o Azure Active Directory Domain Services.

    1. Se usuários somente da nuvem estiverem presentes, eles deverão alterar suas senhas usando o painel de acesso do Azure AD para garantir que os hashes de senha sejam armazenados no formato exigido pelo NTLM ou pelo Kerberos. Siga as instruções em Habilitar a sincronização de hash de senha para o domínio gerenciado para contas de usuário somente na nuvem. Esta etapa deve ser realizada para usuários individuais e para novos usuários criados no diretório do Azure AD usando cmdlets do PowerShell do Azure AD ou o portal do Azure. Usuários que precisam de acesso ao Azure AD Domain Services devem usar o Painel de acesso do Azure AD e acessar seu perfil para alterar a senha.

      Observação

      Se a sua organização tiver contas de usuário somente na nuvem, todos os usuários que precisarem usar o Azure Active Directory Domain Services deverão alterar suas senhas. Uma conta de usuário somente na nuvem é uma conta que foi criada no diretório do Azure AD usando o portal do Azure ou os cmdlets do Azure AD PowerShell. Essas contas de usuário não são sincronizadas de um diretório local.

    2. Se estiver sincronizando senhas do Active Directory local, siga as etapas na Documentação do Active Directory.

  6. Configure o LDAP Seguro em seu Azure Active Directory Domain Services conforme descrito em Configurar o LDAPS (LDAP Seguro) para um domínio gerenciado do Azure AD Domain Services.

    1. Carregue um certificado para uso pelo LDAP Seguro, conforme descrito no tópico do Azure obter um certificado para LDAP Seguro. A CloudSimple recomenda o uso de um certificado assinado emitido por uma autoridade de certificação para garantir que o vCenter possa confiar no certificado.
    2. Habilite o LDAP Seguro conforme descrito em Habilitar o LDAPS (LDAP Seguro) para um domínio gerenciado do Azure AD Domain Services.
    3. Salve a parte pública do certificado (sem a chave privada) no formato .cer para uso com o vCenter durante a configuração da fonte da identidade.
    4. Se o acesso pela Internet ao Azure AD Domain Services for necessário, habilite a opção 'Permitir acesso seguro ao LDAP pela Internet'.
    5. Adicione a regra de segurança de entrada para o NSG do Azure AD Domain Services para a porta TCP 636.

Configurar uma fonte de identidade no vCenter da Nuvem Privada

  1. Escalone privilégios para seu vCenter da Nuvem Privada.

  2. Colete os parâmetros de configuração necessários para configurar a fonte de identidade.

    Opção Descrição
    Nome O nome da fonte de identidade.
    DN de base para usuários Nome diferenciado de base para os usuários. Para o Azure AD, use: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com.
    Nome de domínio FQDN do domínio, por exemplo, exemplo.com. Não forneça um endereço de IP nesta caixa de texto.
    Alias do domínio (opcional) O nome NetBIOS do domínio. Adicione o nome NetBIOS do domínio do Active Directory como um alias da fonte de identidade se estiver usando autenticações SSPI.
    DN de base para grupos O nome diferenciado de base para os grupos. Para o Azure AD, use: OU=AADDC Users,DC=<domain>,DC=<domain suffix> Exemplo: OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    URL do Servidor Primário Servidor LDAP do controlador de domínio primário para o domínio.

    Use o formato ldaps://hostname:port. Normalmente, a porta é a 636 para conexões LDAPS.

    Um certificado que estabelece confiança para o ponto de extremidade LDAPS do servidor do Active Directory é necessário quando você usa ldaps:// na URL de LDAP primária ou secundária.
    URL do servidor secundário Endereço de um servidor LDAP do controlador de domínio secundário que é usado para failover.
    Escolher certificado Se você quiser usar o LDAPS com o servidor LDAP do Active Directory ou a fonte de identidade do Servidor OpenLDAP, um botão Escolher certificado será exibido após você digitar ldaps:// na caixa de texto de URL. Não é necessário uma URL secundária.
    Nome de usuário ID de um usuário no domínio que tem, no mínimo, acesso somente leitura ao DN de base para usuários e grupos.
    Senha Senha do usuário especificado pelo nome de usuário.

  3. Entre em sua Nuvem Privada do vCenter após os privilégios serem escalonados.

  4. Siga as instruções em Adicionar uma fonte de identidade no vCenter usando os valores da etapa anterior para configurar o Azure Active Directory como uma fonte de identidade.

  5. Adicione usuários/grupos do Azure AD a grupos do vCenter conforme descrito no tópico do VMware Adicionar membros a um grupo de logon único do vCenter.

Cuidado

Novos usuários devem ser adicionados somente a Cloud-Owner-Group, Cloud-Global-Cluster-Admin-Group, Cloud-Global-Storage-Admin-Group, Cloud-Global-Network-Admin-Group ou Cloud-Global-VM-Admin-Group. Usuários adicionados ao grupo Administradores serão removidos automaticamente. Somente contas de serviço devem ser adicionadas ao grupo Administradores.

Próximas etapas