Configurer vCenter Server pour AD FS

Dans ce billet je ne traiterais uniquement la partie configuration du vCenter et de la partie AD FS.

Je n’aborderais pas l’installation de ces produits.

Conditions préalables

Configuration requise pour les services de fédération Active Directory :

  • AD FS pour Windows Server 2016 ou version ultérieure doit déjà être déployé.
  • AD FS doit être connecté à Active Directory.
  • Un groupe d’applications pour vCenter Server doit être créé dans AD FS dans le cadre du processus de configuration.
  • Un certificat CA racine AD FS ajouté au magasin de certificats racine de confiance.

vCenter Server et autres exigences :

  • vSphere 7.0 ou version ultérieure
  • vCenter Server doit pouvoir se connecter au point de terminaison de découverte AD FS.
  • Vous avez besoin du privilège VcIdentityProviders.Manage pour créer, mettre à jour ou supprimer un fournisseur d’identité vCenter Server requis pour l’authentification fédérée. Pour limiter un utilisateur à afficher uniquement les informations de configuration du fournisseur d’identité, attribuez le privilège VcIdentityProviders.Read.

Configuration vCenter

Connectez-vous avec vSphere Client à vCenter Server.
Ajoutez votre certificat CA racine AD FS au magasin de certificats racine de confiance.

  • Naviguez vers la gestion > les certificats > la gestion de certificat.
  • À côté de Trusted Root Store, cliquez sur Ajouter.
  • Recherchez le certificat racine AD FS et cliquez sur Ajouter.
  • Le certificat est ajouté dans un panneau sous Certificats racine de confiance.

Accédez à l’interface utilisateur de configuration.

  • Dans le menu Accueil, sélectionnez Administration.
  • Sous Authentification unique, cliquez sur Configuration.

Sélectionnez l’onglet Fournisseur d’identité et obtenez les URI de redirection.

  • Cliquez sur l’icône d’information « i » à côté du lien « Changer de fournisseur d’identité ».
  • Deux URI de redirection s’affichent dans la bannière contextuelle.
  • Copiez les deux URI dans un fichier ou notez-les pour une utilisation ultérieure dans les étapes suivantes pour configurer le serveur AD FS.
  • Fermez la bannière contextuelle.

Désoler pour les captures d’écran mais ma config est déjà faite

Configuration AD FS

Ouvrez la console de gestion AD FS (Gestionnaire de serveur → Outils → Gestion AD FS)


Cliquez avec le bouton droit sur Groupes d’applications et sélectionnez Ajouter un groupe d’applications:

  • Saisissez un nom et éventuellement une description pour le nouveau groupe d’applications.
  • Dans la liste Modèle, sous Applications client-serveur, sélectionnez l’application Serveur accédant à un type d’API Web. Cliquez sur Suivant.
  • Notez l’identifiant client. Cet ID sera nécessaire dans une étape ultérieure ainsi que dans la configuration de vCenter Identity Provider.
  • Saisissez les URI de redirection vCenter qui ont été donnés dans la configuration de vCenter Identity Provider. Ces URI de redirection doivent être exacts ; sinon, la connexion vCenter peut ne pas fonctionner avec ADFS. Cliquez sur Suivant.
  • Cochez l’option Générer un secret partagé, copiez la valeur dans le presse-papiers et enregistrez-la dans un endroit sécurisé. Cela sera nécessaire dans la configuration de vCenter Identity Provider. Cliquez sur Suivant.
  • Ajoutez l’identifiant client. Cliquez sur Suivant.
  • Sous Choisir une stratégie de contrôle d’accès, sélectionnez Autoriser tout le monde. Cliquez sur Suivant.
  • Sur la page Configurer les autorisations d’application, sous Étendues autorisées, assurez-vous que openid et allatclaims sont cochés. Cliquez sur Suivant.
  • Examinez le résumé et cliquez sur Suivant pour créer le groupe d’applications
    Cliquez sur Fermer pour terminer l’assistant

Le groupe d’applications est maintenant créé et doit être répertorié dans le volet Groupes d’applications.

Cliquez avec le bouton droit sur le groupe d’applications nouvellement créé et sélectionnez Propriétés
Sélectionnez l’entrée de l’API Web sous Applications et cliquez sur Modifier
Accédez à l’onglet Règles de transformation d’émission et ajoutez chacune des trois règles suivantes

  • Groupe
  • Nom
  • UPN

Cliquer sur ok appliquer pour fermer la configuration du groupe d’application.

URL de configuration OpenID

Pour connaître l’URL OpenID de votre serveur ouvrez une commande powershell en mode administrateur.

entrer la commande suivante :

Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

Copier cette URL vous allez en avoir besoin lors de configuration du vcenter.

Retourner ensuite sur votre vcenter et renseigner les différents élément:

  • L’identifiant client
  • le secret partagé
  • et l’adresse OpenID

Les fenêtres suivantes sont les même que pour une intégration AD classique avec les différents bind

Si tout c’est bien passé vous pourrez alors vous connecter grâce a votre AD FS