Posted by Bu yazımda AD FS ile Vcenter 2FA mantığını ve konfigürasyonun nasıl yapılabileceğine değinmeye çalışacağım.
Buradaki mantık; AD FS ile birlikte yeni bir kimlik sağlayıcıya güvenme konusu. Vcenter Server 7 versiyonunda artık AD FS’i destekliyor. Ortamınızda bir ADFS platformuna sahip iseniz, bu sistemin üzerinde oluşturacağınız Application Grup’larla bir Vcenter server’ı AD FS’e entegre edebiliyorsunuz ve Vcenter Server’a söyleyeceğiniz AD FS ile alakalı IDF bilgilerini ekleyerek Vcenter’da kimlik doğrulamaya çalışan kişi eğerki AD FS’de bulunan dominde bir kullanıcı adı ve şifre söyler ise otomatik olarak AD FS’e redirect olmasını ve bu platform üzerinde kimliğini doğruladıktan sonrasında bizim söylediğimiz tersine yönlendirmeler ile birlikte tekrardan vcenter’a doğru geçiş yapar. Yani artık IDF kullanıldığında kimlik doğrulayan kişi AD ile görüşen Vcenter Server olmuyor da aslında bir araya ekstra bir sistem daha eklemiş oluyoruz.
Konfigürayon Adımları;
İlk olarak Root CA Sertifikası indirilir.
Sonraki aşamada Vcenter üzerinden Add diyerek indirilen sertifikayı ekliyoruz.
Administration>Configuration>Identitiy Provider’dan Redirect URL bilgilerini alıyoruz.
Sonraki aşamada AD FS üzerinde işlemlere başlayacağız. İlk olarak isimlendirmesini ve description’ı yazıyoruz.
Client-Server Applications’dan Server Application accessing web API seçiyoruz.
Burada Client Identifier numarası bizim için önemli, not alıyoruz.
Vcenter’dan aldığımız Redirect URL’leri Add diyerek ekliyoruz.
Sonraki aşamada Generate a shared Secret seçeneğini seçerek ilgili Secret’ı not alıyoruz.
Web API Configure kısmında vcenter’dan aldığımız URL’leri girerek check ediyoruz.
Ardından Permission kısmında ilgili seçenekleri seçerek devam ediyoruz.
Son olarak kontrolleri yaparak pencereyi kapatıyoruz.
AD FS tarafındaki kontrolleri ve konfigleri yapmaya devam ediyoruz.
Issueance Transform Rule’sdan Rule’ları Configure ederek devam ediyoruz.
Sonrasında Power sehll üzerinden ilgili komut çalıştırılır. Buradan da Open ID adresi not etmemiz gerekiyor.
Daha sonra Vcenter tarafındaki konfigürasyonuna geçiyoruz.
Not alınan tüm bilgiler burada giriliyor.
Sonraki aşamada User and Group kısmındaki bilgiler girilir. İlgili user’da VcIdentityProviders.Read rolünün olması önemli.
Tamamlandıktan sonraki konfigürasyon;
MFA Aktifleştirmek için yapılan işlemler;
Application grup içinde Access Control Policy’den İlgili seçenek seçilir.
İşlemlerin tamamlanmasından sonra Vcenter sayfası
Girişten sonra cep telefonumuza gelen SMS’i girerek log-in oluyoruz
Referanslar;
Configure vCenter Server Identity Provider Federation for AD FS (vmware.com)
How to enable OpenID Connect in ADFS 2016 for vCenter Server (78029) (vmware.com)