Utiliser un fournisseur d'identité SAML pour l’accès au portail de Performance Cloud VMware (NSX-T)


 

Sommaire

Cette base de connaissances décrit les étapes pour ajouter un fournisseur d'identité SAML (Security Assertion Markup Language), comme Microsoft Entra ID (anciennement connu sous le nom d'Azure AD), pour tirer parti de l'authentification unique (SSO).

Description

L’authentification unique est une méthode d’authentification qui permet aux utilisateurs de se connecter avec un ensemble d’informations d’identification à plusieurs systèmes logiciels indépendants. Avec l’authentification unique, un utilisateur n’a pas besoin de se connecter à chaque application dont il se sert. Avec l’authentification unique, les utilisateurs peuvent accéder à toutes les applications dont ils ont besoin sans avoir à s’authentifier avec d’autres informations d’identification.

Pour plus d'informations sur l'authentification unique avec Microsoft Entra ID, voici la documentation officielle de Microsoft: https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/what-is-single-sign-on


Pour utiliser un fournisseur d'identité SAML autre que Microsoft Entra ID, veuillez consulter les conditions préalables ci-dessous.

Prérequis

Prérequis généraux: 

  • Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0 (tel qu’Azure AD).
  • Obtenez un fichier XML avec les métadonnées suivantes auprès de votre fournisseur d'identité SAML.
    1. L'emplacement du service d'authentification unique
    2. L’emplacement du service de déconnexion unique
    3. L'emplacement du certificat X.509 du service

Pour plus d'informations sur la configuration et l'acquisition de métadonnées auprès d'un fournisseur SAML, consultez la documentation de votre fournisseur SAML et la documentation VMware au besoin : https://docs.vmware.com/en/VMware-Cloud-Director/10.4/VMware-Cloud-Director-Service-Provider-Admin-Portal-Guide/GUID-89329614-343E-44AC-9AD3-90A3119D970B.html

 

Prérequis Microsoft Entra ID

 

Note importante : Microsoft Entra ID (anciennement connu sous le nom d'Azure AD) peut être utilisé comme fournisseur d'identité SAML pour se connecter au portail de Performance Cloud VMware sans Azure AD Connect et en utilisant la licence Microsoft Entra ID. Cependant, certaines limitations s'appliqueront (détails ci-dessous). Les deux scénarios sont présentés dans la section Procédures.
  

Voici les conditions requises pour configurer les différentes affectations à l'aide des groupes de sécurité :

 

 

Certains services Microsoft 365 incluent Microsoft Entra ID Premium. Pour valider votre licence Microsoft Entra ID actuelle, connectez-vous au portail Azure et accédez à Microsoft Entra ID. Si vous voyez la licence Microsoft Entra ID Free, veuillez contacter votre gestionnaire de compte pour obtenir la licence appropriée pour profiter de tous les avantages qu’offre la licence.

Procédures

Exemples ci-dessous utilisant Azure Active pour accéder au portail de Performance Cloud VMware

Pour plus d'informations ou autres configurations, veuillez consulter la documentation officielle de Microsoft :

https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal

 

https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal-assign-users

 

https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal-setup-sso



 

Scénario 1 - Microsoft Entra ID (avec Azure AD Connect et assignation par groupes de sécurité)



Création d'un groupe de sécurité dans Active Directory

 

1. Connectez-vous à votre contrôleur de domaine (DC) (ou à tout autre ordinateur/serveur doté des outils d'administration et des informations d'identification appropriés) et ouvrez la console Utilisateurs et ordinateurs Active Directory.

 

2. Créer un nouveau groupe de sécurité dans votre domaine Active Directory (dans une unité organisationnelle (OU) incluse dans la synchronisation Azure AD Connect).

Graphical user interface, text, application

Description automatically generated




  
3. Ajoutez les membres requis dans le groupe (Ceux qui devront accéder au portail de Performance Cloud VMware).

 
  
4. Attendez la fin de la synchronisation de Azure AD Connect ou forcez la synchronisation.

 
 
Comment forcer Azure AD Connect à se synchroniser (site anglais) : https://techcommunity.microsoft.com/t5/itops-talk-blog/powershell-basics-how-to-force-azuread-connect-to-sync/ba-p/887043
 



Configuration de Performance Cloud VMware

 

1. Connectez-vous au portail de Performance Cloud VMware à l'aide de vos identifiants
  

2. Cliquez sur Administration.




3. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML, puis sur CONFIGURER.
   
Graphical user interface, text, application

Description automatically generated 

4. Cliquer ensuite sur Récupérer les métadonnées.

Graphical user interface, text, application, email

Description automatically generated



Garder la page du portail de Performance Cloud VMware ouverte pour une étape ultérieure.

 


Configuration de Microsoft Entra ID

 

1. Connectez-vous au portail Azure (SVP vous assurez d’avoir un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.)

2. Naviguez à la section Microsoft Entra ID, puis à la section Applications d'entreprise.

Graphical user interface, text, application

Description automatically generated

 

 

Graphical user interface, application

Description automatically generated 

 

3. Cliquez sur Nouvelle application

Graphical user interface, application

Description automatically generated



4. Cliquez sur Créer votre propre application, nommez l’application et choisir l’option « Non-gallery » puis cliquez sur Créer.



 Graphical user interface, application, website

Description automatically generated
 


 
5. Dans la nouvelle application, attribuez le nouveau groupe afin que les membres du groupe puissent accéder à l'application.

Graphical user interface, text, application, email

Description automatically generated

 

 

Graphical user interface, application

Description automatically generated


Graphical user interface, application, Teams

Description automatically generated

 

6. Revenez à votre application, accédez à la section Authentification unique et sélectionnez SAML pour ouvrir la page de configuration SSO.

Graphical user interface, text, application

Description automatically generated

 

Graphical user interface, text

Description automatically generated

 

7. Cliquez sur Charger le fichier de métadonnées.

Graphical user interface, text, application, email

Description automatically generated

 

8. Ensuite parcourir vers le fichier de métadonnées téléchargé depuis le portail de Performance Cloud VMware et cliquez sur Ajouter.

 

Sur le prochain écran, copier le lien du champ Identificateur (ID d'entité) et sauver l’information pour une prochaine étape. Cliquez sur Enregistrer.

Graphical user interface, text, application, email

Description automatically generated


 

9. Modifiez les attributs pour qu'ils correspondent comme ci-dessous.
  

Text

Description automatically generated


a) Retirer la ligne mentionnant « surname ».




b) Modifier la ligne mentionnant « email address » pour changer la valeur « user.mail » à « user.userprincipalname ».

A screenshot of a computer

Description automatically generated with medium confidence


A screenshot of a computer

Description automatically generated with medium confidence



c) Modifier la ligne mentionnant « name » pour changer « name » à « UserName ».

A screenshot of a computer

Description automatically generated with medium confidence 

A screenshot of a computer

Description automatically generated with medium confidence



d) Ensuite, cliquez sur Ajouter une revendication de groupe et remplir les champs tel que ci-bas, puis cliquez sur Enregistrer.

 

Graphical user interface, text, application

Description automatically generated

 

10. Retourner aux paramètres SAML de l’application d’entreprise et télécharger le fichier XML de métadonnées de fédération (section Certificat de signature SAML).

Graphical user interface, text, application, email

Description automatically generated

 

11. OPTIONNEL - Définir un accès conditionnel pour améliorer la sécurité (vous pouvez personnaliser selon vos besoins).

Naviguez vers la section Sécurité dans Azure Active Directory, puis Accès conditionnel.

Graphical user interface, text, application

Description automatically generated

 

Graphical user interface, text, application

Description automatically generated

 

Cliquez sur Nouvelle stratégie et Créer une nouvelle stratégie.

 

Graphical user interface, application

Description automatically generated

 

Nommez la nouvelle politique (exemple : vCloud-TokenLifeTime), définissez un contrôle de session avec 2h pour la fréquence de connexion, sélectionnez l'application Performance Cloud VMware, activez la politique et cliquez sur Créer.

Graphical user interface, application

Description automatically generated 

 


Configuration de Performance Cloud VMware – Suite 

 

12. Retourner au portail de Performance Cloud VMware.

 

13. Entrer le lien sauvegardé à l’étape 8 dans le champ ID d'entité.

Graphical user interface, text, application, email

Description automatically generated


14. Aller à l’onglet Fournisseur d’identité et activer l’option Utiliser le fournisseur d'identité SAML.
Ensuite, cliquez ensuite sur SÉLECTIONNER UN FICHIER XML DE MÉTADONNÉES.
Parcourir et sélectionnez le fichier XML téléchargé du portail Azure.

Graphical user interface, text, application

Description automatically generated



15. Cliquez ensuite sur ENREGISTRER

 

Graphical user interface, text, application, email

Description automatically generated


16. Dans le panneau de gauche, sous Contrôle d'accès, allez dans Groupes et cliquez sur IMPORTER DES GROUPES.

  
Graphical user interface, application

Description automatically generated 


17. Entrez le nom du groupe tel que précédemment créé dans le portail Azure, attribuez le rôle « Organization Administrator » pour donner les permissions « Contrôle Total » et cliquez sur ENREGISTRER.

Graphical user interface, text, application

Description automatically generated

 

18. OPTIONNEL - Des quotas peuvent également être mis en place.

Sélectionnez le groupe et cliquez sur DÉFINIR UN QUOTA.

Graphical user interface, text, application

Description automatically generated

 

Cliquez sur AJOUTER et définissez les quotas désirés. Ensuite, cliquez sur ENREGISTRER.

 

Graphical user interface, application

Description automatically generated

 

À ce stade, à la prochaine connexion sur le portail de Performance Cloud VMware, vous devriez obtenir la boîte de connexion Microsoft au lieu de la précédente boîte de connexion « VMware Cloud Director ». Vous devriez également pouvoir vous connecter avec un utilisateur membre du groupe autorisé.


- Sans la fonction de fournisseur d'identité SAML activé :

Graphical user interface, text, application

Description automatically generated

 

 - Avec la fonction de fournisseur d'identité SAML activé : 

 

Graphical user interface, application

Description automatically generated

 



Scénario 2 - Microsoft Entra ID « Free » (sans Azure AD Connect et sans assignation par groupes de sécurité)


 

Configuration de Performance Cloud VMware


1. Connectez-vous au portail de Performance Cloud VMware à l'aide de vos identifiants.

 

2. Cliquez sur Administration.




3. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML, puis sur CONFIGURER.

   
Graphical user interface, text, application

Description automatically generated 


4. Cliquer ensuite sur Récupérer les métadonnées.

Graphical user interface, text, application, email

Description automatically generated



Garder la page du portail de Performance Cloud VMware ouverte pour une étape ultérieure.

 

 

Configuration de Microsoft Entra ID

 

1. Connectez-vous au portail Azure (SVP vous assurez d’avoir un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.)

 

2. Naviguez à la section Microsoft Entra ID, puis à la section Applications d'entreprise.

Graphical user interface, text, application

Description automatically generated

 

 

Graphical user interface, application

Description automatically generated

 

3. Cliquez sur Nouvelle application.

 

Graphical user interface, application

Description automatically generated


4. Cliquez sur Créer votre propre application, nommez l’application et choisir l’option « Non-gallery » puis cliquez sur Créer.

 Graphical user interface, application, website

Description automatically generated

 

5. Dans la nouvelle application, attribuer les utilisateurs qui se connecteront au portail de Performance Cloud VMware.


Graphical user interface, text, application, email

Description automatically generated

 

 

Graphical user interface, application

Description automatically generated

 

 

Graphical user interface, application, Teams

Description automatically generated

 

6. Revenez à votre application, accédez à la section Authentification unique et sélectionnez SAML pour ouvrir la page de configuration SSO.


Graphical user interface, text, application

Description automatically generated

 

Graphical user interface, text

Description automatically generated

 

7. Cliquez sur Charger le fichier de métadonnées.

Graphical user interface, text, application, email

Description automatically generated

 

8. Ensuite parcourir vers le fichier de métadonnées téléchargé depuis le portail de Performance Cloud VMware et cliquez sur Ajouter.



Sur le prochain écran, copier le lien du champ Identificateur (ID d'entité) et sauver l’information pour une étape ultérieure. Cliquez sur Enregistrer.

Graphical user interface, text, application, email

Description automatically generated


9. Modifiez les attributs pour qu'ils correspondent comme ci-dessous.

Text

Description automatically generated


    a) Retirer la ligne mentionnant « surname ».




b) Modifier la ligne mentionnant « email address » pour changer la valeur « user.mail » à « user.userprincipalname ».

A screenshot of a computer

Description automatically generated with medium confidence


A screenshot of a computer

Description automatically generated with medium confidence




c) Modifier la ligne mentionnant « name » pour changer « name » à « UserName ».

A screenshot of a computer

Description automatically generated with medium confidence

A screenshot of a computer

Description automatically generated with medium confidence



10. Retourner aux paramètres SAML de l’application d’entreprise et télécharger le fichier XML de métadonnées de fédération (section Certificat de signature SAML).

Graphical user interface, text, application, email

Description automatically generated


 

Configuration de Performance Cloud VMware – Suite


11. Retourner au portail de Performance Cloud VMware.

 

12. Entrer le lien sauvegardé à l’étape 8 dans le champ ID d'entité.

Graphical user interface, text, application, email

Description automatically generated


13. Aller à l’onglet Fournisseur d’identité et activer l’option Utiliser le fournisseur d'identité SAML.
Ensuite, cliquez ensuite sur SÉLECTIONNER UN FICHIER XML DE MÉTADONNÉES.
Parcourir et sélectionnez le fichier XML téléchargé du portail Azure.

Graphical user interface, text, application

Description automatically generated



14. Cliquez ensuite sur ENREGISTRER

 

Graphical user interface, text, application, email

Description automatically generated

 

 

15. Dans le panneau de gauche, sous Contrôle d'accès, allez dans Utilisateurs et cliquez sur IMPORTER DES UTILISATEURS.
 

Graphical user interface, application

Description automatically generated

 

 

16. Saisir les noms des utilisateurs (format courriel) pour les utilisateurs qui vont se connecter au portail de Performance Cloud VMware. Attribuez le rôle « Organization Administrator » pour donner les permissions « Contrôle Total » et cliquez sur ENREGISTRER.
  

Graphical user interface, text, application

Description automatically generated 

 

21. OPTIONNEL - Des quotas peuvent également être mis en place pour les utilisateurs.

Sélectionnez l’utilisateur et cliquez sur DÉFINIR UN QUOTA.

A screenshot of a computer

Description automatically generated

 

Cliquez sur AJOUTER et définissez les quotas désirés. Ensuite, cliquez sur ENREGISTRER.

 

Graphical user interface, text, application

Description automatically generated

 

À ce stade, à la prochaine connexion sur le portail de Performance Cloud VMware, vous devriez obtenir la boîte de connexion Microsoft au lieu de la précédente boîte de connexion « VMware Cloud Director ». Vous devriez également pouvoir vous connecter avec un utilisateur autorisé.
  

- Sans la fonction de fournisseur d'identité SAML activé :

Graphical user interface, text, application

Description automatically generated

 

 - Avec la fonction de fournisseur d'identité SAML activé :

 

Graphical user interface, application

Description automatically generated

Contourner l'authentification du fournisseur d'identité SAML

Il est possible de s'authentifier sur le portail à l'aide d'utilisateurs locaux une fois la configuration SAML en place. Pour procéder, utilisez les liens ci-bas et remplacez [orgname] par le nom d'organisation fourni pour vous connecter au portail :

 

L'écran de connexion proposera désormais de s'authentifier à l'aide d'utilisateurs locaux même si un fournisseur d'identité SAML est en place pour l'authentification.

A screenshot of a computer

Description automatically generated