Federación de VMware Cloud Director con Google Cloud Identity
Hola, en este nuevo blog vamos a realizar la integración o comúnmente federación de vCD con un administrador de usuarios o identidades externo, en este caso usaremos a Google Cloud Identity.
vCD siempre pudo usar integraciones para el control de usuarios y accesos con roles y permisos, particularmente usando usuarios locales, usuarios de LDAP y usuarios de vSphere Single Sing-On (SSO). A partir de las versiones nuevas principalmente desde versiones 9.x vCD usa el protocolo SAML2 (Security Assertion Markup Language); que es un estándar de intercambio seguro de acceso de usuarios, con lo cual podemos usar el mismo mecanismo de acceso de usuario o SSO en el sistema de vCD o en cada Tenant independiente.
Existen varios proveedores de identidad en el medio y uno de los vExpert de VMware Tom Fojta en su blog nos indica las federaciones con la mayoría de estos proveedores, el blog está aquí.
Google Cloud Identity, es un proveedor de servicios de identidad o un proveedor de IDaaS, como Google existen varios como IBM Cloud Identity, VMware Identity Manager entre otros que soportan la autenticación simple o de doble factor (MFA) para tener mayor seguridad de acuerdo a normativas propias de cada tenant o del proveedor de servicios.
Configuración de IDaaS
Lo primero que debemos hacer es crear una aplicación SAML en nuestro Google Cloud Identity.
En configuración de aplicación personalizada. Vamos a encontrar la información de proveedor de identidades de Google y los metadatos que vamos a necesitar más tarde, podemos descargarlo y guardarlo para usarlo luego, el formato del archivo es XML.
Se coloca un nombre de la aplicación y si gustan se puede colocar una imagen para identificarla, damos en siguiente.
Se colocan los datos del tenant de vCD, la URL ACS (Assetion Consumer Service), es decir la URL que recibirá los datos del protocolo SAML del proveedor de identidad la misma que podemos encontrar en el archivo de metadatos del tenant y que en la versión 10.1 es:
https://{url-nube}/login/org/{nombre-organizacion}/saml/SSO/alias/vcdY el ID de entidad del proveedor de servicios, en este caso es "FSUIO". Nombre que se coloca en la configuración de SAML en Administración/proveedor de identidades de la organización de vCD.
Nota. Una vez colocado el ID de entidad no es posible cambiar y este ID nos servirá para la configuración de cualquier proveedor de identidad.
Luego de dar siguiente se procede a aceptar la creación y a activar la aplicación para los usuarios disponibles en Google Cloud Identity, porque Google vende el servicio por usuario.
Y listo tenemos configurado en el proveedor de identidades.
Para poder hacer que el tenant de vCD use a este proveedor de identidades, debemos activar el servicio en la configuración de SAML en Administración/proveedor de identidades de la organización de vCD y subir el archivo de metadatos de Google descargado previamente, este archivo contiene toda la información de URL de acceso, certificados digitales e identificadores de SAML.
Ingreso con SSO
Al momento de ingresar al URL de la organización, automáticamente se re direcciona al URL del proveedor de identidades en este caso Google. Colocando las credenciales definidas se puede ingresar al Tenant.
Finalmente. Una recomendación es crear los usuarios en el proveedor de identidades con todos los atributos necesarios que requiera la empresa y una vez creada la configuración del proveedor de SAML en el Tenant de vCD, se debe agregar el usuario destinado con el rol que se desee, en el ejemplo anterior el usuario es administrador.fransilvablog.page con rol de administrador de organización.
Tip. Para poder ingresar al Tenant evitando el ingreso por SSO, podemos tener un by-pass colocando al final del URL de la organización login y accederemos con los usuario locales o de LDAP del Tenant.
https://{url-nube}/tenant/{nombre-organizacion}/loginTags: Cloud, VMwareCloudDirector, vCD10.2, CloudDirector, GoogleCloudIdentity, google