vCenter 7 Identity Federation – ADFS & vCenter MFA/2FA

Merhaba Arkadaşlar,

Muhtemelen Vsphere7 ile birlikte hayatımıza giren en önemli özelliklerden biride vCenter Identity Federation. Kurulumunu ve örneğini sunmadan önce ne olduğu ve nasıl çalıştığı hakkında fikir sahibi olmak istersek.

Multifactor/2-factor authentication çok yaygın bir kurumsal siber güvenlik uygulaması haline geliyor. Uygulamalar da doğrulama olarak Password yada Pın kullanmaktayız. Bu zamanla yaygın olarak MFA/2FA, parmak izi/retina taraması vb. Biyometrik kimlik doğrulama yöntemleri ile desteklenmeye başlamıştır. Günümüzde parola ve OTP gerektirmeyen hiçbir ödeme portalı yok.

Sosyal hayatlarımızda kullandığımız kişisel uygulamalarımızda bile DUO ve Google Authenticator gibi MFA ile güvence altına alma seçeneğine sahibiz.

Identity Federation ile Vmware güvenli olmayı sağlamak olacaktır. Identity Federation, vCenter Server’ı Active Directory Federasyon Hizmetleri (ADFS) gibi kurumsal kimlik sağlayıcılarına eklememize izin verir. Kullanıcıların vCenter’da oturum açmak için masaüstünde ve bulutta kullandıkları yöntemlerini vCenterda kullanılabilecekleri anlamına gelir. Buna MFA ve 2FA çözümleri de dahildir.

ADFS gibi kimlik sağlayıcıya entegre edildikten sonra vSphere İstemcisi, oturum açma bilgilerini sağlayıcının oturum açma sayfasına yönlendirecektir. Kullanıcı veya yönetici, sistemin bir parçası olarak yapılandırılan herhangi bir çok faktörlü kimlik doğrulama dahil olmak üzere kurumsal kimlik bilgilerini kullanarak oturum açar. Kimlikleri doğrulandıktan sonra, kimlik sağlayıcı onları yetkilendiren bir şifreleme belirteci ile vSphere İstemcisine geri yönlendirir.

Şimdi Microsoft AD-FS kullanarak vSphere Identity Provider kurulumu için gerekli adımlara bir göz atalım. Ortamınızda zaten ADDS, ADCS ve ADFS kurulumlarının olduğunu varsayıyorum. 3’ünü de aynı Windows Server VM’ye yerleştirdim, ancak ideal olarak bunların 3 farklı PC/VM’de olması gerekir. Ayrıca ADFS ve ADDS’de yük devretme sunucuları da bulunmalıdır.

İlk Adımımız vCenter arayüzümüze bağlanalım:

Administration > Single Sign On > Configuration sayfasına gidelim.

Burada CHANGE IDENTITY PROVIDER seçeneğini seçerek Redirect URIs linklerimizi not alalım.

Microsoft ADFS sunucumuzdan başlayalım:

ADFS Manager > Application Groups panelinden Add Application Group Wizard penceresini açalım.

Application Group ismimizi yazdıkran sonra ise Client Server Applications penceremizde Server Application Accessing a Web API seçeneğini seçerek next diyoruz.

Server Application ekranında bizimle paylaşılan Client Identifer keyimizi not alıyoruz. İlk adımımızda vCenter URL linklerimizi yine bu sayfada Redirect URI alanına giriyoruz.

ADFS ve vCenter arasında kullanacağımız Shared Secret keyimizi not alarak devam ediyoruz.

Configure Web API adımında Client Identifer adımında not alınan keyi giriyoruz.

Choose Access Control Policy adımında ise doğruma seçeneklerinin ne olacağını belirtiyoruz. Permit everyone and require MFA ile hem password hem MFA seçeneğini seçmiş oluyorum.

Son adımımızda iki seçeneğimizi seçiyoruz. Allatclaims ve openid daha sonra adımlarımızı sonlandırıyoruz.

Adımlarımızı tamamladıktan sonra Application Group da oluşturduğumuz grup’a sağ tık ile özellikler diyoruz. Web API ile Edit ediyoruz. Issuance Transform Rules ile 3 kural ekleyeceğiz.