Stikkordarkiv: SSO

vRealize Suite Lifecycle Manager

VMware har mange produkter, faktisk så mange at det er vanskelig å holde oversikten på alle. Når jeg som konsulent syntes det er mange betyr nok det at de fleste sliter med å holde oversikten. Og ikke minst sørge for at alle VMware produktene man har i datasenteret er oppdatert. Her kommer vRSLCM inn i bildet. Dette er et produkt for de kundene som har vRealize Suite lisenser og brukes blant annet til å kontrollere alle produktene i vRealize porteføljen.

Hva er nytt i vRealize Suite Lifecycle Manager 8.0

Hva er vRealize Suite Lifecycle Manager

vRSLCM er navet i vRealize løsningen din, den benyttes til å håndtere oppdateringer, sertifikater, passord, konfigurasjon, management packs, content packs, AD integrasjon, single sign-on m.m. Om du har flere datasentre med separate vRealize installasjoner er vRSLCM et genialt overbygg for å kunne administrere disse fra ett sted.

Workspace One Access (tidligere kjent som VMware Identity Manager)

Som en del av vRSLCM følger Workspace ONE Access med. Den kan knyttes mot ett eller flere domener, og håndterer single sign-on for alle de andre produktene i vRealize Suite, I tillegg til vRealize Network insight og NSX-T. Men vær obs på at du ikke bruker flere funksjoner i produktet enn du har lov til da det ikke er lagt inn noen begrensninger.

vRealize Suite Lifecycle Manager visualisering av oppsett

Logisk design av en vRSLCM implementasjon hentet fra VMware validated designs

Produkter som er støttet i versjon 8.0

  • Workspace One Access
  • vRealize Operations Manager
  • vRealize Log Insight
  • vRealize Automation
  • vRealize Network Insight
  • vRealize Business for Cloud
  • NSX for Datacenter (NSX-T)

NSX-T Manager er ikke støttet direkte av vRSLCM, men Identity Manager som følger med trengs for å oppnå RBAC i NSX-T.

Locker

I versjon 8.0 introduserte VMware «locker» i vRSLCM, denne kan inneholde lisensnøkler, sertifikater samt brukernavn og passord. Innholdet her benyttes igjen ved deployment av vRealize komponentene.

Utfordring: Når du først har lagt inn brukernavn og passord i locker kan det ikke redigeres eller slettes via GUI. Dette må gjøres via API

Sertifikater

Jeg kjenner ingen som like å bytte sertifikater, men med vRSLCM går det som en lek. Siden du allerede har lagt inne sertifikatene i LOCKER kan du enkelt via få klikk bytte sertifikat på et produkt. Dessverre er det ikke 100% feilfritt enda, når jeg skulle bytte sertifikat på den inkluderte instansen av vIDM fikk jeg problemer. Hvordan jeg løste det kan du lese om her

Marketplace

Marketplace er hvor man henter ned management og content packs til de forskjellige løsningene.

Oppdateringer

Med vRSLCM går oppdateringen som en lek, da man i vRSLCM får varsel når oppdateringer for dine produkter og management / content packs er tilgjengelig. Og man kan fra vRSLCM gjennomføre oppgradering av alle produktene som er støttet av løsningen.

Installasjon

Bruk av Easy Installer

Når man installere vRSLCM 8.0 for første gang kan man benytte en easy installer som installere vRSLCM, vIDM og eventuelt vRA for deg. Det er vel og bra, men en av utfordringene her er at vIDM appliancen blir plassert i et “Default_datacenter” med lokasjon i Palo Alto, California, US og et environment kaldt “globalenvirnoment”. Disse kan ikke endres og er “by design” i følge VMware. Det må man inntil videre bare leve med, og isteden opprette et nytt environment objekt hvor man plasserer produktene man ønsker å installere eller importere. Dette skal være endret i 8.0.1 (men jeg har ikke testet dette)

Import vs Installasjon

vRSLCM støtter import og ny installasjon av produktene. Så visst du har noen av disse fra før er det enkelt importere dem inn og styre dem videre fra vRSLCM.

Fordeler med vRSLCM

Det er ikke alltid at slike løsninger gir en enklere hverdag om miljøet ikke er stort nok. Dette gjelder også for vRSLCM. Har du et lite miljø med få av produktene blir det uten tvil en overhead ved å skulle legge inn to nye for å håndtere de andre bedre. Men når det er sagt finnes det mange gode grunner for å benytte vRSLCM. Her er noen av mine punkter.

  • Oppgradering og håndtering av vRealize produktene blir lettere og alt kan gjøres fra ett sentralt sted.
  • Integrasjonen med Identity manager er utrolig praktisk, du slipper å knytte alle direkte mot AD (ikke alle støtter det en gang.)
  • Sertifikat håndtering.
  • Single Sign-on mot alle vRealize produktene og samling av alle linker et sted.
  • Passord håndtering.
  • Du blir varslet når nye oppdateringer er tilgjengelig for dine produkter, management og content packs.

Linker

Dokumentasjon, Produktside

How to configure SSO web links in VMware Identity Manager Catalog for vRealize Suite Lifecycle Manager imported products

When you deploy a product from vRSLCM its single sign-on link is automatically created in the Identity manager catalog. But if you import an existing vRealize product it will not. Bummer! Or that being said I have not tested importing solutions that already had vIDM configured for authentication without the catalog entry.

Anyways if you have imported an existing product into vRSLCM and you are missing the SSO link in your catalog. This is how I fixed it (don’t know if this is the official way)

First you need to enable login with identity manager for the product you want to configure SSO for. When that is done and working do the following for the different products.

vRealize Network Insight

Right click on the login button and copy the URL. You will get something like the url listed under. You just need to fix the URL in the end to be like mine but with your vRNI link.

https://YOUR.IDENTITYMANAGER.FQDN/SAAS/auth/oauth2/authorize?response_type=code&client_id=YOURID_auth_grant&scope=openid+user+email&redirect_uri=http://YOUR.VRNI.FQDN/#home

vRealize Operations Manager

For the vROPS I was not able to use get the correct URL in the same way, here I used F12 in Google Chrome and recorded my login. I found the correct URL on the first line “authorize?response_type=…………..” and It should look something like this.

https:/your.identitymanager.fqdn/SAAS/auth/oauth2/authorize?response_type=code&client_id=yourid&redirect_uri=https://your.vrops.fqdn/ui/vidmClient/vidm

Add SSO weblink to Identity Manager Catalog

When you got the URL go into your Identity managers Administrator Console and under Catalog and Web Apps create a new web link.
In the Configuration menu choose Authentication TypeWeb Application Link” and in Target URL insert the URL you copied from vRealize Network Insight login screen.