VMware Cloud Foundation 9.1 版本在身份认证与权限管理层面带来了全方位的能力升级,针对企业最为关注的单点登录(SSO)体系进行了多项重磅优化。新版本不仅全面支持通用 OIDC、SAML2 标准外部身份提供商(IdP),还依托全新的 VCF 角色体系简化了组件级权限管控,同时新增 API 客户端与令牌认证能力,完美支撑各类非交互式自动化登录场景,极大提升了私有云平台身份运维的便捷性与安全性。
在新旧版本迭代中,VCF 对接外部身份源的基础架构逻辑基本保持一致,业内多数运维场景仍采用 Keycloak 作为测试与生产环境的标准 OIDC 身份服务平台。但需要重点注意的是,VCF 9.1 重构了底层运维调度与身份代理 API,原有适配 VCF 9.0 的 OIDC SSO 配置脚本与运维方案已无法直接复用。结合新版本全新的角色权限体系,我们针对性更新了自动化配置脚本,助力企业快速完成 VCF 9.1 外部 OIDC 身份源的对接部署。
本次更新的configure_vcf_910_sso_with_oidc_idp.ps1【https://github.com/lamw/vmware-scripts/blob/master/powershell/configure_vcf_910_sso_with_oidc_idp.ps1】PowerShell 脚本,延续了旧版简洁高效的使用逻辑,同时深度适配 VCF 9.1 全新 API 与权限架构,能够一键完成 OIDC 身份提供商的全流程配置。相较于传统手动配置模式,自动化脚本大幅压缩了部署耗时,手动配置通常需要数十分钟,而通过该脚本可在一分钟内完成全部配置工作,大幅降低人工操作失误风险。
运维人员在使用脚本前,仅需根据企业实际环境,提前填充脚本内的核心变量参数,即可实现标准化、批量式部署,关键配置参数说明如下:
VCF_OPERATIONS_HOSTNAME:VCF 运维组件的完整FQDN域名地址,为身份配置操作的核心访问节点。
VCF_OPERATIONS_USERNAME/PASSWORD:具备VCF SSO配置权限的管理员账号与密码,默认使用平台超级管理员admin账号。
VCF_SSO_DEPLOYMENT_MODEL:SSO部署模式选择,支持嵌入式vCenter身份代理与VCF管理服务(VCFMS)外置身份代理两种架构。
OIDC_LABEL:自定义OIDC身份源展示名称,将直接显示在VCF SSO配置可视化界面中,便于运维识别管理。
OIDC_OPENID_DISCOVERY_URL:外部身份提供商的OIDC自动发现接口地址,是实现身份联动认证的核心参数。
OIDC_TLS_FULLCHAIN_PEM:OIDC认证强制要求HTTPS加密,此处需填写完整的PEM格式TLS证书链文件路径,保障通信安全。
OIDC_CLIENT_ID/CLIENT_SECRET:在外部IdP平台注册OIDC应用后生成的客户端ID与密钥,是VCF与身份源对接的唯一凭证。
OIDC_DOMAIN:企业外部身份服务对应的DNS域名,用于身份解析与域名校验。
OIDC_JIT_PRE_PROVISION_GROUP:预配置于IdP平台的用户组名称,脚本将自动为该用户组授予VCF平台管理员权限,实现用户组权限批量分配。
OIDC_GROUP_ATTRIBUTE:身份组识别字段,默认沿用通用group参数,无需额外修改适配。
借助这套自动化脚本,企业可以彻底摆脱传统繁琐的可视化界面手动配置流程,标准化实现 VCF 9.1 与第三方 OIDC 身份系统的对接。无论是私有云日常运维、多租户权限管控,还是自动化运维平台的非交互式登录场景,都能依托该方案实现高效落地,充分释放 VCF 9.1 在身份安全、权限治理、自动化运维方面的全新能力,为企业现代化私有云构建更稳定、更智能的身份认证体系。
