vCenter MFA : activer MFA via Identity Federation avec Azure Entra ID

vCenter MFA : activer MFA via Identity Federation avec Azure Entra ID

La sécurisation des accès administrateurs est aujourd’hui une priorité critique dans les environnements virtualisés. L’activation du vCenter MFA (Multi-Factor Authentication) via Identity Federation permet de renforcer significativement la sécurité en éliminant les mots de passe locaux et en centralisant l’authentification.

Dans de nombreuses infrastructures VMware, les comptes locaux vsphere.local sont encore largement utilisés, ce qui constitue une surface d’attaque importante. L’Identity Federation permet d’intégrer vCenter Server avec des fournisseurs d’identité modernes comme Microsoft Entra ID (Azure AD), tout en bénéficiant nativement de l’authentification multi-facteurs.

Dans cet article, nous allons voir :

Pourquoi activer MFA sur vCenter.
Comment fonctionne Identity Federation.
Les prérequis nécessaires.
La configuration pas à pas avec Azure Entra ID.
Les bonnes pratiques et le troubleshooting.

Pourquoi activer MFA sur vCenter Server

Le vCenter Server représente le point de contrôle central de l’infrastructure VMware.

Un accès compromis peut permettre :

Suppression de machines virtuelles.
Chiffrement de données (ransomware).
Modification d’infrastructures critiques.
Arrêt de services essentiels.

Risques liés aux comptes locaux

L’utilisation de comptes locaux présente plusieurs risques :

Mots de passe stockés localement.
Rotation difficile.
Absence de MFA.
Gestion manuelle des accès.

En cas de compromission : l’attaquant obtient un accès complet à l’infrastructure.

Bénéfices du vCenter MFA

L’activation du MFA permet :

Authentification forte
Réduction des attaques par mot de passe
Gestion centralisée des identités
Conformité sécurité renforcée

C’est aujourd’hui une bonne pratique essentielle.

Qu’est-ce que l’Identity Federation dans vCenter

L’Identity Federation permet d’utiliser un fournisseur d’identité externe pour authentifier les utilisateurs.

vCenter supporte :

OpenID Connect (OIDC).
SAML.
Microsoft Entra ID.
Autres fournisseurs compatibles.

Principe de fonctionnement

Au lieu d’authentifier localement, vCenter redirige l’utilisateur vers le fournisseur d’identité externe.

Flux d’authentification simplifié

User → vCenter → Azure Entra ID → MFA → Access Granted

Résultat : vCenter ne stocke plus les mots de passe.

Architecture d’authentification avec Azure Entra ID

Dans une architecture standard :

L’utilisateur accède à vCenter.
vCenter redirige vers Azure.
Azure demande MFA.
L’accès est validé.
vCenter accorde l’accès.

Cette approche correspond au modèle Zero Trust.

Prérequis avant configuration

Avant d’activer vCenter MFA, vérifier les éléments suivants.

Prérequis vCenter

Version requise : vCenter Server 7.0 ou supérieur

Recommandé : vCenter Server 8.x

Prérequis Azure Entra ID

Vous devez disposer :

Un accès au portail Azure.
Un tenant Azure actif.
Des droits administrateur.

Prérequis réseau

Vérifier :

DNS fonctionnel.
Certificat TLS valide.
Connectivité vers Azure.

Ces éléments sont essentiels pour éviter des erreurs d’authentification.

Configuration vCenter MFA avec Azure Entra ID

Passons maintenant à la configuration pratique.

Étape 1 — Créer une App Registration dans Azure

Dans le portail Azure, naviguer vers :

Azure Portal → App registrations → New registration

Nom recommandé : vCenter-Identity-Federation

Informations à récupérer

Une fois créée :

Notez :

Application (Client) ID
Directory (Tenant) ID

Ces informations seront utilisées dans vCenter.

Étape 2 — Créer un Client Secret

Dans Azure, naviguer :

Certificates & Secrets → New client secret

Définir :

Durée de validité.
Description.

Puis : Copier la valeur immédiatement (Note : Elle ne sera plus visible après).

Étape 3 — Configurer Identity Federation dans vCenter

Dans le vSphere Client, naviguer vers :

Administration → Single Sign-On → Configuration

Puis :

Identity Provider → Change Provider

Sélectionner : Microsoft Azure AD

Étape 4 — Renseigner les paramètres Azure

Remplir :

Client ID
Tenant ID
Client Secret

Puis, valider la configuration.

Étape 5 — Configurer le mapping des groupes

Créer un mapping :

Azure Group → vSphere Role

Exemple :

IT_Admins → Administrator
VM_Operators → Virtual Machine User

Cela permet une gestion centralisée des rôles.

Validation et test du vCenter MFA

Une fois configuré, se déconnecter de vCenter, puis, reconnecter.

Nouveau bouton de connexion

Vous verrez :

Login with Microsoft

Cliquer dessus.

Authentification MFA

Azure demandera :

Validation sur mobile.
Code MFA.

Après validation, l’accès sera accordé.

Bonnes pratiques pour sécuriser vCenter MFA

Voici les pratiques recommandées.

Compte Break-Glass (accès d’urgence)

Même après l’activation du vCenter MFA via Identity Federation, il est indispensable de conserver un compte local d’urgence, appelé Break-Glass Account.

Ce compte permet de garantir l’accès à l’infrastructure en cas de défaillance du fournisseur d’identité (Azure Entra ID, réseau indisponible, erreur de configuration MFA).

Créer un compte local dédié

Créer un compte local dans le domaine : vsphere.local

Exemple : [email protected]

⚠️ Évitez d’utiliser le compte ([email protected]) comme compte d’urgence principal.

Il est préférable de créer un compte distinct dédié.

Utilisation du compte Break-Glass

Ce compte doit être utilisé uniquement en cas d’urgence, par exemple :

Indisponibilité d’Azure Entra ID.
Panne réseau empêchant l’authentification fédérée.
Erreur de configuration Identity Federation.
Perte d’accès administrateur.

En dehors de ces situations, il ne doit jamais être utilisé pour l’administration quotidienne.

Sécurisation du compte Break-Glass

Le compte Break-Glass doit être hautement sécurisé.

Recommandations :

Mot de passe long (≥ 20 caractères)
Stockage dans un coffre-fort numérique sécurisé (Password Vault).
Accès limité à un nombre restreint d’administrateurs.
Rotation régulière du mot de passe.
Journalisation stricte des accès.

Exemples de solutions adaptées : CyberArk, HashiCorp Vault, Azure Key Vault, Bitwarden Enterprise, Dashlane Business.

Vérification régulière du compte

Un compte Break-Glass doit être testé périodiquement pour éviter toute mauvaise surprise en situation critique.

Conditional Access

Dans Azure Entra ID, configurer des politiques Conditional Access adaptées :

MFA obligatoire pour tous les administrateurs vCenter.
Restriction d’accès par localisation (ex : uniquement depuis le réseau d’entreprise ou VPN).
Exigence d’appareils conformes (compliant devices).
Blocage des connexions depuis des pays à risque.

Ces politiques permettent d’implémenter une stratégie Zero Trust efficace.

Privilèges Administrator

Éviter l’usage du compte/rôle administrateur global.

Créer des rôles spécifiques.

Journalisation

Configurer :

Logs vCenter
Logs Azure

Cela permet la traçabilité et l’audit sécurité.

Troubleshooting Identity Federation

Voici les problèmes les plus fréquents.

Impossible de se connecter

Cause possible : Certificat invalide

Solution : Vérifier certificat TLS et validité DNS

Erreur MFA non déclenchée

Cause : MFA non configuré dans Azure

Solution : Activer MFA policy.

Accès refusé après authentification

Cause : Mapping groupe incorrect

Solution : Vérifier Group mapping

Bonnes pratiques avancées

Pour aller plus loin.

Supprimer progressivement les comptes locaux

Objectif : Centraliser l’authentification.

Mais : Toujours garder le compte Break-glass.

Conclusion

L’activation du vCenter MFA via Identity Federation constitue une étape majeure pour sécuriser une infrastructure VMware moderne.

Cette approche permet de :

Eliminer les mots de passe locaux
Activer l’authentification multi-facteurs
Centraliser la gestion des identités
Réduire significativement les risques de compromission

Dans les environnements critiques, activer vCenter MFA n’est plus une option, c’est une nécessité.

Articles Liés 🔗:

Pour renforcer la sécurité de votre infrastructure VMware :