IBM Cloud Docs
vCenter Single Sign On

vCenter Single Sign On

VMware vCenter Single Sign-On (SSO) ist ein Authentifizierungsbroker und eine Infrastruktur für den Austausch von Sicherheitstoken, die es den Komponenten von VMware vSphere ermöglicht, über einen sicheren Token-Mechanismus miteinander zu kommunizieren, und die die folgenden Dienste nutzt

  • Sicherheitstokenservice (STS)
  • SSL für sicheren Datenverkehr
  • Authentifizierung von Benutzern durch Verwendung einer Identitätsquelle wie Active Directory™ oder OpenLDAP

Prüfen Sie den folgenden vSphere-SSO-Ablauf.

  1. Ein Benutzer meldet sich beim vSphere-Client mit einem Benutzernamen und einem Kennwort an, um auf vCenter oder einen vCenter-Service zuzugreifen.
  2. Der vSphere-Client übergibt die Anmeldeinformationen an den SSO-Service, der das SAML-Token des vSphere-Clients überprüft. Wenn der vSphere-Client ein gültiges Token hat, prüft das SSO Folgendes:
    • Wenn die Benutzer-ID @vsphere.local lautet, wird der Benutzer anhand der lokalen SSO-Domäne überprüft.
    • Wenn die Benutzer-ID @DOMAIN lautet, verwendet SSO die Identitätsquelle, um diese Domäne zu überprüfen.
  3. Nach einer erfolgreichen Authentifizierung wird beim SSO ein Token zurückgegeben, das den Benutzer gegenüber dem vSphere-Client darstellt.
  4. Der vSphere-Client übergibt das Token an vCenter.
  5. vCenter überprüft beim SSO, ob das Token gültig und nicht abgelaufen ist.
  6. Der Benutzer kann alle Objekte, für die die Rolle des Benutzers eine Berechtigung hat, anzeigen und ändern.

Die vSphere SSO-Domäne wird als anfänglicher Authentifizierungsmechanismus verwendet und dient dazu, eine Instanz oder mehrere verknüpfte Instanzen mit den AD-Servern in der IBM Cloud® for VMware Solutions Infrastrukturdomäne zu verbinden. Im Konzept von IBM Cloud for VMware Solutions vCenter Server wird die folgende SSO-Konfiguration angewendet:

  • Die SSO-Domäne von vsphere.local wird immer verwendet.
  • Der SSO-Site-Name entspricht dem während des Bestellvorgangs erfassten <root_domain>.
  • Eine Identitätsquelle, die Infrastrukturdomäne IBM Cloud for VMware Solutions <root_domain>, wird konfiguriert.
  • Der Benutzer VSPHERE.LOCAL\Administrator ist mit Administratorrolle konfiguriert.
  • Die folgenden Gruppen sind mit Administratorrollen konfiguriert:
    • <root_domain>\ic4v-vCenter
    • vsphere.local\Administrators

Nach der Implementierung hat der Benutzer administrator@vsphere.local Administratorzugriff auf SSO und vCenter Server. Dieser Benutzer kann Identitätsquellen und Standarddomänen verwalten, Kennwortrichtlinien angeben und andere Verwaltungstasks in der Domäne vsphere.local ausführen. Dieser Benutzer ist jedoch integraler Bestandteil der Authentifizierung der VMware vSphere® und VMware NSX®-Infrastruktur. Sie sind nicht Teil von AD, sondern werden automatisch erstellt, wenn vSphere bereitgestellt wird. Da dieses Konto kein Bestandteil von AD ist, kann es in Situationen verwendet werden, in denen AD nicht ordnungsgemäß funktioniert.

Als Kunde haben Sie uneingeschränkten Zugriff auf die Verwaltung der vSphere-SSO-Benutzer und -Gruppen nach Bedarf. Weitere Informationen zum Ändern dieser Richtlinien finden Sie unter Verwalten von vCenter Single Sign-On Benutzern und Gruppen.

Identitätsquellen

Identitätsquellen werden verwendet, um dem vCenter-SSO eine oder mehrere Domänen zuzuordnen. Eine Domäne ist ein Repository für Benutzer und Gruppen, das von der vCenter-SSO für die Benutzerauthentifizierung verwendet wird. vCenter SSO hat die folgenden Domänen, die nach der Bereitstellung der vCenter Server-Instanz konfiguriert werden.

  • Local OS - Lokale Betriebssystembenutzer sind in dem Betriebssystem, unter dem der vCenter-SSO-Server ausgeführt wird, lokal. Die Identitätsquelle des lokalen Betriebssystems ist nur in vCenter-SSO-Basisbereitstellungen vorhanden und steht in Bereitstellungen mit mehreren vCenter-SSO-Instanzen nicht zur Verfügung. Es ist nur eine einzige lokale Betriebssystemidentitätsquelle zulässig. Wird im vSphere Client als lokal angezeigt.
  • vsphere.local - Ermöglicht die Authentifizierung von administrator@vsphere.local.
  • IBM Cloud for VMware Solutions-Infrastrukturdomäne - Diese Domäne ist die <root_domain>, die auf dem AD-DNS-Server basierend auf den Parametern konfiguriert wird, die während des Bestellprozesses erfasst werden. Dieser Prozess ermöglicht die Authentifizierung des Benutzers automation@<root_domain>.

Benutzer können sich nur dann bei vCenter Server anmelden, wenn sie sich in einer Domäne befinden, die als vCenter-SSO-Identitätsquelle hinzugefügt wird. Sie können bei Bedarf weitere Identitätsquellen hinzufügen, um Ihren AD- oder LDAP-Benutzern Zugang zu gewähren.

vSphere-SSO-Konfiguration

Die folgenden Abschnitte enthalten die Einstellungen, die im vSphere-SSO konfiguriert sind.

Tokenvertrauenswürdigkeit

Tokenvertrauenswürdigkeit
Parameter Wert
Systemzeittoleranz 600000 Millisekunden
Maximale Anzahl Tokenverlängerungen 10
Maximale Anzahl Tokendelegierungen 10
Maximale Trägertokenlaufzeit 300 Sekunden
Maximale HoK-Tokenlaufzeit 2592000 Sekunden

Sperrrichtlinie

Weitere Informationen zur Sperrrichtlinie finden Sie unter Richtlinienkonfigurationen.

Kennwortrichtlinie

Kennwortrichtlinie
Parameter Wert
Maximale Laufzeit Kennwort muss alle 90 Tage geändert werden
Wiederverwendung beschränken Benutzer dürfen keines der vorherigen 5 Kennwörter wiederverwenden
Maximale Länge 20 Zeichen
Mindestlänge 15 Zeichen
Zeichenanforderungen
  • Mindestens zwei alphabetische Zeichen
  • Mindestens ein Sonderzeichen
  • Mindestens ein Großbuchstabe
  • Mindestens ein Kleinbuchstaben
  • Mindestens ein numerisches Zeichen
  • Identische aufeinanderfolgende Zeichen - 3

Als Kunde haben Sie uneingeschränkten Zugriff auf die Anpassung dieser Einstellungen nach Bedarf, um Ihre Unternehmenssicherheitsrichtlinien anzuwenden. Informationen zur Änderung dieser Richtlinien finden Sie unter "Verwalten von vCenter-Single-Sign-On-Richtlinien ".

vSphere ESXi-Hosts

Jeder vSphere-ESXi-Host verfügt über ein eigenes root-Konto und ein eigenes Kennwort. Um dieses Kennwort zu ermitteln, führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der Konsole VMware Solutions in der linken Navigationsleiste auf Ressourcen > VCF für Classic.

  2. In der VMware Cloud Foundation für Classic tabelle die Instanz aus und klicken Sie darauf.

  3. Klicken Sie auf die Registerkarte Infrastruktur und klicken Sie auf den gewünschten Cluster.

Die vSphere ESXi-Hosts treten auch AD bei, sodass sich jeder Systemadministrator mit seinem eigenen Konto anmelden kann.