vCenter Single Sign On
VMware vCenter Single Sign-On (SSO) es un intermediario de autenticación y una infraestructura de intercambio de tokens de seguridad, que permite a los componentes de VMware vSphere comunicarse entre sí a través de un mecanismo de tokens seguro y utiliza los siguientes servicios:
- Servicio de señal de seguridad (STS)
- SSL para tráfico seguro
- Autenticación de usuarios utilizando un origen de identidad como, por ejemplo, Active Directory™ u OpenLDAP
Revise el siguiente flujo de inicio de sesión único de vSphere.
- Un usuario inicia la sesión en el cliente de vSphere con un nombre de usuario y una contraseña para acceder a vCenter o a un servicio de vCenter.
- El cliente de vSphere pasa la información de inicio de sesión al servicio de SSO, que comprueba la señal SAML del cliente de vSphere. Si vSphere Client tiene una señal válida, SSO comprueba lo siguiente:
- Si el ID de usuario es
@vsphere.local
, comprueba el usuario respecto al dominio SSO local. - Si el ID de usuario es
@DOMAIN
, SSO utiliza el origen de identidad para comprobar ese dominio.
- Si el ID de usuario es
- Si la autenticación es satisfactoria, el SSO se devuelve una señal que representa al usuario en el cliente de vSphere.
- El cliente de vSphere pasa la señal a vCenter.
- vCenter comprueba con el SSO que la señal sea válida y que no haya caducado.
- El usuario puede ver y modificar cualquier objeto para el cual el rol del usuario tenga privilegios.
El dominio vSphere SSO se utiliza como mecanismo de autenticación inicial y sirve para conectar una instancia o varias instancias vinculadas a los servidores AD del dominio de infraestructura IBM Cloud® for VMware Solutions. En el diseño de IBM Cloud for VMware Solutions vCenter Server, se aplica la siguiente configuración del inicio de sesión único:
- El dominio SSO de
vsphere.local
siempre se utiliza. - El nombre de sitio de SSO es igual al
<root_domain>
capturado durante el proceso de pedido. - Se configura una fuente de identidad, el dominio de infraestructura IBM Cloud for VMware Solutions
<root_domain>
. - El usuario de
VSPHERE.LOCAL\Administrator
está configurado como rol de administrador. - Se configuran los siguientes grupos con los roles Administrador:
<root_domain>\ic4v-vCenter
vsphere.local\Administrators
Después del despliegue, el usuario administrator@vsphere.local
tiene acceso de administrador tanto a SSO como a vCenter Server. Este usuario puede gestionar orígenes de identidad y dominios predeterminados, especificar políticas de
contraseñas y realizar otras tareas administrativas en el dominio vsphere.local
. Sin embargo, este usuario es parte integrante de la autenticación de la infraestructura de VMware vSphere® y VMware NSX® que no forman parte de AD,
sino que se crean automáticamente cuando se despliega vSphere. Dado que esta cuenta no forma parte de AD, se puede utilizar en situaciones en las que AD no funciona correctamente.
Como cliente, tiene acceso completo para gestionar los usuarios y grupos de SSO de vSphere, según sea necesario. Para obtener más información sobre cómo cambiar estas políticas, consulte Administración de usuarios y grupos de inicio de sesión único en vCenter.
Orígenes de identidad
Los orígenes de identidad se utilizan para conectar uno o más dominios al SSO de vCenter. Un dominio es un repositorio para usuarios y grupos que el SSO de vCenter puede utilizar para la autenticación de usuarios. vCenter SSO tiene los dominios siguientes que se han configurado después del despliegue de la instancia de vCenter Server.
- Sistema operativo local: los usuarios de sistemas operativos son locales para el sistema operativo donde se está ejecutando el servidor de inicio de sesión de vCenter. El origen de identidad del sistema operativo local solamente existe en los despliegues básicos del SSO de vCenter y no está disponible en despliegues con varias instancias de SSO de vCenter. Sólo se permite un origen de identidad del sistema operativo local. Se muestra como local en el cliente vSphere.
- vsphere.local: permite que
administrator@vsphere.local
se autentique. - Dominio de infraestructura de IBM Cloud for VMware Solutions: este dominio es el <root_domain> configurado en el servidor DNS AD en función de los parámetros que se recopilan durante el proceso de pedido. Este proceso permite que el
usuario
automation@<root_domain>
se autentique.
Los usuarios pueden iniciar sesión en vCenter Server solo si están en un dominio que se añade como un origen de identidad de SSO de vCenter. Puede añadir más fuentes de identidad para dar acceso a sus usuarios AD o LDAP si es necesario.
Configuración del inicio de sesión único de vSphere
En las secciones siguientes se proporcionan los valores que están configurados en el inicio de sesión único de vSphere.
Fiabilidad de señal
Parámetro | Valor |
---|---|
Tolerancia de reloj | 600000 milisegundos |
Recuento máximo de renovaciones de señales | 10 |
Recuento máximo de delegación de señales | 10 |
Tiempo de vida máximo de señal portadora | 300 segundos |
Tiempo de vida máximo de señal de poseedor de clave | 2.592.000 segundos |
Política de bloqueo
Para obtener más información sobre la política de bloqueo, consulte Configuraciones de políticas.
Política de contraseñas
Parámetro | Valor |
---|---|
Tiempo máximo de actividad | La contraseña se debe cambiar cada 90 días |
Reutilización de restricciones | Los usuarios no pueden reutilizar las cinco contraseñas anteriores |
Longitud máxima | 20 caracteres |
Longitud mínima | 15 caracteres |
Requisitos de caracteres |
|
Igual que el cliente, dispone de acceso completo para ajustar estos valores según sea necesario para aplicar sus políticas de seguridad empresarial. Para cambiar estas políticas, consulte Administrar las políticas de inicio de sesión único de vCenter.
Hosts ESXi de vSphere
Cada host de vSphere ESXi tiene su propia cuenta y contraseña root
. Para identificar esta contraseña, siga los siguientes pasos:
-
En la consola VMware Solutions, haga clic en Recursos > VCF for Classic en el panel de navegación izquierdo.
-
En la tabla VMware Cloud Foundation for Classic localice la instancia y haga clic en ella.
-
Haga clic en la pestaña Infraestructura y haga clic en el clúster necesario.
Los hosts de vSphere ESXi también se unen a AD para que cada administrador del sistema pueda iniciar sesión con su propia cuenta.