IBM Cloud Docs
vCenter Single Sign On

vCenter Single Sign On

VMware vCenter Single Sign-On (SSO) es un intermediario de autenticación y una infraestructura de intercambio de tokens de seguridad, que permite a los componentes de VMware vSphere comunicarse entre sí a través de un mecanismo de tokens seguro y utiliza los siguientes servicios:

  • Servicio de señal de seguridad (STS)
  • SSL para tráfico seguro
  • Autenticación de usuarios utilizando un origen de identidad como, por ejemplo, Active Directory™ u OpenLDAP

Revise el siguiente flujo de inicio de sesión único de vSphere.

  1. Un usuario inicia la sesión en el cliente de vSphere con un nombre de usuario y una contraseña para acceder a vCenter o a un servicio de vCenter.
  2. El cliente de vSphere pasa la información de inicio de sesión al servicio de SSO, que comprueba la señal SAML del cliente de vSphere. Si vSphere Client tiene una señal válida, SSO comprueba lo siguiente:
    • Si el ID de usuario es @vsphere.local, comprueba el usuario respecto al dominio SSO local.
    • Si el ID de usuario es @DOMAIN, SSO utiliza el origen de identidad para comprobar ese dominio.
  3. Si la autenticación es satisfactoria, el SSO se devuelve una señal que representa al usuario en el cliente de vSphere.
  4. El cliente de vSphere pasa la señal a vCenter.
  5. vCenter comprueba con el SSO que la señal sea válida y que no haya caducado.
  6. El usuario puede ver y modificar cualquier objeto para el cual el rol del usuario tenga privilegios.

El dominio vSphere SSO se utiliza como mecanismo de autenticación inicial y sirve para conectar una instancia o varias instancias vinculadas a los servidores AD del dominio de infraestructura IBM Cloud® for VMware Solutions. En el diseño de IBM Cloud for VMware Solutions vCenter Server, se aplica la siguiente configuración del inicio de sesión único:

  • El dominio SSO de vsphere.local siempre se utiliza.
  • El nombre de sitio de SSO es igual al <root_domain> capturado durante el proceso de pedido.
  • Se configura una fuente de identidad, el dominio de infraestructura IBM Cloud for VMware Solutions <root_domain>.
  • El usuario de VSPHERE.LOCAL\Administrator está configurado como rol de administrador.
  • Se configuran los siguientes grupos con los roles Administrador:
    • <root_domain>\ic4v-vCenter
    • vsphere.local\Administrators

Después del despliegue, el usuario administrator@vsphere.local tiene acceso de administrador tanto a SSO como a vCenter Server. Este usuario puede gestionar orígenes de identidad y dominios predeterminados, especificar políticas de contraseñas y realizar otras tareas administrativas en el dominio vsphere.local. Sin embargo, este usuario es parte integrante de la autenticación de la infraestructura de VMware vSphere® y VMware NSX® que no forman parte de AD, sino que se crean automáticamente cuando se despliega vSphere. Dado que esta cuenta no forma parte de AD, se puede utilizar en situaciones en las que AD no funciona correctamente.

Como cliente, tiene acceso completo para gestionar los usuarios y grupos de SSO de vSphere, según sea necesario. Para obtener más información sobre cómo cambiar estas políticas, consulte Administración de usuarios y grupos de inicio de sesión único en vCenter.

Orígenes de identidad

Los orígenes de identidad se utilizan para conectar uno o más dominios al SSO de vCenter. Un dominio es un repositorio para usuarios y grupos que el SSO de vCenter puede utilizar para la autenticación de usuarios. vCenter SSO tiene los dominios siguientes que se han configurado después del despliegue de la instancia de vCenter Server.

  • Sistema operativo local: los usuarios de sistemas operativos son locales para el sistema operativo donde se está ejecutando el servidor de inicio de sesión de vCenter. El origen de identidad del sistema operativo local solamente existe en los despliegues básicos del SSO de vCenter y no está disponible en despliegues con varias instancias de SSO de vCenter. Sólo se permite un origen de identidad del sistema operativo local. Se muestra como local en el cliente vSphere.
  • vsphere.local: permite que administrator@vsphere.local se autentique.
  • Dominio de infraestructura de IBM Cloud for VMware Solutions: este dominio es el <root_domain> configurado en el servidor DNS AD en función de los parámetros que se recopilan durante el proceso de pedido. Este proceso permite que el usuario automation@<root_domain> se autentique.

Los usuarios pueden iniciar sesión en vCenter Server solo si están en un dominio que se añade como un origen de identidad de SSO de vCenter. Puede añadir más fuentes de identidad para dar acceso a sus usuarios AD o LDAP si es necesario.

Configuración del inicio de sesión único de vSphere

En las secciones siguientes se proporcionan los valores que están configurados en el inicio de sesión único de vSphere.

Fiabilidad de señal

Fiabilidad de señal
Parámetro Valor
Tolerancia de reloj 600000 milisegundos
Recuento máximo de renovaciones de señales 10
Recuento máximo de delegación de señales 10
Tiempo de vida máximo de señal portadora 300 segundos
Tiempo de vida máximo de señal de poseedor de clave 2.592.000 segundos

Política de bloqueo

Para obtener más información sobre la política de bloqueo, consulte Configuraciones de políticas.

Política de contraseñas

Política de contraseñas
Parámetro Valor
Tiempo máximo de actividad La contraseña se debe cambiar cada 90 días
Reutilización de restricciones Los usuarios no pueden reutilizar las cinco contraseñas anteriores
Longitud máxima 20 caracteres
Longitud mínima 15 caracteres
Requisitos de caracteres
  • Al menos dos caracteres alfabéticos
  • Al menos un carácter especial
  • Al menos un carácter en mayúsculas
  • Al menos un carácter en minúsculas
  • Al menos un carácter numérico
  • Caracteres adyacentes idénticos - 3

Igual que el cliente, dispone de acceso completo para ajustar estos valores según sea necesario para aplicar sus políticas de seguridad empresarial. Para cambiar estas políticas, consulte Administrar las políticas de inicio de sesión único de vCenter.

Hosts ESXi de vSphere

Cada host de vSphere ESXi tiene su propia cuenta y contraseña root . Para identificar esta contraseña, siga los siguientes pasos:

  1. En la consola VMware Solutions, haga clic en Recursos > VCF for Classic en el panel de navegación izquierdo.

  2. En la tabla VMware Cloud Foundation for Classic localice la instancia y haga clic en ella.

  3. Haga clic en la pestaña Infraestructura y haga clic en el clúster necesario.

Los hosts de vSphere ESXi también se unen a AD para que cada administrador del sistema pueda iniciar sesión con su propia cuenta.