IBM Cloud Docs
vCenter Single Sign On

vCenter Single Sign On

VMware vCenter Single Sign-On (SSO) est un courtier d'authentification et une infrastructure d'échange de jetons de sécurité, qui permet aux composants de VMware vSphere de communiquer entre eux par le biais d'un mécanisme de jetons de sécurité et utilise les services suivants :

  • Service de jeton de sécurité (STS)
  • SSL pour le trafic sécurisé
  • Authentification des utilisateurs à l'aide d'une source d'identité telle que Active Directory™ ou OpenLDAP

Passez en revue le flux SSO vSphere suivant :

  1. Un utilisateur se connecte à vSphere Client avec un nom d'utilisateur et un mot de passe pour accéder à vCenter ou à un service vCenter.
  2. vSphere Client transmet les informations de connexion au service SSO, qui vérifie le jeton SAML de vSphere Client. Si le client vSphere possède un jeton valide, la connexion unique vérifie :
    • Si l'ID utilisateur est @vsphere.local, il vérifie l'utilisateur par rapport au domaine de connexion unique local.
    • Si l'ID utilisateur est @DOMAIN, la connexion unique utilise la source d'identité pour vérifier ce domaine.
  3. Si l'authentification aboutit, SSO retourne un jeton qui représente l'utilisateur sur vSphere Client.
  4. vSphere Client transmet le jeton à vCenter.
  5. vCenter vérifie avec SSO que le jeton est valide et n'a pas expiré.
  6. L'utilisateur peut afficher et modifier tous les objets pour lesquels le rôle de l'utilisateur dispose de privilèges.

Le domaine SSO vSphere est utilisé comme mécanisme d'authentification initial et sert à connecter une instance ou plusieurs instances liées aux serveurs AD dans le domaine d'infrastructure IBM Cloud® for VMware Solutions. Dans la conception IBM Cloud for VMware Solutions vCenter, la configuration SSO suivante est appliquée :

  • Le domaine SSO vsphere.local est toujours utilisé.
  • Le nom du site de connexion unique est égal à <root_domain> capturé au cours du processus de commande.
  • Une source d'identité, le domaine d'infrastructure IBM Cloud for VMware Solutions <root_domain>, est configurée.
  • L'utilisateur VSPHERE.LOCAL\Administrator est configuré en tant qu'administrateur.
  • Les groupes suivants sont configurés avec des rôles d'administrateur :
    • <root_domain>\ic4v-vCenter
    • vsphere.local\Administrators

Après le déploiement, l'utilisateur administrator@vsphere.local dispose de l'accès administrateur à SSO et vCenter Server. Il peut gérer les sources d'identité et les domaines par défaut, spécifier des règles sur les mots de passe et effectuer d'autres tâches d'administration dans le domaine vsphere.local. Cet utilisateur est un élément à part entière de l'authentification de l'infrastructure VMware vSphere® et NSX®, mais il ne fait pas partie d'AD puisqu'il est créé automatiquement lorsque vSphere est déployé. Ce compte ne faisant pas partie d'AD, il peut être utilisé dans des situations où AD ne fonctionne pas correctement.

En tant que client, vous disposez d'un accès complet pour gérer les utilisateurs et les groupes vSphere SSO selon les besoins. Pour plus d'informations sur la modification de ces règles, voir la section Gestion des utilisateurs et des groupes de Single Sign-On sur le site vCenter.

Sources d'identité

Les sources d'identité sont utilisées pour attacher un ou plusieurs domaines à vCenter SSO. Un domaine est un référentiel pour les utilisateurs et les groupes que la connexion unique vCenter peut utiliser pour l'authentification des utilisateurs. La connexion unique VCenter possède les domaines suivants qui sont configurés après le déploiement de l'instance vCenter Server.

  • Système d'exploitation local - Les utilisateurs du système d'exploitation local sont locaux dans le système d'exploitation où le serveur vCenter Single Sign-On s'exécute. La source d'identité du système d'exploitation local existe uniquement dans les déploiements vCenter SSO de base et n'est pas disponible dans les déploiements avec plusieurs instances vCenter SSO. Une seule source d'identité de système d'exploitation local est autorisée. Représenté comme local dans le client vSphere.
  • Vsphere.local - Permet à administrator@vsphere.local d'être authentifié.
  • Domaine d'infrastructure IBM Cloud for VMware Solutions - Ce domaine est le <root_domain> configuré sur le serveur de serveur de noms de domaine de développement d'application ( AD DNS) en fonction des paramètres collectés au cours du processus de commande. Ce processus permet à l'utilisateur automation@<root_domain> d'être authentifié.

Les utilisateurs ne peuvent se connecter à vCenter Server que s'ils se trouvent dans un domaine qui a été ajouté en tant que source d'identité vCenter SSO. Vous pouvez ajouter d'autres sources d'identité pour donner accès à vos utilisateurs AD ou LDAP si nécessaire.

Configuration vSphere SSO

Les sections suivantes présentent les paramètres configurés dans vSphere SSO.

Fiabilité du jeton

Fiabilité du jeton
Paramètre Valeur
Tolérance de l'horloge 600000 millisecondes
Nombre maximum de renouvellements de jetons 10
Nombre maximum de délégations de jetons 10
Nombre maximum de délégations de jetons 300 secondes
Durée de vie maximale d'un jeton de support 2592000 secondes

Règles de verrouillage

Pour plus d'informations sur les règles de verrouillage, voir Configurations de règles.

Règle d'administration des mots de passe

Règle d'administration des mots de passe
Paramètre Valeur
Durée de vie maximale Le mot de passe doit être modifié tous les 90 jours
Restreindre la réutilisation Les utilisateurs ne peuvent pas réutiliser les cinq mots de passe précédents
Longueur maximale 20 caractères
Longueur minimale 15 caractères
Exigences de caractères
  • Au moins deux caractères alphabétiques
  • Au moins un caractère spécial
  • Au moins un caractère en majuscules
  • Au moins un caractère en minuscules
  • Au moins un caractère numérique
  • Caractères identiques identiques - 3

En tant que client, vous disposez d'un accès complet pour personnaliser ces paramètres en fonction de vos besoins afin d'appliquer vos règles de sécurité d'entreprise. Pour modifier ces politiques, voir Gestion des politiques d'authentification unique d' vCenter.

Hôtes vSphere ESXi

Chaque hôte vSphere ESXi possède son propre compte root et son propre mot de passe. Pour identifier ce mot de passe, suivez les étapes suivantes :

  1. Dans la console VMware Solutions, cliquez sur Resources > VCF for Classic dans le panneau de navigation de gauche.

  2. Dans le tableau VMware Cloud Foundation for Classic localisez et cliquez sur l'instance.

  3. Cliquez sur l'onglet Infrastructure et cliquez sur le cluster requis.

Les hôtes ESXi vSphere rejoignent également le développement d'application (AD) afin que chaque administrateur système puisse se connecter avec son propre compte.