vCenter Single Sign On
VMware vCenter Single Sign-On (SSO) è un broker di autenticazione e un'infrastruttura di scambio di token di sicurezza, che consente ai componenti di VMware vSphere di comunicare tra loro attraverso un meccanismo di token sicuro e utilizza i seguenti servizi:
- Servizio token di sicurezza (STS)
- SSL per un traffico sicuro
- L'autenticazione degli utenti avviene tramite una fonte di identità come Active Directory™ o OpenLDAP
Esaminate il seguente flusso SSO vSphere.
- Un utente si collega al client vSphere con un nome utente e una password per accedere a vCenter o a un servizio vCenter.
- Il client vSphere passa le informazioni di accesso al servizio SSO, che controlla il token SAML del client vSphere. Se il client vSphere dispone di un token valido, viene eseguito il controllo SSO:
- Se l'ID utente è
@vsphere.local, allora controlla l'utente rispetto al dominio SSO locale. - Se l'ID utente è
@DOMAIN, allora SSO utilizza l'origine dell'identità per verificare il dominio.
- Se l'ID utente è
- Se l'autenticazione ha esito positivo, SSO restituisce un token che rappresenta l'utente al client vSphere.
- Il client vSphere passa il token a vCenter.
- vCenter verifica con SSO che il token sia valido e non sia scaduto.
- L'utente può visualizzare e modificare tutti gli oggetti per i quali il ruolo dell'utente ha i privilegi.
Il dominio vSphere SSO viene utilizzato come meccanismo di autenticazione iniziale e serve a collegare un'istanza o più istanze collegate ai server AD nel dominio dell'infrastruttura IBM Cloud® for VMware Solutions. Nella progettazione di IBM Cloud for VMware Solutions vCenter Server, viene applicata la seguente configurazione SSO:
- Viene sempre utilizzato il dominio SSO di
vsphere.local. - Il nome del sito SSO corrisponde al sito
<root_domain>acquisito durante il processo di ordinazione. - Viene configurata una fonte di identità, il dominio dell'infrastruttura IBM Cloud for VMware Solutions
<root_domain>. - L'utente
VSPHERE.LOCAL\Administratorè configurato come ruolo Amministratore. - I seguenti gruppi vengono configurati con i ruoli di Amministratore:
<root_domain>\ic4v-vCentervsphere.local\Administrators
Dopo la distribuzione, l'utente administrator@vsphere.local ha accesso come amministratore sia a SSO che a vCenter Server. Questo utente può gestire le fonti di identità e i domini predefiniti, specificare i criteri di password ed
eseguire altre attività amministrative nel dominio vsphere.local. Tuttavia, questo utente è parte integrante dell'autenticazione delle infrastrutture NSX® VMware vSphere® e VMware, che non fanno parte di AD ma vengono create automaticamente
quando viene distribuito vSphere. Poiché questo account non fa parte di AD, può essere utilizzato in situazioni in cui AD non funziona correttamente.
Come cliente, hai accesso completo per gestire gli utenti e i gruppi di vSphere SSO secondo necessità. Per ulteriori informazioni sulla modifica di questi criteri, vedere Gestione di utenti e gruppi vCenter Single Sign-On.
Origini di identità
Le origini di identità vengono utilizzate per collegare uno o più domini a vCenter SSO. Un dominio è un archivio di utenti e gruppi che il vCenter SSO può utilizzare per l'autenticazione degli utenti. vCenter SSO dispone dei seguenti domini che vengono configurati dopo la distribuzione dell'istanza di vCenter Server.
- Sistema operativo locale - Gli utenti del sistema operativo locale sono locali per il sistema operativo in cui è in esecuzione il server vCenter Single Sign-On. L'origine di identità del sistema operativo locale esiste solo nelle distribuzioni vCenter SSO di base e non è disponibile nelle distribuzioni con più istanze vCenter SSO. È consentita solo una origine di identità del sistema operativo locale. Mostrato come locale nel client vSphere.
- vsphere.local- Consente di autenticare
administrator@vsphere.local. - IBM Cloud for VMware Solutions dominio dell'infrastruttura - Questo dominio è il <root_domain> configurato sul server AD DNS in base ai parametri raccolti durante il processo di ordinazione. Questo processo consente di autenticare l'utente
automation@<root_domain>.
Gli utenti possono accedere a vCenter Server solo se fanno parte di un dominio aggiunto come fonte di identità vCenter SSO. È possibile aggiungere altre fonti di identità per dare accesso agli utenti AD o LDAP, se necessario.
Configurazione di vSphere SSO
Le sezioni seguenti forniscono le impostazioni configurate in vSphere SSO.
Attendibilità dei token
| Parametro | Valore |
|---|---|
| Tolleranza temporale | 600000 millisecondi |
| Numero massimo di rinnovi token | 10 |
| Numero massimo di deleghe token | 10 |
| Durata massima del token bearer | 300 secondi |
| Durata massima del token holder-of-key | 2592000 secondi |
Politica di blocco
Per ulteriori informazioni sul criterio di blocco, vedere Configurazioni del criterio.
Politica di password
| Parametro | Valore |
|---|---|
| Durata massima | La password deve essere modificata ogni 90 giorni |
| Limita riutilizzo | Gli utenti non possono riutilizzare le cinque password precedenti |
| Lunghezza massima | 20 caratteri |
| Lunghezza minima | 15 caratteri |
| Requisiti di caratteri |
|
Come cliente, hai accesso completo per personalizzare queste impostazioni secondo necessità per applicare le tue politiche di sicurezza aziendale. Per modificare queste politiche, vedere Gestione delle politiche di single sign-on di vCenter.
Host vSphere ESXi
Ogni host vSphere ESXi ha il proprio root account e password. Per identificare questa password, eseguire i seguenti passaggi:
-
Nella console VMware Solutions, fare clic su Risorse > VCF for Classic dal pannello di navigazione sinistro.
-
Nella tabella VMware Cloud Foundation for Classic individuare l'istanza e fare clic su di essa.
-
Fare clic sulla scheda Infrastruttura e fare clic sul cluster richiesto.
Anche gli host ESXi di vSphere si uniscono ad AD in modo che ogni amministratore di sistema possa accedere con il proprio account.