vCenter Single Sign On

VMware vCenter O Single Sign-On (SSO) é um corretor de autenticação e uma infraestrutura de troca de tokens de segurança que permite que os componentes do VMware vSphere se comuniquem entre si por meio de um mecanismo de token seguro e use os seguintes serviços:

Security Token Service (STS)
SSL para tráfego seguro
Autenticação de usuários usando uma origem de identidade, como o Active Directory ou o OpenLDAP

Analise o seguinte fluxo de SSO vSphere:

Um usuário efetua login no vSphere Client com um nome de usuário e uma senha para acessar o vCenter ou um serviço vCenter.
O vSphere Client transmite as informações de login para o serviço SSO, que verifica o token SAML do vSphere Client. Se o cliente vSphere tiver um token válido, a SSO verificará:
- Se o ID do usuário for @vsphere.local, então ele verifica o usuário com relação ao domínio de SSO local.
- Se o ID do usuário for @DOMAIN, então a SSO usa a origem de identidade para verificar esse domínio.
Se a autenticação for bem-sucedida, o SSO retornará um token que representa o usuário para o vSphere Client.
O vSphere Client passa o token para o vCenter.
O vCenter verifica com a SSO se o token é válido e não está expirado.
O usuário pode visualizar e modificar quaisquer objetos para os quais a função do usuário tem privilégios.

O domínio SSO vSphere é usado como mecanismo de autenticação inicial e serve para conectar uma instância ou várias instâncias vinculadas aos servidores AD no domínio de infraestrutura IBM Cloud® for VMware Solutions. No design do IBM Cloud for VMware Solutions vCenter Server, a configuração de SSO a seguir é aplicada:

O domínio de SSO do vsphere.local é sempre usado.
O nome do site da SSO é igual ao <root_domain> capturado durante o processo de solicitação.
Uma fonte de identidade, o domínio de infraestrutura IBM Cloud for VMware Solutions <root_domain>, é configurada.
O usuário VSPHERE.LOCAL\Administrator é configurado como uma função de Administrador.
Os grupos a seguir são configurados com funções de Administrador:
- <root_domain>\ic4v-vCenter
- vsphere.local\Administrators

Após a implementação, o usuário administrator@vsphere.local tem acesso de administrador tanto à SSO quanto ao vCenter Server. Ele pode gerenciar origens de identidade e domínios padrão, especificar políticas de senhas e executar outras tarefas administrativas no domínio vsphere.local. No entanto, este usuário é integral para a autenticação de infraestrutura do VMware vSphere® e do VMware NSX® e não faz parte de AD, mas é criado automaticamente quando o vSphere é implementado. Como essa conta não faz parte do AD, ela pode ser usada em situações em que o AD não está funcionando corretamente.

Como o cliente, você tem acesso total para gerenciar os usuários e grupos do vSphere SSO, conforme necessário. Para obter mais informações sobre como alterar essas políticas, consulte Gerenciamento de usuários e grupos de vCenter Single Sign-On.

Origens de identidade

As origens de identidade são usadas para anexar um ou mais domínios ao vCenter SSO. Um domínio é um repositório de usuários e grupos que o vCenter SSO pode usar para autenticação de usuários. vCenter O SSO tem os seguintes domínios que são configurados após a implementação da instância do servidor vCenter:

S.O. local - Os usuários do sistema operacional local são locais para o sistema operacional no qual o servidor do vCenter Single Sign-On está em execução. A origem de identidade do sistema operacional local existe apenas em implementações básicas do SSO e do vCenter não está disponível em implementações com várias instâncias da vCenter SSO. Apenas uma origem de identidade do sistema operacional local é permitida. Mostrado como local no cliente vSphere.
vsphere.local – Permite que o administrator@vsphere.local seja autenticado.
Domínio de infraestrutura do IBM Cloud for VMware Solutions - Este domínio é o <root_domain> configurado no servidor AD DNS com base nos parâmetros coletados durante o processo de solicitação. Esse processo permite que o usuário automation@<root_domain> seja autenticado.

Os usuários só podem fazer login no vCenter Server quando estão em um domínio incluído como origem de identidade de SSO do vCenter. Você pode adicionar mais fontes de identidade para dar acesso aos seus usuários do AD ou LDAP, se necessário.

Configuração do vSphere SSO

As seções a seguir fornecem as definições configuradas na SSO do vSphere.

Fidelidade de token

Fidelidade de token
Parâmetro	Valor
Tolerância do clock	600.000 milissegundos
Contagem máxima de renovação de token	10
Contagem máxima de delegação de token	10
Tempo de vida máximo do token de acesso	300 segundos
Maximum holder-of-key token lifetime	2.592.000 segundos

Política de bloqueio de acesso

Para obter mais informações sobre a política de bloqueio, consulte Configurações de política.

Política de senha

Política de senha
Parâmetro	Valor
Maximum lifetime	A senha deve ser mudada a cada 90 dias
Restringir uso	Os usuários não podem reutilizar nenhuma das cinco senhas anteriores
Comprimento Máximo	20 caracteres
Comprimento mínimo	15 caracteres
Character requirements	Pelo menos dois caracteres alfabéticos Pelo menos um caractere especial Pelo menos um caractere maiúsculo Pelo menos um caractere minúsculo Pelo menos um caractere numérico Caracteres adjacentes idênticos - 3

Como o cliente, você tem acesso total para customizar essas configurações, conforme necessário, para aplicar as políticas de segurança corporativas. Para alterar essas políticas, consulte Gerenciamento das políticas de logon único do site vCenter.

Hosts do vSphere ESXi

Cada host do vSphere ESXi tem a própria conta e a própria senha root. Para identificar essa senha, conclua as etapas a seguir:

No console VMware Solutions, clique em Recursos > VCF for Classic no painel de navegação esquerdo.
Na tabela VMware Cloud Foundation for Classic localize e clique na instância.
Clique na guia Infraestrutura e clique no cluster necessário.

Os hosts ESXi do vSphere também se unem ao AD para que cada administrador do sistema possa efetuar login com sua própria conta.