vCenter Single Sign On
VMware vCenter 单点登录(SSO)是一种身份验证代理和安全令牌交换基础设施,它允许 VMware vSphere 组件通过安全令牌机制相互通信,并使用以下服务:
- 安全性令牌服务 (Security Token Service, STS)
- SSL 实现安全通信
- 通过使用身份源(如 Active Directory™ 或 OpenLDAP
查看以下 vSphere SSO 流程。
- 用户使用用户名和密码登录 vSphere 客户端,访问 vCenter 或 vCenter 服务。
- vSphere Client 将登录信息传递给 SSO 服务,该服务会检查 vSphere Client 的 SAML 令牌。 如果 vSphere 客户端有有效令牌,SSO 就会进行检查:
- 如果用户 ID 是
@vsphere.local,则会根据本地 SSO 域检查用户。 - 如果用户 ID 是
@DOMAIN,则 SSO 使用身份源检查该域。
- 如果用户 ID 是
- 如果认证成功,SSO 会向 vSphere Client 返回表示用户的令牌。
- vSphere Client 将令牌传递给 vCenter。
- vCenter 与 SSO 一起检查令牌是否有效,是否过期。
- 用户可以查看和修改用户角色对其具有特权的任何对象。
vSphere SSO 域用作初始身份验证机制,用于将一个实例或多个链接实例连接到 IBM Cloud® for VMware Solutions 基础架构域中的 AD 服务器。 在 IBM Cloud for VMware Solutions vCenter Server 设计中,应用了以下 SSO 配置:
- 始终使用
vsphere.local的 SSO 域。 - SSO 网站名称等于订购过程中捕获的
<root_domain>。 - 配置了一个身份源,即 IBM Cloud for VMware Solutions 基础设施域
<root_domain>。 VSPHERE.LOCAL\Administrator用户被配置为管理员角色。- 以下组配置为具有“管理员”角色:
<root_domain>\ic4v-vCentervsphere.local\Administrators
部署后,administrator@vsphere.local 用户对 SSO 和 vCenter 服务器都拥有管理员访问权限。 该用户可以在 vsphere.local 域中管理身份源和默认域、指定密码策略并执行其他管理任务。 不过,该用户是 VMware vSphere® 和 VMware NSX® 基础架构身份验证的组成部分,它们不是 AD 的一部分,而是在 vSphere 部署时自动创建的。 由于此帐户不属于 AD,因此在
AD 未正常工作的情况下,仍可以使用此帐户。
作为客户,您具有完全访问权,可根据需要管理 vSphere SSO 用户和组。 有关更改这些策略的详细信息,请参阅 管理 vCenter 单点登录用户和组。
身份源
身份源用于将一个或多个域连接到 vCenter SSO。 域是用户和组的存储库,vCenter SSO 可以使用域进行用户身份验证。vCenter SSO 在 vCenter Server 实例部署后配置了以下域。
- 本地操作系统 - 本地操作系统用户是运行 vCenter Single Sign-On 服务器的操作系统的本地用户。 本地操作系统身份源仅存在于基本 vCenter SSO 部署中,在具有多个 vCenter SSO 实例的部署中不可用。 只允许使用一个本地操作系统身份源。 在 vSphere 客户端中显示为本地。
- vsphere.local- 启用 验证。
administrator@vsphere.local - IBM Cloud for VMware Solutions 基础架构域 - 该域是根据订购过程中收集的参数在 AD DNS 服务器上配置的<root_domain>。 这一过程允许用户
automation@<root_domain>进行身份验证。
只有当用户所在的域被添加为 vCenter SSO 身份源时,他们才能登录 vCenter Server。 如有需要,您可以添加更多身份源,为 AD 或 LDAP 用户提供访问权限。
vSphere SSO 配置
以下各节提供了在 vSphere SSO 中配置的设置。
令牌可信任性
| 参数 | 值 |
|---|---|
| 时钟容错性 | 600000 毫秒 |
| 最大令牌更新计数 | 10 |
| 最大令牌授权计数 | 10 |
| 最长不记名令牌生存期 | 300 秒 |
| 最长密钥持有者令牌生存期 | 2592000 秒 |
锁定策略
有关锁定策略的更多信息,请参阅 策略配置。
密码策略
| 参数 | 值 |
|---|---|
| 最长生存期 | 密码必须每 90 天更改一次 |
| 限制复用 | 用户不能重复使用之前的五个密码 |
| 最大长度 | 20 个字符 |
| 最小长度 | 15 个字符 |
| 字符需求 |
|
作为客户,您具有完全访问权,可根据需要对这些设置进行定制,以应用企业安全策略。 如需更改这些政策,请参阅 管理 vCenter 单点登录政策。
vSphere ESXi 主机
每个 vSphere ESXi 主机都有自己的 root 帐户和密码。 要识别该密码,请完成以下步骤:
-
在 VMware Solutions 控制台中,从左侧导航面板单击资源 > VCF for Classic。
-
在 VMware Cloud Foundation for Classic 表中,找到并单击实例。
-
单击 Infrastructure 选项卡,然后单击所需的群集。
vSphere ESXi 主机也会加入 AD,这样每个系统管理员都可以用自己的账户登录。