Para gerenciar replicações em sites de nuvem remotos, estenda sua sessão para esse site aceitando um token de autenticação ou fornecendo credenciais para o VMware Cloud Director local. Qualquer operação de replicação em sites em nuvem remotos e operações de replicação específicas provenientes de sites em nuvem remotos exigem uma sessão estendida.

Estendendo a autenticação da sessão de nuvem para nuvem

Logins de usuário do VMware Cloud Director criam uma sessão e recebem um JSON Web Token (JWT) de portador usado para autenticar solicitações futuras.

O Cloud Service gerencia sua própria sessão que não está diretamente vinculada à sessão do VMware Cloud Director. Crie uma sessão local do Cloud Service usando um dos dois métodos de autenticação a seguir.
  • Forneça um usuário local do VMware Cloud Director e uma senha para autenticação para criar a sessão do Cloud Service. Internamente, o Cloud Service usa essas credenciais para criar uma sessão do VMware Cloud Director inédita que resulta em um JWT também inédito.
  • Como alternativa, use um JWT já existente sem fornecer credenciais para o Cloud Service, o que usa a sessão já existente do VMware Cloud Director para realizar as operações necessárias. O plug-in VMware Cloud Director Availability no VMware Cloud Director local usa automaticamente esse JWT já existente para autenticação.

Localmente, para seu site de nuvem, ao criar uma sessão do Cloud Service, você pode usar as replicações, tarefas e outros recursos do site local. Como sua sessão atual do Cloud Service associou um JWT para o VMware Cloud Director local, você também pode navegar no VMware Cloud Director local. Embora o JWT não tenha expirado, você pode realizar operações de replicação que exijam acesso ao VMware Cloud Director local.

Para realizar operações de replicação em sites em nuvem remotos, você deve estender sua sessão do Cloud Service local para o site em nuvem remoto usando um dos dois métodos de autenticação a seguir.

  • Quando a organização do VMware Cloud Director remota usa usuários locais, forneça as credenciais dos usuários.
  • Quando o VMware Cloud Director local e o remoto e suas organizações estiverem associados, clique em Usar Vários Sites. Como uma organização pode ser associada a várias organizações remotas, selecione a organização para autenticação.
  • Para o VMware Cloud Director Availability 4.3, quando vários sites em nuvem usam uma única instância do VMware Cloud Director, clique em Usar Vários Sites. O menu suspenso para selecionar uma organização contém somente a organização atual.

Estender sua sessão do Cloud Service do VMware Cloud Director local para o remoto sem fornecer credenciais de usuário local para o VMware Cloud Director remoto usa o JWT para autenticar a sessão estendida no site remoto.

Depois de se autenticar no site remoto, o Cloud Service mantém a sessão estendida recém-criada e, para as operações de replicação no site remoto, usa a sessão estendida sem exigir credenciais.

Autenticação local na nuvem

Para versões do VMware Cloud Director Availability anteriores à 4.3 ou anteriores ao vCenter Server 7.0, os tenants locais têm as duas opções a seguir para realizar operações de recuperação de desastres que exigem autenticação no site de nuvem.
  • Quando o VMware Cloud Director Availability vSphere Client Plug-In solicitar credenciais, forneça as credenciais de usuário do VMware Cloud Director local para autenticação. Essa opção permite restringir o acesso à infraestrutura local, mas não permite o uso de uma solução dedicada de gerenciamento de identidade para autenticação.
  • Como alternativa, use o plug-in VMware Cloud Director Availability no VMware Cloud Director para operações de gerenciamento de replicação. Essa opção permite usar uma solução de gerenciamento de identidade dedicada para autenticação, mas não permite restringir o acesso à infraestrutura local, pois, durante o emparelhamento, é necessário selecionar Permitir acesso a partir da Nuvem.
Com o vCenter Server 7.0 ou versão posterior, o VMware Cloud Director Availability 4.3 fornece um novo mecanismo de autenticação para que os tenants locais realizem operações de recuperação de desastres no VMware Cloud Director Availability vSphere Client Plug-In que exigem autenticação no site de nuvem, por exemplo, para configurar uma nova replicação ou fazer failover.
  • Quando a organização do VMware Cloud Director usa um provedor de identidade externo, por exemplo, SAML, os tenants locais agora podem usar esse método para autenticação.
  1. Ao realizar uma operação de replicação que exija autenticação, o VMware Cloud Director Availability vSphere Client Plug-In solicita o fornecimento das credenciais do site remoto. Nesse prompt, clicar em Usar autenticação de token de API gera e exibe um token temporário para autenticação que exige aceitação no plug-in VMware Cloud Director Availability no VMware Cloud Director.
  2. Clicar em Login abre uma nova janela do navegador com o plug-in VMware Cloud Director Availability no VMware Cloud Director.
    1. O tenant pode selecionar seu método de autenticação típico para se autenticar no VMware Cloud Director, como single sign-on ou autenticação multifator.
    2. Depois que ele se autentica no VMware Cloud Director, um prompt solicita a verificação e a aceitação de que o token temporário corresponde ao exibido no VMware Cloud Director Availability vSphere Client Plug-In.
  3. Aceitar o token temporário o associa ao JWT existente da sessão do VMware Cloud Director. Essa associação concede acesso para o VMware Cloud Director Availability vSphere Client Plug-In ao site de nuvem durante a sessão, e o tenant pode retomar o fluxo de trabalho de recuperação de desastres que solicitou as credenciais.
Observação:
  • O intervalo de aceitação do token é de 5 minutos. Depois que esse período expirar, o VMware Cloud Director Availability exigirá que um novo token seja gerado.
  • É possível aceitar ou rejeitar um token somente uma vez.
  • A ação de aceitar o token cria uma sessão regular que fica ativa por até 24 horas ou 30 minutos de inatividade.
  • Sair do vSphere invalida o token aceito. Após a reautenticação, ao realizar uma operação de replicação que exija autenticação, você deverá gerar um novo token e aceitá-lo.
  • O tenant deve garantir o login na organização correta do VMware Cloud Director para o site local, ou não poderá aceitar o token.
  • A autenticação local com um token requer o vCenter Server 7.0 ou posterior no site local e, em cada site do VMware Cloud Director Availability 4.3 ou versão posterior e está disponível somente usando o VMware Cloud Director Availability vSphere Client Plug-In.

Expiração da sessão

  • A sessão do Cloud Service local tem um limite de tempo flexível atingido devido à inatividade. Por padrão, a vida útil da sessão flexível expirará depois que sua sessão ficar inativa por mais de 30 minutos, e você não visualizará uma página de interface de gerenciamento com atualização dinâmica.
  • A sessão do Cloud Service local também tem um limite de tempo fixo que você não pode prolongar sem se autenticar novamente. Por padrão, a vida útil da sessão fixa expira depois de 24 horas. Durante esse período, você pode realizar todas as operações até sair da interface de gerenciamento ou, na página Sites de Peer, pode selecionar o site e clicar em Logout. Para obter mais informações sobre os dois tipos de vida útil da sessão, consulte Propriedades de configuração de segurança e, para obter mais informações sobre as sessões do usuário, consulte Funções, direitos e sessões de usuários no Security Guide.
  • A sessão do Cloud Service estendida para um site remoto na nuvem expira quando o JWT remoto se torna inválido devido a uma expiração ou devido a um logout manual. Por padrão, a vida útil do JWT do VMware Cloud Director também expira depois de 24 horas. Ao modificar a vida útil do JWT, por exemplo, reduzindo-a para uma hora, a sessão estendida expira após uma hora. Ao prolongar a vida útil do JWT por mais de 24 horas, a sessão estendida expira de acordo com qualquer uma das durações da sessão do Cloud Service, ou seja, após 24 horas ou após 30 minutos de inatividade.

Operações de replicação que exigem autenticação de sessão estendida

Estenda a sessão ao local remoto para as seguintes operações de replicação, dependendo de onde as replicações residem.
Replicações recebidas da nuvem
Para gerenciar as replicações no site remoto, você pode realizar algumas operações de replicação sem se autenticar e fornecer as credenciais do site remoto, embora precise se autenticar e fornecer as credenciais do site remoto para realizar as operações de replicação restantes.
Operações de replicação que não exigem autenticação: credenciais não são necessárias Operações de replicação que exigem autenticação: forneça credenciais para o site remoto
Migrar Nova proteção
Failover Nova migração
Testar failover Configurações de rede
Configurações de replicação Configurações de disco
Alterar proprietário
Alterar política de armazenamento
Sincronizar
Pausar
Retomar
Excluir replicação
Replicações de saída para a nuvem
Para gerenciar as replicações no site remoto em nuvem para todas as operações de replicação, você deve autenticar e fornecer as credenciais do site remoto.
Operações de replicação que exigem autenticação: forneça credenciais para o site remoto
Migrar
Failover
Testar failover
Nova proteção
Nova migração
Configurações de replicação
Configurações de rede
Configurações de disco
Alterar política de armazenamento
Sincronizar
Pausar
Retomar
Excluir replicação

Representação da organização do tenant

Para obter informações sobre como representar um tenant, consulte Faça login usando o Portal de Administração do Provedor do VMware Cloud Director™.