vCenter Server Noções básicas de federação de provedor de identidade

A partir do vSphere 7.0, o vCenter Server oferece suporte à autenticação federada. Nesse cenário, quando um usuário faz login no vCenter Server, o vCenter Server redireciona o login do usuário para o provedor de identidade externo. As credenciais do usuário não são mais fornecidas para vCenter Server diretamente. Em vez disso, o usuário fornece credenciais ao provedor de identidade externo. vCenter Server confia no provedor de identidade externo para realizar a autenticação. No modelo de federação, os usuários nunca fornecem credenciais diretamente para qualquer serviço ou aplicativo, mas apenas para o provedor de identidade. Como resultado, você "federará" seus aplicativos e serviços, como o vCenter Server, com seu provedor de identidade.

vCenter Server Benefícios da Federação do Provedor de Identidade

A vCenter Server Federação do Provedor de Identidade oferece os seguintes benefícios.

• Você pode usar o Single Sign-On com a infraestrutura federada e os aplicativos existentes.
• Você pode melhorar a segurança do centro de dados porque vCenter Server nunca lida com as credenciais do usuário.
• Você pode usar os mecanismos de autenticação, como a autenticação multifator, com suporte pelo provedor de identidade externo.

vCenter Server Componentes de federação do provedor de identidade

Os seguintes componentes compreendem uma configuração de Federação de Provedor de Identidade do vCenter Server que usa o Microsoft Active Directory Federation Services (AD FS):

• A vCenter Server
• Um serviço de provedor de identidade configurado no vCenter Server
• Um servidor AD FS e um domínio da Microsoft Active Directory associado
• Um grupo de aplicativos do AD FS
• Active Directory grupos e usuários que mapeiam para vCenter Server grupos e usuários

vCenter Server Arquitetura de federação de provedor de identidade

No vCenter Server Identity Provider Federation, o vCenter Server usa o protocolo OpenID Connect (OIDC) para receber um token de identidade que autentica o usuário com o vCenter Server.

Para estabelecer uma relação de confiança de parte confiável entre vCenter Server e um provedor de identidade, você deve estabelecer as informações de identificação e um segredo compartilhado entre eles. No AD FS, você faz isso criando uma configuração OIDC conhecida como um grupo de aplicativos, que consiste em um aplicativo de servidor e uma API da Web. Os dois componentes especificam as informações que o vCenter Server usa para confiar e se comunicar com o servidor AD FS. Você também cria um provedor de identidade correspondente em vCenter Server. Por fim, configure associações de grupo no vCenter Server para autorizar logins de usuários no domínio do AD FS.

O administrador do AD FS deve fornecer as seguintes informações para criar a configuração do provedor de identidade do vCenter Server:

• Identificador do cliente: a cadeia de caracteres UUID que é gerada pelo assistente de grupo de aplicativos do AD FS e que identifica o grupo de aplicativos em si.
• Segredo compartilhado: o segredo gerado pelo assistente de grupo de aplicativos do AD FS e usado para autenticar o vCenter Server com o AD FS.
• Endereço OpenID: a URL do endpoint de descoberta do provedor OpenID do servidor AD FS, especificando um endereço conhecido que é normalmente o endpoint do emissor concatenado com o caminho “/.well-known/openid-configuration”. Por exemplo: https://webserver.example.com/adfs/.well-known/openid-configuration.