vCenter Server Advertências e interoperabilidade da Federação do Provedor de Identidade

A vCenter Server Identity Provider Federation pode interoperar com muitos outros recursos do VMware.

Ao planejar sua estratégia de vCenter Server Federação de Provedor de Identidade, considere as possíveis limitações de interoperabilidade.

Mecanismos de autenticação

Em uma configuração de Federação de Provedor de Identidade do vCenter Server, o provedor de identidade externo lida com os mecanismos de autenticação (senhas, MFA, biometria e assim por diante).

vCenter Server Políticas

Quando vCenter Server vCenter Server atua como o provedor de identidade, você controla as políticas de senha, bloqueio e token do domínio vsphere.local. Ao usar a autenticação federada com vCenter Server, o provedor de identidade externo controla a senha, o bloqueio e as políticas de token para as contas armazenadas na origem de identidade, como Active Directory.

Auditoria e conformidade

Ao usar a vCenter Server Federação de Provedor de Identidade, o vCenter Server continua a criar entradas de log para logins de usuário bem-sucedidos. No entanto, o provedor de identidade externo é responsável por rastrear e registrar ações, como tentativas de entrada de senha com falha e bloqueios de conta de usuário. vCenter Server não registra esses eventos porque eles não são mais visíveis para vCenter Server. Por exemplo, quando o AD FS é o provedor de identidade, o AD FS rastreia e registra erros para logins federados. Quando vCenter Server é o provedor de identificação para logins locais, vCenter Server rastreia e registra erros para logins locais. Em uma configuração federada, o vCenter Server continua a registrar ações do usuário após o login.

Integração do produto VMware existente

Os produtos VMware integrados ao vCenter Server (por exemplo, vROps, vSAN, NSX e assim por diante) continuam a funcionar como antes.

Produtos que integram o pós-login

Os produtos que integram o pós-login (ou seja, eles não exigem um login separado) continuam a funcionar como antes.

Autenticação simples para acesso à API, SDK e CLI

Scripts, produtos e outras funcionalidades existentes que dependem de comandos de API, SDK ou CLI que usam autenticação simples (ou seja, nome de usuário e senha) continuam a funcionar como antes. Internamente, a autenticação ocorre ao passar o nome de usuário e a senha. Essa passagem do nome de usuário e da senha compromete alguns dos benefícios do uso da federação de identidade, pois expõe a senha para vCenter Server (e seus scripts). Considere migrar para a autenticação baseada em token sempre que possível.

Interface de gerenciamento do vCenter Server

Se o usuário for um membro do grupo Administradores, será possível acessar a vCenter Server interface de gerenciamento (anteriormente chamada de vCenter Server Interface de gerenciamento do dispositivo ou VAMI).

Inserindo o texto do nome de usuário na página de login do AD FS

A página de login do AD FS não oferece suporte à passagem de texto para preencher previamente a caixa de texto do nome do usuário. Como resultado, durante os logins federados com o AD FS, depois de inserir seu nome de usuário na página inicial do vCenter Server e redirecionar para a página de logon do AD FS, você deve reinserir seu nome de usuário na página de logon do AD FS. O nome de usuário inserido na página inicial do vCenter Server é necessário para redirecionar o login para o provedor de identidade apropriado, e o nome de usuário na página de login do AD FS é necessário para autenticar com o AD FS. Essa incapacidade de passar o nome de usuário para a página de login do AD FS é uma limitação do AD FS. Você não pode configurar ou alterar esse comportamento diretamente do vCenter Server.