vCenter Server Noções básicas sobre a federação do provedor de identidade

No vSphere 7.0 e posterior, o vCenter Server oferece suporte à autenticação federada. Nesse cenário, quando um usuário faz login em vCenter Server, vCenter Server redireciona o login do usuário para o provedor de identidade externo. As credenciais do usuário não são mais fornecidas a vCenter Server diretamente. Em vez disso, o usuário fornece credenciais ao provedor de identidade externo. vCenter Server confia no provedor de identidade externo para realizar a autenticação. No modelo de federação, os usuários nunca fornecem credenciais diretamente a qualquer serviço ou aplicativo, mas apenas ao provedor de identidade. Como resultado, você "federa" seus aplicativos e serviços, como vCenter Server, com seu provedor de identidade.

vCenter Server Suporte ao Provedor de Identidade Externo

vCenter Server é compatível com os seguintes provedores de identidade externos:

• AD FS (vSphere 7.0 e posterior)
• Okta (a partir do vSphere 8.0 Atualização 1)

vCenter Server Benefícios da Federação do Provedor de Identidade

vCenter Server A Federação do Provedor de Identidade oferece os seguintes benefícios.

• Você pode usar o Single Sign-On com a infraestrutura federada e os aplicativos existentes.
• Você pode melhorar a segurança do centro de dados porque vCenter Server nunca processa as credenciais do usuário.
• Você pode usar os mecanismos de autenticação, como a autenticação multifator, com suporte do provedor de identidade externo.

vCenter Server Arquitetura de Federação do Provedor de Identidade

Para estabelecer uma relação de confiança de terceira parte confiável entre vCenter Server e um provedor de identidade externo, como AD FS ou Okta, você deve estabelecer as informações de identificação e um segredo compartilhado entre eles. vCenter Server usa o protocolo OpenID Connect (OIDC) para receber um token de identidade que autentica o usuário com vCenter Server.

As etapas de alto nível para configurar um provedor de identidade externo com vCenter Server incluem:

1. Estabelecendo uma relação de confiança de terceira parte confiável entre vCenter Server e o provedor de identidade externo criando uma configuração de OIDC. Para o AD FS, você cria um Grupo de Aplicativos ou Aplicativo. Para o Okta, você cria um aplicativo nativo do Okta com o OpenID Connect como o método de logon. A configuração do OIDC consiste em um aplicativo Servidor e uma API Web. Os dois componentes especificam as informações que vCenter Server usa para confiar e se comunicar com o provedor de identidade externo.
2. Criando um provedor de identidade correspondente em vCenter Server.
3. Configurando associações a grupos em vCenter Server para autorizar logins de usuários no domínio do provedor de identidade externo.

O administrador do provedor de identidade deve fornecer as seguintes informações para criar a configuração do provedor de identidade vCenter Server:

• Identificador de Cliente: a cadeia de caracteres UUID gerada no AD FS quando você cria o Grupo de Aplicativos (ou Aplicativo) e que identifica o Grupo de Aplicativos (ou Aplicativo) ou que é gerada no Okta quando você cria o aplicativo OpenID Connect.
• Segredo compartilhado: o segredo que é gerado no AD FS quando você cria o Grupo de Aplicativos (ou Aplicativo) ou que é gerado no Okta quando você cria o aplicativo OpenID Connect e que é usado para autenticar vCenter Server com o provedor de identidade externo .
• Endereço OpenID: a URL do endpoint de Descoberta do Provedor OpenID do servidor do provedor de identidade externo, especificando um endereço conhecido que normalmente é o endpoint do emissor concatenado com o caminho /.well-known/openid-configuration. Aqui está um exemplo de endereço OpenID para uma configuração do AD FS:

  https://webserver.example.com/adfs/.well-known/openid-configuration

  Da mesma forma, aqui está um exemplo de endereço OpenID para uma configuração do Okta:

  https://example.okta.com/oauth2/default/.well-known/openid-configuration

VMware Serviços de identidade e autenticação federada

A partir do vSphere 8.0 Atualização 1, os Serviços de Identidade do VMware fornecem integração com o Okta como um provedor de identidade federado. Você pode pensar nos Serviços de Identidade do VMware como uma versão "reduzida" do VMware Workspace ONE que está integrada ao vSphere.

Quando você instala ou atualiza para o vSphere 8.0 Atualização 1, os VMware Serviços de Identidade são ativados por padrão no vCenter Server. Quando você configura o Okta como um provedor de identidade externo, o vCenter Server usa os Serviços de Identidade do VMware para se comunicar com o servidor Okta.

vCenter Server é compatível com o Okta como um provedor de identidade externo em uma configuração de Modo Vinculado Avançado. Embora, em uma configuração de Modo Vinculado Avançado, vários sistemas vCenter Server estejam executando VMware Serviços de Identidade, apenas um único vCenter Server e seus VMware Serviços de Identidade se comunicam com o servidor Okta. Por exemplo, se você tiver uma configuração de Modo Vinculado Avançado de três sistemas vCenter Server, A, B e C, e configurar o provedor de identidade do Okta em vCenter Server A, vCenter Server A será o único sistema a lidar com todos os Logins do Okta. vCenter Server B e vCenter Server C não se comunicam diretamente com o servidor Okta.

Processo de autenticação do Okta

Quando você configura o vCenter Server para usar os Serviços de Identidade do VMware para se comunicar com o servidor Okta, ocorre o seguinte processo de autenticação:

1. Um usuário efetua login em vCenter Server com o vSphere Client.
2. vCenter Single Sign-On delega a autenticação do usuário e redireciona a solicitação do usuário para os Serviços de Identidade do VMware.
3. O processo dos Serviços de Identidade do VMware solicita um token do provedor de identidade externo do Okta para estabelecer a sessão do usuário.
4. O provedor de identidade do Okta autentica o usuário (ele pode usar credenciais de Autenticação Multifator (MFA) ou SSO) e retorna o token para os Serviços de Identidade do VMware.

   O token contém as declarações do usuário.

5. O processo dos Serviços de Identidade do VMware valida o token do provedor de identidade Okta, gera um token dos Serviços de Identidade VMware correspondente e envia o token dos Serviços de Identidade VMware para vCenter Single Sign-On.
6. vCenter Single Sign-On valida o token e concede a solicitação de login.

Como o vCenter Server interage com usuários e grupos do Okta

Quando você configura o Okta como seu provedor de identidade externo, o vCenter Server usa o System for Cross-domain Identity Management (SCIM) para gerenciamento de usuários e grupos. SCIM é um padrão aberto para automatizar a troca de informações de identidade do usuário. Um aplicativo SCIM que você cria em seu servidor Okta gerencia os usuários e grupos no Okta que você deseja enviar por push para vCenter Server. vCenter Server também usa SCIM ao pesquisar usuários e grupos para atribuir permissões a objetos vCenter Server.

vCenter Server Componentes de Federação do Provedor de Identidade

Os seguintes componentes compreendem uma configuração de vCenter Server Federação do Provedor de Identidade:

• Um vCenter Server
  • Para AD FS: vCenter Server 7.0 ou posterior
  • Para o Okta: vCenter Server 8.0 Atualização 1
• Um serviço de provedor de identidade configurado no vCenter Server
• Um provedor de identidade externo (AD FS ou Okta)
• Uma configuração do OpenID Connect (OIDC):
  • Para AD FS: um grupo de aplicativos (também chamado de aplicativo)
  • Para o Okta: um aplicativo OpenID Connect
• Um aplicativo System for Cross-domain Identity Management (SCIM) para gerenciamento de usuários e grupos (somente para Okta)
• Grupos e usuários de provedores de identidade externos que você mapeia para vCenter Server grupos e usuários
• VMware Serviços de identidade ativados em vCenter Server (somente para Okta)

Mecanismos de autenticação

Em uma configuração do vCenter Server Identity Provider Federation, o provedor de identidade externo lida com os mecanismos de autenticação (senhas, MFA, biometria e assim por diante).

AD FS e suporte para um único domínio Active Directory

Quando você configura a vCenter Server Federação do Provedor de Identidade para AD FS, o assistente para Configurar Provedor de Identidade Principal solicita que você digite as informações LDAP para o único domínio do AD que contém os usuários e os grupos que você deseja acessar vCenter Server. vCenter Server deriva o domínio do AD a ser usado para autorização e permissões do DN Base do Usuário que você especifica no assistente. Você pode adicionar permissões em objetos vSphere somente para usuários e grupos deste domínio do AD. Os usuários ou grupos de domínios filho do AD ou outros domínios na floresta do AD não são compatíveis com a vCenter Server Federação de Provedores de Identidade.

Okta e suporte para vários domínios

Quando você configura a vCenter Server Federação do Provedor de Identidade para o Okta, o assistente para Configurar Provedor de Identidade Principal permite que você insira informações LDAP para os vários domínios que contêm os usuários e os grupos que você deseja acessar vCenter Server.

Políticas de senha, bloqueio e token

Quando o vCenter Server atua como provedor de identidade, você controla as políticas de senha, bloqueio e token do vCenter Server para o domínio padrão (vsphere.local ou o nome de domínio que você digitou ao instalar o vSphere). Ao usar a autenticação federada com vCenter Server, o provedor de identidade externo controla as políticas de senha, bloqueio e token para as contas armazenadas na fonte de identidade, como Active Directory.

Auditoria e conformidade

Ao usar a vCenter Server Federação de Provedor de Identidade, o vCenter Server continua a criar entradas de log para logins bem-sucedidos do usuário. No entanto, o provedor de identidade externo é responsável por rastrear e registrar em log ações como tentativas malsucedidas de inserção de senha e bloqueios de conta de usuário. vCenter Server não registra esses eventos porque eles não estão mais visíveis para vCenter Server. Por exemplo, quando o AD FS é o provedor de identidade, o AD FS rastreia e registra em log os erros para logons federados. Quando vCenter Server é o provedor de identificação para logins locais, vCenter Server rastreia e registra erros para logins locais. Em uma configuração federada, o vCenter Server continua a registrar as ações do usuário após o login.

Integração do produto VMware existente com provedores de identidade externos

Os produtos VMware integrados ao vCenter Server (por exemplo, VMware Aria Operations, vSAN, NSX e assim por diante) continuam funcionando como antes.

Produtos que integram o pós-login

Os produtos que integram o pós-login (ou seja, eles não exigem um login separado) continuam a funcionar como antes.

Autenticação simples para acesso à API, SDK e CLI

Scripts, produtos e outras funcionalidades existentes que dependem de comandos de API, SDK ou CLI que usam Autenticação Simples (ou seja, nome de usuário e senha) continuam funcionando como antes. Internamente, a autenticação ocorre passando o nome de usuário e a senha. Essa transmissão do nome de usuário e da senha compromete alguns dos benefícios do uso da federação de identidade, pois expõe a senha para vCenter Server (e seus scripts). Considere migrar para a autenticação baseada em token sempre que possível.

Acessando a interface de gerenciamento do vCenter Server

Se o usuário for membro do grupo vCenter Server Administradores, o acesso à Interface de Gerenciamento do vCenter Server (anteriormente chamada de Interface de Gerenciamento do Dispositivo vCenter Server ou VAMI) será compatível.

Inserindo o texto do nome de usuário na página de logon do AD FS

A página de logon do AD FS não oferece suporte à passagem de texto para pré-preencher a caixa de texto do nome de usuário. Como resultado, durante os logons federados com o AD FS, depois de digitar seu nome de usuário na página de destino vCenter Server e redirecionar para a página de logon do AD FS, você deve reinserir seu nome de usuário na página de logon do AD FS. O nome de usuário que você insere na página de destino vCenter Server é necessário para redirecionar o logon para o provedor de identidade apropriado, e o nome de usuário na página de logon do AD FS é necessário para autenticar com o AD FS. Essa incapacidade de passar o nome de usuário para a página de logon do AD FS é uma limitação do AD FS. Você não pode configurar ou alterar esse comportamento diretamente de vCenter Server.

Inserindo o texto do nome de usuário na página de login do Okta

A página de login do Okta é compatível com a passagem de texto para pré-preencher a caixa de texto do nome do usuário. Você não precisa reinserir seu nome de usuário na página de login do Okta.

Suporte para endereços IPv6

O AD FS oferece suporte a endereços IPv6. O Okta não é compatível com endereços IPv6.

VMware Configuração de Instância Única dos Serviços de Identidade

Por padrão, quando você instala ou atualiza para o vSphere 8.0 Atualização 1, os VMware Serviços de Identidade são ativados no vCenter Server. Ao configurar o Okta em uma configuração do Modo de Link Avançado, você usa os Serviços de Identidade do VMware em um único sistema do vCenter Server. Por exemplo, se a configuração do Link de modo avançado consistir em três sistemas vCenter Server, apenas um vCenter Server e sua instância de VMware Serviços de Identidade serão usados para se comunicar com o servidor Okta.

Reconfigurando o identificador de rede primário

A reconfiguração do Identificador de Rede Primário (PNID) do vCenter Server tem os seguintes impactos em uma configuração de provedor de identidade externo.

• AD FS: adicione os novos URIs de redirecionamento ao servidor AD FS.
• Okta: reconfigura o Okta. Consulte Configurar a Federação do Provedor de Identidade do vCenter Server para Okta e siga as etapas para criar o provedor de identidade em vCenter Server.

Migrando do uso de Active Directory para um provedor de identidade externo

Se você estiver usando Active Directory como sua origem de identidade para vCenter Server, a migração para o uso de um provedor de identidade externo será simples. Se seus grupos e funções do Active Directory corresponderem aos grupos e funções do provedor de identidade, não será necessário realizar nenhuma ação adicional. Quando os grupos e as funções não corresponderem, você deverá realizar algum trabalho adicional. Se vCenter Server for um membro do domínio, considere removê-lo do domínio, pois ele não é necessário ou usado para federação de identidade.

Reencaminhamento e migração entre domínios

vCenter Server A Federação de Provedores de Identidade é compatível com o redirecionamento entre domínios, ou seja, mover um vCenter Server de um domínio de SSO do vSphere para outro. O vCenter Server redirecionado recebe a configuração do provedor de identidade replicado do sistema vCenter Server, ou sistemas, para o qual foi apontado.

Em geral, você não precisa realizar nenhuma reconfiguração adicional do provedor de identidade para um redirecionamento entre domínios, a menos que uma das seguintes opções seja verdadeira.

1. A configuração do provedor de identidade do vCenter Server redirecionado é diferente da configuração do provedor de identidade do vCenter Server para o qual ele foi apontado.
2. Esta é a primeira vez que o vCenter Server redirecionado está recebendo uma configuração de provedor de identidade.

Nesses casos, é necessário algum trabalho adicional. Por exemplo, para o AD FS, você deve adicionar os URIs de redirecionamento do sistema vCenter Server ao Grupo de Aplicativos correspondente no servidor AD FS. Por exemplo, se vCenter Server 1 com o Grupo de aplicativos A do AD FS (ou nenhuma configuração do AD FS) for redirecionado para vCenter Server 2 com o Grupo de aplicativos B do AD FS, você deverá adicionar os URIs de redirecionamento de vCenter Server 1 ao Grupo de aplicativos B .

Sincronização de usuários e grupos do Okta e vCenter Server backup e restauração

Dependendo de quando você sincroniza seus usuários e grupos do Okta com o vCenter Server e quando você faz backup do seu vCenter Server, se você precisar restaurar seu vCenter Server, talvez seja necessário sincronizar novamente seus usuários e grupos do Okta.

Para restaurar um usuário ou grupo excluído, você não pode simplesmente enviar o usuário ou grupo do Okta para o vCenter Server. Você deve atualizar o próprio aplicativo Okta SCIM 2.0 com o usuário ou grupo ausente. Consulte Restaurar usuários e grupos do Okta excluídos para vCenter Server.