No vSphere 7.0 e posterior, o vCenter Server oferece suporte à autenticação federada para entrar no vCenter Server.
Para habilitar a autenticação federada para vCenter Server, configure uma conexão com um provedor de identidade externo. A instância do provedor de identidade que você configura substitui vCenter Server como o provedor de identidade. Atualmente, o vCenter Server é compatível com o Active Directory Serviços de Federação (AD FS) e o Okta como provedores de identidade externos. vCenter Server é compatível com o AD FS no vSphere 7.0 e posterior, e o Okta a partir do vSphere 8.0 Update 1.
Como funciona a Federação do Provedor de Identidade vCenter Server
vCenter Server A Federação do Provedor de Identidade permite que você configure um provedor de identidade externo para autenticação federada. Nessa configuração, o provedor de identidade externo interage com a fonte de identidade em nome de vCenter Server.
vCenter Server Noções básicas sobre a federação do provedor de identidade
No vSphere 7.0 e posterior, o vCenter Server oferece suporte à autenticação federada. Nesse cenário, quando um usuário faz login em vCenter Server, vCenter Server redireciona o login do usuário para o provedor de identidade externo. As credenciais do usuário não são mais fornecidas a vCenter Server diretamente. Em vez disso, o usuário fornece credenciais ao provedor de identidade externo. vCenter Server confia no provedor de identidade externo para realizar a autenticação. No modelo de federação, os usuários nunca fornecem credenciais diretamente a qualquer serviço ou aplicativo, mas apenas ao provedor de identidade. Como resultado, você "federa" seus aplicativos e serviços, como vCenter Server, com seu provedor de identidade.
vCenter Server Suporte ao Provedor de Identidade Externo
vCenter Server é compatível com os seguintes provedores de identidade externos:
- AD FS (vSphere 7.0 e posterior)
- Okta (a partir do vSphere 8.0 Atualização 1)
vCenter Server Benefícios da Federação do Provedor de Identidade
vCenter Server A Federação do Provedor de Identidade oferece os seguintes benefícios.
- Você pode usar o Single Sign-On com a infraestrutura federada e os aplicativos existentes.
- Você pode melhorar a segurança do centro de dados porque vCenter Server nunca processa as credenciais do usuário.
- Você pode usar os mecanismos de autenticação, como a autenticação multifator, com suporte do provedor de identidade externo.
vCenter Server Arquitetura de Federação do Provedor de Identidade
Para estabelecer uma relação de confiança de terceira parte confiável entre vCenter Server e um provedor de identidade externo, como AD FS ou Okta, você deve estabelecer as informações de identificação e um segredo compartilhado entre eles. vCenter Server usa o protocolo OpenID Connect (OIDC) para receber um token de identidade que autentica o usuário com vCenter Server.
As etapas de alto nível para configurar um provedor de identidade externo com vCenter Server incluem:
- Estabelecendo uma relação de confiança de terceira parte confiável entre vCenter Server e o provedor de identidade externo criando uma configuração de OIDC. Para o AD FS, você cria um Grupo de Aplicativos ou Aplicativo. Para o Okta, você cria um aplicativo nativo do Okta com o OpenID Connect como o método de logon. A configuração do OIDC consiste em um aplicativo Servidor e uma API Web. Os dois componentes especificam as informações que vCenter Server usa para confiar e se comunicar com o provedor de identidade externo.
- Criando um provedor de identidade correspondente em vCenter Server.
- Configurando associações a grupos em vCenter Server para autorizar logins de usuários no domínio do provedor de identidade externo.
O administrador do provedor de identidade deve fornecer as seguintes informações para criar a configuração do provedor de identidade vCenter Server:
- Identificador de Cliente: a cadeia de caracteres UUID gerada no AD FS quando você cria o Grupo de Aplicativos (ou Aplicativo) e que identifica o Grupo de Aplicativos (ou Aplicativo) ou que é gerada no Okta quando você cria o aplicativo OpenID Connect.
- Segredo compartilhado: o segredo que é gerado no AD FS quando você cria o Grupo de Aplicativos (ou Aplicativo) ou que é gerado no Okta quando você cria o aplicativo OpenID Connect e que é usado para autenticar vCenter Server com o provedor de identidade externo .
- Endereço OpenID: a URL do endpoint de Descoberta do Provedor OpenID do servidor do provedor de identidade externo, especificando um endereço conhecido que normalmente é o endpoint do emissor concatenado com o caminho
/.well-known/openid-configuration
. Aqui está um exemplo de endereço OpenID para uma configuração do AD FS:https://webserver.example.com/adfs/.well-known/openid-configuration
Da mesma forma, aqui está um exemplo de endereço OpenID para uma configuração do Okta:https://example.okta.com/oauth2/default/.well-known/openid-configuration
VMware Serviços de identidade e autenticação federada
A partir do vSphere 8.0 Atualização 1, os Serviços de Identidade do VMware fornecem integração com o Okta como um provedor de identidade federado. Você pode pensar nos Serviços de Identidade do VMware como uma versão "reduzida" do VMware Workspace ONE que está integrada ao vSphere.
Quando você instala ou atualiza para o vSphere 8.0 Atualização 1, os VMware Serviços de Identidade são ativados por padrão no vCenter Server. Quando você configura o Okta como um provedor de identidade externo, o vCenter Server usa os Serviços de Identidade do VMware para se comunicar com o servidor Okta.
vCenter Server é compatível com o Okta como um provedor de identidade externo em uma configuração de Modo Vinculado Avançado. Embora, em uma configuração de Modo Vinculado Avançado, vários sistemas vCenter Server estejam executando VMware Serviços de Identidade, apenas um único vCenter Server e seus VMware Serviços de Identidade se comunicam com o servidor Okta. Por exemplo, se você tiver uma configuração de Modo Vinculado Avançado de três sistemas vCenter Server, A, B e C, e configurar o provedor de identidade do Okta em vCenter Server A, vCenter Server A será o único sistema a lidar com todos os Logins do Okta. vCenter Server B e vCenter Server C não se comunicam diretamente com o servidor Okta.
Processo de autenticação do Okta
Quando você configura o vCenter Server para usar os Serviços de Identidade do VMware para se comunicar com o servidor Okta, ocorre o seguinte processo de autenticação:
- Um usuário efetua login em vCenter Server com o vSphere Client.
- vCenter Single Sign-On delega a autenticação do usuário e redireciona a solicitação do usuário para os Serviços de Identidade do VMware.
- O processo dos Serviços de Identidade do VMware solicita um token do provedor de identidade externo do Okta para estabelecer a sessão do usuário.
- O provedor de identidade do Okta autentica o usuário (ele pode usar credenciais de Autenticação Multifator (MFA) ou SSO) e retorna o token para os Serviços de Identidade do VMware.
O token contém as declarações do usuário.
- O processo dos Serviços de Identidade do VMware valida o token do provedor de identidade Okta, gera um token dos Serviços de Identidade VMware correspondente e envia o token dos Serviços de Identidade VMware para vCenter Single Sign-On.
- vCenter Single Sign-On valida o token e concede a solicitação de login.
Como o vCenter Server interage com usuários e grupos do Okta
Quando você configura o Okta como seu provedor de identidade externo, o vCenter Server usa o System for Cross-domain Identity Management (SCIM) para gerenciamento de usuários e grupos. SCIM é um padrão aberto para automatizar a troca de informações de identidade do usuário. Um aplicativo SCIM que você cria em seu servidor Okta gerencia os usuários e grupos no Okta que você deseja enviar por push para vCenter Server. vCenter Server também usa SCIM ao pesquisar usuários e grupos para atribuir permissões a objetos vCenter Server.
vCenter Server Componentes de Federação do Provedor de Identidade
Os seguintes componentes compreendem uma configuração de vCenter Server Federação do Provedor de Identidade:
- Um vCenter Server
- Para AD FS: vCenter Server 7.0 ou posterior
- Para o Okta: vCenter Server 8.0 Atualização 1
- Um serviço de provedor de identidade configurado no vCenter Server
- Um provedor de identidade externo (AD FS ou Okta)
- Uma configuração do OpenID Connect (OIDC):
- Para AD FS: um grupo de aplicativos (também chamado de aplicativo)
- Para o Okta: um aplicativo OpenID Connect
- Um aplicativo System for Cross-domain Identity Management (SCIM) para gerenciamento de usuários e grupos (somente para Okta)
- Grupos e usuários de provedores de identidade externos que você mapeia para vCenter Server grupos e usuários
- VMware Serviços de identidade ativados em vCenter Server (somente para Okta)
vCenter Server Advertências e interoperabilidade da Federação do Provedor de Identidade
vCenter Server A Federação do Provedor de Identidade pode interoperar com muitos outros recursos do VMware.
Ao planejar sua estratégia de Federação do Provedor de Identidade do vCenter Server, considere as possíveis limitações de interoperabilidade.
Mecanismos de autenticação
Em uma configuração do vCenter Server Identity Provider Federation, o provedor de identidade externo lida com os mecanismos de autenticação (senhas, MFA, biometria e assim por diante).
AD FS e suporte para um único domínio Active Directory
Quando você configura a vCenter Server Federação do Provedor de Identidade para AD FS, o assistente para Configurar Provedor de Identidade Principal solicita que você digite as informações LDAP para o único domínio do AD que contém os usuários e os grupos que você deseja acessar vCenter Server. vCenter Server deriva o domínio do AD a ser usado para autorização e permissões do DN Base do Usuário que você especifica no assistente. Você pode adicionar permissões em objetos vSphere somente para usuários e grupos deste domínio do AD. Os usuários ou grupos de domínios filho do AD ou outros domínios na floresta do AD não são compatíveis com a vCenter Server Federação de Provedores de Identidade.
Okta e suporte para vários domínios
Quando você configura a vCenter Server Federação do Provedor de Identidade para o Okta, o assistente para Configurar Provedor de Identidade Principal permite que você insira informações LDAP para os vários domínios que contêm os usuários e os grupos que você deseja acessar vCenter Server.
Políticas de senha, bloqueio e token
Quando o vCenter Server atua como provedor de identidade, você controla as políticas de senha, bloqueio e token do vCenter Server para o domínio padrão (vsphere.local ou o nome de domínio que você digitou ao instalar o vSphere). Ao usar a autenticação federada com vCenter Server, o provedor de identidade externo controla as políticas de senha, bloqueio e token para as contas armazenadas na fonte de identidade, como Active Directory.
Auditoria e conformidade
Ao usar a vCenter Server Federação de Provedor de Identidade, o vCenter Server continua a criar entradas de log para logins bem-sucedidos do usuário. No entanto, o provedor de identidade externo é responsável por rastrear e registrar em log ações como tentativas malsucedidas de inserção de senha e bloqueios de conta de usuário. vCenter Server não registra esses eventos porque eles não estão mais visíveis para vCenter Server. Por exemplo, quando o AD FS é o provedor de identidade, o AD FS rastreia e registra em log os erros para logons federados. Quando vCenter Server é o provedor de identificação para logins locais, vCenter Server rastreia e registra erros para logins locais. Em uma configuração federada, o vCenter Server continua a registrar as ações do usuário após o login.
Integração do produto VMware existente com provedores de identidade externos
Os produtos VMware integrados ao vCenter Server (por exemplo, VMware Aria Operations, vSAN, NSX e assim por diante) continuam funcionando como antes.
Produtos que integram o pós-login
Os produtos que integram o pós-login (ou seja, eles não exigem um login separado) continuam a funcionar como antes.
Autenticação simples para acesso à API, SDK e CLI
Scripts, produtos e outras funcionalidades existentes que dependem de comandos de API, SDK ou CLI que usam Autenticação Simples (ou seja, nome de usuário e senha) continuam funcionando como antes. Internamente, a autenticação ocorre passando o nome de usuário e a senha. Essa transmissão do nome de usuário e da senha compromete alguns dos benefícios do uso da federação de identidade, pois expõe a senha para vCenter Server (e seus scripts). Considere migrar para a autenticação baseada em token sempre que possível.
Acessando a interface de gerenciamento do vCenter Server
Se o usuário for membro do grupo vCenter Server Administradores, o acesso à Interface de Gerenciamento do vCenter Server (anteriormente chamada de Interface de Gerenciamento do Dispositivo vCenter Server ou VAMI) será compatível.
Inserindo o texto do nome de usuário na página de logon do AD FS
A página de logon do AD FS não oferece suporte à passagem de texto para pré-preencher a caixa de texto do nome de usuário. Como resultado, durante os logons federados com o AD FS, depois de digitar seu nome de usuário na página de destino vCenter Server e redirecionar para a página de logon do AD FS, você deve reinserir seu nome de usuário na página de logon do AD FS. O nome de usuário que você insere na página de destino vCenter Server é necessário para redirecionar o logon para o provedor de identidade apropriado, e o nome de usuário na página de logon do AD FS é necessário para autenticar com o AD FS. Essa incapacidade de passar o nome de usuário para a página de logon do AD FS é uma limitação do AD FS. Você não pode configurar ou alterar esse comportamento diretamente de vCenter Server.
Inserindo o texto do nome de usuário na página de login do Okta
A página de login do Okta é compatível com a passagem de texto para pré-preencher a caixa de texto do nome do usuário. Você não precisa reinserir seu nome de usuário na página de login do Okta.
Suporte para endereços IPv6
O AD FS oferece suporte a endereços IPv6. O Okta não é compatível com endereços IPv6.
VMware Configuração de Instância Única dos Serviços de Identidade
Por padrão, quando você instala ou atualiza para o vSphere 8.0 Atualização 1, os VMware Serviços de Identidade são ativados no vCenter Server. Ao configurar o Okta em uma configuração do Modo de Link Avançado, você usa os Serviços de Identidade do VMware em um único sistema do vCenter Server. Por exemplo, se a configuração do Link de modo avançado consistir em três sistemas vCenter Server, apenas um vCenter Server e sua instância de VMware Serviços de Identidade serão usados para se comunicar com o servidor Okta.
Reconfigurando o identificador de rede primário
A reconfiguração do Identificador de Rede Primário (PNID) do vCenter Server tem os seguintes impactos em uma configuração de provedor de identidade externo.
- AD FS: adicione os novos URIs de redirecionamento ao servidor AD FS.
- Okta: reconfigura o Okta. Consulte Configurar a Federação do Provedor de Identidade do vCenter Server para Okta e siga as etapas para criar o provedor de identidade em vCenter Server.
vCenter Server Ciclo de vida da Federação do Provedor de Identidade
Ao gerenciar o ciclo de vida do vCenter Server Identity Provider Federation, há algumas considerações específicas.
Você pode gerenciar seu ciclo de vida da vCenter Server Federação do Provedor de Identidade das seguintes maneiras.
Migrando do uso de Active Directory para um provedor de identidade externo
Se você estiver usando Active Directory como sua origem de identidade para vCenter Server, a migração para o uso de um provedor de identidade externo será simples. Se seus grupos e funções do Active Directory corresponderem aos grupos e funções do provedor de identidade, não será necessário realizar nenhuma ação adicional. Quando os grupos e as funções não corresponderem, você deverá realizar algum trabalho adicional. Se vCenter Server for um membro do domínio, considere removê-lo do domínio, pois ele não é necessário ou usado para federação de identidade.
Reencaminhamento e migração entre domínios
vCenter Server A Federação de Provedores de Identidade é compatível com o redirecionamento entre domínios, ou seja, mover um vCenter Server de um domínio de SSO do vSphere para outro. O vCenter Server redirecionado recebe a configuração do provedor de identidade replicado do sistema vCenter Server, ou sistemas, para o qual foi apontado.
Em geral, você não precisa realizar nenhuma reconfiguração adicional do provedor de identidade para um redirecionamento entre domínios, a menos que uma das seguintes opções seja verdadeira.
- A configuração do provedor de identidade do vCenter Server redirecionado é diferente da configuração do provedor de identidade do vCenter Server para o qual ele foi apontado.
- Esta é a primeira vez que o vCenter Server redirecionado está recebendo uma configuração de provedor de identidade.
Nesses casos, é necessário algum trabalho adicional. Por exemplo, para o AD FS, você deve adicionar os URIs de redirecionamento do sistema vCenter Server ao Grupo de Aplicativos correspondente no servidor AD FS. Por exemplo, se vCenter Server 1 com o Grupo de aplicativos A do AD FS (ou nenhuma configuração do AD FS) for redirecionado para vCenter Server 2 com o Grupo de aplicativos B do AD FS, você deverá adicionar os URIs de redirecionamento de vCenter Server 1 ao Grupo de aplicativos B .
Sincronização de usuários e grupos do Okta e vCenter Server backup e restauração
Dependendo de quando você sincroniza seus usuários e grupos do Okta com o vCenter Server e quando você faz backup do seu vCenter Server, se você precisar restaurar seu vCenter Server, talvez seja necessário sincronizar novamente seus usuários e grupos do Okta.
Para restaurar um usuário ou grupo excluído, você não pode simplesmente enviar o usuário ou grupo do Okta para o vCenter Server. Você deve atualizar o próprio aplicativo Okta SCIM 2.0 com o usuário ou grupo ausente. Consulte Restaurar usuários e grupos do Okta excluídos para vCenter Server.