vCenter Single Sign-On permite que componentes vSphere se comuniquem entre si por meio de um mecanismo de token seguro.

vCenter Single Sign-On usa os seguintes serviços.
  • Autenticação de usuários por meio da federação de provedor de identidade externo ou do provedor de identidade integrado vCenter Server. O provedor de identidade integrado é compatível com contas locais, Active Directory ou OpenLDAP, Autenticação Windows Integrada (IWA) e diversos mecanismos de autenticação (cartão inteligente, RSA SecurID e autenticação de sessão Windows).
  • Autenticação de usuários da solução por meio de certificados.
  • Serviço de Token de Segurança (STS).
  • SSL para tráfego seguro.

vCenter Server Provedor de identidade integrado

vCenter Server inclui um provedor de identidade integrado. Por padrão, o vCenter Server usa o domínio vsphere.local como a origem de identidade (mas você pode alterar o domínio durante a instalação). Você pode configurar o vCenter Server provedor de identidade integrado para usar o Active Directory (AD) como sua origem de identidade usando LDAP/S, OpenLDAP/S e Autenticação Windows Integrada (IWA). Essas configurações permitem que os clientes façam login em vCenter Server usando suas contas do AD.

vCenter Server e um Provedor de Identidade Externo

No vSphere 7.0 e posterior, você pode configurar o vCenter Server para um provedor de identidade externo usando a autenticação federada. Nessa configuração, você substitui vCenter Server como o provedor de identidade.

vSphere é compatível com os seguintes provedores de identidade.

  • vSphere 7.0 e posterior: Active Directory Serviços de Federação (AD FS)
  • A partir do vSphere 8.0 Atualização 1: Okta

Quando você configura vSphere para usar um provedor de identidade externo, o provedor de identidade externo interage com as fontes de identidade em nome de vCenter Server.

Login de usuário com autenticação federada do vCenter Server Identity Provider

Quando você usa um provedor de identidade externo para autenticar com vCenter Server, vCenter Server redireciona a solicitação de login para o provedor de identidade externo. O provedor de identidade externo autentica o usuário com seu serviço de diretório e, em seguida, emite um token para vCenter Server usar para fazer login do usuário.

Por exemplo, a figura a seguir mostra uma visão detalhada do fluxo de logon do usuário para a Federação do Provedor de Identidade vCenter Server usando AD FS.

Figura 1. vCenter Server Logon do usuário usando a Federação do Provedor de Identidade do AD FS

Esta figura mostra o fluxo do processo de um usuário que faz login em vCenter Server com a Federação do Provedor de Identidade do AD FS.

vCenter Server, AD FS e Active Directory interagem da seguinte forma:

  1. O usuário inicia na página de destino vCenter Server digitando um nome de usuário.
  2. Se o nome de usuário for para um domínio federado, vCenter Server redirecionará a solicitação de autenticação para o AD FS.
  3. Se necessário, o AD FS solicita que o usuário faça login com as credenciais Active Directory.
  4. O AD FS autentica o usuário com Active Directory.
  5. O AD FS emite um token de segurança com informações de grupo de Active Directory.
  6. vCenter Server usa o token para fazer login do usuário.
O usuário agora está autenticado e pode visualizar e modificar quaisquer objetos para os quais a função do usuário tenha privilégios.
Observação: Inicialmente, cada usuário recebe a função Sem Acesso. Um administrador do vCenter Server deve atribuir ao usuário pelo menos a função Somente leitura para que o usuário possa fazer login. Consulte a documentação do vSphere Segurança.

Caso o provedor de identidade externo esteja inacessível, o processo de login retornará à página de destino vCenter Server, mostrando uma mensagem de informações apropriadas. Os usuários ainda podem fazer login usando suas contas locais na fonte de identidade vsphere.local.

A interação entre vCenter Server e o Okta como seu provedor de identidade externo é semelhante à do AD FS, com a exceção de que vCenter Server usa VMware Serviços de Identidade. Consulte Processo de autenticação do Okta.

Login do usuário com o vCenter Server provedor de identidade integrado

A figura a seguir mostra o fluxo de login do usuário quando vCenter Server atua como o provedor de identidade.

Figura 2. Login do usuário com o vCenter Server provedor de identidade integrado
Quando o usuário faz login no vSphere Client, o servidor Single Sign-On estabelece o handshake de autenticação.
  1. Um usuário efetua login no vSphere Client com um nome de usuário e uma senha para acessar o sistema do vCenter Server ou outro serviço do vCenter.

    Quando a Autenticação Windows Integrada (IWA) tiver sido configurada, os usuários também poderão fazer login sem precisar digitar novamente a senha do Windows marcando a caixa de seleção Usar autenticação de sessão Windows.

  2. O vSphere Client passa as informações de login para o serviço vCenter Single Sign-On, que verifica o token SAML do vSphere Client. Se o vSphere Client tiver um token válido, o vCenter Single Sign-On verificará se o usuário está na origem de identidade configurada (por exemplo, Active Directory).
    • Se apenas o nome de usuário for usado, vCenter Single Sign-On verificará o domínio padrão.
    • Se um nome de domínio estiver incluído no nome de usuário (DOMÍNIO\usuário1 ou usuário1@DOMÍNIO), vCenter Single Sign-On verificará esse domínio.
  3. Se o usuário puder se autenticar na origem de identidade, vCenter Single Sign-On retornará um token que representa o usuário para o vSphere Client.
  4. O vSphere Client passa o token para o sistema vCenter Server.
  5. vCenter Server verifica com o servidor vCenter Single Sign-On se o token é válido e não expirou.
  6. O servidor vCenter Single Sign-On retorna o token para o sistema vCenter Server, usando a Estrutura de Autorização vCenter Server para permitir o acesso do usuário.
O usuário agora está autenticado e pode visualizar e modificar quaisquer objetos para os quais a função do usuário tenha privilégios.
Observação: Inicialmente, cada usuário recebe a função Sem Acesso. Um administrador do vCenter Server deve atribuir ao usuário pelo menos a função Somente leitura para que o usuário possa fazer login. Consulte a documentação do vSphere Segurança.

Login para usuários da solução

Os usuários da solução são conjuntos de serviços usados na infraestrutura vCenter Server, por exemplo, extensões vCenter Server. Extensões VMware e extensões possivelmente de terceiros também podem ser autenticadas para vCenter Single Sign-On.

Observação: vCenter Server usa certificados de usuário da solução apenas para comunicação interna. Os certificados de usuário da solução não são usados para comunicação externa.

A figura a seguir mostra o fluxo de logon para usuários da solução.

Figura 3. Login para usuários da solução
O handshake entre um usuário da solução, vCenter Single Sign-On e outros componentes vCenter segue as etapas no texto a seguir.
  1. O usuário da solução tenta se conectar a um serviço vCenter Server.
  2. O usuário da solução é redirecionado para vCenter Single Sign-On. Se o usuário da solução for novo em vCenter Single Sign-On, ele deverá apresentar um certificado válido.
  3. Se o certificado for válido, vCenter Single Sign-On atribuirá um token SAML (token de portador) ao usuário da solução. O token é assinado por vCenter Single Sign-On.
  4. O usuário da solução é então redirecionado para vCenter Single Sign-On e pode executar tarefas com base em suas permissões.

    Na próxima vez que o usuário da solução precisar se autenticar, ele poderá usar o token SAML para fazer login em vCenter Server.

Por padrão, esse handshake é automático porque a VMCA provisiona certificados aos usuários da solução durante a inicialização. Se a política da sua empresa exigir certificados assinados por uma autoridade de certificação de terceiros, você poderá substituir os certificados de usuário da solução por certificados assinados por uma autoridade de certificação de terceiros. Se esses certificados forem válidos, vCenter Single Sign-On atribuirá um token SAML ao usuário da solução. Consulte Substituir certificados de usuário do Solution por certificados personalizados usando o Gerenciador de certificados.

Criptografia com suporte em vSphere

A criptografia AES, que é o nível mais alto de criptografia, é compatível. A criptografia compatível afeta a segurança quando vCenter Single Sign-On usa Active Directory como fonte de identidade.

Isso também afeta a segurança sempre que um host ESXi ou vCenter Server é associado a Active Directory.