vSphere fornece serviços de infraestrutura comuns para gerenciar certificados para componentes vCenter Server e ESXi e para gerenciar a autenticação com vCenter Single Sign-On.
Como gerenciar certificados do vSphere
Por padrão, vSphere permite que você provisione componentes vCenter Server e hosts ESXi com certificados VMware Certificate Authority (VMCA). Você também pode usar certificados personalizados, que são armazenados no VMware Endpoint Certificate Store (VECS). Para obter mais informações, consulte Quais opções você tem para gerenciar certificados do vSphere.
O que é vCenter Single Sign-On
vCenter Single Sign-On permite que componentes vSphere se comuniquem entre si por meio de um mecanismo de token seguro. vCenter Single Sign-On usa termos e definições específicos que são importantes de entender.
Prazo | Definição |
---|---|
Diretor | Uma entidade que pode ser autenticada, como um usuário. |
Provedor de identidade | Um serviço que gerencia origens de identidade e autentica entidades de segurança. Exemplos: Serviços de Federação da Microsoft Active Directory (AD FS) e vCenter Single Sign-On. |
Origem de Identidade (Serviço de Diretório) | Armazena e gerencia os principais. Os principais consistem em uma coleção de atributos sobre um usuário ou uma conta de serviço, como nome, endereço, email e associação ao grupo. Exemplos: Microsoft Active Directory e VMware Directory Service (vmdir). |
Autenticação | O meio de determinar se alguém ou algo é, de fato, quem ou o que declara ser. Por exemplo, os usuários são autenticados quando fornecem suas credenciais, como cartões inteligentes, nome de usuário e senha correta e assim por diante. |
Autorização | O processo de verificação de quais objetos os principais têm acesso. |
Token | Uma coleção assinada de dados que inclui as informações de identidade de um determinado principal. Um token pode incluir não apenas informações básicas sobre o principal, como endereço de email e nome completo, mas também, dependendo do tipo de token, os grupos e as funções do principal. |
vmdir | VMware Serviço de diretório. O repositório LDAP interno (local) em vCenter Server que contém identidades de usuários, grupos e dados de configuração. |
OAuth 2.0 | Um padrão de autenticação aberta que permite a troca de informações entre os principais e os serviços da Web sem expor as credenciais dos principais. |
OpenID Connect (OIDC) | Protocolo de autenticação baseado no OAuth 2.0 que aumenta o OAuth com informações de identificação do usuário. Ele é representado pelo token de ID que o servidor de autorização retorna junto com o token de acesso durante a autenticação OAuth. vCenter Server usa os recursos do OIDC ao interagir com os Active DirectoryServiços de Federação (AD FS) e o Okta. |
System for Cross-domain Identity Management (SCIM) | O padrão para automatizar a troca de informações de identidade do usuário entre domínios de identidade ou sistemas de TI. |
VMware Serviços de identidade | A partir da versão 8.0, Atualização 1, o VMware Serviços de Identidade é um contêiner interno do vCenter Server que você pode usar para federação de identidade para provedores de identidade externos. Ele funciona como um agente de identidade independente no vCenter Server e vem com seu próprio conjunto de APIs. Atualmente, o Okta é o único provedor de identidade externo compatível com o VMware Identity Services. |
Tenant | Um conceito de Serviços de Identidade do VMware. Um tenant fornece uma separação lógica dos dados dos dados de outros tenants em um único ambiente virtual. |
Token JSON Web (JWT) | Um formato de token definido pela especificação OAuth 2.0. Um token JWT carrega informações de autenticação e autorização sobre um principal. |
Parte confiável | Uma terceira parte confiável “depende” do servidor de autorização, VMware Serviços de Identidade ou AD FS, para gerenciamento de identidade. Por exemplo, por meio da federação, vCenter Server estabelece confiança de terceira parte confiável para VMware Serviços de Identidade ou AD FS. |
Quais são os vCenter Single Sign-On tipos de autenticação
vCenter Single Sign-On usa diferentes tipos de autenticação, dependendo se o provedor de identidade vCenter Server integrado ou um provedor de identidade externo está envolvido.
Tipo de autenticação | O que atua como o provedor de identidade? | O vCenter Server processa a senha? | Descrição |
---|---|---|---|
Autenticação baseada em token | Provedor de identidade externo. Por exemplo, AD FS. | Não | vCenter Server entra em contato com o provedor de identidade externo por meio de um protocolo específico e obtém um token, que representa uma identidade de usuário específica. |
Autenticação simples | vCenter Server | Sim | O nome de usuário e a senha são passados diretamente para vCenter Server, que valida as credenciais por meio de suas origens de identidade. |