vSphere 提供了通用基础架构服务来管理 vCenter Server 和 ESXi 组件的证书,以及管理向 vCenter Single Sign-On 的身份验证。
如何管理 vSphere 证书
默认情况下,vSphere 支持使用 VMware Certificate Authority (VMCA) 证书置备 vCenter Server 组件和 ESXi 主机。也可以使用自定义证书,这些证书存储在 VMware 端点证书存储 (VECS) 中。有关详细信息,请参见可通过哪些选项管理 vSphere 证书。
什么是 vCenter Single Sign-On
vCenter Single Sign-On 允许 vSphere 组件通过安全的令牌机制相互通信。vCenter Single Sign-On 使用一些必须了解的特定术语和定义。
| 术语 | 定义 |
|---|---|
| 主体 | 可以对其进行身份验证的实体,例如用户。 |
| 身份提供程序 | 管理标识源和对主体进行身份验证的服务。示例:Microsoft Active Directory 联合身份验证服务 (AD FS) 和 vCenter Single Sign-On。 |
| 标识源(目录服务) | 存储和管理主体。主体包含有关用户或服务帐户的属性集合,例如名称、地址、电子邮件地址和组成员资格。示例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。 |
| 身份验证 | 确定某人或某物实际上是否是将其自身声明为的人或物的方法。例如,用户在提供凭据(如智能卡、用户名和正确密码等)时对其进行身份验证。 |
| 授权 | 验证主体有权访问哪些对象的过程。 |
| 令牌 | 包含给定主体标识信息的签名数据集合。令牌可能不仅包括有关主体的基本信息(如电子邮件地址和全名),还包括主体的组和角色,具体取决于令牌类型。 |
| vmdir | VMware Directory Service。vCenter Server 中的内部(本地)LDAP 存储库,包含用户身份、组和配置数据。 |
| OAuth 2.0 | 一种开放式授权标准,支持在主体和 Web 服务之间交换信息,而不会公开主体的凭据。 |
| OpenID Connect (OIDC) | 基于 OAuth 2.0 的身份验证协议,增加了用户标识信息,完善了 OAuth。它由授权服务器在 OAuth 身份验证期间与访问令牌一起返回的 ID 令牌表示。在与 Active Directory 联合身份验证服务 (AD FS)、Okta 和 Microsoft Entra ID 和 PingFederate 交互时,vCenter Server 使用 OIDC 功能。 |
| 跨域身份管理 (SCIM) 系统 | 用于在身份域或 IT 系统之间自动交换用户身份信息的标准。 |
| VMware Identity Services | 从版本 8.0 Update 1 开始,VMware Identity Services 是 vCenter Server 中的内置容器,可用于外部身份提供程序的身份联合。它作为 vCenter Server 内的独立身份代理运行,并附带一组自己的 API。目前,VMware Identity Services 支持将 Okta、Microsoft Entra ID 和 PingFederate 用作外部身份提供程序。 |
| 租户 | VMware Identity Services 概念。租户可将数据与同一个虚拟环境中的其他租户数据进行逻辑隔离。 |
| JSON Web令牌 (JWT) | OAuth 2.0 规范定义的令牌格式。JWT 令牌承载有关主体的身份验证和授权信息。 |
| 依赖方 | 依赖方“依赖”授权服务器(VMware Identity Services 或 AD FS)进行身份管理。例如,通过联合,vCenter Server 对 VMware Identity Services 或 AD FS 建立了依赖方信任。 |
| 安全断言标记语言 (SAML) | 一种基于 XML 的开放标准,用于在 vCenter Server 使用的各方之间交换身份验证和授权数据。主体从 vCenter Single Sign-On 获取 SAML 令牌,然后将其发送到 vSphere Automation API 端点以获取会话标识符。 |
有哪些 vCenter Single Sign-On 身份验证类型
vCenter Single Sign-On 使用不同类型的身份验证,具体取决于是涉及内置 vCenter Server 身份提供程序还是外部身份提供程序。
| 身份验证类型 | 作为身份提供程序的服务 | vCenter Server 是否处理密码? | 描述 |
|---|---|---|---|
| 基于令牌的身份验证 | 外部身份提供程序。例如,AD FS。 | 否 | vCenter Server 通过特定协议访问外部身份提供程序,并获取表示特定用户身份的令牌。 |
| 简单身份验证 | vCenter Server | 是 | 用户名和密码直接传递到 vCenter Server,以便通过其标识源验证凭据。 |
