Die vCenter Server-Appliance handhabt die Authentifizierung zwischen Site Recovery Manager und vCenter Server auf der vCenter Single Sign On-Ebene.
Die gesamte Kommunikation zwischen Site Recovery Manager und vCenter Server-Instanzen wird über Transport Layer Security (TLS)-Verbindungen abgewickelt.
Authentifizierung des Dienstkontos
Site Recovery Manager verwendet die Dienstkonto-Authentifizierung zur Einrichtung einer sicheren Verbindung mit Remotediensten wie dem vCenter Server. Ein Dienstkonto ist ein Sicherheitsprinzipal, der vom Site Recovery Manager-Konfigurationsdienst generiert wird. Das Dienstkonto wird mit einem Token oder einem Benutzernamen und einem Kennwort authentifiziert.
Das Dienstkonto ist der internen Verwendung durch Site Recovery Manager, vCenter Server und vCenter Single Sign On vorbehalten.
Während des Betriebs richtet Site Recovery Manager mittels tokenbasierter Authentifizierung authentifizierte Kommunikationskanäle zu Remote-Diensten ein, um von vCenter Single Sign On ein SAML-Token des Typs „holder-of-key“ zu beziehen. Site Recovery Manager sendet dieses Token in einer verschlüsselt signierten Anforderung an den Remote-Dienst. Der Remotedienst validiert das Token und richtet die Identität des Dienstkontos ein.
Dienstkonten und Site Recovery Manager-Site-Kopplung
Wenn Sie Site Recovery Manager-Instanzen auf mehreren vCenter Single Sign On-Sites koppeln, die nicht den erweiterten verknüpften Modus verwenden, erstellt Site Recovery Manager auf jeder Site ein zusätzliches Dienstkonto für die Remote-Site. Dieses Dienstkonto für die Remote-Site ermöglicht dem Site Recovery Manager Server auf der Remote-Site die Authentifizierung bei Diensten auf der lokalen Site.
Wenn Sie Site Recovery Manager-Instanzen in einer vCenter Single Sign On-Umgebung mit dem erweiterten verknüpften Modus koppeln, verwendet Site Recovery Manager auf der Remote-Site dasselbe Dienstkonto, um sich bei Diensten auf der lokalen Site zu authentifizieren.
SSL/TLS-Server-Endpunkt-Zertifikate für Site Recovery Manager
Site Recovery Manager erfordert ein SSL/TLS-Zertifikat, das zur Verwendung als Endpunkt-Zertifikat für alle mit Site Recovery Manager hergestellten TLS-Verbindungen dient. Das Site Recovery Manager-Server-Endpoint-Zertifikat ist ein eigenständiges Zertifikat und unterscheidet sich von dem Zertifikat, das von Site Recovery Manager zum Abrufen des SAML-Tokens holder-of-key mit dem Dienstkonto verwendet wird.
Informationen zum SSL/TLS-Endpunkt-Zertifikat für Site Recovery Manager finden Sie unter Erstellen von SSL/TLS-Server-Endpunkt-Zertifikaten für Site Recovery Manager.