Grundlegendes zum vCenter Server-Identitätsanbieterverbund

Ab vSphere 7.0 bietet vCenter Server Unterstützung für Verbundauthentifizierung. Wenn sich in diesem Szenario ein Benutzer bei vCenter Server anmeldet, leitet vCenter Server die Benutzeranmeldung an den externen Identitätsanbieter weiter. Die Benutzeranmeldedaten werden vCenter Server nicht mehr direkt bereitgestellt. Stattdessen werden dem externen Identitätsanbieter die Anmeldedaten vom Benutzer zur Verfügung gestellt. vCenter Server stuft den externen Identitätsanbieter als vertrauenswürdig für die Durchführung der Authentifizierung ein. Im Verbundmodell werden Anmeldedaten niemals direkt vom Benutzer an einen Dienst oder eine Anwendung, sondern ausschließlich an den Identitätsanbieter übergeben. Folglich können Ihre Anwendungen und Dienste, wie z. B. vCenter Server, einen Verbund mit dem Identitätsanbieter eingehen.

Vorteile des vCenter Server-Identitätsanbieterverbunds

Der vCenter Server-Identitätsanbieterverbund bietet die folgenden Vorteile.

• Sie können Single Sign-On mit der vorhandenen Verbundinfrastruktur und vorhandenen Anwendungen verwenden.
• Sie können die Sicherheit des Datencenters verbessern, da die Benutzeranmeldedaten niemals von vCenter Server verarbeitet werden.
• Sie können die Authentifizierungsmechanismen (wie z. B. Multifaktor-Authentifizierung) verwenden, die vom externen Identitätsanbieter unterstützt werden.

Komponenten des vCenter Server-Identitätsanbieterverbunds

Die Konfiguration eines vCenter Server-Identitätsanbieterverbunds, die Microsoft Active Directory Federation Services (AD FS) verwendet, setzt sich aus folgenden Komponenten zusammen:

• Einem vCenter Server
• Einem auf dem vCenter Server konfigurierten Identitätsanbieterdienst
• Einem AD FS-Server und der zugehörigen Microsoft Active Directory-Domäne
• Einer AD FS-Anwendungsgruppe
• Active Directory-Gruppen und -Benutzer, die vCenter Server-Gruppen und -Benutzern zugeordnet sind

Architektur des vCenter Server-Identitätsanbieterverbunds

Im vCenter Server-Identitätsanbieterverbund verwendet vCenter Server das OpenID Connect OIDC-Protokoll (OpenID Connect), um ein Identitätstoken zu erhalten, das den Benutzer bei vCenter Server authentifiziert.

Zum Einrichten einer Vertrauensstellung der vertrauenden Seite zwischen vCenter Server und einem Identitätsanbieter müssen Sie Identifzierungsinformationen und einen gemeinsamen geheimen Schlüssel zwischen ihnen festlegen. In AD FS erstellen Sie hierzu eine als Anwendungsgruppe bezeichnete OIDC-Konfiguration, die aus einer Serveranwendung und einer Webschnittstelle besteht. Die beiden Komponenten enthalten die Informationen, die von vCenter Server zum Herstellen von Vertrauen und zur Kommunikation mit dem AD FS-Server verwendet werden. Sie können auch einen entsprechenden Identitätsanbieter in vCenter Server erstellen. Schließlich konfigurieren Sie Gruppenmitgliedschaften in vCenter Server, um Anmeldungen von Benutzern in der AD FS-Domäne zu autorisieren.

Der AD FS-Administrator muss die folgenden Informationen bereitstellen, um die Konfiguration des vCenter Server-Identitätsanbieters zu erstellen:

• Client-ID: Die vom Assistenten für die AD FS-Anwendungsgruppe erzeugte UUID-Zeichenfolge, die die Anwendungsgruppe angibt.
• Gemeinsamer geheimer Schlüssel: Der vom Assistenten für die AD FS-Anwendungsgruppe erzeugte Schlüssel, der zur Authentifizierung von vCenter Server mit AD FS verwendet wird.
• OpenID-Adresse: Die OpenID Provider Discovery-Endpoint-URL des AD FS-Servers, die eine bekannte Adresse angibt, bei der es sich in der Regel um den mit dem Pfad „/.well-known/openid-configuration“ verketteten Aussteller-Endpoint handelt. Beispiel: https://webserver.example.com/adfs/.well-known/openid-configuration.