vSphere stellt Dienste bereit, mit denen Sie Zertifikatsverwaltungsaufgaben für vCenter Server- und ESXi-Komponenten durchführen und Authentifizierung über vCenter Single Sign On konfigurieren können.
vSphere-Zertifikatsverwaltung – Übersicht
vSphere bietet standardmäßig die Möglichkeit, vCenter Server-Komponenten und ESXi-Hosts mit VMCA-Zertifikaten (VMware Certificate Authority) bereitzustellen. Sie können auch benutzerdefinierte Zertifikate verwenden, die im VMware Endpoint Certificate Store (VECS) gespeichert sind.
Übersicht über vCenter Single Sign-On
vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren. vCenter Single Sign On verwendet bestimmte Begriffe und Definitionen, mit denen Sie sich vertraut machen müssen.
| Begriff | Definition |
|---|---|
| Prinzipal | Ein Element, das authentifiziert werden kann, z. B. ein Benutzer. |
| Identitätsanbieter | Ein Dienst, der Identitätsquellen verwaltet und Prinzipale authentifiziert. Beispiele: Microsoft Active Directory Federation Services (AD FS) und vCenter Single Sign On. |
| Identitätsquelle (Verzeichnisdienst) | Speichert und verwaltet Prinzipale. Prinzipale bestehen aus einer Sammlung von Attributen über ein Benutzer- oder Dienstkonto, wie z. B. Name, Adresse, E-Mail und Gruppenmitgliedschaft. Beispiele: Microsoft Active Directory und VMware Directory Service (vmdir). |
| Authentifizierung | Eine Möglichkeit sicherzustellen, ob jemand oder etwas der bzw. das ist, was er bzw. es vorgibt zu sein. Benutzer werden authentifiziert, wenn sie ihre Anmeldedaten eingeben, wie z. B. Smartcards, Benutzername, korrektes Kennwort usw. |
| Autorisierung | Der Prozess zur Überprüfung der Objekte, auf die Prinzipale Zugriff haben. |
| Token | Eine signierte Datensammlung, die die Identitätsinformationen für einen bestimmten Prinzipal enthält. Ein Token enthält unter Umständen nicht nur grundlegende Informationen zum Prinzipal, wie z. B. E-Mail-Adresse und vollständiger Name, sondern je nach Token-Typ auch die Gruppen und Rollen des Prinzipals. |
| vmdir | VMware Directory Service Das interne (lokale) LDAP-Repository in vCenter Server, das Benutzeridentitäten, Gruppen und Konfigurationsdaten enthält. |
| OpenID Connect (OIDC) | Auf OAuth2 basierendes Authentifizierungsprotokoll. vCenter Server verwendet OIDC-Funktionen bei der Interaktion mit Active Directory Federation Services (AD FS). |
vCenter Single Sign On-Authentifizierungstypen
vCenter Single Sign On verwendet verschiedene Authentifizierungstypen, je nachdem, ob der integrierte vCenter Server-Identitätsanbieter oder ein externer Identitätsanbieter beteiligt ist.
| Authentifizierungstyp | Was fungiert als Identitätsanbieter? | Verarbeitet vCenter Server das Kennwort? | Beschreibung |
|---|---|---|---|
| Token-basierte Authentifizierung | Externer Identitätsanbieter. Beispiel: AD FS. | Nein | vCenter Server kontaktiert den externen Identitätsanbieter über ein bestimmtes Protokoll und ruft ein Token ab, das eine bestimmte Benutzeridentität darstellt. |
| Einfache Authentifizierung | vCenter Server | Ja | Der Benutzername und das Kennwort werden direkt an vCenter Server übergeben, der die Anmeldedaten mithilfe der zugehörigen Identitätsquellen überprüft. |
