vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren.

vCenter Single Sign On verwendet die folgenden Dienste.
  • Authentifizierung von Benutzern über einen externen Identitätsanbieterverbund oder den integrierten vCenter Server-Identitätsanbieter. Der integrierte Identitätsanbieter unterstützt lokale Konten, Active Directory oder OpenLDAP, integrierte Windows-Authentifizierung (IWA) sowie verschiedene Authentifizierungsmechanismen (Smartcard, RSA SecurID und Windows-Sitzungsauthentifizierung).
  • Authentifizierung von Lösungsbenutzern über Zertifikate.
  • Security Token Service (STS).
  • SSL für sicheren Datenverkehr.

Übersicht über Identitätsanbieter

Vor vSphere 7.0 enthält vCenter Server einen integrierten Identitätsanbieter. Standardmäßig verwendet vCenter Server die Domäne „vsphere.local“ als Identitätsquelle (diese kann jedoch während der Installation geändert werden). Sie können den in vCenter Server integrierten Identitätsanbieter konfigurieren, um Active Directory (AD) als Identitätsquelle mithilfe von LDAP/S, OpenLDAP/S und der integrierten Windows-Authentifizierung (IWA) zu verwenden. Aufgrund dieser Konfigurationen können sich Kunden mithilfe ihrer AD-Konten bei vCenter Server anmelden.

Ab vSphere 7.0 können Sie vCenter Server für einen externen Identitätsanbieter mithilfe der Verbundauthentifizierung konfigurieren. In einer solchen Konfiguration ersetzen Sie vCenter Server als Identitätsanbieter. Aktuell bietet vSphere Unterstützung für Active Directory Federation Services (AD FS) als externen Identitätsanbieter. In dieser Konfiguration interagiert AD FS im Auftrag von vCenter Server mit den Identitätsquellen.

Benutzeranmeldung mit Identitätsanbieter-Verbundauthentifizierung in vCenter Server

Die folgende Abbildung zeigt den Ablauf der Benutzeranmeldung für den vCenter Server-Identitätsanbieterverbund.

Abbildung 1. Benutzeranmeldung beim vCenter Server-Identitätsanbieterverbund

Diese Abbildung zeigt den Prozessablauf eines Benutzers, der sich bei vCenter Server mittels Identitätsanbieterverbund anmeldet.

vCenter Server, AD FS und Active Directory interagieren wie folgt:

  1. Der Benutzer beginnt auf der vCenter Server-Startseite mit der Eingabe eines Benutzernamens.
  2. Wenn der Benutzername für eine Verbunddomäne gilt, leitet vCenter Server die Authentifizierungsanforderung an AD FS um.
  3. Bei Bedarf fordert AD FS den Benutzer auf, sich mit den Active Directory-Anmeldedaten anzumelden.
  4. AD FS authentifiziert den Benutzer mit Active Directory.
  5. AD FS gibt ein Sicherheitstoken mit Active Directory-Gruppeninformationen aus.
  6. vCenter Server verwendet das Token, um den Benutzer anzumelden.
Der Benutzer ist jetzt authentifiziert und kann alle Objekte anzeigen und ändern, für die die Benutzerrolle über die entsprechenden Berechtigungen verfügt.
Hinweis: Zu Beginn wird jedem Benutzer die Rolle „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens die Rolle für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Wenn der externe Identitätsanbieter nicht erreichbar ist, wird der Anmeldevorgang an die vCenter Server-Startseite zurückgeleitet, auf der eine entsprechende Informationsmeldung angezeigt wird. Benutzer können sich weiterhin mit ihren lokalen Konten in der vsphere.local-Identitätsquelle anmelden.

Benutzeranmeldung mit dem in vCenter Server integrierten Identitätsanbieter

Die folgende Abbildung zeigt den Ablauf der Benutzeranmeldung, wenn vCenter Server als Identitätsanbieter fungiert.

Abbildung 2. Benutzeranmeldung mit dem in vCenter Server integrierten Identitätsanbieter
Wenn sich der Benutzer beim vSphere Client anmeldet, richtet der Single Sign-On-Server den Authentifizierungs-Handshake ein.
  1. Ein Benutzer muss sich mit einem Benutzernamen und einem Kennwort am vSphere Client anmelden, um auf das vCenter Server-System oder einen anderen vCenter-Dienst zugreifen zu können.

    Wenn integrierte Windows-Authentifizierung (IWA) konfiguriert wurde, können sich Benutzer auch ohne erneute Eingabe des Windows-Kennworts anmelden, indem sie das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktivieren.

  2. Der vSphere Client leitet die Anmeldeinformationen an den vCenter Single Sign On-Dienst weiter, der das SAML-Token des vSphere Client überprüft. Wenn der vSphere Client über ein gültiges Token verfügt, überprüft vCenter Single Sign On weiterhin, ob sich der Benutzer in der konfigurierten Identitätsquelle (z. B. Active Directory) befindet.
    • Wenn nur der Benutzername verwendet wird, überprüft vCenter Single Sign On die Standarddomäne.
    • Ist ein Domänenname im Benutzernamen enthalten (DOMÄNE\Benutzer1 oder Benutzer1@DOMÄNE), überprüft vCenter Single Sign On diese Domäne.
  3. Wenn sich der Benutzer bei der Identitätsquelle authentifizieren kann, gibt vCenter Single Sign On ein Token zurück, das für den vSphere Client den Benutzer darstellt.
  4. Der vSphere Client leitet das Token an das vCenter Server-System weiter.
  5. vCenter Server überprüft gemeinsam mit dem vCenter Single Sign On-Server, ob das Token gültig und noch nicht abgelaufen ist.
  6. Der vCenter Single Sign On-Server gibt das Token an das vCenter Server-System zurück und nutzt das Autorisierungs-Framework von vCenter Server, um Benutzerzugriff zu ermöglichen.
Der Benutzer ist jetzt authentifiziert und kann alle Objekte anzeigen und ändern, für die die Benutzerrolle über die entsprechenden Berechtigungen verfügt.
Hinweis: Zu Beginn wird jedem Benutzer die Rolle „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens die Rolle für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Anmeldung für Lösungsbenutzer

Bei Lösungsbenutzern handelt es sich um Sätze von Diensten, die in der vCenter Server-Infrastruktur verwendet werden, wie z. B. vCenter Server-Erweiterungen. VMware-Erweiterungen und eventuell Erweiterungen von Drittanbietern können sich ebenfalls bei vCenter Single Sign On authentifizieren.

Hinweis: vCenter Server verwendet Lösungsbenutzerzertifikate ausschließlich für die interne Kommunikation. Lösungsbenutzerzertifikate werden nicht für die externe Kommunikation verwendet.

Die folgende Abbildung zeigt den Ablauf der Anmeldung für Lösungsbenutzer.

Abbildung 3. Anmeldung für Lösungsbenutzer
Der Handshake zwischen einem Lösungsbenutzer, vCenter Single Sign-On und anderen vCenter-Komponenten erfolgt in den im Folgenden beschriebenen Schritten.
  1. Der Lösungsbenutzer versucht, eine Verbindung mit einem vCenter Server-Dienst herzustellen.
  2. Der Lösungsbenutzer wird an vCenter Single Sign On umgeleitet. Wenn der Lösungsbenutzer für vCenter Single Sign On neu ist, muss er ein gültiges Zertifikat vorweisen.
  3. Wenn das Zertifikat gültig ist, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token (Bearer-Token) zu. Das Token wird durch vCenter Single Sign On signiert.
  4. Der Lösungsbenutzer wird dann zu vCenter Single Sign On weitergeleitet und kann Aufgaben entsprechend seinen Berechtigungen ausführen.

    Wenn sich der Lösungsbenutzer beim nächsten Mal authentifizieren muss, kann er das SAML-Token zum Anmelden bei vCenter Server verwenden.

Dieser Handshake erfolgt standardmäßig automatisch, weil VMCA beim Starten Zertifikate für Lösungsbenutzer bereitstellt. Wenn laut Unternehmensrichtlinie Drittanbieterzertifikate einer Zertifizierungsstelle benötigt werden, können Sie die Lösungsbenutzerzertifikate durch Drittanbieterzertifikate einer Zertifizierungsstelle ersetzen. Wenn diese Zertifikate gültig sind, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token zu. Weitere Informationen hierzu finden Sie unter Ersetzen von Zertifikaten durch benutzerdefinierte Zertifikate mithilfe der CLI.

Unterstützte Verschlüsselung

AES-Verschlüsselung, die den höchsten Verschlüsselungsgrad darstellt, wird unterstützt. Die unterstützte Verschlüsselung wirkt sich auf die Sicherheit aus, wenn vCenter Single Sign On Active Directory als Identitätsquelle verwendet.

Sie wirkt sich auch immer dann auf die Sicherheit aus, wenn ein ESXi-Host oder vCenter Server zu Active Directory hinzugefügt wird.