vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren.

vCenter Single Sign On verwendet die folgenden Dienste.
  • Authentifizierung von Benutzern über einen externen Identitätsanbieterverbund oder den integrierten vCenter Server-Identitätsanbieter. Der integrierte Identitätsanbieter unterstützt lokale Konten, Active Directory oder OpenLDAP, integrierte Windows-Authentifizierung (IWA) sowie verschiedene Authentifizierungsmechanismen (Smartcard, RSA SecurID und Windows-Sitzungsauthentifizierung).
  • Authentifizierung von Lösungsbenutzern über Zertifikate.
  • Security Token Service (STS).
  • SSL für sicheren Datenverkehr.

In vCenter Server integrierter Identitätsanbieter

vCenter Server enthält einen integrierten Identitätsanbieter. Standardmäßig verwendet vCenter Server die Domäne „vsphere.local“ als Identitätsquelle (die Domäne kann jedoch während der Installation geändert werden). Sie können den in vCenter Server integrierten Identitätsanbieter konfigurieren, um Active Directory (AD) als Identitätsquelle mithilfe von LDAP/S, OpenLDAP/S und der integrierten Windows-Authentifizierung (IWA) zu verwenden. Aufgrund dieser Konfigurationen können sich Kunden mithilfe ihrer AD-Konten bei vCenter Server anmelden.

vCenter Server und ein externer Identitätsanbieter

In vSphere 7.0 und höher können Sie vCenter Server für einen externen Identitätsanbieter mithilfe der Verbundauthentifizierung konfigurieren. In einer solchen Konfiguration ersetzen Sie vCenter Server als Identitätsanbieter.

vSphere unterstützt die folgenden Identitätsanbieter.

  • vSphere 7.0 und höher: Active Directory Federation Services (AD FS)
  • Ab vSphere 8.0 Update 1: Okta
  • Ab vSphere 8.0 Update 2: Azure AD

Wenn Sie vSphere für die Verwendung eines externen Identitätsanbieters konfigurieren, interagiert der externe Identitätsanbieter im Namen von vCenter Server mit den Identitätsquellen.

Benutzeranmeldung mit Identitätsanbieter-Verbundauthentifizierung in vCenter Server

Wenn Sie einen externen Identitätsanbieter für die Authentifizierung bei vCenter Server verwenden, leitet vCenter Server die Anmeldeanforderung an den externen Identitätsanbieter um. Der externe Identitätsanbieter authentifiziert den Benutzer mit seinem Verzeichnisdienst und gibt dann ein Token aus, das vCenter Server zum Anmelden des Benutzers verwendet.

Die folgende Abbildung zeigt beispielsweise einen detaillierten Einblick in den Benutzeranmeldungsablauf für den vCenter Server-Identitätsanbieterverbund mithilfe von AD FS.

Abbildung 1. vCenter Server-Benutzeranmeldung mithilfe des AD FS-Identitätsanbieterverbunds

Diese Abbildung zeigt den Prozessablauf eines Benutzers, der sich bei vCenter Server mittels des ADFS-Identitätsanbieterverbunds anmeldet.

vCenter Server, AD FS und Active Directory interagieren wie folgt:

  1. Der Benutzer beginnt auf der vCenter Server-Startseite mit der Eingabe eines Benutzernamens.
  2. Wenn der Benutzername für eine Verbunddomäne gilt, leitet vCenter Server die Authentifizierungsanforderung an AD FS um.
  3. Bei Bedarf fordert AD FS den Benutzer auf, sich mit den Active Directory-Anmeldedaten anzumelden.
  4. AD FS authentifiziert den Benutzer mit Active Directory.
  5. AD FS gibt ein Sicherheitstoken mit Active Directory-Gruppeninformationen aus.
  6. vCenter Server verwendet das Token, um den Benutzer anzumelden.
Der Benutzer ist jetzt authentifiziert und kann alle Objekte anzeigen und ändern, für die die Benutzerrolle über die entsprechenden Berechtigungen verfügt.
Hinweis: Zu Beginn wird jedem Benutzer die Rolle „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens die Rolle für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Wenn der externe Identitätsanbieter nicht erreichbar ist, wird der Anmeldevorgang an die vCenter Server-Startseite zurückgeleitet, auf der eine entsprechende Informationsmeldung angezeigt wird. Benutzer können sich weiterhin mit ihren lokalen Konten in der vsphere.local-Identitätsquelle anmelden.

Die Interaktion zwischen vCenter Server und Okta oder Azure AD ähnelt der von AD FS, mit der Ausnahme, dass vCenter Server VMware Identity Services verwendet. Weitere Informationen hierzu finden Sie unter Authentifizierungsprozess für Vmware Identity Services.

Benutzeranmeldung mit dem in vCenter Server integrierten Identitätsanbieter

Die folgende Abbildung zeigt den Ablauf der Benutzeranmeldung, wenn vCenter Server als Identitätsanbieter fungiert.

Abbildung 2. Benutzeranmeldung mit dem in vCenter Server integrierten Identitätsanbieter
Wenn sich der Benutzer beim vSphere Client anmeldet, richtet der Single Sign-On-Server den Authentifizierungs-Handshake ein.
  1. Ein Benutzer muss sich mit einem Benutzernamen und einem Kennwort am vSphere Client anmelden, um auf das vCenter Server-System oder einen anderen vCenter-Dienst zugreifen zu können.

    Wenn IWA (integrierte Windows-Authentifizierung) wurde, können sich Benutzer auch ohne erneute Eingabe des Windows-Kennworts anmelden, indem sie das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktivieren.

  2. Der vSphere Client leitet die Anmeldeinformationen an den vCenter Single Sign On-Dienst weiter, der das SAML-Token des vSphere Client überprüft. Wenn der vSphere Client über ein gültiges Token verfügt, überprüft vCenter Single Sign On weiterhin, ob sich der Benutzer in der konfigurierten Identitätsquelle (z. B. , Active Directory) befindet.
    • Wenn nur der Benutzername verwendet wird, überprüft vCenter Single Sign On die Standarddomäne.
    • Ist ein Domänenname im Benutzernamen enthalten (DOMÄNE\Benutzer1 oder Benutzer1@DOMÄNE), überprüft vCenter Single Sign On diese Domäne.
  3. Wenn sich der Benutzer bei der Identitätsquelle authentifizieren kann, gibt vCenter Single Sign On ein Token zurück, das für den vSphere Client den Benutzer darstellt.
  4. Der vSphere Client leitet das Token an das vCenter Server-System weiter.
  5. vCenter Server überprüft gemeinsam mit dem vCenter Single Sign On-Server, ob das Token gültig und noch nicht abgelaufen ist.
  6. Der vCenter Single Sign On-Server gibt das Token an das vCenter Server-System zurück und nutzt das Autorisierungs-Framework von vCenter Server, um Benutzerzugriff zu ermöglichen.
Der Benutzer ist jetzt authentifiziert und kann alle Objekte anzeigen und ändern, für die die Benutzerrolle über die entsprechenden Berechtigungen verfügt.
Hinweis: Zu Beginn wird jedem Benutzer die Rolle „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens die Rolle für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Anmeldung für Lösungsbenutzer

Bei Lösungsbenutzern handelt es sich um Sätze von Diensten, die in der vCenter Server-Infrastruktur verwendet werden, wie z. B. vCenter Server-Erweiterungen. VMware-Erweiterungen und eventuell Erweiterungen von Drittanbietern können sich ebenfalls bei vCenter Single Sign On authentifizieren.

Hinweis: vCenter Server verwendet Lösungsbenutzerzertifikate ausschließlich für die interne Kommunikation. Lösungsbenutzerzertifikate werden nicht für die externe Kommunikation verwendet.

Die folgende Abbildung zeigt den Ablauf der Anmeldung für Lösungsbenutzer.

Abbildung 3. Anmeldung für Lösungsbenutzer
Der Handshake zwischen einem Lösungsbenutzer, vCenter Single Sign-On und anderen vCenter-Komponenten erfolgt in den im Folgenden beschriebenen Schritten.
  1. Der Lösungsbenutzer versucht, eine Verbindung mit einem vCenter Server-Dienst herzustellen.
  2. Der Lösungsbenutzer wird an vCenter Single Sign On umgeleitet. Wenn der Lösungsbenutzer für vCenter Single Sign On neu ist, muss er ein gültiges Zertifikat vorweisen.
  3. Wenn das Zertifikat gültig ist, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token (Bearer-Token) zu. Das Token wird durch vCenter Single Sign On signiert.
  4. Der Lösungsbenutzer wird dann zu vCenter Single Sign On weitergeleitet und kann Aufgaben entsprechend seinen Berechtigungen ausführen.

    Wenn sich der Lösungsbenutzer beim nächsten Mal authentifizieren muss, kann er das SAML-Token zum Anmelden bei vCenter Server verwenden.

Dieser Handshake erfolgt standardmäßig automatisch, weil VMCA beim Starten Zertifikate für Lösungsbenutzer bereitstellt. Wenn laut Unternehmensrichtlinie Drittanbieterzertifikate einer Zertifizierungsstelle benötigt werden, können Sie die Lösungsbenutzerzertifikate durch Drittanbieterzertifikate einer Zertifizierungsstelle ersetzen. Wenn diese Zertifikate gültig sind, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token zu. Weitere Informationen hierzu finden Sie unter Ersetzen von Lösungsbenutzerzertifikaten durch benutzerdefinierte Zertifikate mithilfe des Certificate Manager.

Unterstützte Verschlüsselung in vSphere

AES-Verschlüsselung, die den höchsten Verschlüsselungsgrad darstellt, wird unterstützt. Die unterstützte Verschlüsselung wirkt sich auf die Sicherheit aus, wenn vCenter Single Sign On Active Directory als Identitätsquelle verwendet.

Sie wirkt sich auch immer dann auf die Sicherheit aus, wenn ein ESXi-Host oder vCenter Server zu Active Directory hinzugefügt wird.