vSphere stellt gängige Infrastrukturdienste zum Verwalten von Zertifikaten sowohl für vCenter Server- als auch für ESXi-Komponenten und zum Verwalten der Authentifizierung mit vCenter Single Sign On bereit.
Vorgehensweise zum Verwalten von vSphere-Zertifikaten
vSphere bietet standardmäßig die Möglichkeit, vCenter Server-Komponenten und ESXi-Hosts mit VMCA-Zertifikaten (VMware Certificate Authority) bereitzustellen. Sie können auch benutzerdefinierte Zertifikate verwenden, die im VMware Endpoint Certificate Store (VECS) gespeichert sind. Weitere Informationen finden Sie unter Verfügbare Optionen zum Verwalten von vSphere-Zertifikaten.
Was ist vCenter Single Sign-On?
vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren. vCenter Single Sign On verwendet bestimmte Begriffe und Definitionen, mit denen Sie sich vertraut machen müssen.
| Begriff | Definition |
|---|---|
| Prinzipal | Ein Element, das authentifiziert werden kann, z. B. ein Benutzer. |
| Identitätsanbieter | Ein Dienst, der Identitätsquellen verwaltet und Prinzipale authentifiziert. Beispiele: Microsoft Active Directory Federation Services (AD FS) und vCenter Single Sign On. |
| Identitätsquelle (Verzeichnisdienst) | Speichert und verwaltet Prinzipale. Prinzipale bestehen aus einer Sammlung von Attributen über ein Benutzer- oder Dienstkonto, wie z. B. Name, Adresse, E-Mail und Gruppenmitgliedschaft. Beispiele: Microsoft Active Directory und VMware Directory Service (vmdir). |
| Authentifizierung | Eine Möglichkeit sicherzustellen, ob jemand oder etwas der bzw. das ist, was er bzw. es vorgibt zu sein. Benutzer werden authentifiziert, wenn sie ihre Anmeldedaten eingeben, wie z. B. Smartcards, Benutzername, korrektes Kennwort usw. |
| Autorisierung | Der Prozess zur Überprüfung der Objekte, auf die Prinzipale Zugriff haben. |
| Token | Eine signierte Datensammlung, die die Identitätsinformationen für einen bestimmten Prinzipal enthält. Ein Token enthält unter Umständen nicht nur grundlegende Informationen zum Prinzipal, wie z. B. E-Mail-Adresse und vollständiger Name, sondern je nach Token-Typ auch die Gruppen und Rollen des Prinzipals. |
| vmdir | VMware Directory Service Das interne (lokale) LDAP-Repository in vCenter Server, das Benutzeridentitäten, Gruppen und Konfigurationsdaten enthält. |
| OAuth 2.0 | Ein offener Autorisierungsstandard, der den Austausch von Informationen zwischen Prinzipalen und Webdiensten ermöglicht, ohne die Anmeldedaten der Prinzipale offenlegen zu müssen. |
| OpenID Connect (OIDC) | Das auf OAuth 2.0 basierende Authentifizierungsprotokoll, das OAuth um benutzeridentifizierende Informationen erweitert. Es wird durch das ID-Token dargestellt, das der Autorisierungsserver zusammen mit dem Zugriffstoken während der OAuth-Authentifizierung zurückgibt. vCenter Server verwendet OIDC-Funktionen bei der Interaktion mit Active Directory Federation Services (AD FS), Okta Microsoft Entra ID und PingFederate. |
| System für domänenübergreifende Identitätsverwaltung (SCIM) | Der Standard für die Automatisierung des Austauschs von Benutzeridentitätsinformationen zwischen Identitätsdomänen oder IT-Systemen. |
| VMware Identity Services | Ab Version 8.0 Update 1 ist VMware Identity Services ein integrierter Container innerhalb von vCenter Server, den Sie für einen Identitätsverbund mit externen Identitätsanbietern verwenden können. Er dient als unabhängiger Identitätsbroker innerhalb von vCenter Server und verfügt über einen eigenen Satz von APIs. Derzeit unterstützt VMware Identity Services Okta, Microsoft Entra ID und PingFederate als externe Identitätsanbieter. |
| Tenant | Ein VMware Identity Services-Konzept. Ein Mandant bietet eine logische Trennung der Daten von Daten anderer Mandanten in derselben virtuellen Umgebung. |
| JSON-Web-Token (JWT) | Das durch die OAuth 2.0-Spezifikation definierte Tokenformat. Ein JWT-Token enthält Authentifizierungs- und Autorisierungsinformationen zu einem Prinzipal. |
| Vertrauende Partei | Eine vertrauende Partei „vertraut“ dem Autorisierungsserver, VMware Identity Services oder AD FS für die Identitätsverwaltung. Über einen Verbund richtet vCenter Server beispielsweise eine Vertrauensstellung der vertrauenden Partei gegenüber VMware Identity Services oder AD FS ein. |
| Security Assertion Markup Language (SAML) | Ein XML-basierter offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, der von vCenter Server verwendet wird. Prinzipale erhalten ein SAML-Token von vCenter Single Sign-On und senden es dann an den vSphere Automation API-Endpoint für einen Sitzungsbezeichner. |
Definition der vCenter Single Sign On-Authentifizierungstypen
vCenter Single Sign On verwendet verschiedene Authentifizierungstypen, je nachdem, ob der integrierte vCenter Server-Identitätsanbieter oder ein externer Identitätsanbieter beteiligt ist.
| Authentifizierungstyp | Was fungiert als Identitätsanbieter? | Verarbeitet vCenter Server das Kennwort? | Beschreibung |
|---|---|---|---|
| Token-basierte Authentifizierung | Externer Identitätsanbieter. Beispiel: AD FS. | Nein | vCenter Server kontaktiert den externen Identitätsanbieter über ein bestimmtes Protokoll und ruft ein Token ab, das eine bestimmte Benutzeridentität darstellt. |
| Einfache Authentifizierung | vCenter Server | Ja | Der Benutzername und das Kennwort werden direkt an vCenter Server übergeben, der die Anmeldedaten mithilfe der zugehörigen Identitätsquellen überprüft. |
