Para administrar replicaciones en sitios remotos en la nube, extienda su sesión a ese sitio aceptando un token de autenticación o proporcionando credenciales de la instancia de VMware Cloud Director local. Cualquier operación de replicación a sitios remotos en la nube y operaciones específicas de replicación desde sitios remotos en la nube requieren una sesión extendida.
Extender la autenticación de sesión de nube a nube
Los inicios de sesión de usuario de VMware Cloud Director crean una sesión y reciben un token web JSON (JWT) que se utiliza para autenticar solicitudes futuras.
- Proporcione un usuario y una contraseña de VMware Cloud Director locales de autenticación para crear la sesión de Cloud Service. Internamente, Cloud Service utiliza esas credenciales para crear una nueva sesión de VMware Cloud Director que da como resultado un JWT nuevo.
- Como alternativa, utilice un JWT existente sin proporcionar credenciales para la instancia de Cloud Service que utiliza la sesión de VMware Cloud Director existente para realizar las operaciones necesarias. El complemento de VMware Cloud Director Availability en la instancia local de VMware Cloud Director utiliza automáticamente ese JWT existente para la autenticación.
De forma local para el sitio de nube, al crear una sesión de Cloud Service, puede utilizar las tareas y las replicaciones del sitio local, entre otras. Como la sesión actual de Cloud Service asoció un JWT para la instancia local de VMware Cloud Director, también puede examinar la instancia de VMware Cloud Director local. Mientras JWT no caduque, puede realizar operaciones de replicación que requieran acceder a la instancia de VMware Cloud Director local.
Para realizar operaciones de replicación en sitios de nube remotos, debe ampliar la sesión de Cloud Service local al sitio de nube remoto mediante uno de los dos métodos de autenticación siguientes:
- Cuando la organización de VMware Cloud Director remota utiliza usuarios locales, proporcione las credenciales de usuario.
- Cuando las instancias locales y remotas de VMware Cloud Director y sus organizaciones estén asociadas, haga clic en Usar multisitio. Dado que una organización puede asociarse con varias organizaciones remotas, seleccione la organización para la autenticación.
- En VMware Cloud Director Availability 4.3, cuando varios sitios de nube utilizan una sola instancia de VMware Cloud Director, haga clic en Usar multisitio. El menú desplegable para seleccionar una organización solo contiene la organización actual.
Al ampliar la sesión de Cloud Service de la instancia local de VMware Cloud Director a la remota sin proporcionar las credenciales de usuario local para la instancia de VMware Cloud Director remota, se utiliza JWT para autenticar la sesión extendida en el sitio remoto.
Después de autenticarse en el sitio remoto, Cloud Service mantiene la sesión extendida recién creada y, para las operaciones de replicación en el sitio remoto, utiliza la sesión extendida sin necesidad de credenciales.
Autenticación local en la nube
- Cuando VMware Cloud Director Availability vSphere Client Plug-In solicite credenciales, proporcione credenciales de usuario local de VMware Cloud Director para la autenticación. Esta opción permite restringir el acceso a la infraestructura local pero no permite usar una solución de administración de identidades dedicada para la autenticación.
- Como alternativa, utilice el complemento VMware Cloud Director Availability en VMware Cloud Director para las operaciones de administración de replicaciones. Esta opción permite usar una solución de administración de identidades dedicada para la autenticación, pero no permite restringir el acceso a la infraestructura local, ya que durante el emparejamiento es necesario seleccionar Permitir acceso desde la nube.
- Cuando la organización de VMware Cloud Director utiliza un proveedor de identidad externo, por ejemplo, SAML, los tenants locales ahora pueden utilizar ese método para la autenticación.
- Al realizar una operación de replicación que requiera autenticación, VMware Cloud Director Availability vSphere Client Plug-In solicitará que proporcione las credenciales del sitio remoto. En esa solicitud, al hacer clic en Usar autenticación de token de API, se genera y se muestra un token temporal para la autenticación que requiere aceptación en el complemento de VMware Cloud Director Availability en VMware Cloud Director.
- Al hacer clic en Iniciar sesión se abre una nueva ventana del navegador con el complemento de VMware Cloud Director Availability en VMware Cloud Director.
- El tenant puede seleccionar su método de autenticación típico para autenticarse en VMware Cloud Director, como el inicio de sesión único o la autenticación multifactor.
- Después de autenticarse en VMware Cloud Director, un mensaje solicita que compruebe y acepte que el token temporal coincide con el que se muestra en VMware Cloud Director Availability vSphere Client Plug-In.
- Al aceptar el token temporal, se asocia con el JWT existente de la sesión de VMware Cloud Director. Esta asociación concede a VMware Cloud Director Availability vSphere Client Plug-In acceso al sitio de nube durante la sesión y el tenant puede reanudar el flujo de trabajo de recuperación ante desastres que solicitó las credenciales.
- El intervalo de aceptación del token es de 5 minutos. Una vez que caduca este período de tiempo, VMware Cloud Director Availability requiere la generación de un nuevo token.
- Un único token permite aceptar o rechazar solo una vez.
- Al aceptar el token se crea una sesión regular que está activa durante un máximo de 24 horas o inactiva durante 30 minutos.
- Al cerrar sesión en vSphere, se invalida el token aceptado. Después de volver a autenticarse, al realizar una operación de replicación que requiera autenticación, debe generar un nuevo token y, a continuación, aceptarlo.
- El tenant debe asegurarse de iniciar sesión en la organización de VMware Cloud Director correcta para el sitio local; de lo contrario, no podrá aceptar el token.
- La autenticación local con un token requiere vCenter Server 7.0 o una versión posterior en el sitio local y en cada sitio de VMware Cloud Director Availability 4.3 o versiones posteriores y solo está disponible mediante el uso de VMware Cloud Director Availability vSphere Client Plug-In.
Expiración de la sesión
- Se alcanzó un límite de tiempo flexible en la sesión de Cloud Service local por inactividad. De forma predeterminada, la duración de la sesión flexible caduca después de que la sesión está inactiva más de 30 minutos y no se está viendo una página de la interfaz de administración que se actualiza de forma dinámica.
- La sesión de Cloud Service local también tiene un límite de tiempo absoluto que no se puede prolongar sin volver a autenticarse. De forma predeterminada, la duración absoluta de la sesión caduca después de 24 horas. Durante este tiempo, puede realizar todas las operaciones, hasta que salga de la interfaz de administración, o bien que en la página Sitios del mismo nivel seleccione el sitio y haga clic en Cerrar sesión. En el documento Security Guide, para obtener más información sobre los dos tipos de duración de una sesión, consulte Propiedades de configuración de seguridad; para más información sobre las sesiones de usuario, consulte Usuarios y sesiones.
- La sesión ampliada de Cloud Service a un sitio de nube remoto caduca cuando el JWT remoto deja de ser válido debido a la caducidad o al cierre manual de sesión. De forma predeterminada, la duración del JWT de VMware Cloud Director también caduca en 24 horas. Al modificar la duración del JWT, por ejemplo, si se reduce a una hora, la sesión ampliada caduca después de una hora. Cuando se extiende la duración de JWT a 24 horas, la sesión ampliada caduca según la duración de la sesión de Cloud Service, es decir, después de 24 horas o después de 30 minutos de inactividad.
Operaciones de replicación que requieren autenticación de sesión ampliada
- Replicaciones entrantes desde la nube
-
Para administrar las replicaciones en el sitio remoto, puede realizar algunas operaciones de replicación sin autenticarse ni proporcionar las credenciales del sitio remoto, mientras que sí debe autenticarse y proporcionar las credenciales del sitio remoto para las operaciones de replicación restantes.
Operaciones de replicación que no requieren autenticación: No se necesitan credenciales Operaciones de replicación que requieren autenticación: Proporcionar credenciales para el sitio remoto Migrar Nueva protección Conmutación por error Nueva migración Probar conmutación por error Configuración de red Configuración de réplica Configuración de disco Cambiar propietario Cambiar la directiva de almacenamiento Sincronizar Pausar Reanudar Eliminar réplica - Replicaciones salientes en la nube
-
Para administrar las replicaciones en el sitio de nube remoto para todas las operaciones de replicación, debe autenticarse y proporcionar las credenciales del sitio remoto.
Operaciones de replicación que requieren autenticación: Proporcionar credenciales para el sitio remoto Migrar Conmutación por error Probar conmutación por error Nueva protección Nueva migración Configuración de réplica Configuración de red Configuración de disco Cambiar la directiva de almacenamiento Sincronizar Pausar Reanudar Eliminar réplica
Suplantación de una organización de tenant
Para obtener información sobre cómo suplantar un tenant, consulte Iniciar sesión mediante el Portal para administradores de proveedores de VMware Cloud Director™.