Para administrar replicaciones en sitios remotos en la nube, extienda su sesión a ese sitio aceptando un token de autenticación o proporcionando credenciales de la instancia de VMware Cloud Director local. Cualquier operación de replicación a sitios remotos en la nube y operaciones específicas de replicación desde sitios remotos en la nube requieren una sesión extendida.

Extender la autenticación de sesión de nube a nube

Los inicios de sesión de usuario de VMware Cloud Director crean una sesión y reciben un token web JSON (JWT) que se utiliza para autenticar solicitudes futuras.

Cloud Service administra su propia sesión que no está vinculada directamente a la sesión de VMware Cloud Director. Cree una sesión de Cloud Service local mediante uno de los dos métodos de autenticación siguientes:
  • Proporcione un usuario y una contraseña de VMware Cloud Director locales de autenticación para crear la sesión de Cloud Service. Internamente, Cloud Service utiliza esas credenciales para crear una nueva sesión de VMware Cloud Director que da como resultado un JWT nuevo.
  • Como alternativa, utilice un JWT existente sin proporcionar credenciales para la instancia de Cloud Service que utiliza la sesión de VMware Cloud Director existente para realizar las operaciones necesarias. El complemento de VMware Cloud Director Availability en la instancia local de VMware Cloud Director utiliza automáticamente ese JWT existente para la autenticación.

De forma local para el sitio de nube, al crear una sesión de Cloud Service, puede utilizar las tareas y las replicaciones del sitio local, entre otras. Como la sesión actual de Cloud Service asoció un JWT para la instancia local de VMware Cloud Director, también puede examinar la instancia de VMware Cloud Director local. Mientras JWT no caduque, puede realizar operaciones de replicación que requieran acceder a la instancia de VMware Cloud Director local.

Para realizar operaciones de replicación en sitios de nube remotos, debe ampliar la sesión de Cloud Service local al sitio de nube remoto mediante uno de los dos métodos de autenticación siguientes:

  • Cuando la organización de VMware Cloud Director remota utiliza usuarios locales, proporcione las credenciales de usuario.
  • Cuando las instancias locales y remotas de VMware Cloud Director y sus organizaciones estén asociadas, haga clic en Usar multisitio. Dado que una organización puede asociarse con varias organizaciones remotas, seleccione la organización para la autenticación.
  • En VMware Cloud Director Availability 4.3, cuando varios sitios de nube utilizan una sola instancia de VMware Cloud Director, haga clic en Usar multisitio. El menú desplegable para seleccionar una organización solo contiene la organización actual.

Al ampliar la sesión de Cloud Service de la instancia local de VMware Cloud Director a la remota sin proporcionar las credenciales de usuario local para la instancia de VMware Cloud Director remota, se utiliza JWT para autenticar la sesión extendida en el sitio remoto.

Después de autenticarse en el sitio remoto, Cloud Service mantiene la sesión extendida recién creada y, para las operaciones de replicación en el sitio remoto, utiliza la sesión extendida sin necesidad de credenciales.

Autenticación local en la nube

Para las versiones de VMware Cloud Director Availability anteriores a 4.3 o versiones anteriores a vCenter Server 7.0, los tenants locales tienen las dos opciones siguientes para realizar operaciones de recuperación ante desastres que requieren autenticación en el sitio de nube.
  • Cuando VMware Cloud Director Availability vSphere Client Plug-In solicite credenciales, proporcione credenciales de usuario local de VMware Cloud Director para la autenticación. Esta opción permite restringir el acceso a la infraestructura local pero no permite usar una solución de administración de identidades dedicada para la autenticación.
  • Como alternativa, utilice el complemento VMware Cloud Director Availability en VMware Cloud Director para las operaciones de administración de replicaciones. Esta opción permite usar una solución de administración de identidades dedicada para la autenticación, pero no permite restringir el acceso a la infraestructura local, ya que durante el emparejamiento es necesario seleccionar Permitir acceso desde la nube.
Con vCenter Server 7.0 o versiones posteriores, VMware Cloud Director Availability 4.3 proporciona un nuevo mecanismo de autenticación para los tenants locales a fin de realizar operaciones de recuperación ante desastres en la instancia de VMware Cloud Director Availability vSphere Client Plug-In que requiere autenticación en el sitio de nube, por ejemplo, la configuración de una nueva replicación o un cambio.
  • Cuando la organización de VMware Cloud Director utiliza un proveedor de identidad externo, por ejemplo, SAML, los tenants locales ahora pueden utilizar ese método para la autenticación.
  1. Al realizar una operación de replicación que requiera autenticación, VMware Cloud Director Availability vSphere Client Plug-In solicitará que proporcione las credenciales del sitio remoto. En esa solicitud, al hacer clic en Usar autenticación de token de API, se genera y se muestra un token temporal para la autenticación que requiere aceptación en el complemento de VMware Cloud Director Availability en VMware Cloud Director.
  2. Al hacer clic en Iniciar sesión se abre una nueva ventana del navegador con el complemento de VMware Cloud Director Availability en VMware Cloud Director.
    1. El tenant puede seleccionar su método de autenticación típico para autenticarse en VMware Cloud Director, como el inicio de sesión único o la autenticación multifactor.
    2. Después de autenticarse en VMware Cloud Director, un mensaje solicita que compruebe y acepte que el token temporal coincide con el que se muestra en VMware Cloud Director Availability vSphere Client Plug-In.
  3. Al aceptar el token temporal, se asocia con el JWT existente de la sesión de VMware Cloud Director. Esta asociación concede a VMware Cloud Director Availability vSphere Client Plug-In acceso al sitio de nube durante la sesión y el tenant puede reanudar el flujo de trabajo de recuperación ante desastres que solicitó las credenciales.
Nota:
  • El intervalo de aceptación del token es de 5 minutos. Una vez que caduca este período de tiempo, VMware Cloud Director Availability requiere la generación de un nuevo token.
  • Un único token permite aceptar o rechazar solo una vez.
  • Al aceptar el token se crea una sesión regular que está activa durante un máximo de 24 horas o inactiva durante 30 minutos.
  • Al cerrar sesión en vSphere, se invalida el token aceptado. Después de volver a autenticarse, al realizar una operación de replicación que requiera autenticación, debe generar un nuevo token y, a continuación, aceptarlo.
  • El tenant debe asegurarse de iniciar sesión en la organización de VMware Cloud Director correcta para el sitio local; de lo contrario, no podrá aceptar el token.
  • La autenticación local con un token requiere vCenter Server 7.0 o una versión posterior en el sitio local y en cada sitio de VMware Cloud Director Availability 4.3 o versiones posteriores y solo está disponible mediante el uso de VMware Cloud Director Availability vSphere Client Plug-In.

Expiración de la sesión

  • Se alcanzó un límite de tiempo flexible en la sesión de Cloud Service local por inactividad. De forma predeterminada, la duración de la sesión flexible caduca después de que la sesión está inactiva más de 30 minutos y no se está viendo una página de la interfaz de administración que se actualiza de forma dinámica.
  • La sesión de Cloud Service local también tiene un límite de tiempo absoluto que no se puede prolongar sin volver a autenticarse. De forma predeterminada, la duración absoluta de la sesión caduca después de 24 horas. Durante este tiempo, puede realizar todas las operaciones, hasta que salga de la interfaz de administración, o bien que en la página Sitios del mismo nivel seleccione el sitio y haga clic en Cerrar sesión. Para obtener más información sobre los dos tipos de duración de una sesión, consulte Propiedades de configuración de seguridad y, para más información sobre las sesiones de usuario, consulte Sesiones y derechos de las funciones de usuario en Security Guide.
  • La sesión ampliada de Cloud Service a un sitio de nube remoto caduca cuando el JWT remoto deja de ser válido debido a la caducidad o al cierre manual de sesión. De forma predeterminada, la duración del JWT de VMware Cloud Director también caduca en 24 horas. Al modificar la duración del JWT, por ejemplo, si se reduce a una hora, la sesión ampliada caduca después de una hora. Cuando se extiende la duración de JWT a 24 horas, la sesión ampliada caduca según la duración de la sesión de Cloud Service, es decir, después de 24 horas o después de 30 minutos de inactividad.

Operaciones de replicación que requieren autenticación de sesión ampliada

Amplíe la sesión al sitio remoto para realizar las siguientes operaciones de replicación en función de dónde residan las replicaciones.
Replicaciones entrantes desde la nube
Para administrar las replicaciones en el sitio remoto, puede realizar algunas operaciones de replicación sin autenticarse ni proporcionar las credenciales del sitio remoto, mientras que sí debe autenticarse y proporcionar las credenciales del sitio remoto para las operaciones de replicación restantes.
Operaciones de replicación que no requieren autenticación: No se necesitan credenciales Operaciones de replicación que requieren autenticación: Proporcionar credenciales para el sitio remoto
Migrar Nueva protección
Conmutación por error Nueva migración
Probar conmutación por error Configuración de red
Configuración de réplica Configuración de disco
Cambiar propietario
Cambiar la directiva de almacenamiento
Sincronizar
Pausar
Reanudar
Eliminar réplica
Replicaciones salientes en la nube
Para administrar las replicaciones en el sitio de nube remoto para todas las operaciones de replicación, debe autenticarse y proporcionar las credenciales del sitio remoto.
Operaciones de replicación que requieren autenticación: Proporcionar credenciales para el sitio remoto
Migrar
Conmutación por error
Probar conmutación por error
Nueva protección
Nueva migración
Configuración de réplica
Configuración de red
Configuración de disco
Cambiar la directiva de almacenamiento
Sincronizar
Pausar
Reanudar
Eliminar réplica

Suplantación de una organización de tenant

Para obtener información sobre cómo suplantar un tenant, consulte Iniciar sesión mediante el portal para administradores de proveedores de VMware Cloud Director™.