vCenter Single Sign-On permite que los componentes de vSphere se comuniquen entre ellos mediante un mecanismo de token seguro en lugar de solicitar a los usuarios que se autentiquen por separado en cada componente.

vCenter Single Sign-On utiliza los siguientes servicios.

  • STS (servicio de token de seguridad).

  • SSL para proteger el tráfico.

  • La autenticación de usuarios humanos a través de Active Directory u OpenLDAP.

  • La autenticación de usuarios de soluciones a través de certificados.

Protocolo de enlace de vCenter Single Sign-On para usuarios humanos

En la siguiente ilustración se muestra el protocolo de enlace para usuarios humanos.

Figura 1. Protocolo de enlace de vCenter Single Sign-On para usuarios humanos
Cuando el usuario inicia sesión en vSphere Web Client, el servidor Single Sign-On establece el protocolo de enlace de la autenticación.
  1. El usuario inicia sesión en vSphere Web Client con un nombre de usuario y una contraseña para acceder al sistema vCenter Server o a otro servicio de vCenter.

    El usuario también puede iniciar sesión sin una contraseña y activar la casilla Usar la autenticación de sesión de Windows.

  2. vSphere Web Client pasa la información de inicio de sesión al servicio vCenter Single Sign-On, que comprueba el token SAML de vSphere Web Client. Si vSphere Web Client tiene un token válido, vCenter Single Sign-On comprueba si el usuario se encuentra en el origen de identidad configurado (por ejemplo, Active Directory).

    • Si solo se emplea el nombre de usuario, vCenter Single Sign-On comprueba el dominio predeterminado.

    • Si se incluye un nombre de dominio con el nombre de usuario (DOMAIN\user1 o user1@DOMAIN), vCenter Single Sign-On comprueba ese dominio.

  3. Si el usuario puede autenticarse en el origen de identidad, vCenter Single Sign-On devuelve un token que representa al usuario en vSphere Web Client.

  4. vSphere Web Client pasa el token al sistema vCenter Server.

  5. vCenter Server comprueba con el servidor de vCenter Single Sign-On que el token sea válido y que no haya caducado.

  6. El servidor de vCenter Single Sign-On devuelve el token al sistema vCenter Server mediante el marco de autorización de vCenter Server para otorgar acceso a los usuarios.

Ahora el usuario puede autenticarse, y ver y modificar todos los objetos sobre los que tiene privilegios por su función.

Nota:

Al principio, se asigna la función Sin acceso a cada usuario. Un administrador de vCenter Server debe asignar al menos la función Solo lectura al usuario para que pueda iniciar sesión. Consulte la documentación de Seguridad de vSphere.

Protocolo de enlace de vCenter Single Sign-On para usuarios de solución

Los usuarios de solución son conjuntos de servicios que se usan en la infraestructura de vCenter Server, por ejemplo, vCenter Server o las extensiones de vCenter Server. Las extensiones de VMware y las posibles extensiones externas también pueden autenticarse en vCenter Single Sign-On.

Figura 2. Protocolo de enlace de vCenter Single Sign-On para usuarios de solución
El protocolo de enlace entre un usuario de solución, vCenter Single Sign-On y otros componentes de vCenter sigue los pasos detallados en el siguiente texto.

En el caso de los usuarios de solución, la interacción se produce de la siguiente manera:

  1. El usuario de solución intenta conectarse a un servicio de vCenter.

  2. Se redirige al usuario de solución a vCenter Single Sign-On. Si el usuario de solución es nuevo en vCenter Single Sign-On, debe presentar un certificado válido.

  3. Si el certificado es válido, vCenter Single Sign-On asigna un token SAML (token de portador) al usuario de solución. vCenter Single Sign-On firma el token.

  4. El usuario de solución se redirige a vCenter Single Sign-On y puede realizar tareas según sus permisos.

  5. La próxima vez que el usuario de solución deba autenticarse, podrá usar el token SAML para iniciar sesión en vCenter Server.

De forma predeterminada, este protocolo de enlace se aplica automáticamente, ya que VMCA aprovisiona a los usuarios de solución con certificados durante el inicio. Si la directiva de la empresa exige certificados externos firmados por una entidad de certificación, se pueden utilizar esos certificados para reemplazar los certificados de los usuarios de solución. Si esos certificados son válidos, vCenter Single Sign-On asigna un token SAML al usuario de solución. Consulte Usar certificados personalizados con vSphere.

Cifrado compatible

Se admite el cifrado AES, que es el nivel más alto de cifrado.

El cifrado compatible afecta a la seguridad cada vez que un host ESXi o vCenter Server se une a Active Directory. También afecta a la seguridad cuando vCenter Single Sign-On utiliza Active Directory como un origen de identidad.