La federación de proveedores de identidad de vCenter Server le permite configurar un proveedor de identidad externo para autenticación federada. En esta configuración, el proveedor de identidad externo interactúa con el origen de identidad en nombre de vCenter Server.
Conceptos básicos de la federación de proveedores de identidad de vCenter Server
A partir de vSphere 7.0, vCenter Server admite la autenticación federada. En este escenario, cuando un usuario inicia sesión en vCenter Server, vCenter Server redirecciona el inicio de sesión del usuario al proveedor de identidad externo. Ya no se proporcionan las credenciales de usuario directamente a vCenter Server. En su lugar, el usuario proporciona las credenciales al proveedor de identidad externo. vCenter Server confía en el proveedor de identidad externo para realizar la autenticación. En el modelo de federación, los usuarios nunca proporcionan credenciales directamente a ningún servicio ni aplicación, sino solo al proveedor de identidad. Como resultado, con el proveedor de identidad puede "federar" las aplicaciones y los servicios, como vCenter Server.
Ventajas de la federación de proveedores de identidad de vCenter Server
La federación de proveedores de identidad de vCenter Server proporciona las siguientes ventajas.
- Puede utilizar Single Sign-On con las aplicaciones y la infraestructura federada existentes.
- Puede mejorar la seguridad del centro de datos porque vCenter Server no controla nunca las credenciales del usuario.
- Puede utilizar mecanismos de autenticación, como la autenticación multifactor, compatible con el proveedor de identidad externo.
Componentes de la federación de proveedores de identidad de vCenter Server
Los siguientes componentes incluyen una configuración de la federación de proveedores de identidad de vCenter Server que utiliza servicios de federación de Active Directory (Active Directory Federation Services, AD FS) de Microsoft:
- Un vCenter Server
- Un servicio de proveedor de identidad configurado en vCenter Server
- Un servidor de AD FS y un dominio de Microsoft Active Directory asociado
- Un grupo de aplicaciones de AD FS
- Grupos y usuarios de Active Directory que se asignan a grupos y usuarios de vCenter Server
Arquitectura de la federación de proveedores de identidad de vCenter Server
En la federación de proveedores de identidad de vCenter Server, vCenter Server usa el protocolo OpenID Connect (OIDC) para recibir un token de identidad que autentique al usuario con vCenter Server.
Para establecer una relación de confianza para usuario autenticado entre vCenter Server y un proveedor de identidad, debe establecer la información de identificación y un secreto compartido entre ellos. En AD FS, para hacerlo, debe crear una configuración de OIDC conocida como grupo de aplicaciones, que consta de una aplicación de servidor y una API web. Los dos componentes especifican la información que vCenter Server usa para confiar en el servidor de AD FS y comunicarse con él. También puede crear un proveedor de identidad correspondiente en vCenter Server. Por último, configure las membresías a grupos en vCenter Server para autorizar los inicios de sesión de los usuarios del dominio de AD FS.
El administrador de AD FS debe proporcionar la siguiente información para crear la configuración del proveedor de identidad de vCenter Server:
- identificador de cliente: la cadena UUID que el asistente Grupo de aplicaciones de AD FS genera y que identifica al propio grupo de aplicaciones.
- Secreto compartido: el secreto que genera el asistente Grupo de aplicaciones de AD FS y que se usa para autenticar vCenter Server con AD FS.
- Dirección de OpenID: la dirección URL del endpoint de detección de proveedores de OpenID del servidor de AD FS, que especifica una dirección conocida que suele ser el endpoint del emisor concatenado con la ruta de acceso “
/.well-known/openid-configuration
”. Por ejemplo:https://webserver.example.com/adfs/.well-known/openid-configuration
.