vSphere proporciona servicios que permiten realizar tareas de administración de certificados para componentes de vCenter Server y ESXi, además de configurar la autenticación a través de vCenter Single Sign-On.
Información general de administración de certificados de vSphere
De forma predeterminada, vSphere permite aprovisionar componentes de vCenter Server y hosts ESXi con certificados de VMware Certificate Authority (VMCA). También se pueden usar certificados personalizados, que se almacenan en VMware Endpoint Certificate Store (VECS).
Descripción general de vCenter Single Sign-On
vCenter Single Sign-On permite que los componentes de vSphere se comuniquen entre sí a través de un mecanismo de token seguro. vCenter Single Sign-On utiliza términos y definiciones específicos que resulta importante comprender.
| Término | Definición |
|---|---|
| Principal | Una entidad que se puede autenticar, como un usuario. |
| Proveedor de identidad | Un servicio que administra orígenes de identidad y autentica entidades de seguridad. Ejemplos: Servicios de federación de Active Directory (Active Directory Federation Services, AD FS) de Microsoft y vCenter Single Sign-On. |
| Origen de identidad (servicio de directorio) | Almacena y administra entidades de seguridad. Las entidades de seguridad consisten en una colección de atributos sobre una cuenta de usuario o servicio, como el nombre, la dirección, el correo electrónico y la membresía a grupos. Ejemplos: Microsoft Active Directory y VMware Directory Service (vmdir). |
| Autenticación | Los medios para determinar si alguien o algo es efectivamente quién o qué declara ser. Por ejemplo, los usuarios se autentican cuando proporcionan sus credenciales, como tarjetas inteligentes, nombre de usuario y contraseña correctos, etc. |
| Autorización | El proceso de comprobación de los objetos a los que las entidades de seguridad tienen acceso. |
| Token | Una recopilación firmada de datos que incluye la información de identidad de una entidad de seguridad determinada. Un token puede incluir no solo información básica sobre la entidad de seguridad, como la dirección de correo electrónico y el nombre completo, sino también, según el tipo de token, los grupos y las funciones de la entidad de seguridad. |
| vmdir | VMware Directory Service. El repositorio LDAP interno (local) en vCenter Server que contiene identidades de los usuarios, grupos y datos de configuración. |
| OpenID Connect (OIDC) | Protocolo de autenticación basado en OAuth2. vCenter Server utiliza capacidades de OIDC al interactuar con los servicios de federación de Active Directory (Active Directory Federation Services, AD FS). |
Tipos de autenticación de vCenter Single Sign-On
vCenter Single Sign-On utiliza diferentes tipos de autenticación, en función de si está implicado el proveedor de identidad vCenter Server integrado o un proveedor de identidad externo.
| Tipo de autenticación | ¿Qué actúa como el proveedor de identidad? | ¿vCenter Server gestiona la contraseña? | Descripción |
|---|---|---|---|
| Autenticación basada en token | Proveedor de identidad externo. Por ejemplo, AD FS. | No | vCenter Server se comunica con el proveedor de identidad externo a través de un protocolo en particular y obtiene un token, que representa una identidad de usuario en particular. |
| Autenticación simple | vCenter Server | Sí | El nombre de usuario y la contraseña se transmiten directamente a vCenter Server, que valida las credenciales a través de sus orígenes de identidad. |
