Interoperabilidad y advertencias de la federación de proveedores de identidad de vCenter Server

La federación de proveedores de identidad de vCenter Server puede interoperar con muchas otras funciones de VMware.

Cuando planee la estrategia de federación de proveedores de identidad de vCenter Server, considere las posibles limitaciones de interoperabilidad.

Mecanismos de autenticación

En una configuración de la federación de proveedores de identidad de vCenter Server, el proveedor de identidad externo controla los mecanismos de autenticación (contraseñas, MFA, biometría, etc.).

Compatibilidad con un único dominio de Active Directory

Al configurar la federación de proveedores de identidad de vCenter Server, el asistente Configurar proveedor de identidad principal solicita que introduzca la información de LDAP del dominio de AD que contiene los usuarios y los grupos a los que desea acceder vCenter Server. vCenter Server deriva el dominio de AD que se utilizará para la autorización y los permisos del DN base de usuarios que especifique en el asistente. Puede agregar permisos en los objetos de vSphere solo para usuarios y grupos de este dominio de AD. Los usuarios o los grupos de dominios secundarios de AD u otros dominios del bosque de AD no son compatibles con la federación de proveedores de identidad de vCenter Server.

Directivas de vCenter Server

Cuando vCenter Server actúa como el proveedor de identidad, se controlan las directivas de contraseña, bloqueo y token de vCenter Server para el dominio vsphere.local. Cuando se utiliza la autenticación federada con vCenter Server, el proveedor de identidad externo controla las directivas de contraseñas, bloqueo y token para las cuentas almacenadas en el origen de identidad, como Active Directory.

Auditoría y conformidad

Cuando se utiliza la federación de proveedores de identidad de vCenter Server, vCenter Server continúa creando entradas de registro para inicios de sesión de usuarios correctos. Sin embargo, el proveedor de identidad externo es responsable de realizar un seguimiento de las acciones de registro, como los bloqueos de cuentas de usuario y los intentos de entrada de contraseña fallidos. vCenter Server no registra estos eventos porque ya no están visibles para vCenter Server. Por ejemplo, cuando AD FS es el proveedor de identidad, realiza un seguimiento de los errores de inicios de sesión federados y los registra. Cuando vCenter Server es el proveedor de identidad para los inicios de sesión locales, vCenter Server realiza un seguimiento de los errores y los registra para los inicios de sesión locales. En una configuración federada, vCenter Server continúa registrando las acciones del usuario después del inicio de sesión.

Integración de productos de VMware existente

Los productos de VMware integrados con vCenter Server (por ejemplo, vROps, vSAN, NSX, etc.) siguen funcionando como antes.

Productos que se integran después del inicio de sesión

Los productos que se integran después del inicio de sesión (es decir, que no requieren un inicio de sesión independiente) continúan funcionando como antes.

Autenticación simple para el acceso a API, SDK y CLI

Los scripts, los productos y otras funcionalidades existentes que se basan en los comandos de API, SDK o CLI que utilizan autenticación simple (es decir, nombre de usuario y contraseña) continúan funcionando como antes. Internamente, la autenticación se realiza pasando el nombre de usuario y la contraseña. Este paso del nombre de usuario y de la contraseña compromete algunas de las ventajas de utilizar la federación de identidades, ya que expone la contraseña a vCenter Server (y sus scripts). Considere la posibilidad de migrar a la autenticación basada en tokens siempre que sea posible.

Interfaz de administración de vCenter Server

Si el usuario es miembro del grupo de administradores, se admite el acceso a la interfaz de administración de vCenter Server (anteriormente denominada "interfaz de administración de vCenter Server Appliance" o VAMI).

Introducir texto de nombre de usuario en la página de inicio de sesión de AD FS

La página de inicio de sesión de AD FS no admite el envío de texto para rellenar previamente el cuadro de texto de nombre de usuario. Por ello, durante los inicios de sesión federados con AD FS, después de que introduzca el nombre de usuario en la página de destino de vCenter Server y de que se le redirija a la página de inicio de sesión de AD FS, debe volver a introducir el nombre de usuario en la página de inicio de sesión de AD FS. El nombre de usuario que introduzca en la página de destino de vCenter Server es necesario para redirigir el inicio de sesión al proveedor de identidad adecuado. Asimismo, el nombre de usuario en la página de inicio de sesión de AD FS es necesario para autenticarse con AD FS. La imposibilidad de transferir el nombre de usuario a la página de inicio de sesión de AD FS es una limitación de AD FS. No puede configurar ni cambiar este comportamiento directamente desde vCenter Server.