vSphere proporciona servicios de infraestructura comunes para administrar certificados para componentes de vCenter Server y ESXi, así como para administrar la autenticación con vCenter Single Sign-On.
Cómo administrar certificados de vSphere
De forma predeterminada, vSphere permite aprovisionar componentes de vCenter Server y hosts ESXi con certificados de VMware Certificate Authority (VMCA). También puede utilizar certificados personalizados que se almacenan en VMware Endpoint Certificate Store (VECS). Para obtener más información, consulte Qué opciones tiene para administrar certificados de vSphere.
Qué es vCenter Single Sign-On
vCenter Single Sign-On permite que los componentes de vSphere se comuniquen entre sí a través de un mecanismo de token seguro. vCenter Single Sign-On utiliza términos y definiciones específicos que resulta importante comprender.
Término | Definición |
---|---|
Principal | Una entidad que se puede autenticar, como un usuario. |
Proveedor de identidad | Un servicio que administra orígenes de identidad y autentica entidades de seguridad. Ejemplos: Servicios de federación de Active Directory (Active Directory Federation Services, AD FS) de Microsoft y vCenter Single Sign-On. |
Origen de identidad (servicio de directorio) | Almacena y administra entidades de seguridad. Las entidades de seguridad consisten en una colección de atributos sobre una cuenta de usuario o un servicio, como el nombre, la dirección, el correo electrónico y la membresía a grupos. Ejemplos: Microsoft Active Directory y VMware Directory Service (vmdir). |
Autenticación | Los medios para determinar si alguien o algo es efectivamente quién o qué declara ser. Por ejemplo, los usuarios se autentican cuando proporcionan sus credenciales, como tarjetas inteligentes, nombre de usuario y contraseña correctos, etc. |
Autorización | El proceso de comprobación de los objetos a los que las entidades de seguridad tienen acceso. |
Token | Una recopilación firmada de datos que incluye la información de identidad de una entidad de seguridad determinada. Un token puede incluir no solo información básica sobre la entidad de seguridad, como la dirección de correo electrónico y el nombre completo, sino también, según el tipo de token, los grupos y las funciones de la entidad de seguridad. |
vmdir | VMware Directory Service. El repositorio LDAP interno (local) en vCenter Server que contiene identidades de los usuarios, grupos y datos de configuración. |
OAuth 2.0 | Un estándar de autorización abierta que permite el intercambio de información entre entidades de seguridad y servicios web sin exponer las credenciales de las entidades de seguridad. |
OpenID Connect (OIDC) | Protocolo de autenticación basado en OAuth 2.0 que aumenta OAuth con información de identificación del usuario. Se representa mediante el token de identificador que el servidor de autorización devuelve junto con el token de acceso durante la autenticación de OAuth. vCenter Server utiliza capacidades de OIDC al interactuar con los servicios de federación de Active Directory (Active Directory Federation Services, AD FS), Okta, Microsoft Entra ID y PingFederate. |
Sistema para la administración de identidades entre dominios (SCIM) | El estándar para automatizar el intercambio de información de la identidad del usuario entre dominios de identidad o sistemas de TI. |
VMware Identity Services | A partir de la versión 8.0 Update 1, VMware Identity Services es un contenedor integrado dentro de vCenter Server que se puede utilizar para la federación de identidades en proveedores de identidad externos. Funciona como un agente de identidad independiente dentro de vCenter Server y viene con su propio conjunto de API. Actualmente, VMware Identity Services admite Okta, Microsoft Entra ID y PingFederate como proveedores de identidad externos. |
Tenant | Un concepto de VMware Identity Services. Un tenant proporciona una separación lógica de los datos de otros tenants en un mismo entorno virtual. |
Token de Web JSON (JWT) | Formato de token definido por la especificación de OAuth 2.0. Un token JWT transmite información de autenticación y autorización sobre una entidad de seguridad. |
Usuario de confianza | Un usuario de confianza "depende" del servidor de autorización, VMware Identity Services o AD FS para la administración de identidades. Por ejemplo, a través de la federación, vCenter Server establece una relación de confianza entre el usuario dependiente con VMware Identity Services o AD FS. |
Lenguaje de marcado de aserción de seguridad (SAML) | Un estándar abierto basado en XML para intercambiar datos de autenticación y autorización entre partes que utiliza vCenter Server. Las entidades de seguridad obtienen un token SAML de parte de vCenter Single Sign-On y, a continuación, lo envían al endpoint de la API de vSphere Automation para obtener un identificador de sesión. |
Descripción de los tipos de autenticación de vCenter Single Sign-On
vCenter Single Sign-On utiliza diferentes tipos de autenticación, en función de si está implicado el proveedor de identidad vCenter Server integrado o un proveedor de identidad externo.
Tipo de autenticación | ¿Qué actúa como el proveedor de identidad? | ¿vCenter Server gestiona la contraseña? | Descripción |
---|---|---|---|
Autenticación basada en token | Proveedor de identidad externo. Por ejemplo, AD FS. | No | vCenter Server se comunica con el proveedor de identidad externo a través de un protocolo en particular y obtiene un token, que representa una identidad de usuario en particular. |
Autenticación simple | vCenter Server | Sí | El nombre de usuario y la contraseña se transmiten directamente a vCenter Server, que valida las credenciales a través de sus orígenes de identidad. |