vCenter Single Sign-On permet aux composants vSphere de communiquer entre eux au moyen d'un mécanisme d'échange de jetons sécurisé au lieu d'obliger les utilisateurs à s'authentifier séparément pour chaque composant.

vCenter Single Sign-On utilise une combinaison de STS (Security Token Service), de SSL pour la sécurisation du trafic et de l'authentification des utilisateurs humains par Active Directory ou OpenLDAP et des utilisateurs de solution par le biais de certificats.

Établissement de liaison vCenter Single Sign-On pour les utilisateurs humains

L'illustration suivante présente l'établissement de liaison pour les utilisateurs humains.

Figure 1. Établissement de liaison vCenter Single Sign-On pour les utilisateurs humains
Lorsque l'utilisateur se connecte à vSphere Web Client, le serveur Single Sign-On établit une liaison pour l'authentification.
  1. Un utilisateur se connecte à vSphere Web Client avec un nom d'utilisateur et un mot de passe pour accéder au système vCenter Server ou à un autre service vCenter.

    L'utilisateur peut également se connecter sans mot de passe et cocher la case Utiliser l'authentification de session Windows.

  2. vSphere Web Client transmet les informations de connexion au service vCenter Single Sign-On. Celui-ci vérifie alors le jeton SAML de vSphere Web Client. Si vSphere Web Client dispose d'un jeton valide, vCenter Single Sign-On vérifie ensuite que l'utilisateur figure bien dans la source d'identité configurée (par exemple, Active Directory).

    • Si seul le nom d'utilisateur est employé, vCenter Single Sign-On vérifie dans le domaine par défaut.

    • Si un nom de domaine est inclus avec le nom d'utilisateur (DOMAIN\user1 ou user1@DOMAIN), vCenter Single Sign-On vérifie ce domaine.

  3. Si l'utilisateur peut s'authentifier auprès de la source d'identité, vCenter Single Sign-On renvoie un jeton qui représente l'utilisateur pour vSphere Web Client.

  4. vSphere Web Client transmet le jeton au système vCenter Server.

  5. vCenter Server vérifie auprès du serveur vCenter Single Sign-On que le jeton est valide et n'a pas expiré.

  6. Le serveur vCenter Single Sign-On renvoie le jeton au système vCenter Server en exploitant la structure d'autorisation de vCenter Server pour autoriser l'accès de l'utilisateur.

L'utilisateur peut désormais s'authentifier, puis afficher et modifier les objets pour lesquels il possède les privilèges pertinents.

Remarque :

Le rôle Aucun accès est attribué initialement à chaque utilisateur. Pour qu'un utilisateur puisse se connecter, un administrateur vCenter Server doit au moins lui attribuer le rôle Lecture seule. Reportez-vous à la section Ajouter une autorisation à un objet d'inventaire.

Établissement de liaison vCenter Single Sign-On pour les utilisateurs de solution

Les utilisateurs de solution sont des ensembles de services utilisés dans l'infrastructure vCenter Server (les extensions vCenter Server ou vCenter Server, par exemple). Les extensions VMware et éventuellement les extensions tierces peuvent également s'authentifier auprès de vCenter Single Sign-On.

Figure 2. Établissement de liaison vCenter Single Sign-On pour les utilisateurs de solution
La procédure d'établissement de liaison entre un utilisateur de solution, vCenter Single Sign-On et d'autres composants vCenter est détaillée ci-dessous.

Pour les utilisateurs de solution, l'interaction se déroule comme suit :

  1. L'utilisateur de solution tente de se connecter à un service vCenter.

  2. L'utilisateur de solution est redirigé vers vCenter Single Sign-On. Si l'utilisateur de solution est nouveau dans vCenter Single Sign-On, il doit présenter un certificat valide.

  3. Si le certificat est valide, vCenter Single Sign-On attribue un jeton SAML (jeton de support) à l'utilisateur de solution. Le jeton est signé par vCenter Single Sign-On.

  4. L'utilisateur de solution est ensuite redirigé vers vCenter Single Sign-On et peut effectuer des tâches, selon les autorisations qui lui sont attribuées.

  5. La prochaine fois que l'utilisateur de solution devra s'authentifier, il pourra utiliser le jeton SAML pour se connecter à vCenter Server.

Cet établissement de liaison est automatique par défaut, car VMCA provisionne les utilisateurs de solution à l'aide de certificats pendant le démarrage. Si la stratégie de l'entreprise requiert des certificats signés par une autorité de certification tierce, vous pouvez remplacer les certificats d'utilisateur de solution par ces certificats signés par une autorité de certification tierce. Si ces certificats ne sont pas valides, vCenter Single Sign-On attribue un jeton SAML à l'utilisateur de solution. Reportez-vous à Utiliser des certificats tiers avec vSphere.