vCenter Single Sign-On permet aux composants vSphere de communiquer au moyen d'un mécanisme d'échange de jetons sécurisé.

vCenter Single Sign-On utilise les services suivants.
  • STS (Security Token Service).
  • SSL pour sécuriser le trafic.
  • Authentification des utilisateurs humains via Active Directory ou OpenLDAP.
  • Authentification des utilisateurs de solution par le biais des certificats.

Établissement de liaison vCenter Single Sign-On pour les utilisateurs humains

L'illustration suivante présente l'établissement de liaison pour les utilisateurs humains.

Figure 1. Établissement de liaison vCenter Single Sign-On pour les utilisateurs humains
Lorsque l'utilisateur se connecte à vSphere Web Client, le serveur Single Sign-On établit une liaison pour l'authentification.
  1. Un utilisateur se connecte à vSphere Client avec un nom d'utilisateur et un mot de passe pour accéder au système vCenter Server ou à un autre service vCenter.

    L'utilisateur peut également se connecter sans mot de passe et cocher la case Utiliser l'authentification de session Windows.

  2. vSphere Client transmet les informations de connexion au service vCenter Single Sign-On. Celui-ci vérifie alors le jeton SAML de vSphere Client. Si vSphere Client dispose d'un jeton valide, vCenter Single Sign-On vérifie ensuite que l'utilisateur figure bien dans la source d'identité configurée (par exemple, Active Directory).
    • Si seul le nom d'utilisateur est employé, vCenter Single Sign-On effectue la vérification dans le domaine par défaut.
    • Si un nom de domaine est inclus avec le nom d'utilisateur (DOMAIN\user1 ou user1@DOMAIN), vCenter Single Sign-On vérifie ce domaine.
  3. Si l'utilisateur peut s'authentifier auprès de la source d'identité, vCenter Single Sign-On renvoie un jeton qui représente l'utilisateur pour vSphere Client.
  4. vSphere Client transmet le jeton au système vCenter Server.
  5. vCenter Server vérifie auprès du serveur vCenter Single Sign-On que le jeton est valide et n'a pas expiré.
  6. Le serveur vCenter Single Sign-On renvoie le jeton au système vCenter Server, en utilisant la structure d'autorisation de vCenter Server pour autoriser l'accès de l'utilisateur.
L'utilisateur peut désormais s'authentifier, puis afficher et modifier les objets pour lesquels il possède les privilèges pertinents.
Note : Le rôle Aucun accès est attribué initialement à chaque utilisateur. Pour qu'un utilisateur puisse se connecter, un administrateur vCenter Server doit au moins lui attribuer le rôle Lecture seule. Consultez la documentation de Sécurité vSphere.

Établissement de liaison vCenter Single Sign-On pour les utilisateurs de solution

Les utilisateurs de solution sont des ensembles de services utilisés dans l'infrastructure vCenter Server (les extensions vCenter Server ou vCenter Server, par exemple). Les extensions VMware et éventuellement les extensions tierces peuvent également s'authentifier auprès de vCenter Single Sign-On.

Figure 2. Établissement de liaison vCenter Single Sign-On pour les utilisateurs de solution
La procédure d'établissement de liaison entre un utilisateur de solution, vCenter Single Sign-On et d'autres composants de vCenter est détaillée ci-dessous.
Pour les utilisateurs de solution, l'interaction se déroule comme suit :
  1. L'utilisateur de solution tente de se connecter à un service vCenter.
  2. L'utilisateur de solution est redirigé vers vCenter Single Sign-On. Si l'utilisateur de solution est nouveau dans vCenter Single Sign-On, il doit présenter un certificat valide.
  3. Si le certificat est valide, vCenter Single Sign-On attribue un jeton SAML (jeton de support) à l'utilisateur de solution. Le jeton est signé par vCenter Single Sign-On.
  4. L'utilisateur de solution est ensuite redirigé vers vCenter Single Sign-On et peut effectuer des tâches, selon les autorisations qui lui sont attribuées.
  5. La prochaine fois que l'utilisateur de solution devra s'authentifier, il pourra utiliser le jeton SAML pour se connecter à vCenter Server.

Cet établissement de liaison est automatique par défaut, car VMCA provisionne les utilisateurs de solution à l'aide de certificats pendant le démarrage. Si la stratégie de l'entreprise requiert des certificats signés par une autorité de certification tierce, vous pouvez remplacer les certificats d'utilisateur de solution par ces certificats signés par une autorité de certification tierce. Si ces certificats ne sont pas valides, vCenter Single Sign-On attribue un jeton SAML à l'utilisateur de solution. Reportez-vous à la section Utiliser des certificats personnalisés avec vSphere.

Chiffrement pris en charge

Le chiffrement AES, qui est le niveau de chiffrement le plus élevé, est pris en charge. Le chiffrement pris en charge affecte également la sécurité lorsque vCenter Single Sign-On utilise Active Directory comme source d'identité.

Il affecte également la sécurité chaque fois qu'un hôte ESXi ou vCenter Server rejoint Active Directory.