vSphere fournit des services qui vous permettent d'effectuer des tâches de gestion des certificats pour les composants vCenter Server et ESXi, ainsi que de configurer l'authentification via vCenter Single Sign-On.
Présentation de la gestion des certificats vSphere
Par défaut, vSphere vous permet de provisionner des composants vCenter Server et des hôtes ESXi avec des certificats d'autorité de certification VMware (VMCA). Vous pouvez également utiliser des certificats personnalisés stockés dans VMware Endpoint Certificate Store (VECS)
Présentation de vCenter Single Sign-On
vCenter Single Sign-On permet aux composants vSphere de communiquer au moyen d'un mécanisme d'échange de jetons sécurisé. vCenter Single Sign-On utilise des termes et définitions spécifiques importants à comprendre.
Terme | Définition |
---|---|
Principal | Entité pouvant être authentifiée, telle qu'un utilisateur. |
Fournisseur d'identité | Service qui gère les sources d'identité et authentifie les principaux. Exemples : Microsoft Active Directory Federation Services (AD FS) et vCenter Single Sign-On. |
Source d'identité (Directory Service) | Stocke et gère les principaux. Les principaux regroupent un ensemble d'attributs pour un utilisateur ou un compte de service, tel que le nom, l'adresse, l'e-mail et l'appartenance à un groupe. Exemples : Microsoft Active Directory et VMware Directory Service (vmdir). |
Authentification | Moyens utilisés afin de déterminer si quelqu'un ou quelque chose est effectivement celui ou ce qu'il déclare lui-même être. Par exemple, les utilisateurs sont authentifiés lorsqu'ils fournissent leurs informations d'identification, telles que les cartes à puce, le nom d'utilisateur et le mot de passe approprié, etc. |
Autorisation | Processus de vérification des objets auxquels les principaux ont accès. |
Jeton | Ensemble de données signé contenant les informations d'identité d'un principal spécifique. Un jeton peut inclure non seulement des informations de base sur le principal, telles que l'adresse e-mail et le nom complet, mais également, selon le type de jeton, les groupes et les rôles du principal. |
vmdir | VMware Directory Service. Référentiel LDAP interne (local) de vCenter Server qui contient des identités d'utilisateur, des groupes et des données de configuration. |
OpenID Connect (OIDC) | Protocole d'authentification basé sur OAuth2. vCenter Server utilise les capacités OIDC lors de l'interaction avec Active Directory Federation Services (AD FS). |
Types d'authentification vCenter Single Sign-On
vCenter Single Sign-On utilise différents types d'authentification, selon que le fournisseur d'identité vCenter Server intégré ou un fournisseur d'identité externe est impliqué.
Type d'authentification | Quel est le fournisseur d'identité utilisé ? | Est-ce que vCenter Server peut gérer le mot de passe ? | Description |
---|---|---|---|
Authentification basée sur des jetons | Fournisseur d'identité externe. Par exemple, AD FS. | Non | vCenter Server contacte le fournisseur d'identité externe via un protocole particulier et obtient un jeton qui représente l'identité d'un utilisateur particulier. |
Authentification simple | vCenter Server | Oui | Le nom d'utilisateur et le mot de passe sont transmis directement à vCenter Server, ce qui valide les informations d'identification via ses sources d'identité. |