Restrictions et interopérabilité de la fédération de fournisseurs d'identité vCenter Server

La fédération de fournisseurs d'identité vCenter Server peut interagir avec de nombreuses autres fonctionnalités VMware.

Lors de la planification de votre stratégie de fédération de fournisseurs d'identité vCenter Server, tenez compte des éventuelles limitations d'interopérabilité.

Mécanismes d'authentification

Dans une configuration de fédération de fournisseur d'identité vCenter Server, le fournisseur d'identité externe gère les mécanismes d'authentification (mots de passe, MFA, biométrie, etc.).

Prise en charge d'un domaine Active Directory unique

Lorsque vous configurez la fédération de fournisseurs d'identité vCenter Server, l'assistant Configurer le fournisseur d'identité principal vous invite à entrer les informations LDAP pour le domaine AD contenant les utilisateurs et les groupes pour lesquels vous souhaitez qu'ils puissent accéder à vCenter Server. vCenter Server dérive le domaine AD à utiliser pour l'autorisation, ainsi que les autorisations à partir du nom unique de base de l'utilisateur que vous spécifiez dans l'assistant. Vous pouvez ajouter des autorisations sur des objets vSphere uniquement pour les utilisateurs et les groupes de ce domaine AD. Les utilisateurs ou les groupes de domaines enfants AD ou d'autres domaines de la forêt AD ne sont pas pris en charge par la fédération de fournisseurs d'identité vCenter Server.

Stratégies vCenter Server

Lorsque le système vCenter Server est utilisé comme fournisseur d'identité, vous contrôlez les stratégies de mot de passe, de verrouillage et de jeton de vCenter Server pour le domaine vsphere.local. Lors de l'utilisation de l'authentification fédérée avec le système vCenter Server, le fournisseur d'identité externe contrôle les stratégies de mot de passe, de verrouillage et de jeton pour les comptes stockés dans la source d'identité, tels qu'Active Directory.

Audit et conformité

Lors de l'utilisation de la fédération de fournisseurs d'identité vCenter Server, le système vCenter Server continue de créer des entrées de journal pour les connexions utilisateur réussies. Toutefois, le fournisseur d'identité externe est responsable du suivi et de la journalisation des actions, telles que les tentatives d'entrée de mot de passe et les verrouillages de compte d'utilisateur. Le système vCenter Server ne journalise pas ces événements, car ils ne sont plus visibles pour vCenter Server. Par exemple, lorsque AD FS est le fournisseur d'identité, il suit et journalise les erreurs des connexions fédérées. Lorsque le système vCenter Server est le fournisseur d'identification des connexions locales, vCenter Server surveille et journalise les erreurs de ces connexions. Dans une configuration fédérée, le système vCenter Server continue de consigner les actions de l'utilisateur après la connexion.

Intégration de produits VMware existants

Les produits VMware intégrés à l'instance de vCenter Server (par exemple, vROps, vSAN, NSX, etc.) continuent de fonctionner comme auparavant.

Produits qui intègrent la post-connexion

Les produits qui intègrent la post-connexion (c'est-à-dire qu'ils n'ont pas besoin d'une connexion distincte) continuent de fonctionner comme avant.

Authentification simple pour l'accès aux API, SDK et CLI

Les scripts, produits et autres fonctionnalités existantes qui reposent sur des commandes d'API, de SDK ou d'interface de ligne de commande qui utilisent l'authentification simple (c'est-à-dire nom d'utilisateur et mot de passe) continuent de fonctionner comme avant. En interne, l'authentification s'effectue en transmettant le nom d'utilisateur et le mot de passe. Cette transmission du nom d'utilisateur et du mot de passe compromet certains des avantages de l'utilisation de la fédération d'identité, car elle expose le mot de passe à vCenter Server (et à vos scripts). Envisagez de migrer vers l'authentification basée sur des jetons, lorsque c'est possible.

Interface de gestion de vCenter Server

Si l'utilisateur est membre du groupe administrateurs, l'accès à l'interface de gestion de vCenter Server (anciennement appelée interface de gestion de dispositif vCenter Server ou interface VAMI) est pris en charge.

Entrée du texte du nom d'utilisateur sur la page de connexion AD FS

La page de connexion AD FS ne prend pas en charge la transmission de texte pour préremplir la zone de texte de nom d'utilisateur. Par conséquent, lors des connexions fédérées avec AD FS, après l'entrée de votre nom d'utilisateur sur la page de lancement de vCenter Server et redirection vers la page de connexion AD FS, vous devez entrer de nouveau votre nom d'utilisateur sur la page de connexion AD FS. Le nom d'utilisateur que vous entrez sur la page de lancement de vCenter Server est nécessaire pour rediriger la connexion vers le fournisseur d'identité approprié, et le nom d'utilisateur sur la page de connexion AD FS est nécessaire pour s'authentifier auprès d'AD FS. Cette incapacité à transmettre le nom d'utilisateur à la page de connexion AD FS constitue une limite d'AD FS. Vous ne pouvez pas configurer ou modifier ce comportement directement dans vCenter Server.