vSphere fournit des services d'infrastructure communs pour gérer les certificats pour les composants vCenter Server et ESXi, et pour gérer l'authentification avec vCenter Single Sign-On.
Gestion des certificats vSphere
Par défaut, vSphere vous permet de provisionner des composants vCenter Server et des hôtes ESXi avec des certificats d'autorité de certification VMware (VMCA). Vous pouvez également utiliser des certificats personnalisés stockés dans VMware Endpoint Certificate Store (VECS) Pour plus d'informations, consultez Options de gestion des certificats vSphere.
Qu'est-ce que vCenter Single Sign-On
vCenter Single Sign-On permet aux composants vSphere de communiquer au moyen d'un mécanisme d'échange de jetons sécurisé. vCenter Single Sign-On utilise des termes et définitions spécifiques importants à comprendre.
Terme | Définition |
---|---|
Principal | Entité pouvant être authentifiée, telle qu'un utilisateur. |
Fournisseur d'identité | Service qui gère les sources d'identité et authentifie les principaux. Exemples : Microsoft Active Directory Federation Services (AD FS) et vCenter Single Sign-On. |
Source d'identité (Directory Service) | Stocke et gère les principaux. Les principaux regroupent un ensemble d'attributs concernant un utilisateur ou un compte de service, tel que le nom, l'adresse, l'e-mail et l'appartenance à un groupe. Exemples : Microsoft Active Directory et VMware Directory Service (vmdir). |
Authentification | Moyens utilisés afin de déterminer si quelqu'un ou quelque chose est effectivement celui ou ce qu'il déclare lui-même être. Par exemple, les utilisateurs sont authentifiés lorsqu'ils fournissent leurs informations d'identification, telles que les cartes à puce, le nom d'utilisateur et le mot de passe approprié, etc. |
Autorisation | Processus de vérification des objets auxquels les principaux ont accès. |
Jeton | Ensemble de données signé contenant les informations d'identité d'un principal spécifique. Un jeton peut inclure non seulement des informations de base sur le principal, telles que l'adresse e-mail et le nom complet, mais également, selon le type de jeton, les groupes et les rôles du principal. |
vmdir | VMware Directory Service. Référentiel LDAP interne (local) de vCenter Server qui contient des identités d'utilisateur, des groupes et des données de configuration. |
OAuth 2.0 | Norme d'autorisation ouverte qui permet l'échange d'informations entre les principaux et les services Web sans exposer les informations d'identification des principaux. |
OpenID Connect (OIDC) | Protocole d'authentification basé sur OAuth 2.0 qui augmente OAuth avec des informations d'identification d'utilisateur. Il est représenté par le jeton d'ID que le serveur d'autorisation renvoie avec le jeton d'accès lors de l'authentification OAuth. Le système vCenter Server utilise les capacités OIDC lors de l'interaction avec Active Directory Federation Services (AD FS), Okta, Microsoft Entra ID et PingFederate. |
Système pour la gestion des identités inter-domaines (SCIM, System for Cross-domain Identity Management) | Norme d'automatisation pour l'échange des informations d'identité des utilisateurs entre les domaines d'identité ou les systèmes informatiques. |
VMware Identity Services | À partir de la version 8.0 Update 1, VMware Identity Services est un conteneur intégré dans vCenter Server que vous pouvez utiliser pour la fédération d'identité vers des fournisseurs d'identité externes. Il sert de broker d'identité indépendant dans vCenter Server et est fourni avec son propre jeu d'API. Actuellement, VMware Identity Services prend en charge Okta, Microsoft Entra ID et PingFederate en tant que fournisseurs d'identité externes. |
Locataire | Concept VMware Identity Services. Un locataire fournit une séparation logique des données des autres locataires dans un même environnement virtuel. |
Jeton de Web JSON (JWT) | Format de jeton défini par la spécification OAuth 2.0. Un jeton JWT transporte des informations d'authentification et d'autorisation sur un principal. |
Partie de confiance | Une partie de confiance « s'appuie » sur le serveur d'autorisation, VMware Identity Services ou AD FS, pour la gestion des identités. Par exemple, via la fédération, vCenter Server établit une approbation de partie de confiance pour VMware Identity Services ou AD FS. |
Security Assertion Markup Language (SAML) | Norme ouverte basée sur XML pour l'échange de données d'authentification et d'autorisation entre les parties qui est utilisée par vCenter Server. Les principaux obtiennent un jeton SAML à partir de vCenter Single Sign-On, puis l'envoient au point de terminaison de l'API vSphere Automation pour un identifiant de session. |
Présentation des types d'authentification vCenter Single Sign-On
vCenter Single Sign-On utilise différents types d'authentification, selon que le fournisseur d'identité vCenter Server intégré ou un fournisseur d'identité externe est impliqué.
Type d'authentification | Quel est le fournisseur d'identité utilisé ? | Est-ce que vCenter Server peut gérer le mot de passe ? | Description |
---|---|---|---|
Authentification basée sur des jetons | Fournisseur d'identité externe. Par exemple, AD FS. | Non | vCenter Server contacte le fournisseur d'identité externe via un protocole particulier et obtient un jeton qui représente l'identité d'un utilisateur particulier. |
Authentification simple | vCenter Server | Oui | Le nom d'utilisateur et le mot de passe sont transmis directement à vCenter Server, ce qui valide les informations d'identification via ses sources d'identité. |