vSphere fornisce servizi dell'infrastruttura comuni per gestire i certificati dei componenti di vCenter Server e ESXi, nonché per gestire l'autenticazione con vCenter Single Sign-On.

Come gestire i certificati di vSphere

Per impostazione predefinita, vSphere consente di eseguire il provisioning di certificati VMCA (VMware Certificate Authority) nei componenti di vCenter Server e negli host ESXi. È inoltre possibile utilizzare certificati personalizzati, che vengono salvati nell'archivio VECS (VMware Endpoint Certificate Store). Per ulteriori informazioni, vedere Opzioni disponibili per gestire i certificati di vSphere.

Che cos'è vCenter Single Sign-On

vCenter Single Sign-On consente ai componenti di vSphere di comunicare tra loro tramite un meccanismo di token sicuro. È importante comprendere il significato dei termini e delle definizioni utilizzate da vCenter Single Sign-On.

Tabella 1. Glossario di vCenter Single Sign-On
Termine Definizione
Entità Un'entità che può essere autenticata, ad esempio un utente.
Provider di identità Un servizio che gestisce le origini identità e autentica le entità. Esempi: Active Directory Federation Services (AD FS) di Microsoft e vCenter Single Sign-On.
Origine identità (Servizi directory) Consente di archiviare e gestire le entità. Le entità sono costituite da una raccolta di attributi relativi a un account utente o di servizio, come nome, indirizzo, e-mail e appartenenza al gruppo. Esempi: Microsoft Active Directory e VMware Directory Service (vmdir).
Autenticazione Il mezzo per determinare se qualcuno o qualcosa è effettivamente chi o cosa dichiara di essere. Ad esempio, gli utenti vengono autenticati quando forniscono le proprie credenziali, quali smart card, nome utente e password corretta e così via.
Autorizzazione Processo di verifica degli oggetti a cui hanno accesso le entità.
Token Raccolta firmata di dati che comprendono le informazioni di identità relativi a una determinata entità. Oltre alle informazioni di base sull'entità, quali ad esempio l'indirizzo e-mail e il nome completo, un token può includere anche informazioni sui gruppi e sui ruoli dell'entità, a seconda del tipo di token.
vmdir VMware Directory Service. Repository LDAP interno (locale) a vCenter Server contenente dati di configurazione, gruppi e identità degli utenti.
OAuth 2.0 Standard di Autorizzazione aperto che consente lo scambio di informazioni tra entità e servizi Web senza esporre le credenziali delle entità.
OpenID Connect (OIDC) Protocollo di autenticazione basato su OAuth 2.0 che aumenta OAuth con informazioni di identificazione dell'utente. È rappresentato dal token ID che il server di autorizzazione restituisce insieme al token di accesso durante l'autenticazione OAuth. vCenter Server utilizza le funzioni OIDC quando interagisce con Active Directory Federation Services (AD FS), Okta, Microsoft Entra ID e PingFederate.
Sistema per la gestione delle identità tra domini (SCIM) Standard per automatizzare lo scambio di informazioni sull'identità dell'utente tra domini di identità o sistemi IT.
VMware Identity Services A partire dalla versione 8.0 Update 1, VMware Identity Services è un container integrato in vCenter Server che è possibile utilizzare per la federazione delle identità con provider di identità esterni. Funge da broker di identità indipendente in vCenter Server e include il proprio set di API. Attualmente, VMware Identity Services supporta Okta, Microsoft Entra ID e PingFederate come provider di identità esterni.
Tenant Concetto di VMware Identity Services. Un tenant fornisce una separazione logica dei dati dai dati di altri tenant in uno stesso ambiente virtuale.
Token Web JSON (JWT) Formato di token definito dalla specifica OAuth 2.0. Un token JWT include informazioni di autenticazione e autorizzazione relative a un'entità.
Relying party Una relying party si affida al server di autorizzazione, a VMware Identity Services oppure ad AD FS per la gestione delle identità. Ad esempio, tramite la federazione, vCenter Server stabilisce l'attendibilità della relying party per VMware Identity Services o AD FS.
Security Assertion Markup Language (SAML) Standard aperto basato su XML per lo scambio di dati di autenticazione e autorizzazione tra le parti utilizzato da vCenter Server. Le entità ottengono un token SAML da vCenter Single Sign-On e quindi lo inviano all'endpoint dell'API di vSphere Automation per un identificatore di sessione.

Quali sono i tipi di autenticazione di vCenter Single Sign-On

vCenter Single Sign-On utilizza diversi tipi di autenticazione, a seconda che sia coinvolto il provider di identità integrato in vCenter Server o un provider di identità esterno.

Tabella 2. Tipi di autenticazione vCenter Single Sign-On
Tipo di autenticazione Cosa agisce da provider di identità? vCenter Server gestisce la password? Descrizione
Autenticazione basata su token Provider di identità esterno. Ad esempio, AD FS. No vCenter Server contatta il provider di identità esterno tramite un protocollo specifico e ottiene un token, che rappresenta una particolare identità utente.
Autenticazione semplice vCenter Server Il nome utente e la password vengono passati direttamente a vCenter Server, che convalida le credenziali tramite le relative origini identità.