Cómo Configurar un Dominio de SSO de vSphere en vCenter

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

Echemos un vistazo a los puntos clave, incluida la asignación de roles o permisos basados en vCenter Single Sign-On y Active Directory para la configuración de vCenter SSO.

¿Qué es el dominio vCenter SSO?

VMware vCenter Single Sign-On (SSO) es un componente de autenticación de VMware vSphere para la gestión de identidades. SSO autentica a un usuario para acceder a diferentes componentes de vSphere utilizando las credenciales de una sola cuenta. SSO se basa en un mecanismo de token seguro para permitir que múltiples componentes de vSphere se comuniquen entre sí.

La suite de productos VMware vSphere se integra con vCenter a través del mecanismo de autenticación SSO. Esto le permite utilizar SSO para controlar o conceder permisos a recursos en toda la suite. Tenga en cuenta que SSO no reemplaza al Administrador de Identidad de VMware Horizon. Obtenga más información en nuestra publicación VMware Horizon y VDI.

A partir de vSphere 5.1, VMware introdujo SSO para simplificar la gestión de varios hosts ESXi y otros recursos de vSphere y mejorar la seguridad del mecanismo de autenticación de vSphere con las mismas credenciales de usuario. SSO permite no solo la autenticación de Active Directory, sino también cualquier otra fuente de autenticación basada en el Lenguaje de Marcado de Declaraciones de Seguridad (SAML) 2.0.

Tenga en cuenta que una fuente de identidad de vCenter SSO puede asociarse con un dominio, pero no es un reemplazo para Active Directory. SSO puede interactuar con Active Directory y federar la autenticación y consultas relacionadas a un controlador de dominio de Active Directory. No es necesario configurar un dominio de Active Directory para usar vCenter SSO si no tiene un controlador de dominio AD en su entorno; SSO tiene un almacén de usuarios internos para fines de autenticación.

Cómo funciona vCenter SSO

1. A user logs in to VMware vSphere Web Client.
2. El servidor SSO recibe el nombre de usuario y la contraseña ingresados por el usuario.
3. El servidor SSO envía la solicitud al mecanismo de autenticación correspondiente, como Active Directory o autenticación local.
4. Después de una autenticación exitosa, SSO pasa el token al Cliente VMware vSphere.
5. El token se puede usar para autenticación directa con vCenter Server y otros componentes de VMware vSphere.

Los servicios utilizados para vCenter Single Sign-On son:

• Autenticación de usuario
• Servicio de tokens de seguridad
• Autenticación a través de certificados
• SSL para tráfico seguro

La autenticación de usuario se realiza a través de un proveedor de identidad incorporado en vCenter o un proveedor de identidad externo (IdP). El proveedor incorporado admite Active Directory, OpenLDAP, cuentas locales, autenticación integrada de Windows, tarjeta inteligente, autenticación de sesión de Windows y RSA SecurID. Un servicio de tokens de seguridad emite tokens SAM que representan la identidad del usuario.

Configuración de vCenter SSO

La pieza SSO de la infraestructura de vCenter es manejada por el Controlador de Servicios de Plataforma cuando se instala vCenter. El Controlador de Servicios de Plataforma se configura durante la configuración del Appliance del Servidor vCenter (VCSA), que se proporciona como una plantilla de VM casi preconfigurada implementada en vSphere. El VCSA se ejecuta en el sistema operativo basado en Linux Photon OS. El Controlador de Servicios de Plataforma también ejecuta servicios de certificados, servicios de licencias, marco de autenticación y gestión de appliance.

En las versiones de vCenter v.6.7 y anteriores, el PSC se podía configurar como el Controlador de Servicios de Plataforma Incrustado o un Controlador de Servicios de Plataforma Externo. En vSphere v6.7, el Controlador de Servicios de Plataforma Externo fue desaprobado. En vSphere 7, puedes instalar vCenter utilizando solo el Controlador de Servicios de Plataforma Incrustado.

En la captura de pantalla a continuación, puedes ver el paso 1 (Introducción) de la Etapa 1 al instalar vCenter 7 y un mensaje de advertencia que ya no puedes usar el Controlador de Servicios de Plataforma Externo.

Se configura un dominio SSO para vSphere durante el despliegue del appliance del Servidor vCenter. Puedes ver más detalles para la configuración de SSO de vCenter en el paso 3 de la Etapa 2 al desplegar vCenter (ver la captura de pantalla a continuación). El administrador de SSO, la contraseña, el nombre de dominio SSO y el nombre del sitio SSO se configuran durante la instalación.

Puedes crear un nuevo dominio SSO o unirte a un dominio SSO existente. El dominio SSO de vCenter que creas durante la primera instalación de vCenter es la fuente de identidad predeterminada en tu entorno virtual de VMware vSphere.

El dominio SSO es la fuente de identidad predeterminada del entorno de vSphere cuando no se especifica ningún otro dominio de autenticación (como Active Directory). Como se mencionó anteriormente, SSO proporciona un mecanismo de intercambio de tokens (basado en SAML) para autenticar con fuentes de identidad como Active Directory, etc. También debes tener en cuenta que pueden surgir problemas si configuras el dominio SSO para que refleje el nombre del dominio AD. Muchos eligen un nombre de dominio SSO con “.local” como sufijo.

Nombre del dominio vCenter SSO: mejores prácticas

Las mejores prácticas para el nombre del dominio SSO de vCenter implican el uso del nombre de dominio vsphere.local en entornos pequeños, pero también se puede utilizar en entornos grandes. El nombre del dominio SSO vsphere.local se adapta bien para la interoperabilidad en VMware vSphere, incluidos los componentes como vRealize Automation. Si no estás seguro de qué nombre de dominio SSO de vCenter usar, usa vsphere.local.

El nombre de dominio SSO utilizado para la autenticación local en vCenter no debe ser el mismo que el nombre del dominio Active Directory existente. Utiliza la integración con Active Directory para usar el dominio AD y su nombre si es necesario después de instalar vCenter. Ingresa un nombre de dominio SSO de vCenter utilizando caracteres en minúsculas.

Configuración de vCenter SSO postinstalación

Puedes editar la configuración de vCenter SSO después de implementar VMware vCenter Server.

Inicie sesión en la interfaz web de VMware vSphere Client utilizando su cuenta de administrador existente para gestionar vCenter, por ejemplo, [email protected].

Nota: Si está utilizando un navegador para acceder a VMware vSphere Client desde una máquina Windows que es miembro de un dominio de Active Directory (después de iniciar sesión en Windows como usuario de dominio), y este dominio está configurado como un dominio de SSO de vCenter, puede seleccionar Usar autenticación de sesión de Windows para mayor comodidad. Si esta casilla está gris (inactiva), necesitará descargar el Plugin de Autenticación Mejorada. A continuación, explicamos la configuración de vCenter SSO utilizando un dominio de Active Directory existente.

Agregar un dominio de Active Directory

Podemos configurar la integración de la autenticación de vCenter con Active Directory y utilizar el dominio de Active Directory como un dominio de SSO de vCenter. Suponemos que ya tiene un controlador de dominio de Active Directory configurado y no entraremos en los detalles del proceso de configuración de AD en Windows Server. Recuerde que debería crear copias de seguridad regulares de Active Directory, especialmente si muchos servicios utilizan AD para autenticación.

Realice las siguientes acciones para editar la configuración de vCenter SSO e integrarse con Active Directory:Haga clic en el icono de menú en la esquina superior izquierda de la interfaz web. Desplácese a la sección Inicio de sesión único en el panel izquierdo y haga clic en Configuración.

1. Haz clic en el ícono del menú en la esquina superior izquierda de la interfaz web. Desplázate a la sección de Inicio de sesión único en el panel izquierdo y haz clic en Configuración.
2. Selecciona la pestaña de Proveedor de identidad y luego selecciona Domain de Active Directory.
3. Haz clic en Unirse a AD para unir el dominio de Active Directory que se utilizará para vCenter Inicio de Sesión Único (como un dominio de vCenter SSO).

4. Ingresa un nombre de dominio, selecciona una unidad organizativa (opcional) e ingresa las credenciales de administrador del dominio AD (nombre de usuario y contraseña).
5. Haz clic en Unirse y reinicia la instancia de vCenter (VCSA) para aplicar los cambios.

Proveedor de identidad

Puedes usar una fuente de identidad alternativa para tu dominio de vCenter Inicio de Sesión Único.

1. Ve a Administración > Inicio de Sesión Único > Configuración en el Cliente VMware vSphere y haz clic en Fuentes de Identidad en la pestaña Proveedor de Identidad.
2. Selecciona la fuente de identidad disponible o haz clic en Agregar para agregar una nueva.

Puedes seleccionar la pestaña de Cuentas locales y configurar el tiempo de expiración de la contraseña y otras políticas de contraseña.

Gestión de usuarios y grupos

Una vez que hayas configurado un dominio de vCenter SSO, puedes crear usuarios y agregarlos a grupos para proporcionar los permisos apropiados.

1. Haz clic en Usuarios y Grupos en la sección de Inicio de Sesión Único en el panel izquierdo de la página de administración de vCenter.
2. Seleccione la pestaña Usuarios.
3. Seleccione un dominio que pueda ser un dominio predeterminado (incorporado) vsphere.local o un dominio de Active Directory que haya agregado manualmente para ser utilizado como dominio de inicio de sesión único de vCenter.
4. Haga clic en Agregar para agregar un nuevo usuario para el dominio seleccionado.
5. Rellene los campos requeridos y guarde la configuración.

Las ventajas de la gestión de grupos son la capacidad de asignar los permisos necesarios a un grupo y agregar múltiples usuarios al grupo para otorgarles automáticamente los permisos.

1. Seleccione la pestaña Grupos en la página Usuarios y Grupos.
2. Haga clic en Agregar miembros.

3. Rellene los campos requeridos, como el nombre del grupo, y seleccione desde qué dominio agregar miembros. Puede ser un dominio SSO de vCenter incorporado como vsphere.local o un dominio de Active Directory.
4. Agregue los miembros (usuarios o grupos) de los dominios seleccionados y haga clic en Guardar.

No elimine los usuarios y grupos predefinidos (los que existen después de una instalación limpia de vCenter).

Conclusión

Se recomienda que haga una copia de seguridad de las máquinas virtuales del servidor vCenter y de las máquinas que ejecutan controladores de dominio de Active Directory. Estas máquinas se utilizan para la gestión y autenticación centralizadas, y cualquier falla puede tener repercusiones graves y tiempo de inactividad.