Comment configurer un domaine SSO vSphere dans vCenter

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

Jetons un coup d’œil aux points clés, notamment l’attribution des rôles ou des permissions en fonction de vCenter Single Sign-On et d’Active Directory pour la configuration de vCenter SSO.

Qu’est-ce que le domaine vCenter SSO?

VMware vCenter Single Sign-On (SSO) est un composant d’authentification de VMware vSphere pour la gestion des identités. SSO authentifie un utilisateur pour accéder à différents composants vSphere en utilisant les identifiants d’un seul compte. SSO s’appuie sur un mécanisme de jeton sécurisé pour permettre à plusieurs composants vSphere de communiquer entre eux.

La suite des produits VMware vSphere s’intègre à vCenter via le mécanisme d’authentification SSO. Cela vous permet d’utiliser SSO pour contrôler ou accorder des permissions aux ressources de la suite. Notez que SSO ne remplace pas VMware Horizon Identity Manager. Découvrez-en plus dans notre billet VMware Horizon et VDI.

À partir de vSphere 5.1, VMware a introduit SSO pour rationaliser la gestion de plusieurs hôtes ESXi et autres ressources vSphere et améliorer la sécurité du mécanisme d’authentification vSphere avec les mêmes identifiants utilisateur. SSO permet non seulement l’authentification Active Directory, mais aussi toute autre source d’authentification basée sur le Security Assertion Markup Language (SAML) 2.0.

Notez qu’une source d’identité vCenter SSO peut être associée à un domaine mais ce n’est pas un remplacement pour Active Directory. SSO peut interagir avec Active Directory et fédérer l’authentification et les requêtes associées à un contrôleur de domaine Active Directory. Vous n’avez pas besoin de configurer un domaine Active Directory pour utiliser vCenter SSO si vous n’avez pas de contrôleur de domaine AD dans votre environnement – SSO dispose d’un magasin d’utilisateurs interne à des fins d’authentification.

Comment fonctionne vCenter SSO

1. A user logs in to VMware vSphere Web Client.
2. Le serveur SSO reçoit le nom d’utilisateur et le mot de passe saisis par l’utilisateur.
3. La demande est transmise par le serveur SSO au mécanisme d’authentification approprié, tel qu’Active Directory ou l’authentification locale.
4. Après une authentification réussie, SSO transmet le jeton au client VMware vSphere.
5. Le jeton peut être utilisé pour l’authentification directement avec vCenter Server et d’autres composants VMware vSphere.

Les services utilisés pour vCenter Single Sign-On sont:

• Authentification utilisateur
• Service de jeton de sécurité
• Authentification par certificats
• SSL pour le trafic sécurisé

L’authentification utilisateur est effectuée via un fournisseur d’identité intégré à vCenter ou un fournisseur d’identité externe (IdP). Le fournisseur intégré prend en charge Active Directory, OpenLDAP, les comptes locaux, l’authentification Windows intégrée, la carte à puce, l’authentification de session Windows et RSA securID. Un service de jeton de sécurité émet des jetons SAM qui représentent l’identité de l’utilisateur.

Configuration de vCenter SSO

Le contrôleur de services de plateforme (PSC) de l’infrastructure vCenter gère la partie SSO lors de l’installation de vCenter. Le PSC est configuré lors de la configuration de la appliance virtuelle du serveur vCenter (VCSA), qui est fournie sous forme de modèle VM préconfiguré déployé dans vSphere. La VCSA fonctionne sur Photon OS, un système d’exploitation Linux. Le PSC exécute également des services de certificats, des services de licences, un cadre d’authentification et une gestion d’appliance.

Dans les versions vCenter v.6.7 et antérieures, le PSC pouvait être configuré en tant que Contrôleur de services de plateforme intégré ou en tant que Contrôleur de services de plateforme externe. Dans vSphere v6.7, le Contrôleur de services de plateforme externe a été déprécié. Dans vSphere 7, vous pouvez installer vCenter en utilisant uniquement le Contrôleur de services de plateforme intégré.

Dans la capture d’écran ci-dessous, vous pouvez voir l’étape 1 (Introduction) du stage 1 lors de l’installation de vCenter 7 et un message d’avertissement indiquant que vous ne pouvez plus utiliser le Contrôleur de services de plateforme externe.

Un domaine SSO pour vSphere est configuré lors du déploiement de la appliance du serveur vCenter. Vous pouvez trouver plus de détails sur la configuration SSO vCenter à l’étape 3 du stage 2 lors du déploiement de vCenter (voir la capture d’écran ci-dessous). L’administrateur SSO, le mot de passe, le nom de domaine SSO et le nom du site SSO sont configurés lors de l’installation.

Vous pouvez créer un nouveau domaine SSO ou rejoindre un domaine SSO existant. Le domaine SSO vCenter que vous créez lors de la première installation de vCenter est la source d’identité par défaut dans votre environnement virtuel VMware vSphere.

Le domaine SSO est la source d’identité par défaut de l’environnement vSphere lorsqu’aucun autre domaine d’authentification (tel qu’Active Directory) n’est spécifié. Comme déjà mentionné, SSO fournit un mécanisme d’échange de jetons (basé sur SAML) pour l’authentification avec des sources d’identité telles qu’Active Directory, etc. Vous devez également garder à l’esprit que des problèmes peuvent survenir si vous configurez le domaine SSO pour qu’il reflète le nom de domaine AD. Beaucoup choisissent un nom de domaine SSO avec le suffixe « .local ».

Nom du domaine vCenter SSO : bonnes pratiques

Les bonnes pratiques pour le nom de domaine du domaine vCenter SSO impliquent l’utilisation du nom de domaine « vsphere.local » dans de petits environnements, mais il peut également être utilisé dans de grands environnements. Le nom de domaine « vsphere.local » convient bien à l’interopérabilité dans VMware vSphere, y compris les composants tels que vRealize Automation. Si vous n’êtes pas sûr du nom de domaine du domaine vCenter SSO à utiliser, utilisez « vsphere.local ».

Le nom de domaine SSO utilisé pour l’authentification locale dans vCenter ne doit pas être le même que le nom du domaine Active Directory existant. Utilisez l’intégration avec Active Directory pour utiliser le domaine AD et son nom si nécessaire après l’installation de vCenter. Entrez un nom de domaine vCenter SSO en utilisant des caractères minuscules.

Configuration SSO de vCenter après l’installation

Vous pouvez modifier la configuration SSO de vCenter après avoir déployé VMware vCenter Server.

Connectez-vous à l’interface web de VMware vSphere Client en utilisant votre compte administrateur existant pour gérer vCenter, par exemple, [email protected].

Note : Si pour gérer vCenter vous utilisez un navigateur pour accéder à VMware vSphere Client depuis une machine Windows qui est membre d’un domaine Active Directory (après vous être connecté à Windows en tant qu’utilisateur de domaine), et que ce domaine est configuré en tant que domaine SSO vCenter, vous pouvez sélectionner Utiliser l’authentification de session Windows pour plus de commodité. Si cette case à cocher est grisée (inactive), vous devez télécharger le plug-in d’authentification améliorée. Ci-dessous, nous expliquons la configuration SSO vCenter en utilisant un domaine Active Directory existant.

Ajout d’un domaine Active Directory

Nous pouvons configurer l’intégration de l’authentification vCenter avec Active Directory et utiliser le domaine Active Directory comme domaine SSO vCenter. Nous supposons que vous avez déjà un contrôleur de domaine Active Directory configuré et nous n’entrerons pas dans les détails du processus de configuration AD dans Windows Server. N’oubliez pas que vous devriez créer des sauvegardes régulières d’Active Directory, surtout si de nombreux services utilisent AD pour l’authentification.

Effectuez les actions suivantes pour modifier la configuration SSO vCenter et l’intégrer à Active Directory :Cliquez sur l’icône de menu dans le coin supérieur gauche de l’interface web. Faites défiler jusqu’à la section Single Sign On dans le volet de gauche et cliquez sur Configuration.

1. Cliquez sur l’icône du menu dans le coin supérieur gauche de l’interface web. Faites défiler jusqu’à la section Authentification unique dans le volet de gauche et cliquez sur Configuration.
2. Sélectionnez l’onglet Fournisseur d’identité puis sélectionnez Domaine Active Directory.
3. Cliquez sur Joindre AD pour joindre le domaine Active Directory à utiliser pour l’authentification unique de vCenter (en tant que domaine vCenter SSO).

4. Entrez un nom de domaine, sélectionnez une unité d’organisation (facultatif) et saisissez les identifiants administrateur du domaine AD (nom d’utilisateur et mot de passe).
5. Cliquez sur Joindre et redémarrez l’instance vCenter (VCSA) pour appliquer les modifications.

Fournisseur d’identité

Vous pouvez utiliser une source d’identité alternative pour votre domaine d’authentification unique de vCenter.

1. Accédez à Administration > Authentification unique > Configuration dans le client VMware vSphere et cliquez sur Sources d’identité dans l’onglet Fournisseur d’identité.
2. Sélectionnez la source d’identité disponible ou cliquez sur Ajouter pour en ajouter une nouvelle.

Vous pouvez sélectionner l’onglet Comptes locaux et configurer la durée d’expiration du mot de passe et d’autres politiques de mot de passe.

Gestion des utilisateurs et des groupes

Une fois que vous avez configuré un domaine vCenter SSO, vous pouvez créer des utilisateurs et ajouter les utilisateurs à des groupes afin de leur fournir les autorisations appropriées.

1. Cliquez sur Utilisateurs et Groupes sous la section Authentification unique dans le volet de gauche de la page d’administration de vCenter.
2. Sélectionnez l’onglet Utilisateurs.
3. Sélectionnez un domaine qui peut être un domaine par défaut (intégré) vsphere.local ou un domaine Active Directory que vous avez ajouté manuellement pour être utilisé en tant que domaine d’authentification unique vCenter.
4. Cliquez sur Ajouter pour ajouter un nouvel utilisateur pour le domaine sélectionné.
5. Remplissez les champs requis et enregistrez les paramètres.

Les avantages de la gestion des groupes sont la capacité d’attribuer les autorisations nécessaires à un groupe et d’ajouter plusieurs utilisateurs au groupe afin de leur accorder automatiquement les autorisations.

1. Sélectionnez l’onglet Groupes sur la page Utilisateurs et Groupes.
2. Cliquez sur Ajouter des membres.

3. Remplissez les champs requis, tels que le nom du groupe, et sélectionnez à partir de quel domaine ajouter des membres. Il peut s’agir d’un domaine SSO vCenter intégré tel que vsphere.local ou d’un domaine Active Directory.
4. Ajoutez les membres (utilisateurs ou groupes) des domaines sélectionnés et cliquez sur Enregistrer.

Ne supprimez pas les utilisateurs et groupes prédéfinis (ceux qui existent après une installation propre de vCenter).

Conclusion

Il est recommandé de sauvegarder vos machines virtuelles vCenter Server Appliance et les machines exécutant les contrôleurs de domaine Active Directory. Ces machines sont utilisées pour la gestion et l’authentification centralisées, et toute défaillance peut entraîner des conséquences graves et une période d’indisponibilité.