Como configurar um domínio vSphere SSO no vCenter

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

Vamos dar uma olhada nos pontos-chave, incluindo a atribuição de funções ou permissões com base no vCenter Single Sign-On e no Active Directory para a configuração do vCenter SSO.

O que é o Domínio vCenter SSO?

O VMware vCenter Single Sign-On (SSO) é um componente de autenticação do VMware vSphere para gerenciamento de identidade. O SSO autentica um usuário para acessar diferentes componentes do vSphere usando as credenciais de uma única conta. O SSO depende de um mecanismo de token seguro para permitir que múltiplos componentes do vSphere se comuniquem entre si.

A suíte de produtos VMware vSphere integra-se ao vCenter por meio do mecanismo de autenticação SSO. Isso permite que você use o SSO para controlar ou conceder permissões a recursos em toda a suíte. Note que o SSO não substitui o VMware Horizon Identity Manager. Saiba mais em nosso post sobre VMware Horizon e VDI.

Começando com o vSphere 5.1, a VMware introduziu o SSO para simplificar o gerenciamento de vários hosts ESXi e outros recursos do vSphere e melhorar a segurança do mecanismo de autenticação do vSphere com as mesmas credenciais de usuário. O SSO permite não apenas a autenticação do Active Directory, mas também qualquer outra fonte de autenticação com base na Linguagem de Marcação de Declaração de Segurança (SAML) 2.0.

Note que uma fonte de identidade do vCenter SSO pode ser associada a um domínio, mas não substitui o Active Directory. O SSO pode interagir com o Active Directory e federar autenticação e consultas relacionadas a um controlador de domínio do Active Directory. Você não precisa configurar um domínio do Active Directory para usar o vCenter SSO se não tiver um controlador de domínio AD em seu ambiente – o SSO possui um repositório de usuários interno para fins de autenticação.

Como o vCenter SSO funciona

1. A user logs in to VMware vSphere Web Client.
2. O servidor SSO recebe o nome de usuário e a senha inseridos pelo usuário.
3. O pedido é encaminhado pelo servidor SSO para o mecanismo de autenticação apropriado, como Active Directory ou autenticação local.
4. Após a autenticação bem-sucedida, o SSO passa o token para o Cliente VMware vSphere.
5. O token pode ser usado para autenticação diretamente com o vCenter Server e outros componentes do VMware vSphere.

Os serviços usados para o Logon Único do vCenter são:

• Autenticação do usuário
• Serviço de token de segurança
• Autenticação por meio de certificados
• SSL para tráfego seguro

A autenticação do usuário é realizada por meio de um provedor de identidade incorporado ao vCenter ou um provedor de identidade externo (IdP). O provedor integrado suporta Active Directory, OpenLDAP, contas locais, autenticação integrada do Windows, cartão inteligente, autenticação de sessão do Windows e RSA securID. Um serviço de token de segurança emite tokens SAM que representam a identidade do usuário.

Configuração do vCenter SSO

A parte de SSO da infraestrutura do vCenter é tratada pelo Controlador de Serviços de Plataforma quando o vCenter é instalado. O Controlador de Serviços de Plataforma é configurado durante a configuração do Appliance do Servidor vCenter (VCSA), que é fornecido como um modelo de VM quase pré-configurado implantado no vSphere. O VCSA é executado no Photon OS baseado em Linux. O Controlador de Serviços de Plataforma também executa serviços de certificado, serviços de licenciamento, estrutura de autenticação e gerenciamento do appliance.

Nas versões v.6.7 e anteriores do vCenter, o PSC poderia ser configurado como o Controlador de Serviços de Plataforma Incorporado ou um Controlador de Serviços de Plataforma Externo. No vSphere v6.7, o Controlador de Serviços de Plataforma Externo foi descontinuado. No vSphere 7, você pode instalar o vCenter usando apenas o Controlador de Serviços de Plataforma Incorporado.

Na captura de tela abaixo, você pode ver o passo 1 (Introdução) da Etapa 1 ao instalar o vCenter 7 e uma mensagem de aviso de que você não pode mais usar o Controlador de Serviços de Plataforma Externo.

Um domínio SSO para o vSphere é configurado durante a implantação do appliance do servidor vCenter. Você pode ver mais detalhes sobre a configuração do SSO do vCenter no passo 3 da Etapa 2 ao implantar o vCenter (veja a captura de tela abaixo). O administrador SSO, a senha, o nome do domínio SSO e o nome do site SSO são configurados durante a instalação.

Você pode criar um novo domínio SSO do vCenter ou aderir a um domínio SSO existente. O domínio SSO do vCenter que você cria durante a primeira instalação do vCenter é a fonte de identidade padrão em seu ambiente virtual VMware vSphere.

O domínio SSO é a fonte de identidade padrão do ambiente vSphere quando nenhum outro domínio de autenticação (como o Active Directory) é especificado. Como mencionado anteriormente, o SSO fornece um mecanismo de troca de tokens (baseado em SAML) para autenticação em fontes de identidade como o Active Directory, entre outros. Você também deve ter em mente que podem ocorrer problemas se você definir o domínio SSO como um espelho do nome de domínio do AD. Muitos escolhem um nome de domínio SSO com “.local” como sufixo.

Melhores práticas do nome de domínio SSO do vCenter

As melhores práticas do nome de domínio SSO do vCenter envolvem o uso do domínio “vsphere.local” em ambientes pequenos, mas ele também pode ser usado em ambientes grandes. O nome de domínio SSO “vsphere.local” se encaixa bem para a interoperabilidade no vSphere da VMware, incluindo componentes como a vRealize Automation. Se você não estiver certo do nome de domínio SSO do vCenter para usar, use “vsphere.local“.

O nome do domínio SSO usado para autenticação local no vCenter não deve ser o mesmo do nome do domínio do Active Directory existente. Use a integração do Active Directory para usar o domínio AD e seu nome, se necessário, após a instalação do vCenter. Insira um nome de domínio SSO do vCenter usando apenas caracteres minúsculos.

Configuração do SSO do vCenter pós-instalação

Você pode editar a configuração do SSO do vCenter após implantar o servidor vCenter da VMware.

Faça login na interface da web do VMware vSphere Client usando sua conta de administrador existente para gerenciar o vCenter, por exemplo, [email protected].

Nota: Se estiver utilizando um navegador para acessar o Cliente VMware vSphere de uma máquina Windows que é membro de um domínio do Active Directory (após fazer login no Windows como usuário do domínio) e este domínio estiver configurado como um domínio SSO do vCenter, você pode selecionar Usar autenticação de sessão do Windows para maior comodidade. Se esta caixa de seleção estiver cinza (inativa), você precisa baixar o Plugin de Autenticação Aprimorada. Abaixo explicamos a configuração do SSO do vCenter usando um domínio Active Directory existente.

Adicionando um domínio do Active Directory

Podemos configurar a integração da autenticação do vCenter com o Active Directory e usar o domínio do Active Directory como um domínio SSO do vCenter. Supomos que você já tenha um controlador de domínio do Active Directory configurado e não entraremos em detalhes sobre o processo de configuração do AD no Windows Server. Lembre-se de que você deve criar backups regulares do Active Directory, especialmente se muitos serviços usam o AD para autenticação.

Realize as seguintes ações para editar a configuração do SSO do vCenter e integrar com o Active Directory:Clique no ícone do menu no canto superior esquerdo da interface da web. Role até a seção Single Sign On no painel esquerdo e clique em Configuração.

1. Clique no ícone do menu no canto superior esquerdo da interface da web. Role até a seção Single Sign On no painel esquerdo e clique em Configuração.
2. Selecione a aba Provedor de Identidade e em seguida selecione Domínio do Active Directory.
3. Clique em Participar do AD para associar o domínio do Active Directory a ser usado para o vCenter Single Sign-On (como um domínio vCenter SSO).

4. Insira um nome de domínio, selecione uma unidade organizacional (opcional) e insira as credenciais do administrador do domínio AD (nome de usuário e senha).
5. Clique em Participar e reinicie a instância do vCenter (VCSA) para aplicar as alterações.

Provedor de identidade

Você pode usar uma fonte de identidade alternativa para o seu domínio vCenter Single Sign On.

1. Vá para Administração > Single Sign On > Configuração no Cliente VMware vSphere e clique em Fontes de Identidade na aba Provedor de Identidade.
2. Selecione a fonte de identidade disponível ou clique em Adicionar para adicionar uma nova.

Você pode selecionar a aba Contas Locais e configurar o tempo de expiração da senha e outras políticas de senha.

Gerenciando usuários e grupos

Depois de configurar um domínio vCenter SSO, você pode criar usuários e adicioná-los a grupos para fornecer as permissões apropriadas.

1. Clique em Usuários e Grupos na seção Single Sign On no painel esquerdo da página de administração do vCenter.
2. Selecione a aba Usuários.
3. Selecione um domínio que pode ser um domínio padrão (integrado) vsphere.local ou um domínio do Active Directory que você adicionou manualmente para ser usado como um domínio de Logon Único do vCenter.
4. Clique em Adicionar para adicionar um novo usuário para o domínio selecionado.
5. Preencha os campos obrigatórios e salve as configurações.

As vantagens da gestão de grupos são a capacidade de atribuir as permissões necessárias a um grupo e adicionar vários usuários ao grupo para conceder-lhes automaticamente as permissões.

1. Selecione a aba Grupos na página Usuários e Grupos.
2. Clique em Adicionar membros.

3. Preencha os campos obrigatórios, como nome do grupo, e selecione de qual domínio adicionar membros. Pode ser um domínio SSO do vCenter integrado, como vsphere.local ou um domínio do Active Directory.
4. Adicione os membros (usuários ou grupos) dos domínios selecionados e clique em Salvar.

Não exclua usuários e grupos predefinidos (aqueles que existem após a instalação limpa do vCenter).

Conclusão

É recomendável que você faça backup de suas VMs do Appliance do Servidor vCenter e das máquinas que executam controladores de domínio do Active Directory. Essas máquinas são usadas para gerenciamento e autenticação centralizados, e qualquer falha pode levar a repercussões graves e tempo de inatividade.