Как настроить домен vSphere SSO в vCenter

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

Давайте рассмотрим ключевые моменты, включая назначение ролей или разрешений на основе vCenter Single Sign-On и Active Directory для конфигурации vCenter SSO.

Что такое домен vCenter SSO?

VMware vCenter Single Sign-On (SSO) является компонентом аутентификации VMware vSphere для управления идентичностью. SSO аутентифицирует пользователя для доступа к различным компонентам vSphere с использованием учетных данных одной учетной записи. SSO полагается на механизм безопасного токена для обеспечения возможности множественного общения между компонентами vSphere.

Набор продуктов VMware vSphere интегрируется с vCenter через механизм аутентификации SSO. Это позволяет использовать SSO для управления или предоставления разрешений на ресурсы в рамках набора продуктов. Обратите внимание, что SSO не заменяет VMware Horizon Identity Manager. Узнайте больше в нашей записи о VMware Horizon и VDI.

Начиная с vSphere 5.1, VMware ввел SSO для оптимизации управления несколькими хостами ESXi и другими ресурсами vSphere, а также для улучшения безопасности механизма аутентификации vSphere с использованием тех же учетных данных пользователя. SSO позволяет использовать не только аутентификацию в Active Directory, но и любой другой источник аутентификации на основе языка разметки утверждений безопасности (SAML) 2.0.

Примечание: источник идентификации vCenter SSO может быть связан с доменом, но это не замена Active Directory. SSO может взаимодействовать с Active Directory и федерировать аутентификацию и связанные запросы к контроллеру домена Active Directory. Вам не нужно настраивать домен Active Directory для использования vCenter SSO, если у вас нет контроллера домена AD в вашей среде – у SSO есть внутреннее хранилище пользователей для целей аутентификации.

Как работает vCenter SSO

1. A user logs in to VMware vSphere Web Client.
2. Сервер SSO получает имя пользователя и пароль, введенные пользователем.
3. Запрос пересылается сервером SSO соответствующему механизму аутентификации, такому как Active Directory или локальная аутентификация.
4. После успешной аутентификации SSO передает токен клиенту VMware vSphere.
5. Токен может быть использован для аутентификации напрямую с сервером vCenter и другими компонентами VMware vSphere.

Службы, используемые для единого входа в vCenter:

• Аутентификация пользователя
• Служба безопасности токенов
• Аутентификация через сертификаты
• SSL для защищенного трафика

Аутентификация пользователя выполняется через встроенный поставщик идентичности vCenter или внешний поставщик идентичности (IdP). Встроенный поставщик поддерживает Active Directory, OpenLDAP, локальные учетные записи, интегрированную аутентификацию Windows, смарт-карты, аутентификацию сеанса Windows и RSA securID. Служба безопасности токенов выдает токены SAM, которые представляют идентичность пользователя.

Конфигурация vCenter SSO

Компонент SSO инфраструктуры vCenter обрабатывается Контроллером служб платформы при установке vCenter. Контроллер служб платформы настраивается во время конфигурации виртуального аппарата сервера vCenter (VCSA), который предоставляется в виде почти предварительно настроенного шаблона виртуальной машины, развернутой в vSphere. VCSA работает на основе операционной системы Photon OS на базе Linux. Контроллер служб платформы также обеспечивает службы сертификации, лицензирования, аутентификации и управления устройствами.

В версиях vCenter v.6.7 и старше КСП можно было настроить как Встроенный контроллер служб платформыили Внешний контроллер служб платформы. В vSphere v6.7 внешний контроллер служб платформы был снят с поддержки. В vSphere 7можно установить vCenter, используя только встроенный контроллер служб платформы.

На скриншоте ниже вы можете увидеть шаг 1 (Введение) Этапа 1 при установке vCenter 7и предупреждающее сообщение о невозможности использования внешнего контроллера служб платформы.

Домен SSO для vSphere настраивается во время развертывания виртуального аппарата сервера vCenter. Более подробную информацию о конфигурации SSO vCenter можно увидеть на шаге 3 Этапа 2 при развертывании vCenter (см. скриншот ниже). Администратор SSO, пароль, имя домена SSO и имя сайта SSO настраиваются во время установки.

Вы можете создать новый домен SSO или присоединиться к существующему домену SSO. Домен SSO vCenter, который вы создаете во время первой установки vCenter, является источником идентификации по умолчанию в вашей виртуальной среде VMware vSphere.

Домен SSO является источником идентификации по умолчанию для среды vSphere, когда не указан другой домен аутентификации (например, Active Directory). Как уже упоминалось, SSO предоставляет механизм обмена токенами (на основе SAML) для аутентификации с источниками идентификации, такими как Active Directory и т. д. Также следует помнить, что могут возникнуть проблемы, если установить домен SSO для отображения имени домена AD. Многие выбирают имя домена SSO с суффиксом “.local“.

Имя домена SSO vCenter: bewsычныepakтивы

Лучшие практики по использованию имени домена SSO vCenter включают использование имени домена vsphere.local в небольших средах, но его также можно использовать в крупных средах. Имя домена vsphere.local SSO хорошо подходит для совместимости в VMware vSphere, включая компоненты, такие как vRealize Automation. Если вы не уверены, какое имя домена SSO vCenter использовать, используйте vsphere.local.

Имя домена SSO, используемое для локальной аутентификации в vCenter, не должно совпадать с именем существующего домена Active Directory. Используйте интеграцию с Active Directory, чтобы использовать домен AD и его имя при необходимости после установки vCenter. Введите имя домена SSO vCenter с использованием строчных символов.

Послеустановочная конфигурация SSO vCenter

Вы можете редактировать конфигурацию SSO vCenter после развертывания сервера VMware vCenter.

Войдите в веб-интерфейс клиента VMware vSphere, используя вашу существующую учетную запись администратора для управления vCenter, например, [email protected].

Примечание: Если для управления vCenter вы используете браузер для доступа к клиенту VMware vSphere с Windows-машин, которая является членом домена Active Directory (после входа в систему Windows как пользователь домена), и этот домен настроен как домен SSO vCenter, вы можете выбрать Использовать аутентификацию сеанса Windows для большего удобства. Если этот флажок неактивен (серый), вам необходимо загрузить плагин расширенной аутентификации. Ниже мы объясним конфигурацию SSO vCenter с использованием существующего домена Active Directory.

Добавление домена Active Directory

Мы можем настроить интеграцию аутентификации vCenter с Active Directory и использовать домен Active Directory как домен SSO vCenter. Предполагается, что у вас уже настроен контроллер домена Active Directory, и мы не будем вдаваться в детали процесса настройки AD в Windows Server. Помните, что вы должны регулярно создавать резервные копии Active Directory, особенно если многие службы используют AD для аутентификации.

Выполните следующие действия для изменения конфигурации SSO vCenter и интеграции с Active Directory:Нажмите значок меню в верхнем левом углу веб-интерфейса. Прокрутите до раздела Единый вход в левой панели и щелкните Конфигурация.

1. Щелкните по значку меню в верхнем левом углу веб-интерфейса. Прокрутите до раздела Единый вход в левой панели и щелкните Конфигурация.
2. Выберите вкладку Поставщик идентичности, а затем выберите Домен Active Directory.
3. Щелкните Присоединиться к AD, чтобы присоединить домен Active Directory для использования в центре управления единичным входом (в качестве домена vCenter SSO).

4. Введите имя домена, выберите организационную единицу (по желанию) и введите учетные данные администратора домена AD (имя пользователя и пароль).
5. Щелкните Присоединить и перезагрузите экземпляр vCenter (VCSA), чтобы применить изменения.

Поставщик идентичности

Вы можете использовать альтернативный источник идентичности для вашего домена единичного входа в центр управления.

1. Перейдите в Администрирование > Единый вход > Конфигурация в клиенте VMware vSphere и щелкните Источники идентичности на вкладке Поставщик идентичности.
2. Выберите доступный источник идентичности или щелкните Добавить, чтобы добавить новый.

Вы можете выбрать вкладку Локальные учетные записи и настроить время истечения срока действия пароля и другие политики паролей.

Управление пользователями и группами

После того как вы настроили домен vCenter SSO, вы можете создавать пользователей и добавлять их в группы, чтобы предоставить соответствующие разрешения.

1. Щелкните Пользователи и группы в разделе Единый вход в левой панели страницы администрирования центра управления.
2. Выберите вкладку Пользователи.
3. Выберите домен, который может быть по умолчанию (встроенный) домен vsphere.local или домен Active Directory, который вы добавили вручную для использования в качестве домена единого входа в vCenter.
4. Нажмите Добавить, чтобы добавить нового пользователя для выбранного домена.
5. Заполните обязательные поля и сохраните настройки.

Преимущества управления группами включают возможность назначить необходимые разрешения группе и добавить несколько пользователей в группу, чтобы автоматически предоставить им разрешения.

1. Выберите вкладку Группы на странице Пользователи и Группы.
2. Нажмите Добавить участников.

3. Заполните обязательные поля, такие как название группы, и выберите из какого домена добавлять участников. Это может быть встроенный домен vCenter SSO, например, vsphere.local, или домен Active Directory.
4. Добавьте участников (пользователей или группы) из выбранных доменов и нажмите Сохранить.

Не удаляйте предопределенных пользователей и группы (те, которые существуют после чистой установки vCenter).

Заключение

Рекомендуется создать резервную копию виртуальных машин сервера vCenter Appliance и машин, на которых работают контроллеры домена Active Directory. Эти машины используются для централизованного управления и аутентификации, и любой сбой может привести к серьезным последствиям и простою.