VMware vSphere utilise l'authentification unique (SSO) afin de permettre à différents composants d'infrastructure (tels que vCenter et le client Web) d'être installés sur des machines virtuelles distinctes. SSO est un canal de communication qui permet aux administrateurs d'éviter d'installer toute l'infrastructure sur le serveur vCenter. Aujourd'hui, nous allons plus précisément partager certaines informations liées à vCenter SSO.
Qu'est-ce que vCenter SSO ?
Les domaines vCenter SSO (authentification unique) sont une composante importante de l'environnement VMware vCenter Server et sont utilisés pour l'authentification et l'autorisation. Un domaine vCenter SSO est un ensemble d'utilisateurs, de groupes et d'utilisateurs solutions (tels que le client web vSphere et vSphere Update Manager) disposant des autorisations nécessaires pour effectuer des opérations spécifiques dans l'environnement vCenter Server.
Un domaine SSO vCenter est créé en configurant et en gérant des utilisateurs et des groupes dans le service VMware Identity Management (IDM). Il permet également de partager des informations d'authentification entre plusieurs instances vCenter Server et d'autres solutions VMware, permettant aux utilisateurs de s'authentifier une seule fois et d'accéder à plusieurs produits et services VMware.
Les composants de vCenter SSO
Les composants de vCenter SSO incluent spécifiquement le service de jeton de sécurité (STS), le serveur d'administration, le service de gestion des identités et le service de répertoire VMware (vmdir).
Service de jetons de sécurité (STS) : Le service STS distribue des jetons basés sur le langage Security Assertion Markup Language (SAML). Ces jetons de sécurité représentent les identités utilisateur provenant des types de sources d'identité pris en charge par vCenter SSO. Les jetons SAML permettent aux utilisateurs humains et aux utilisateurs de solutions qui se sont connectés avec succès à vCenter SSO d'accéder à n'importe quel service vCenter pris en charge sans avoir à se connecter individuellement à chaque service.
Serveur d'administration : Les utilisateurs disposant de privilèges d'administrateur vCenter SSO peuvent gérer les utilisateurs et les groupes via le client Web vSphere et configurer le serveur vCenter SSO à l'aide du serveur d'administration.
VMware Directory Service (vmdir) : VMware Directory Service est un composant de chaque déploiement intégré et du contrôleur de services de plateforme. Il est lié au domaine sélectionné pendant l'installation. Ce service est un service d'annuaire multi-tenants et multi-masters. Dans vSphere 6.0, VMware Directory Service stocke non seulement les informations SSO de vCenter, mais également les informations relatives aux certificats.
Service de gestion des identités : Il gère les sources d'identité et les demandes d'authentification STS.
Comment vCenter SSO protège-t-il votre environnement ?
Nous savons que vCenter SSO permet aux composants vSphere de communiquer entre eux grâce à un mécanisme de jeton sécurisé, ce qui améliore considérablement la sécurité de l'environnement cible. En outre, la suite VMware vSphere s'intègre à vCenter via le mécanisme d'authentification SSO. Cela vous permet d'utiliser SSO pour contrôler ou accorder des autorisations aux ressources de la suite et offre les services suivants :
① Authentification unifiée : Grâce à vCenter SSO, les utilisateurs n'ont besoin de se connecter qu'une seule fois pour accéder à plusieurs instances de vCenter Server et aux services associés, sans avoir à saisir leurs nom d'utilisateur et mot de passe à chaque fois.
② Sécurité : Il fournit un mécanisme d'authentification et d'autorisation sécurisé afin de garantir que seuls les utilisateurs authentifiés peuvent accéder aux ressources protégées.
③ Prise en charge multi-domaine : Il prend également en charge l'accès inter-domaines pour les utilisateurs et groupes de plusieurs domaines, ce qui facilite la gestion de vCenter Server à travers plusieurs domaines de sécurité.
④ Gestion centralisée : Il fournit une interface de gestion centralisée qui facilite la gestion des utilisateurs, des groupes, des certificats et d'autres configurations liées à la sécurité.
Comment configurer les domaines SSO de vCenter ?
Avant de commencer, veillez à déployer vCenter Server, car le déploiement de vSphere SSO est géré par le contrôleur de services de la plateforme lors de l'installation de vCenter Server.
Étape 1. Lors du déploiement de vCenter Server, suivez les étapes pour terminer la configuration de vCenter Server. À l'étape « SSO Configuration », cliquez sur « Create a new SSO domain », où vous pouvez définir le nom du domaine SSO et le mot de passe SSO.
Étape 2. Dans le menu des paramètres système vSphere, accédez à l'onglet Single Sign-On. Ensuite, dans l'onglet Identity Provider sous Active Directory Domain Identity Source, cliquez sur « Join AD » pour ajouter le domaine Active Directory en tant que domaine vCenter SSO.
Étape 3. Saisissez le nom de domaine, puis sélectionnez l'unité organisationnelle (facultatif). Saisissez ensuite votre nom d'utilisateur et votre mot de passe, puis cliquez sur « Join » pour redémarrer le VCSA.
Étape 4. Retournez dans l'onglet Single Sign-On, cliquez sur « Configuration > Identity Providers », puis dans la liste des sources d'identité, sélectionnez une source d'identité disponible selon les besoins et cliquez sur « Add ».
Étape 5. Dans l'onglet Single Sign-On, cliquez sur « Users and Groups > Users », sélectionnez un domaine, qui peut être le domaine local vSphere par défaut ou un domaine Active Directory utilisé comme domaine SSO vCenter. Cliquez ensuite sur « Add User » pour ajouter un nouvel utilisateur au domaine sélectionné et enregistrer vos paramètres.
Étape 6. Poursuivez dans l'onglet Single Sign-On, cliquez sur « Users and Groups » > « Groups», puis cliquez sur « Add Group » pour attribuer des autorisations au groupe et ajouter plusieurs utilisateurs au groupe.
Étape 7. Saisissez le nom du groupe et la description, puis sélectionnez un domaine dans «Add Members». Il peut s'agir du domaine local vSphere ou d'un domaine Active Directory. Cliquez ensuite sur «Save» pour configurer correctement le domaine SSO.
Solution de sauvegarde fiable pour votre environnement VMware
Comme mentionné précédemment, le déploiement et la configuration de vCenter SSO posent les bases solides de la sécurité et de la gestion de l'ensemble de l'environnement vSphere. Toutefois, dans une infrastructure virtualisée, la protection des données est tout aussi critique que la gestion des identités et des accès. En cas de défaillance système, d'erreur humaine ou d'attaques cybernétiques, disposer d'une solution de sauvegarde fiable est essentiel pour assurer la continuité des activités.
Ici entre en jeu Vinchin Backup & Recovery, une solution professionnelle de protection des données offrant des fonctionnalités de sauvegarde et de restauration efficaces, fiables et faciles à gérer pour les environnements virtualisés. Elle prend en charge la sauvegarde sans agent des machines virtuelles VMware, permettant des sauvegardes complètes, incrémentielles et incrémentielles permanentes rapides. Grâce aux technologies intégrées de déduplication et de compression des données, elle contribue significativement à réduire l'utilisation du stockage. Vinchin propose également plusieurs options de restauration, notamment la restauration complète de la machine virtuelle, la restauration au niveau des fichiers et la restauration multiplateforme, permettant aux utilisateurs de restaurer rapidement les données critiques et de minimiser les temps d'arrêt.
Voici une démonstration simple de l'utilisation de Vinchin Backup & Recovery pour sauvegarder les machines virtuelles VMware.
1. Sélectionnez les machines virtuelles à sauvegarder.
2. Sélectionnez la destination de la sauvegarde.
3. Configurer les stratégies de sauvegarde.
4. Vérifiez et soumettez le travail.
Il dispose de nombreuses fonctionnalités qui vous attendent pour être découvertes. Lancez un essai gratuit de 60 jours --- Offrez-vous mutuellement 60 jours et nuits, le temps donnera la réponse.
FAQ sur le domaine vSphere SSO
1. Quel est le meilleur entre LDAP et SSO ?
LDAP est un protocole d'accès aux répertoires, tandis que le SSO est une fonctionnalité d'expérience utilisateur qui permet de se connecter une fois pour accéder à plusieurs systèmes. Pour un accès transparent, le SSO est préférable ; pour une gestion centralisée des informations utilisateurs, LDAP est essentiel.
2. Quelle est la différence entre l'authentification SSO et l'authentification AD ?
Le SSO permet d'accéder à plusieurs systèmes avec une seule connexion, tandis que l'authentification AD vérifie les identifiants auprès du service d'annuaire de Microsoft. L'AD peut faire partie d'un système SSO, mais ils ne sont pas identiques.
Conclusion
vCenter SSO est un élément fondamental de l'écosystème VMware vSphere, offrant une authentification sécurisée, centralisée et unifiée pour plusieurs composants et services vCenter. Il contribue à renforcer la sécurité grâce à l'authentification par jeton et simplifie la gestion dans les environnements multi-domaines. Comprendre et tirer parti de vCenter SSO améliore non seulement l'efficacité opérationnelle, mais renforce également la sécurité globale de votre infrastructure virtuelle.
