NAKIVO > Blog > VMware

Cómo configurar un dominio vSphere SSO en vCenter

Actualizado: mayo 6, 2024

Escrito por: Equipo NAKIVO

Una parte clave de la administración de la infraestructura vSphere es poder asignar roles y permisos para los recursos vSphere. La gestión de inicios de sesión y privilegios en un entorno VMware vSphere vCenter Server es fundamental por varias razones. Desea permitir permisos granulares y también proporcionar una pista de auditoría de las acciones realizadas en el entorno de vCenter.

Echemos un vistazo a los puntos clave, incluyendo la asignación de roles o permisos basados en vCenter Single Sign-On y Active Directory para la configuración de vCenter SSO.

NAKIVO for VMware vSphere Backup

NAKIVO for VMware vSphere Backup

Complete data protection for VMware vSphere VMs and instant recovery options. Secure backup targets onsite, offsite and in the cloud. Anti-ransomware features.

DISCOVER SOLUTION

¿Qué es el dominio vCenter SSO?

VMware vCenter Single Sign-On (SSO) es un componente de autenticación de VMware vSphere para la gestión de identidades. SSO autentica a un usuario para acceder a diferentes componentes de vSphere utilizando las credenciales de una única cuenta. SSO se basa en un mecanismo de token seguro para permitir que varios componentes de vSphere se comuniquen entre sí.

El conjunto de productos VMware vSphere se integra con vCenter a través del mecanismo de autenticación SSO. Esto le permite utilizar SSO para controlar o conceder permisos a los recursos en toda la suite. Tenga en cuenta que SSO no sustituye a VMware Horizon Identity Manager. Obtenga más información en nuestro post sobre VMware Horizon y VDI.

A partir de vSphere 5.1, VMware introdujo el SSO para agilizar la gestión de varios hosts ESXi y otros recursos de vSphere y mejorar la seguridad del mecanismo de autenticación de vSphere con las mismas credenciales de usuario. SSO no sólo permite la autenticación de Active Directory, sino también de cualquier otra fuente de autenticación basada en Security Assertion Markup Language (SAML) 2.0.

Tenga en cuenta que un origen de identidad vCenter SSO puede asociarse a un dominio, pero no sustituye a Active Directory. SSO puede interactuar con Active Directory y federar la autenticación y las consultas relacionadas con un controlador de dominio de Active Directory. No es necesario configurar un dominio de Active Directory para utilizar vCenter SSO si no dispone de un controlador de dominio AD en su entorno: SSO dispone de un almacén de usuarios interno para fines de autenticación.

Cómo funciona vCenter SSO

  1. Un usuario inicia sesión en VMware vSphere Web Client.
  2. El servidor SSO recibe el nombre de usuario y la contraseña introducidos por el usuario.
  3. El servidor SSO reenvía la solicitud al mecanismo de autenticación adecuado, como Active Directory o autenticación local.
  4. Tras una autenticación correcta, SSO pasa el token a VMware vSphere Client.
  5. El token puede utilizarse para autenticarse directamente con vCenter Server y otros componentes de VMware vSphere.

How VMware vCenter SSO works

Los servicios utilizados para vCenter Single Sign-On son:

  • Autenticación de usuarios
  • Servicio de fichas de seguridad
  • Autenticación mediante certificados
  • SSL para tráfico seguro

La autenticación del usuario se realiza a través de un proveedor de identidad integrado en vCenter o un proveedor de identidad externo (IdP). El proveedor integrado es compatible con Active Directory, OpenLDAP, cuentas locales, autenticación integrada de Windows, tarjeta inteligente, autenticación de sesión de Windows y RSA securID. Un servicio de tokens de seguridad emite tokens SAM que representan la identidad del usuario.

Configuración de vCenter SSO

La parte SSO de la infraestructura vCenter es gestionada por el Platform Services Controller cuando se instala vCenter. El Platform Services Controller se configura durante la configuración del vCenter Server Appliance (VCSA), que se proporciona como una plantilla de VM casi preconfigurada desplegada en vSphere. El VCSA funciona con el sistema operativo Photon basado en Linux. El controlador de servicios de plataforma también ejecuta servicios de certificados, servicios de licencias, marco de autenticación y gestión de appliance.

En las versiones de vCenter v.6.7 y anteriores, el PSC podía configurarse como Controlador de servicios de plataforma integrado o como Controlador de servicios de plataforma externo. En vSphere v6.7, el controlador de servicios de plataforma externa quedó obsoleto. En vSphere 7, puede instalar vCenter utilizando únicamente el controlador de servicios de plataforma integrada.

En la siguiente captura de pantalla, puede ver el paso 1 (Introducción) de la Etapa 1 al instalar vCenter 7 y un mensaje de advertencia de que ya no puede utilizar el Controlador de servicios de plataforma externa.

VMware vCenter SSO configuration at Stage 1 of deployment

Durante la instalación del appliance vCenter Server se configura un dominio SSO para vSphere. Puede ver más detalles para la configuración de vCenter SSO en el paso 3 de la Etapa 2 al desplegar vCenter (consulte la captura de pantalla siguiente). El administrador SSO, la contraseña, el nombre del dominio SSO y el nombre del sitio SSO se configuran durante la instalación.

Puede crear un nuevo dominio SSO o unirse a un dominio SSO existente. El dominio vCenter SSO que se crea durante la primera instalación de vCenter es la fuente de identidad predeterminada en el entorno virtual de VMware vSphere.

VMware vCenter SSO domain configuration during vCenter deployment

El dominio SSO es la fuente de identidad predeterminada del entorno vSphere cuando no se especifica ningún otro dominio de autenticación (como Active Directory). Como ya se ha mencionado, SSO proporciona un mecanismo de intercambio de tokens (basado en SAML) para autenticarse con fuentes de identidad como Active Directory, etc. También debe tener en cuenta que pueden surgir problemas si configura el dominio SSO para que refleje el nombre de dominio de AD. Muchos eligen un nombre de dominio SSO con «.local» como sufijo.

Nombre de dominio de vCenter SSO: prácticas recomendadas

Las prácticas recomendadas para el nombre de dominio de vCenter SSO implican el uso del nombre de dominio vsphere. local en entornos pequeños, pero también se puede utilizar en entornos grandes. El nombre de dominio vsphere.local SSO es adecuado para la interoperabilidad en VMware vSphere, incluidos los componentes como vRealize Automation. Si no está seguro de qué nombre de dominio de vCenter SSO utilizar, utilice vsphere.local.

El nombre del dominio SSO utilizado para la autenticación local en vCenter no debe ser el mismo que el nombre del dominio de Active Directory existente. Utilice la integración de Active Directory para utilizar el dominio AD y su nombre si es necesario después de instalar vCenter. Introduzca un nombre de dominio vCenter SSO utilizando caracteres en minúsculas.

Configuración de vCenter SSO posterior a la instalación

Puede editar la configuración de vCenter SSO después de implementar VMware vCenter Server.

Inicie sesión en la interfaz web de VMware vSphere Client utilizando su cuenta de administrador existente para gestionar vCenter, por ejemplo, administrator@vsphere.local.

Nota: Si para gestionar vCenter está utilizando un navegador para acceder a VMware vSphere Client desde una máquina Windows que es miembro de un dominio Active Directory (después de haber iniciado sesión en Windows como usuario de dominio), y este dominio está configurado como un dominio vCenter SSO, puede seleccionar Usar autenticación de sesión de Windows para mayor comodidad. Si esta casilla está en gris (inactiva), debe descargar el complemento de autenticación mejorada. A continuación explicamos la configuración de vCenter SSO utilizando un dominio existente de Active Directory.

Using credentials and vCenter Single Sign On

Añadir un dominio de Active Directory

Podemos configurar la integración de la autenticación de vCenter con Active Directory y utilizar el dominio de Active Directory como dominio SSO de vCenter. Suponemos que ya tiene configurado un controlador de dominio de Active Directory y no entraremos en los detalles del proceso de configuración de AD en Windows Server. Recuerde que debe hacer backups de Active Directory con regularidad, especialmente si muchos servicios utilizan AD para la autenticación.

Realice las siguientes acciones para editar la configuración de vCenter SSO e integrarlo con Active Directory:

  1. Haga clic en el icono de menú situado en la esquina superior izquierda de la interfaz web. Desplácese hasta la sección Inicio de sesión único en el panel izquierdo y haga clic en Configuración.
  2. Seleccione la pestaña Proveedor de identidades y, a continuación, seleccione Dominio de Active Directory.
  3. Haga clic en Unirse a AD para unirse al dominio de Active Directory que se utilizará para vCenter Single Sign-On (como dominio de vCenter SSO).

Edición de la configuración del dominio de vCenter SSO para unirse al dominio AD

  1. Introduzca un nombre de dominio, seleccione una unidad organizativa (opcional) e introduzca las credenciales del administrador del dominio AD (nombre de usuario y contraseña).
  2. Haga clic en Join y reinicie la instancia de vCenter (VCSA) para aplicar los cambios.

Configuración del dominio vCenter SSO mediante la integración con Active Directory

Proveedor de identidad

Puede utilizar una fuente de identidad alternativa para su dominio de vCenter Single Sign On.

  1. Vaya a Administración > Single Sign On > Configuration en VMware vSphere Client y haga clic en Identity Sources en la pestaña Identity Provider.
  2. Seleccione la fuente de identidad disponible o haga clic en Añadir para añadir una nueva.

SSO configuration vCenter

Puede seleccionar la pestaña Cuentas locales y configurar el tiempo de caducidad de la contraseña y otras políticas de contraseña.

Gestión de usuarios y grupos

Una vez que haya configurado un dominio vCenter SSO, puede crear usuarios y añadirlos a grupos para proporcionarles los permisos adecuados.

  1. Haga clic en Usuarios y grupos en la sección Inicio de sesión único del panel izquierdo de la página de administración de vCenter.
  2. Seleccione la pestaña Usuarios.
  3. Seleccione un dominio que puede ser un dominio vsphere.local predeterminado (integrado) o un dominio de Active Directory que haya añadido manualmente para utilizarlo como dominio de vCenter Single Sign on.
  4. Haga clic en Añadir para añadir un nuevo usuario para el dominio seleccionado.
  5. Rellene los campos obligatorios y guarde los ajustes.

Editing users and groups in vCenter SSO configuration

Las ventajas de la gestión de grupos son la posibilidad de asignar los permisos necesarios a un grupo y añadir varios usuarios al grupo para concederles los permisos automáticamente.

  1. Seleccione la pestaña Grupos en la página Usuarios y Grupos.
  2. Haz clic en Añadir miembros.

Añadir usuarios para vCenter Single Sign On

  1. Rellene los campos obligatorios, como el nombre del grupo, y seleccione desde qué dominio desea añadir miembros. Puede ser un dominio de vCenter SSO integrado como vsphere.local o un dominio de Active Directory.
  2. Añada los miembros (usuarios o grupos) de los dominios seleccionados y haga clic en Guardar.

Adding users to a group

No elimine los usuarios y grupos predefinidos (los que existen tras la instalación limpia de vCenter).

Conclusión

Se recomienda hacer backups de las máquinas virtuales de vCenter Server Appliance y de los equipos que ejecutan controladores de dominio de Active Directory. Estas máquinas se utilizan para la gestión centralizada y la autenticación, y cualquier fallo puede acarrear graves repercusiones y tiempos de inactividad.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
Cómo migrar máquinas virtuales de VMware a AWS: Un Estudio de Caso
Picture
¿Qué es Quiescing para VMware vSphere VMs?
Picture
Comparación de copias de seguridad consistentes con fallas y aplicaciones