vSphere SSO Domain Nasıl yapılandırılır?

vSphere kaynakları için roller ve izinler atayabilmektir. vSphere vCenter Sunucu ortamında oturum açma bilgilerini ve ayrıcalıkları yönetmek kritik öneme sahiptir.

vCenter local oturum açma ve vCenter SSO için Active Directory yapılandırmasına dayalı olarak rol veya izin atama dahil olmak üzere anlamak gerekmektedir.

vCenter SSO Domain Nedir?

VMware vCenter Single Sign-On (SSO), kimlik yönetimi için VMware vSphere’in bir kimlik doğrulama bileşenidir.Aslında SSO bütün vSphere ortamlarına merkezi kimlik doğrulaması yaparak tek bir şifre ile erişmemizi sağlayan bir servistir.

vCenter SSO Nasıl Çalışır?

1. Kullanıcı vSphere web Client üzerinden login olur.
2. Kullanıcının bilgileri ( username&Pass ) SSO server tarafından alınır.
3. İstek, SSO sunucusu tarafından Active Directory veya yerel kimlik doğrulama gibi uygun kimlik doğrulama mekanizmasına iletilir.
4. Başarılı kimlik doğrulamanın ardından SSO, token’ı VMware vSphere Client’a iletir.
5. Bu Token, doğrudan vCenter Server ve diğer VMware vSphere bileşenleri ile kimlik doğrulama için kullanılabilir.

vCenter Single Sign-On için kullanılan hizmetler şunlardır:

• User authentication
• Security token service
• Authentication through certificates
• SSL for secure traffic

vCenter dahili kimlik sağlayıcısı veya harici bir kimlik sağlayıcısı (IdP) aracılığıyla gerçekleştirilir. Dahili sağlayıcı, Active Directory, OpenLDAP, yerel hesaplar, entegre Windows kimlik doğrulaması, akıllı kart, Windows oturum kimlik doğrulaması ve RSA securID’i destekler. Güvenlik belirteci hizmeti, kullanıcının kimliğini temsil eden SAM belirteçleri verir.

vCenter SSO Configuration Nasıl Yapılır?

vCenter altyapısının SSO bölümü, vCenter kurulduğunda Platform Services Controller tarafından yönetilir.Platform Services Controller, vCenter Server Appliance’ın (VCSA) yapılandırması sırasında kurulur.

Platform Services Controller ayrıca sertifika hizmetlerini, lisanslama hizmetlerini, kimlik doğrulama çerçevesini ve cihaz yönetimini yürütür.

Bu kısımda vCenter Server yapılandırmasını geçiyorum ve direk olarak SSO Conf kısmından devam edyorum.

SSO domain, başka bir kimlik doğrulama alanı (Active Directory gibi) belirtilmediğinde vSphere ortamının varsayılan kimlik kaynağıdır.

SSO, Active Directory vb. gibi kimlik kaynaklarıyla kimlik doğrulaması için bir token exchange mekanizması (SAML’ye dayalı) sağlar.

SSO domain AD domain adını yansıtacak şekilde ayarlarsanız sorunların ortaya çıkabilir.Genelde, ne isim veriyorsak son ek olarak “.local” olan bir SSO alan adı seçilebilir.

AD Domain Ekleme

1. Web arayüzünün sol üst köşesindeki menü simgesine tıklayın. Sol bölmedeki Çoklu Oturum Açma bölümüne gidin ve Configuration’a tıklayın.
2. Identity Provider tabında Active Directory Domain’i seçiyoruz.
3. vCenter’da domain kullanıcılarının oturum açmaları için Join AD tıklıyoruz.
4. Bir etki alanı adı girin, bir organizasyon birimi seçin (isteğe bağlı) ve AD etki alanı yöneticisi kimlik bilgilerini (kullanıcı adı ve parola) girin.
5. Katıl’a tıklayın ve değişiklikleri uygulamak için vCenter örneğini (VCSA) yeniden başlatın.

Identity provider

VCenter Single Sign-On alanınız için alternatif bir kimlik kaynağı kullanabilirsiniz. Bunun için ;

1. Administration > Single Sign On > Configuration VMware vSphere Client Identity Provider tab altındaki Identity Sources’e tıklıyoruz.
2. identity source seçilir yada Add’e tıklanır.

Managing users and groups

Bir vCenter SSO etki alanını yapılandırdıktan sonra, uygun izinleri sağlamak için kullanıcılar oluşturabilir ve kullanıcıları gruplara ekleyebilirsiniz.Bunun için ;

1. VCenter yönetim sayfasının sol bölmesindeki Single Sign On bölümünün altındaki Users and Groups’a tıklayın.
2. Users sekmesini seçin.
3. default (built-in) vsphere.local etki alanı veya vCenter SSO etki alanı olarak kullanılmak üzere manuel olarak eklediğiniz bir Active Directory etki alanı olabilecek bir etki alanı seçin.
4. Seçilen etki alanında yeni bir kullanıcı eklemek için Add’e tıklayın.
5. Gerekli alanları doldurun ve ayarları kaydedin.

Grup yönetiminin avantajları, bir gruba gerekli izinleri atama veya izinler otomatik olarak vermesidir.

1. Users and Groups sayfasında Groups tab’ını seçelim.
2. Add members.

1. Grup adı gibi gerekli alanları doldurun ve hangi etki alanından üye ekleyeceğinizi seçin. Bu vsphere.local gibi vCenter SSO domain veya AD domain olabilir.
2. Seçilen etki alanlarından üyeleri (kullanıcıları veya grupları) ekleyin ve Kaydet’e tıklayın. Ve bu şekilde kullanılcıları erişimlerini sağlamış oluruz. Umarım faydalı olmuştur.