Identitätsmanagement im Überblick

Notice (Hinweis)

Seit dem 30. April 2024 AWS wird VMware Cloud on nicht mehr von AWS oder seinen Channel-Partnern weiterverkauft. Der Service wird weiterhin über Broadcom verfügbar sein. Wir empfehlen Ihnen, sich für weitere Informationen an Ihren AWS Vertreter zu wenden.

VMware verwendet die folgenden branchenüblichen Konzepte und Identitätshierarchien zur Verwaltung von Identifizierung, Authentifizierung und Autorisierung:

Benutzer sind die Personen, die in gewisser Weise auf Ihre Umgebung zugreifen. Sie können lokale Benutzer erstellen oder den Verbund verwenden, um Benutzer von einem externen Identitätsanbieter zu authentifizieren. Weitere Informationen finden Sie unter Identitätsverbund und SSO.
Gruppen bieten einen Mechanismus, um eine Sammlung von Benutzern logisch zu gruppieren. Auf diese Weise können Sie diesen Benutzern konsistente Berechtigungen gewähren und den Verwaltungsaufwand reduzieren. Rollen werden verwendet, um einem Benutzer oder einer Gruppe Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Rollen und Berechtigungen im SDDC (VMware Dokumentation).
Organizations in der VMware Cloud kontrollieren den Zugriff auf einen oder mehrere VMware Dienste. Benutzer und Gruppen müssen einer Organisation angehören, um auf die Services in der Organisation zugreifen zu können. Sie können die Funktion „Identity Governance and Administration“ aktivieren, damit föderierte Identitäten per Self-Service die Mitgliedschaft bei einer Organisation beantragen können. VMware Weitere Informationen finden Sie unter VMware Cloud Services-Konsole.

Berechtigungen können Zugriff auf ein bestimmtes Objekt gewähren oder sie können von übergeordneten Objekten vererbt werden. Wenn einem Benutzer oder einer Gruppe mehrere sich überschneidende Berechtigungen zugewiesen werden, gilt die weitestgehende Berechtigung. Weitere Informationen finden Sie unter Hierarchische Vererbung von Berechtigungen (Dokumentation). VMware

Sie können diese Strukturelemente verwenden, um eine Richtlinie mit den geringsten Berechtigungen einzuführen und logische Zugriffsgrenzen innerhalb Ihrer Infrastruktur auf der Grundlage der Benutzeranforderungen festzulegen. Geringste Berechtigung ist das Prinzip, Benutzern und Anwendungen nur den Mindestzugriff zu gewähren, der zur Ausführung ihrer Aufgaben erforderlich ist. Im Falle eines unbefugten Zugriffs kann diese branchenweit bewährte Methode dazu beitragen, die Fähigkeit eines Angreifers, Schaden anzurichten oder sensible Daten zu stehlen, einzuschränken. Und selbst für autorisierte Benutzer kann dieses Prinzip verhindern, dass Benutzer auf Daten zugreifen, die sie nicht haben sollten. Wenn Benutzern nur Zugriff auf die erforderlichen Ressourcen gewährt wird, kann dies auch die Produktivität verbessern und den Bedarf an Unterstützung bei der Fehlerbehebung verringern.

Wenn Sie VMware Cloud on verwenden AWS, gibt es zwei Hauptdienste und Tools für die Identitäts- und Zugriffsverwaltung: VMware Cloud Services-Konsole undVMware vCenter Server. Später in diesem Handbuch werden wir diese Services ausführlicher besprechen.

Identitätsverbund und SSO

Viele Unternehmen möchten einen Verbund mit einem externen Identitätsanbieter (IdP) einrichten. Dies ermöglicht Ihnen, Ihren Benutzern ein Single Sign-On (SSO)-Erlebnis zu bieten. Sowohl VMware Cloud als auch vCenter Server unterstützen den Unternehmensverbund:

VMware Die Cloud unterstützt die auf Security Assertion Markup Language (SAML) 2.0 basierende Sprache IdPs und unterstützt das Lightweight Directory Access Protocol (LDAP). Weitere Informationen finden Sie unter Was ist ein Unternehmensverbund und wie funktioniert er mit VMware Cloud-Diensten (Dokumentation). VMware
Wenn Sie vCenter Server on VMware Cloud auf betreiben AWS, wird der Verbund mit vCenter Server mithilfe eines externen IdP derzeit nicht unterstützt. Es kann nur der integrierte IdP verwendet werden, der die Verwendung von Microsoft Active Directory über LDAP unterstützt. Weitere Informationen finden Sie unter Identitätsquellen für vCenter Server mit vCenter Single Sign-On (VMwareDokumentation).

Einige der anderen verwandten VMware Dienste, die in diesem Leitfaden behandelt werden, unterstützen auch den direkten Verbund von einem IdP aus. Die Konfiguration des Verbunds in jedem Service schafft jedoch zusätzliche Benutzerverwaltungspunkte und wird schwierig zu verwalten. Stattdessen können Sie Gruppen und Rollen in der VMware Cloud Services Console verwenden, um eine gemeinsame Identitätsquelle zu verwenden und Berechtigungen für andere VMware Cloud-Dienste zu konfigurieren. Sie können auch den Hybrid Linked Mode konfigurieren, um dieselben Identitäten mit einer On-Premises vCenter-Server-Instance zu verwenden. Dadurch wird die Anzahl der Verbundpunkte und der Identitätsverwaltung auf zwei Services reduziert. Weitere Informationen zum verknüpften Hybrid-Modus finden Sie unter Konfiguration des verknüpften Hybrid-Modus (VMware Dokumentation).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einführung

Allgemeine bewährte Methoden