Identitätsmanagement im Überblick - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsmanagement im Überblick

Notice (Hinweis)

Seit dem 30. April 2024 AWS wird VMware Cloud on nicht mehr von AWS oder seinen Channel-Partnern weiterverkauft. Der Service wird weiterhin über Broadcom verfügbar sein. Wir empfehlen Ihnen, sich für weitere Informationen an Ihren AWS Vertreter zu wenden.

VMware verwendet die folgenden branchenüblichen Konzepte und Identitätshierarchien zur Verwaltung der Identifizierung, Authentifizierung und Autorisierung:

  • Benutzer sind die Personen, die in gewisser Weise auf Ihre Umgebung zugreifen. Sie können lokale Benutzer erstellen oder den Verbund verwenden, um Benutzer von einem externen Identitätsanbieter zu authentifizieren. Weitere Informationen finden Sie unter Identitätsverbund und SSO.

  • Gruppen bieten einen Mechanismus, um eine Sammlung von Benutzern logisch zu gruppieren. Auf diese Weise können Sie diesen Benutzern konsistente Berechtigungen gewähren und den Verwaltungsaufwand reduzieren. Rollen werden verwendet, um einem Benutzer oder einer Gruppe Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Rollen und Berechtigungen im SDDC (VMware-Dokumentation).

  • Organizations in VMware Cloud kontrollieren den Zugriff auf einen oder mehrere VMware-Services. Benutzer und Gruppen müssen einer Organisation angehören, um auf die Services in der Organisation zugreifen zu können. Sie können das Feature Identitätsverwaltung und Verwaltung aktivieren, mit der föderierte Identitäten per Self-Service die Mitgliedschaft bei einer VMware-Organisation beantragen können. Weitere Informationen finden Sie unter VMware Cloud Services Console.

Berechtigungen können Zugriff auf ein bestimmtes Objekt gewähren oder sie können von übergeordneten Objekten vererbt werden. Wenn einem Benutzer oder einer Gruppe mehrere sich überschneidende Berechtigungen zugewiesen werden, gilt die weitestgehende Berechtigung. Weitere Informationen finden Sie unter Hierarchische Vererbung von Berechtigungen (VMware-Dokumentation).

Sie können diese Strukturelemente verwenden, um eine Richtlinie mit den geringsten Berechtigungen einzuführen und logische Zugriffsgrenzen innerhalb Ihrer Infrastruktur auf der Grundlage der Benutzeranforderungen festzulegen. Geringste Berechtigung ist das Prinzip, Benutzern und Anwendungen nur den Mindestzugriff zu gewähren, der zur Ausführung ihrer Aufgaben erforderlich ist. Im Falle eines unbefugten Zugriffs kann diese branchenweit bewährte Methode dazu beitragen, die Fähigkeit eines Angreifers, Schaden anzurichten oder sensible Daten zu stehlen, einzuschränken. Und selbst für autorisierte Benutzer kann dieses Prinzip verhindern, dass Benutzer auf Daten zugreifen, die sie nicht haben sollten. Wenn Benutzern nur Zugriff auf die erforderlichen Ressourcen gewährt wird, kann dies auch die Produktivität verbessern und den Bedarf an Unterstützung bei der Fehlerbehebung verringern.

Wenn Sie VMware Cloud on verwenden AWS, gibt es zwei Hauptdienste und Tools für die Identitäts- und Zugriffsverwaltung: VMware Cloud Services Console undVMware vCenter Server. Später in diesem Handbuch werden wir diese Services ausführlicher besprechen.

Identitätsverbund und SSO

Viele Unternehmen möchten einen Verbund mit einem externen Identitätsanbieter (IdP) einrichten. Dies ermöglicht Ihnen, Ihren Benutzern ein Single Sign-On (SSO)-Erlebnis zu bieten. Sowohl VMware Cloud als auch vCenter Server unterstützen den Unternehmens-Verbund:

Einige der anderen verwandten VMware-Services, die in diesem Handbuch behandelt werden, unterstützen auch den direkten Verbund von einem IdP aus. Die Konfiguration des Verbunds in jedem Service schafft jedoch zusätzliche Benutzerverwaltungspunkte und wird schwierig zu verwalten. Stattdessen können Sie Gruppen und Rollen in der VMware Cloud Services Console verwenden, um eine gemeinsame Identitätsquelle zu verwenden und Berechtigungen für andere VMware Cloud-Services zu konfigurieren. Sie können auch den Hybrid Linked Mode konfigurieren, um dieselben Identitäten mit einer On-Premises vCenter-Server-Instance zu verwenden. Dadurch wird die Anzahl der Verbundpunkte und der Identitätsverwaltung auf zwei Services reduziert. Weitere Informationen zum verknüpften Hybridmodus finden Sie unter Konfiguration des verknüpften Hybrid-Modus (VMware-Dokumentation).