VMWare [CHAP 05] Tìm hiểu về về Single Sign-On và vCenter Enhanced Linked Mode

HooangF4t

HooangF4t

Internship/Fresher
Aug 19, 2024
44
2
8
20
Tp.Hồ Chí Minh
Mục lục:

I. Single Sign-On (SSO)
1. Tổng quan về Single Sign-On
2. Ưu và Nhược điểm của SSO
3. Cơ chế hoạt động của SSO
4. Phân loại SSO
II. vCenter Enhanced Linked Mode (ELM)
1. Tổng quan về vCenter Enhanced Linked Mode
2. Cách thức hoạt động của ELM
3. Lợi ích của ELM với Embedded Platform Services Controller (PSC)
4. Tính năng nâng cao của vCenter Enhanced Linked Mode với vCenter Server Appliance (VCSA)
III. Kết luận


[CHAP 05] Tìm hiểu về về Single Sign-On và vCenter Enhanced Linked Mode



Trong bối cảnh hiện đại, với sự gia tăng nhanh chóng của các ứng dụng và dịch vụ trực tuyến, việc quản lý thông tin đăng nhập trở thành một thách thức lớn đối với người dùng và quản trị viên hệ thống. Single Sign-On (SSO) và vCenter Enhanced Linked Mode (ELM) là hai giải pháp giúp đơn giản hóa quy trình đăng nhập và quản lý hạ tầng ảo hóa trong các doanh nghiệp. Nghiên cứu này sẽ phân tích chi tiết về SSO và ELM, cũng như đánh giá các ưu, nhược điểm của từng giải pháp.

I. Single Sign-On (SSO)
1. Tổng quan về Single Sign-On

Single Sign-On (SSO) là một cơ chế xác thực cho phép người dùng truy cập nhiều trang web hoặc ứng dụng chỉ với một lần đăng nhập duy nhất. Sau khi người dùng được xác thực tại một trang web hoặc ứng dụng cụ thể, họ có thể truy cập các trang web hoặc ứng dụng khác mà không cần phải nhập lại thông tin đăng nhập. Điều này giúp đơn giản hóa trải nghiệm người dùng và tăng cường bảo mật.
1724908929053.png

Các thành phần của SSO bao gồm:
-Identity Sources: Là nơi chứa thông tin user. Có các nguồn phổ biến như Active directory(AD), LDAP (Lightweight Directory Access Protocol và Local OS.
-SSO sever: Là nơi xử lý các request của user về xác thực và dịch vụ dựa trên thông tin được cung cấp bởi Identity Sources.
-Service providers: Các ứng dụng và dịch vụ yêu cầu xác thực như VCenter sever, vSphere web client và nhiều thành phần khác trong hệ sinh thái VMware

2. Ưu và Nhược điểm của SSO

Ưu điểm:
  • Giảm thiểu số lượng username và password: Người dùng không cần phải ghi nhớ nhiều bộ thông tin đăng nhập cho nhiều ứng dụng khác nhau.
  • Giảm số lần đăng nhập: Người dùng chỉ cần thực hiện thao tác đăng nhập một lần để truy cập nhiều dịch vụ khác nhau, tiết kiệm thời gian và tăng cường trải nghiệm.
  • Tăng cường bảo mật: Việc giảm thiểu số lần người dùng phải nhập thông tin nhạy cảm giúp giảm nguy cơ lộ mật khẩu và thông tin cá nhân.
Nhược điểm:
  • Chi phí phát triển cao: Việc triển khai SSO có thể tốn kém, đặc biệt khi tích hợp với các dịch vụ của bên thứ ba.
  • Phụ thuộc vào dịch vụ bên ngoài: Nếu hệ thống SSO gặp sự cố, toàn bộ hệ thống ứng dụng liên kết cũng có thể bị ảnh hưởng, gây ra gián đoạn dịch vụ.
3. Cơ chế hoạt động của SSO
Hệ thống nhận dạng liên kết (Federated Identity System) là nền tảng của SSO, bao gồm 4 yếu tố chính:
  • Xác thực (Authentication): Kiểm tra thông tin đăng nhập và xác định danh tính người dùng.
  • Phân quyền (Authorization): Xác định quyền truy cập của người dùng dựa trên danh tính.
  • Trao đổi thông tin người dùng (User attributes exchange): Chia sẻ thông tin người dùng giữa các hệ thống để tránh sự trùng lặp dữ liệu.
  • Quản lý người dùng (User management): Quản trị viên có thể thực hiện các thao tác thêm, sửa, xóa thông tin người dùng trong các hệ thống liên kết.
Cách thức hoạt động: Khi người dùng đăng nhập vào một hệ thống (A), hệ thống này sẽ lưu thông tin xác thực vào cookie. Khi người dùng truy cập vào hệ thống khác (B), hệ thống B sẽ kiểm tra thông tin từ cookie đã được lưu để xác nhận danh tính mà không cần yêu cầu đăng nhập lại. Để chia sẻ thông tin này giữa các domain, một domain trung tâm (central domain) sẽ được sử dụng để chia sẻ thông tin cookie giữa các domain khác nhau. Domain trung tâm này có thể tạo ra một JSON Web Token (JWT) và mã hóa nó. Khi người dùng truy cập vào các domain khác, họ sẽ được điều hướng đến domain trung tâm này, nhận lại token và tiếp tục sử dụng mà không cần đăng nhập lại.

Một ví dụ thực tế là khi một người dùng đăng nhập vào hệ thống A, thông tin đăng nhập được lưu trữ dưới dạng cookie tại domain của hệ thống A. Nếu người dùng sau đó truy cập hệ thống B, hệ thống này sẽ gửi yêu cầu đến domain trung tâm để xác thực người dùng thông qua token đã được tạo. Nhờ vậy, người dùng không cần phải nhập lại thông tin đăng nhập, mà vẫn được xác thực tự động.

4. Phân loại SSO

Single Sign-On (SSO) được triển khai qua nhiều giao thức và công nghệ khác nhau. Dưới đây là bốn loại SSO phổ biến:

SAML (Security Assertion Markup Language)​

  • Đặc điểm: SAML là một giao thức tiêu chuẩn dùng để trao đổi thông tin xác thực giữa các hệ thống, chủ yếu trong các ứng dụng web.
  • Cách hoạt động: Người dùng đăng nhập một lần, sau đó có thể truy cập vào nhiều ứng dụng khác mà không cần phải đăng nhập lại.
  • Ưu điểm: Khả năng tương thích cao, bảo mật mạnh mẽ.
  • Nhược điểm: Phức tạp trong triển khai, có thể ảnh hưởng đến hiệu suất hệ thống.

OAuth (Open Authorization)​

  • Đặc điểm: OAuth cho phép các ứng dụng bên thứ ba truy cập vào tài nguyên của người dùng mà không cần chia sẻ mật khẩu của họ.
  • Cách hoạt động: Sử dụng mã thông báo (token) để ủy quyền truy cập vào tài nguyên mà không cần biết mật khẩu.
  • Ưu điểm: Bảo mật thông tin, linh hoạt trong sử dụng.
  • Nhược điểm: Phức tạp trong quản lý mã thông báo, khó kiểm soát phạm vi quyền hạn.

OIDC (OpenID Connect)​

  • Đặc điểm: OIDC dựa trên OAuth 2.0, bổ sung thêm khả năng xác thực người dùng và quản lý danh tính.
  • Cách hoạt động: Sử dụng mã thông báo (ID Token) để xác thực và quản lý thông tin người dùng.
  • Ưu điểm: Kết hợp cả xác thực và ủy quyền, hỗ trợ rộng rãi bởi nhiều nhà cung cấp.
  • Nhược điểm: Yêu cầu sự tương thích với OAuth 2.0 và các hệ thống hiện có.

Kerberos​

  • Đặc điểm: Kerberos là một giao thức xác thực mạng phổ biến trong các môi trường doanh nghiệp.
  • Cách hoạt động: Sử dụng các vé phiên (tickets) để xác thực và ủy quyền truy cập vào các dịch vụ mạng.
  • Ưu điểm: Bảo mật mạnh mẽ, hiệu quả trong việc truy cập nhiều dịch vụ mà không cần đăng nhập lại.
  • Nhược điểm: Phụ thuộc vào thời gian đồng bộ, triển khai phức tạp.

II. vCenter Enhanced Linked Mode (ELM)
1. Tổng quan về vCenter Enhanced Linked Mode

vCenter Enhanced Linked Mode (ELM) là một tính năng nâng cao của VMware vSphere, cho phép kết nối nhiều vCenter Server lại với nhau để cung cấp một giao diện quản lý duy nhất. Tính năng này giúp các quản trị viên dễ dàng quản lý và theo dõi các môi trường ảo hóa khác nhau từ một giao diện, mà không cần phải truy cập vào từng vCenter Server riêng lẻ.
1724908641817.png


2. Cách thức hoạt động của ELM

ELM cung cấp một "giao diện duy nhất" (single pane of glass) cho nhiều vCenter Servers trong cùng một domain SSO vSphere. Tính năng này cho phép các kỹ sư hạ tầng ảo hóa dễ dàng quản lý các môi trường ảo khác nhau như môi trường máy tính ảo và máy chủ ảo trên nhiều site.

ELM chỉ được hỗ trợ trên vSphere Web Client. Khi ELM được kích hoạt, tất cả các vCenter Servers trong cùng một domain SSO sẽ được liên kết trong ELM và có thể truy cập từ một giao diện web duy nhất.

Sơ đồ mô tả cấu trúc của miền SSO trong vSphere với Enhanced Linked Mode:

1724908660620.png

  • Platform Services Controller: Cung cấp các dịch vụ như xác thực và quản lý người dùng.
  • vCenter Server: Quản lý các máy ảo và tài nguyên trong môi trường ảo hóa.
  • Enhanced Linked Mode: Cho phép quản lý nhiều vCenter Server từ một giao diện duy nhất, giúp dễ dàng hơn trong việc quản lý và giám sát.
3. Lợi ích của ELM với Embedded Platform Services Controller (PSC)

  • Quy trình backup và khôi phục đơn giản: Không cần một thiết bị backup riêng biệt, giúp tiết kiệm tài nguyên và đơn giản hóa quy trình bảo trì.
  • Kiến trúc domain đơn giản: ELM giúp quản lý nhiều site mà không cần phải sử dụng PSC ngoài, giảm thiểu sự phức tạp trong cấu trúc hệ thống.
  • Khả năng mở rộng: vSphere 6.7 hỗ trợ tối đa 15 nodes với vCenter Server trong ELM, giúp hệ thống có thể dễ dàng mở rộng mà không cần thay đổi cấu trúc cơ bản.
  • Đơn giản hóa quy trình High Availability (HA): Quản lý đến 15 vCenter Server Appliances trong Embedded Linked Mode mà không cần sử dụng load balancer, giúp tối ưu hóa quy trình HA.
4. Tính năng nâng cao của vCenter Enhanced Linked Mode với vCenter Server Appliance (VCSA)

  • Khả năng liên kết tối đa: Bạn có thể liên kết tối đa 15 thiết bị vCenter Server với nhau bằng chế độ liên kết nâng cao, và tất cả đều được hiển thị trong một chế độ xem kho duy nhất. Điều này giúp quản trị viên có thể dễ dàng quản lý và điều phối các tài nguyên trên toàn bộ hạ tầng ảo hóa.
  • Hỗ trợ sao lưu và khôi phục đơn giản: Quy trình sao lưu và khôi phục được đơn giản hóa đáng kể, đảm bảo rằng dữ liệu và cấu hình của hệ thống luôn được bảo vệ.
  • Chế độ High Availability (HA) được tối ưu hóa: Trong cụm vCenter HA, ba nút được coi là một nút vCenter Server logic, giúp việc quản lý và vận hành trở nên dễ dàng hơn, đặc biệt là trong trường hợp có sự cố.
  • Chế độ chỉ đọc cho các bản sao: Nếu một phiên bản vCenter High Availability (vCenter HA) được kết nối với một phiên bản vCenter Server khác có chế độ liên kết nâng cao và vCenter HA chuyển đổi dự phòng sang nút thụ động và không thể giao tiếp với đối tác sao chép của mình trên nút vCenter Server khác, bản sao trên nút vCenter HA sẽ chuyển sang chế độ chỉ đọc, đảm bảo tính nhất quán dữ liệu trong trường hợp lỗi.


IV. Kết luận

Single Sign-On (SSO) và vCenter Enhanced Linked Mode (ELM) là hai giải pháp công nghệ tiên tiến giúp đơn giản hóa quản lý hệ thống và cải thiện trải nghiệm người dùng. Trong khi SSO tập trung vào việc hợp nhất quy trình đăng nhập trên nhiều ứng dụng và dịch vụ, ELM mang lại khả năng quản lý tập trung cho các môi trường ảo hóa trong doanh nghiệp.
SSO cung cấp sự tiện lợi và tăng cường bảo mật cho người dùng cuối, nhưng cũng đòi hỏi đầu tư vào chi phí phát triển và phụ thuộc vào dịch vụ bên ngoài. Ngược lại, ELM hỗ trợ quản lý một cách hiệu quả các vCenter Server trong môi trường ảo hóa, giúp các tổ chức dễ dàng mở rộng và duy trì hệ thống với chi phí tối ưu hơn.
Sự kết hợp giữa SSO và ELM trong một môi trường ảo hóa doanh nghiệp có thể tạo ra một nền tảng quản lý toàn diện và bảo mật cao, đáp ứng nhu cầu ngày càng cao về tính hiệu quả và bảo mật trong quản lý hệ thống công nghệ thông tin.
 
You must log in or register to reply here.

Similar Threads

HooangF4t
VMWare [CHAP 14] Tìm hiểu về Virtual Machine Hardware Deep Dive
Replies
4
Views
125
HooangF4t
HooangF4t
Khắc Huy
VMWare [LT] Content Library
Replies
2
Views
423
Khắc Huy
Khắc Huy
Maindo
VMWare [CHAP 13] Tìm hiểu về LACP trên vSphere Distributed Switch
Replies
0
Views
235
Maindo
Maindo
Khắc Huy
VMWare [LT] Virtual Machine hardware deep dive(Phần 2)
Replies
7
Views
466
l3g0n
l3g0n
Khắc Huy
VMWare [LT] Virtual Machine hardware deep dive(Phần 1)
Replies
3
Views
431
l3g0n
l3g0n

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back