Quando um usuário faz login em um componente do vSphere ou quando um usuário da solução do vCenter Server acessa outro serviço do vCenter Server, o vCenter Single Sign-On executa a autenticação. Os usuários devem ser autenticados com vCenter Single Sign-On e ter os privilégios necessários para interagir com objetos do vSphere.

O vCenter Single Sign-On autentica os usuários da solução e outros usuários.

  • Os usuários da solução representam um conjunto de serviços no seu ambiente vSphere. Durante a instalação, o VMCA atribui um certificado a cada usuário da solução por padrão. O usuário da solução usa esse certificado para se autenticar no vCenter Single Sign-On. O vCenter Single Sign-On fornece ao usuário da solução um token SAML, e o usuário da solução pode interagir com outros serviços no ambiente.
  • Quando outros usuários fazem login no ambiente, por exemplo, no vSphere Client, o vCenter Single Sign-On solicita um nome de usuário e uma senha. Se o vCenter Single Sign-On encontrar um usuário com essas credenciais na origem de identidade correspondente, ele atribuirá ao usuário um token SAML. O usuário agora pode acessar outros serviços no ambiente sem ser solicitado a autenticar novamente.

    Os objetos que o usuário pode visualizar e o que um usuário pode fazer geralmente são determinados pelas configurações de permissão do vCenter Server. Os administradores do vCenter Server atribuem essas permissões a partir da interface de permissões (Permissions) no vSphere Client, não por meio de vCenter Single Sign-On. Consulte a documentação do Segurança do vSphere .

Usuários de vCenter Single Sign-On e vCenter Server

Os usuários se autenticam no vCenter Single Sign-On inserindo suas credenciais na página de login. Depois de se conectar a vCenter Server, os usuários autenticados podem visualizar todas as instâncias do vCenter Server ou outros objetos do vSphere para os quais sua função lhes concede privilégios. Nenhuma autenticação adicional é necessária.

Após a instalação, o administrador do domínio vCenter Single Sign-On, [email protected] por padrão, tem acesso de administrador a vCenter Single Sign-On e vCenter Server. Esse usuário pode então adicionar origens de identidade, definir a origem de identidade padrão e gerenciar usuários e grupos no domínio vCenter Single Sign-On.

Todos os usuários que podem se autenticar no vCenter Single Sign-On podem redefinir suas senhas. Consulte Altere sua senha do vCenter Single Sign-On. Apenas vCenter Single Sign-On administradores podem redefinir a senha para usuários que não têm mais a senha.

vCenter Single Sign-On Usuários administradores

A interface administrativa do vCenter Single Sign-On pode ser acessada no vSphere Client.

Para configurar o vCenter Single Sign-On e gerenciar vCenter Single Sign-On usuários e grupos, o usuário [email protected] ou um usuário no grupo vCenter Single Sign-On Administrators deve fazer login no vSphere Client. Após a autenticação, esse usuário pode acessar a interface de administração do vCenter Single Sign-On a partir do vSphere Client e gerenciar origens de identidade e domínios padrão, especificar políticas de senha e realizar outras tarefas administrativas.
Observação: Você não pode renomear o usuário administrador do vCenter Single Sign-On, que é [email protected] por padrão ou administrator @ mydomain se você tiver especificado um domínio diferente durante a instalação. Para maior segurança, considere a criação de usuários nomeados adicionais no domínio vCenter Single Sign-On e a atribuição de privilégios administrativos a eles. Em seguida, você pode parar de usar a conta de administrador.

Outras contas de usuário

As seguintes contas de usuário são criadas automaticamente no vCenter Server no domínio vsphere.local (ou no domínio padrão que você criou na instalação). Essas contas de usuário são contas shell. A política de senha do vCenter Single Sign-On não se aplica a essas contas.

Tabela 1. Outras contas de usuário do vSphere
Conta Descrição
K / M Para gerenciamento de chaves Kerberos.
krbtgt / VSPHERE.LOCAL Para compatibilidade com a autenticação integrada do Windows.
waiter- random_string Para Implantação Automática.

ESXi Usuários

Hosts ESXi autônomos não estão integrados ao vCenter Single Sign-On. Consulte Segurança do vSphere para obter informações sobre como adicionar um host ESXi a Active Directory.

Se você criar usuários ESXi locais para um host ESXi gerenciado com o VMware Host Client, ESXCLI ou PowerCLI, vCenter Server não reconhecerá esses usuários. A criação de usuários locais pode, portanto, resultar em confusão, especialmente se você usar os mesmos nomes de usuário. Os usuários que podem se autenticar em vCenter Single Sign-On podem visualizar e gerenciar hosts ESXi se tiverem as permissões correspondentes no objeto de host ESXi.
Observação: Gerencie permissões para hosts ESXi por meio de vCenter Server, se possível.

Como fazer login nos componentes do vCenter Server

Você pode fazer login conectando-se ao vSphere Client.

Quando um usuário faz login em um sistema do vCenter Server do vSphere Client, o comportamento de login depende se o usuário está no domínio que está definido como a origem de identidade padrão.

  • Os usuários que estão no domínio padrão podem fazer login com seu nome de usuário e senha.
  • Os usuários que estão em um domínio que foi adicionado a vCenter Single Sign-On como uma origem de identidade, mas não é o domínio padrão, podem fazer login em vCenter Server, mas devem especificar o domínio de uma das seguintes maneiras.
    • Incluindo um prefixo de nome de domínio, por exemplo, MYDOMAIN \ user1
    • Incluindo o domínio, por exemplo, [email protected]
  • Os usuários que estão em um domínio que não é uma origem de identidade de vCenter Single Sign-On não podem fazer login em vCenter Server. Se o domínio que você adicionar a vCenter Single Sign-On fizer parte de uma hierarquia de domínio, Active Directory determinará se os usuários de outros domínios na hierarquia são autenticados ou não.

Se o seu ambiente incluir uma Active Directory hierarquia, consulte o VMware artigo da base de conhecimento 2064250 para obter detalhes sobre as configurações com suporte e sem suporte.