Quando um usuário faz login em um componente do vSphere, ou quando um usuário da solução do vCenter Server acessa outro serviço do vCenter Server, o vCenter Single Sign-On executa a autenticação. Os usuários devem ser autenticados com vCenter Single Sign-On e ter os privilégios necessários para interagir com objetos vSphere.
vCenter Single Sign-On autentica os usuários da solução e outros usuários.
- Os usuários da solução representam um conjunto de serviços em seu ambiente vSphere. Durante a instalação, a VMCA atribui um certificado a cada usuário da solução por padrão. O usuário da solução usa esse certificado para autenticar para vCenter Single Sign-On. vCenter Single Sign-On fornece ao usuário da solução um token SAML, e o usuário da solução pode interagir com outros serviços no ambiente.
- Quando outros usuários fazem login no ambiente, por exemplo, do vSphere Client, vCenter Single Sign-On solicita um nome de usuário e uma senha. Se vCenter Single Sign-On encontrar um usuário com essas credenciais na origem de identidade correspondente, ele atribuirá ao usuário um token SAML. O usuário agora pode acessar outros serviços no ambiente sem ser solicitado a autenticar novamente.
Quais objetos o usuário pode visualizar e o que um usuário pode fazer geralmente são determinados pelas configurações de permissão vCenter Server. Os administradores de vCenter Server atribuem essas permissões a partir da interface Permissões (Permissions) no vSphere Client, não por meio de vCenter Single Sign-On. Consulte a documentação do vSphere Segurança.
Usuários vCenter Single Sign-On e vCenter Server
Os usuários se autenticam em vCenter Single Sign-On inserindo suas credenciais na página de login. Depois de se conectar a vCenter Server, os usuários autenticados podem visualizar todas as instâncias de vCenter Server ou outros objetos vSphere para os quais sua função lhes concede privilégios. Nenhuma autenticação adicional é necessária.
Após a instalação, o administrador do domínio vCenter Single Sign-On, [email protected] por padrão, tem acesso de administrador a vCenter Single Sign-On e vCenter Server. Esse usuário pode adicionar origens de identidade, definir a origem de identidade padrão e gerenciar usuários e grupos no domínio vCenter Single Sign-On.
Todos os usuários que podem se autenticar em vCenter Single Sign-On podem redefinir suas senhas. Consulte Alterar sua senha do vCenter Single Sign-On. Somente os administradores do vCenter Single Sign-On podem redefinir a senha para usuários que não têm mais a senha.
vCenter Single Sign-On Usuários Administradores
A interface administrativa vCenter Single Sign-On pode ser acessada a partir do vSphere Client.
Outras contas de usuário em vCenter Server
As seguintes contas de usuário são criadas automaticamente em vCenter Server no domínio vsphere.local (ou no domínio padrão que você criou na instalação). Essas contas de usuário são contas shell. A política de senha vCenter Single Sign-On não se aplica a essas contas.
Conta | Descrição |
---|---|
K/M | Para gerenciamento de chaves Kerberos. |
krbtgt/VSPHERE.LOCAL | Para compatibilidade de Autenticação Windows Integrada. |
waiter-random_string | Para implantação automática. |
ESXi Usuários
Os hosts ESXi autônomos não são integrados ao vCenter Single Sign-On. Consulte vSphere Segurança para obter informações sobre como adicionar um host ESXi a Active Directory.
Como fazer login em vCenter Server Componentes
Você pode fazer login conectando-se ao vSphere Client.
Quando um usuário faz login em um sistema vCenter Server do vSphere Client, o comportamento do login depende se o usuário está no domínio definido como a origem de identidade padrão.
- Os usuários que estão no domínio padrão podem fazer login com seu nome de usuário e senha.
- Os usuários que estão em um domínio que foi adicionado a vCenter Single Sign-On como uma origem de identidade, mas que não é o domínio padrão, podem fazer login em vCenter Server, mas devem especificar o domínio de uma das seguintes maneiras.
- Incluindo um prefixo de nome de domínio, por exemplo, MEUDOMÍNIO\usuário1
- Incluindo o domínio, por exemplo, [email protected]
- Os usuários que estão em um domínio que não é uma origem de identidade vCenter Single Sign-On não podem fazer login em vCenter Server. Se o domínio que você adicionar a vCenter Single Sign-On fizer parte de uma hierarquia de domínio, Active Directory determinará se os usuários de outros domínios na hierarquia são autenticados ou não.
Se o seu ambiente incluir uma hierarquia Active Directory, consulte o VMware artigo da Base de conhecimento 2064250 para obter detalhes sobre configurações compatíveis e não compatíveis.