Quando um usuário faz login em um componente do vSphere, ou quando um usuário da solução do vCenter Server acessa outro serviço do vCenter Server, o vCenter Single Sign-On executa a autenticação. Os usuários devem ser autenticados com vCenter Single Sign-On e ter os privilégios necessários para interagir com objetos vSphere.

vCenter Single Sign-On autentica os usuários da solução e outros usuários.

  • Os usuários da solução representam um conjunto de serviços em seu ambiente vSphere. Durante a instalação, a VMCA atribui um certificado a cada usuário da solução por padrão. O usuário da solução usa esse certificado para autenticar para vCenter Single Sign-On. vCenter Single Sign-On fornece ao usuário da solução um token SAML, e o usuário da solução pode interagir com outros serviços no ambiente.
  • Quando outros usuários fazem login no ambiente, por exemplo, do vSphere Client, vCenter Single Sign-On solicita um nome de usuário e uma senha. Se vCenter Single Sign-On encontrar um usuário com essas credenciais na origem de identidade correspondente, ele atribuirá ao usuário um token SAML. O usuário agora pode acessar outros serviços no ambiente sem ser solicitado a autenticar novamente.

    Quais objetos o usuário pode visualizar e o que um usuário pode fazer geralmente são determinados pelas configurações de permissão vCenter Server. Os administradores de vCenter Server atribuem essas permissões a partir da interface Permissões (Permissions) no vSphere Client, não por meio de vCenter Single Sign-On. Consulte a documentação do vSphere Segurança.

Usuários vCenter Single Sign-On e vCenter Server

Os usuários se autenticam em vCenter Single Sign-On inserindo suas credenciais na página de login. Depois de se conectar a vCenter Server, os usuários autenticados podem visualizar todas as instâncias de vCenter Server ou outros objetos vSphere para os quais sua função lhes concede privilégios. Nenhuma autenticação adicional é necessária.

Após a instalação, o administrador do domínio vCenter Single Sign-On, [email protected] por padrão, tem acesso de administrador a vCenter Single Sign-On e vCenter Server. Esse usuário pode adicionar origens de identidade, definir a origem de identidade padrão e gerenciar usuários e grupos no domínio vCenter Single Sign-On.

Todos os usuários que podem se autenticar em vCenter Single Sign-On podem redefinir suas senhas. Consulte Alterar sua senha do vCenter Single Sign-On. Somente os administradores do vCenter Single Sign-On podem redefinir a senha para usuários que não têm mais a senha.

vCenter Single Sign-On Usuários Administradores

A interface administrativa vCenter Single Sign-On pode ser acessada a partir do vSphere Client.

Para configurar o vCenter Single Sign-On e gerenciar usuários e grupos do vCenter Single Sign-On, o usuário [email protected] ou um usuário do grupo vCenter Single Sign-On Administradores deve fazer login no vSphere Client. Após a autenticação, esse usuário pode acessar a interface de administração do vCenter Single Sign-On do vSphere Client e gerenciar origens de identidade e domínios padrão, especificar políticas de senha e executar outras tarefas administrativas.
Observação: Não é possível renomear o vCenter Single Sign-On usuário administrador, que por padrão é [email protected] por padrão ou administrator@ meudomínio se você tiver especificado um domínio diferente durante a instalação. Para melhorar a segurança, considere a criação de usuários nomeados adicionais no domínio vCenter Single Sign-On e atribuindo a eles privilégios administrativos. Em seguida, você pode parar de usar a conta de administrador.

Outras contas de usuário em vCenter Server

As seguintes contas de usuário são criadas automaticamente em vCenter Server no domínio vsphere.local (ou no domínio padrão que você criou na instalação). Essas contas de usuário são contas shell. A política de senha vCenter Single Sign-On não se aplica a essas contas.

Tabela 1. Outras vCenter Server contas de usuário
Conta Descrição
K/M Para gerenciamento de chaves Kerberos.
krbtgt/VSPHERE.LOCAL Para compatibilidade de Autenticação Windows Integrada.
waiter-random_string Para implantação automática.

ESXi Usuários

Os hosts ESXi autônomos não são integrados ao vCenter Single Sign-On. Consulte vSphere Segurança para obter informações sobre como adicionar um host ESXi a Active Directory.

Se você criar usuários ESXi locais para um host ESXi gerenciado com o VMware Host Client, ESXCLI ou PowerCLI, vCenter Server não reconhecerá esses usuários. A criação de usuários locais pode, portanto, resultar em confusão, especialmente se você usar os mesmos nomes de usuário. Os usuários que podem se autenticar em vCenter Single Sign-On poderão visualizar e gerenciar hosts ESXi se tiverem as permissões correspondentes no objeto de host ESXi.
Observação: Gerencie permissões para hosts ESXi por meio de vCenter Server, se possível.

Como fazer login em vCenter Server Componentes

Você pode fazer login conectando-se ao vSphere Client.

Quando um usuário faz login em um sistema vCenter Server do vSphere Client, o comportamento do login depende se o usuário está no domínio definido como a origem de identidade padrão.

  • Os usuários que estão no domínio padrão podem fazer login com seu nome de usuário e senha.
  • Os usuários que estão em um domínio que foi adicionado a vCenter Single Sign-On como uma origem de identidade, mas que não é o domínio padrão, podem fazer login em vCenter Server, mas devem especificar o domínio de uma das seguintes maneiras.
    • Incluindo um prefixo de nome de domínio, por exemplo, MEUDOMÍNIO\usuário1
    • Incluindo o domínio, por exemplo, [email protected]
  • Os usuários que estão em um domínio que não é uma origem de identidade vCenter Single Sign-On não podem fazer login em vCenter Server. Se o domínio que você adicionar a vCenter Single Sign-On fizer parte de uma hierarquia de domínio, Active Directory determinará se os usuários de outros domínios na hierarquia são autenticados ou não.

Se o seu ambiente incluir uma hierarquia Active Directory, consulte o VMware artigo da Base de conhecimento 2064250 para obter detalhes sobre configurações compatíveis e não compatíveis.