Origens de identidade para vCenter Server com vCenter Single Sign-On

Você pode usar fontes de identidade para anexar um ou mais domínios a vCenter Single Sign-On. Um domínio é um repositório para usuários e grupos que o servidor vCenter Single Sign-On pode usar para autenticação do usuário.

Observação: No vSphere 7.0 Update 2 e posterior, você pode habilitar o FIPS no vCenter Server. Consulte a documentação do vSphere Segurança. Não há suporte para AD sobre LDAP e IWA quando o FIPS está ativado. Use a federação de provedor de identidade externo quando estiver no modo FIPS. Consulte #GUID-F58EDD6D-0ACA-4ADD-AC7C-3A43C5E949F5.

Observação: No vSphere 7.0 Update 2 e posterior, você pode habilitar o FIPS no vCenter Server. Consulte a documentação do vSphere Segurança. Não há suporte para AD sobre LDAP e IWA quando o FIPS está ativado. Use a federação de provedor de identidade externo quando estiver no modo FIPS. Para obter mais informações sobre como configurar a vCenter Server Federação do Provedor de Identidade, consulte a documentação do vSphere Autenticação.

Um administrador pode adicionar origens de identidade, definir a origem de identidade padrão e criar usuários e grupos na origem de identidade vsphere.local.

Os dados do usuário e do grupo são armazenados em Active Directory, OpenLDAP ou localmente no sistema operacional da máquina em que o vCenter Single Sign-On está instalado. Após a instalação, cada instância de vCenter Single Sign-On tem a origem de identidade your_domain_name, por exemplo, vsphere.local. Essa origem de identidade é interna a vCenter Single Sign-On.

Observação: A qualquer momento, existe apenas um domínio padrão. Se um usuário de um domínio não padrão fizer login, esse usuário deverá adicionar o nome de domínio para ser autenticado com êxito. O nome de domínio está no formato:

DOMAIN\user

As seguintes origens de identidade estão disponíveis.

Active Directory sobre LDAP. vCenter Single Sign-On oferece suporte a várias fontes de identidade Active Directory sobre LDAP.
Active Directory (Autenticação Windows Integrada) versões 2003 e posteriores. vCenter Single Sign-On permite que você especifique um único domínio Active Directory como uma origem de identidade. O domínio pode ter domínios filho ou ser um domínio raiz de floresta. VMware O artigo da base de conhecimento 2064250 discute os Microsoft Active Directory Trusts compatíveis com o vCenter Single Sign-On.
OpenLDAP versões 2.4 e posteriores. vCenter Single Sign-On é compatível com várias origens de identidade OpenLDAP.

Observação: Uma atualização futura do Microsoft Windows alterará o comportamento padrão de Active Directory para exigir autenticação e criptografia fortes. Essa alteração afetará a forma como o vCenter Server é autenticado em Active Directory. Se você usar Active Directory como sua origem de identidade para vCenter Server, deverá planejar a ativação do LDAPS. Para obter mais informações sobre esta atualização de segurança da Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 e https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.

Para obter mais informações sobre vCenter Single Sign-On, consulte vSphere Autenticação.