Wenn sich ein Benutzer bei einer a vSphere-Komponente anmeldet oder wenn ein vCenter Server-Lösungsbenutzer auf einen anderen vCenter Server-Dienst zugreift, führt vCenter Single Sign On die Authentifizierung durch. Die Benutzer müssen bei vCenter Single Sign On authentifiziert sein und über die erforderlichen Rechte für die Interaktion mit vSphere-Objekten verfügen.

vCenter Single Sign On authentifiziert sowohl Lösungsbenutzer als auch andere Benutzer.
  • Lösungsbenutzer stellen einen Satz von Diensten in Ihrer vSphere-Umgebung dar. Während der Installation weist VMCA standardmäßig jedem Lösungsbenutzer ein Zertifikat zu. Der Lösungsbenutzer authentifiziert sich mithilfe dieses Zertifikats bei vCenter Single Sign On. vCenter Single Sign On übergibt dem Lösungsbenutzer ein SAML-Token, und der Lösungsbenutzer kann dann mit anderen Diensten in der Umgebung interagieren.
  • Wenn sich andere Benutzer bei der Umgebung anmelden, beispielsweise vom vSphere Client aus, werden sie von vCenter Single Sign On zur Eingabe eines Benutzernamens und Kennworts aufgefordert. Findet vCenter Single Sign On einen Benutzer mit diesen Anmeldedaten in der entsprechenden Identitätsquelle, wird dem Benutzer ein SAML-Token zugewiesen. Der Benutzer kann nun auf andere Dienste in der Umgebung zugreifen, ohne erneut zur Authentifizierung aufgefordert zu werden.

    vCenter Server-Berechtigungseinstellungen bestimmen in der Regel, welche Objekte der Benutzer anzeigen und welche Aufgaben er ausführen kann. vCenter Server-Administratoren weisen diese Berechtigungen über die Schnittstelle Berechtigungen im vSphere Web Client oder im vSphere Client zu, nicht über vCenter Single Sign On. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

vCenter Single Sign On- und vCenter Server-Benutzer

Benutzer authentifizieren sich bei vCenter Single Sign On durch Eingabe ihrer Anmeldedaten auf der Anmeldeseite. Nach dem Herstellen der Verbindung mit vCenter Server können authentifizierte Benutzer alle vCenter Server-Instanzen oder andere vSphere-Objekte anzeigen, für die sie über die entsprechenden Rechte verfügen. Es ist keine weitere Authentifizierung erforderlich.

Nach der Installation hat der Benutzer „cloudadmin@vmc.local“ vCenter Server Administratorzugriff auf vCenter Single Sign On und vCenter Server. Dieser Benutzer kann in der Domäne „vmc.local“ auch Identitätsquellen hinzufügen und die Standardidentitätsquelle und Richtlinien festlegen. Bestimmte Verwaltungsvorgänge in vmc.local domain sind auf das Bedienpersonal von VMware Cloud on AWS beschränkt.

Hinweis: Wenn Sie das Kennwort für Ihr SDDC über den vSphere Client ändern, wird das neue Kennwort nicht mit dem Kennwort synchronisiert, das auf der Seite mit standardmäßigen vCenter-Anmeldedaten angezeigt wird. Auf dieser Seite werden nur die Standardanmeldedaten angezeigt. Wenn Sie die Anmeldedaten ändern, sind Sie dafür verantwortlich, das neue Kennwort zu speichern. Wenden Sie sich an den technischen Support und fordern Sie die Änderung des Kennworts an.

vCenter Single Sign On-Administratorbenutzer

Die vCenter Single Sign On-Verwaltungsschnittstelle ist über den vSphere Client oder den vSphere Web Client zugänglich.

Um vCenter Single Sign On zu konfigurieren und vCenter Single Sign On-Benutzer und -Gruppen zu verwalten, muss sich der Benutzer „administrator@vsphere.local“ oder ein Benutzer in der vCenter Single Sign On-Administratorengruppe beim vSphere Client anmelden. Bei der Authentifizierung kann der Benutzer über den vCenter Single Sign On auf die vSphere Client-Verwaltungsschnittstelle zugreifen und Identitätsquellen und Standarddomänen verwalten, Kennwortrichtlinien angeben und andere Verwaltungsaufgaben durchführen.