Mithilfe von Identitätsquellen können Sie vCenter Single Sign On eine oder mehrere Domänen hinzufügen. Bei einer Domäne handelt es sich um ein Repository für Benutzer und Gruppen, das der vCenter Single Sign On-Server für die Benutzerauthentifizierung verwenden kann.

Eine Identitätsquelle ist eine Sammlung von Benutzer- und Gruppendaten. Die Benutzer- und Gruppendaten werden in Active Directory, OpenLDAP oder lokal im Betriebssystem der Maschine, auf der vCenter Single Sign On installiert ist, gespeichert. Bei der Installation weist jede Instanz von vCenter Single Sign On die Identitätsquelle „vpshere.local“ für das lokale Betriebssystem auf. Diese Identitätsquelle ist intern in vCenter Single Sign On vorhanden.

Ein vCenter Single Sign On-Administratorbenutzer kann vCenter Single Sign On-Benutzer und -Gruppen erstellen.

Typen von Identitätsquellen

vCenter Server-Versionen vor Version 5.1 haben Active Directory und Benutzer des lokalen Betriebssystems als Benutzer-Repositorys unterstützt. Deshalb konnten lokale Betriebssystembenutzer sich immer beim vCenter Server-System authentifizieren. vCenter Server 5.1 und 5.5 verwenden vCenter Single Sign-On für die Authentifizierung. Eine Aufstellung der für vCenter Single Sign-On 5.1 unterstützten Identitätsquellen finden Sie in der Dokumentation zu vSphere 5.1. vCenter Single Sign-On 5.5 unterstützt die folgenden Typen von Benutzer-Repositorys als Identitätsquellen, unterstützt aber nur eine einzige standardmäßige Identitätsquelle.

  • Active Directory-Version 2003 und höher. Mit vCenter Single Sign-On können Sie eine einzelne Active Directory-Domäne als Identitätsquelle angeben. Die Domäne kann untergeordnete Domänen haben, oder es kann sich dabei um eine Gesamtstruktur-Stammdomäne handeln. Wird als Active Directory (Integrierte Windows-Authentifizierung) auf dem vSphere Web Client angezeigt.

  • Active Directory über LDAP. vCenter Single Sign-On unterstützt mehrere Active Directory- über LDAP-Identitätsquellen. Dieser Identitätsquellentyp wird zur Gewährleistung der Kompatibilität mit dem in vSphere 5.1 enthaltenen vCenter Single Sign-On-Dienst bereitgestellt. Wird als Active Directory als ein LDAP-Server auf dem vSphere Web Client angezeigt.

  • OpenLDAP Version 2.4 und höher. vCenter Single Sign-On unterstützt mehrere OpenLDAP-Identitätsquellen. Wird als OpenLDAP auf dem vSphere Web Client angezeigt.

  • Benutzer des lokalen Betriebssystems. Benutzer des lokalen Betriebssystems sind lokale Benutzer in dem Betriebssystem, unter dem der vCenter Single Sign-On-Server läuft. Die Identitätsquelle des lokalen Betriebssystems existiert nur in einfachen vCenter Server-Installationen und in benutzerdefinierten Installationen mit einer eigenständigen vCenter Single Sign-On-Bereitstellung. Die Identitätsquelle des lokalen Betriebssystems ist in Bereitstellungen mit mehreren vCenter Single Sign-On-Instanzen nicht verfügbar. Nur eine Identitätsquelle des lokalen Betriebssystems ist gestattet. Wird als localos auf dem vSphere Web Client angezeigt.

  • vCenter Single Sign-On-Systembenutzer. Genau eine Systemidentitätsquelle, nämlich „vsphere.local“, wird bei der Installation von vCenter Single Sign-On erstellt. Wird als vsphere.local auf dem vSphere Web Client angezeigt.

Anmerkung:

Es ist jeweils immer nur eine Standarddomäne vorhanden. Wenn sich ein Benutzer aus einer Nicht-Standarddomäne anmeldet, muss dieser Benutzer den Domänennamen (DOMAIN\user) hinzufügen, um erfolgreich authentifiziert zu werden.

Die vCenter Single Sign-On-Identitätsquellen werden von vCenter Single Sign-On-Administratorbenutzern verwaltet.

Sie können einer vCenter Single Sign-On-Serverinstanz Identitätsquellen hinzufügen. Remoteidentitätsquellen sind auf Active Directory- und OpenLDAP-Server-Implementierungen beschränkt.

Anmeldeverhalten

Wenn ein Benutzer sich vom vSphere Web Client aus bei einem vCenter Server-System anmeldet, hängt das Anmeldeverhalten davon ab, ob der Benutzer sich in der Standarddomäne befindet.

  • Benutzer, die sich in der Standarddomäne befinden, können sich mit ihrem Benutzernamen und Kennwort anmelden.

  • Benutzer in einer Domäne, die vCenter Single Sign-On als Identitätsquelle hinzugefügt wurde, aber nicht die Standarddomäne ist, können sich bei vCenter Server anmelden, müssen dazu aber die Domäne mit einer der folgenden Methoden angeben.

    • Mit Präfix des Domänennamens, beispielsweise MEINEDOMÄNE\Benutzer1

    • Mit der Domäne, beispielsweise benutzer1@meinedomäne.com

  • Benutzer in einer Domäne, die keine Identitätsquelle von vCenter Single Sign-On ist, können sich nicht bei vCenter Server anmelden. Wenn die Domäne, die Sie in vCenter Single Sign-On hinzufügen, zu einer Domänenhierarchie gehört, bestimmt Active Directory, ob die Benutzer anderer Domänen der Hierarchie authentifiziert werden oder nicht.

Berechtigungen, die das Resultat von geschachtelten Gruppen aus unterschiedlichen Identitätsquellen sind, werden von vCenter Single Sign On nicht weitergegeben. Wenn Sie beispielsweise die Gruppe der Domänenadministratoren zur Gruppe der lokalen Administratoren hinzufügen, werden die Berechtigungen nicht weitergegeben, da „Lokales Betriebssystem“ und „Active Directory“ separate Identitätsquellen sind.