Wenn sich ein Benutzer bei einer vSphere-Komponente anmeldet, wird vCenter Single Sign On zur Authentifizierung verwendet. Benutzer müssen mit vCenter Single Sign On authentifiziert sein und über vCenter Server-Berechtigungen verfügen, um vSphere-Objekte anzuzeigen und zu verwalten.

Wenn sich Benutzer bei vSphere Web Client anmelden, werden sie zunächst von vCenter Single Sign On authentifiziert. vCenter Server überprüft die Berechtigungen für authentifizierte Benutzer. Was ein Benutzer sehen und vornehmen kann, wird von vSphere-Berechtigungseinstellungen für vCenter Server und ESXi und von den Anwendungen in der Umgebung festgelegt. vCenter Server-Administratoren weisen diese Berechtigungen von der Schnittstelle Verwalten > Berechtigungen im vSphere Web Client zu, nicht über vCenter Single Sign On. Siehe vSphere-Benutzer und -Berechtigungen und vCenter-Benutzer-Verwaltungsaufgaben.

vCenter Single Sign On und vCenter Server-Benutzer

Mithilfe des vSphere Web Client authentifizieren sich Benutzer bei vCenter Single Sign On, indem sie ihre Anmeldedaten auf der Anmeldeseite des vSphere Web Client eingeben. Nach dem Herstellen der Verbindung mit vCenter Server können authentifizierte Benutzer alle vCenter Server-Instanzen oder andere vSphere-Dienste anzeigen, für die sie über Berechtigungen verfügen. Es ist keine weitere Authentifizierung erforderlich. Welche Aktionen authentifizierte Benutzer für Objekte durchführen können, hängt von den vCenter Server-Berechtigungen des Benutzers für diese Objekte ab. Siehe vSphere-Benutzer und -Berechtigungen und vCenter-Benutzer-Verwaltungsaufgaben.

Nach der Installation hat der Benutzer „administrator@vsphere.local“ Administratorzugriff auf vCenter Single Sign On und vCenter Server. Dieser Benutzer kann anschließend Identitätsquellen hinzufügen, die standardmäßige Identitätsquelle festlegen und Benutzer und Gruppen in der vCenter Single Sign On-Domäne (vsphere.local) verwalten.

Während für die meisten vCenter Single Sign On-Verwaltungsaufgaben vCenter Single Sign On-Administratorrechte erforderlich sind, können alle Benutzer, die sich bei vCenter Single Sign On authentifizieren können, ihr Kennwort zurücksetzen, auch wenn das Kennwort abgelaufen ist. Weitere Informationen hierzu finden Sie unter Zurücksetzen eines abgelaufenen vCenter Single Sign-On-Kennworts.

vCenter Single Sign On-Administratorbenutzer

Die vCenter Single Sign On-Verwaltungsschnittstelle ist vom vSphere Web Client aus zugänglich.

Um vCenter Single Sign On zu konfigurieren und vCenter Single Sign On-Benutzer und -Gruppen zu verwalten, muss sich der Benutzer „administrator@vsphere.local“ oder ein Benutzer mit vCenter Single Sign On-Administratorrechten beim vSphere Web Client anmelden. Bei der Authentifizierung kann der Benutzer auf die vCenter Single Sign-On-Verwaltungsschnittstelle zugreifen, um die Identitätsquellen und Standarddomänen zu verwalten, die Kennwortrichtlinien anzugeben und andere Verwaltungsaufgaben durchzuführen. Weitere Informationen hierzu finden Sie unter Konfigurieren von vCenter Single Sign-On.

Anmerkung:

Sie können den Benutzer aministrator@vsphere.local nicht umbenennen. Um die Sicherheit zu verbessern, können Sie zusätzliche Benutzer in der vsphere.local-Domäne erstellen und ihnen Administratorberechtigungen zuweisen. Verwenden Sie administrator@vsphere.local dann nicht mehr.

Authentifizierung in verschiedenen Versionen von vSphere

Wenn ein Benutzer eine Verbindung zu einem vCenter Server-System mit Version 5.0.x oder früher herstellt, authentifiziert vCenter Server den Benutzer, indem dieser anhand einer Active Directory-Domäne bzw. der Liste der lokalen Benutzer des Betriebssystems validiert wird. In vCenter Server 5.1 und höher authentifizieren sich Benutzer über vCenter Single Sign-On.

Anmerkung:

Sie können vSphere Web Client nicht verwenden, um vCenter Server der Version 5.0 oder früher zu verwalten. Aktualisieren Sie vCenter Server auf Version 5.1 oder höher.

ESXi-Benutzer

ESXi 5.1 ist nicht in vCenter Single Sign On integriert. Sie fügen den ESXi-Host explizit zu einer Active Directory-Domäne hinzu. Weitere Informationen hierzu finden Sie unter Hinzufügen eines ESXi-Hosts zu einer Active Directory-Domäne.

Sie können weiterhin lokale ESXi-Benutzer mit vSphere Client, vCLI oder PowerCLI erstellen. vCenter Server kennt keine lokalen Benutzer von ESXi und ESXi kennt keine vCenter Server-Benutzer.

Anmeldeverhalten

Wenn ein Benutzer sich vom vSphere Web Client aus bei einem vCenter Server-System anmeldet, hängt das Anmeldeverhalten davon ab, ob der Benutzer sich in der Standarddomäne befindet.

  • Benutzer, die sich in der Standarddomäne befinden, können sich mit ihrem Benutzernamen und Kennwort anmelden.

  • Benutzer in einer Domäne, die vCenter Single Sign-On als Identitätsquelle hinzugefügt wurde, aber nicht die Standarddomäne ist, können sich bei vCenter Server anmelden, müssen dazu aber die Domäne mit einer der folgenden Methoden angeben.

    • Mit Präfix des Domänennamens, beispielsweise MEINEDOMÄNE\Benutzer1

    • Mit der Domäne, beispielsweise benutzer1@meinedomäne.com

  • Benutzer in einer Domäne, die keine Identitätsquelle von vCenter Single Sign-On ist, können sich nicht bei vCenter Server anmelden. Wenn die Domäne, die Sie in vCenter Single Sign-On hinzufügen, zu einer Domänenhierarchie gehört, bestimmt Active Directory, ob die Benutzer anderer Domänen der Hierarchie authentifiziert werden oder nicht.