Wenn sich ein Benutzer bei einer a vSphere-Komponente anmeldet oder wenn ein vCenter Server-Lösungsbenutzer auf einen anderen vCenter Server-Dienst zugreift, führt vCenter Single Sign On die Authentifizierung durch. Die Benutzer müssen bei vCenter Single Sign On authentifiziert sein und über die erforderlichen Rechte für die Interaktion mit vSphere-Objekten verfügen.

vCenter Single Sign On authentifiziert sowohl Lösungsbenutzer als auch andere Benutzer.

  • Lösungsbenutzer stellen einen Satz von Diensten in Ihrer vSphere-Umgebung dar. Während der Installation weist VMCA standardmäßig jedem Lösungsbenutzer ein Zertifikat zu. Der Lösungsbenutzer authentifiziert sich mithilfe dieses Zertifikats bei vCenter Single Sign On. vCenter Single Sign On übergibt dem Lösungsbenutzer ein SAML-Token, und der Lösungsbenutzer kann dann mit anderen Diensten in der Umgebung interagieren.

  • Wenn sich andere Benutzer bei der Umgebung anmelden, beispielsweise vom vSphere Web Client aus, werden sie von vCenter Single Sign On zur Eingabe eines Benutzernamens und Kennworts aufgefordert. Findet vCenter Single Sign On einen Benutzer mit diesen Anmeldedaten in der entsprechenden Identitätsquelle, wird dem Benutzer ein SAML-Token zugewiesen. Der Benutzer kann nun auf andere Dienste in der Umgebung zugreifen, ohne erneut zur Authentifizierung aufgefordert zu werden.

    vCenter Server-Berechtigungseinstellungen bestimmen in der Regel, welche Objekte der Benutzer anzeigen und welche Aufgaben er ausführen kann. vCenter Server-Administratoren weisen diese Berechtigungen über die Schnittstelle Berechtigungen > verwalten im vSphere Web Client zu, und nicht über vCenter Single Sign On. Weitere Informationen hierzu finden Sie unter vSphere-Berechtigungen und Benutzerverwaltungsaufgaben.

vCenter Single Sign On- und vCenter Server-Benutzer

Mithilfe des vSphere Web Client authentifizieren sich Benutzer bei vCenter Single Sign On, indem sie ihre Anmeldedaten auf der Anmeldeseite des vSphere Web Client eingeben. Nach dem Herstellen der Verbindung mit vCenter Server können authentifizierte Benutzer alle vCenter Server-Instanzen oder andere vSphere-Objekte anzeigen, für die sie über die entsprechenden Rechte verfügen. Es ist keine weitere Authentifizierung erforderlich. Weitere Informationen hierzu finden Sie unter vSphere-Berechtigungen und Benutzerverwaltungsaufgaben.

Nach der Installation hat der Benutzer „administrator@vsphere.local“ Administratorzugriff auf vCenter Single Sign On und vCenter Server. Dieser Benutzer kann anschließend Identitätsquellen hinzufügen, die standardmäßige Identitätsquelle festlegen und Benutzer und Gruppen in der vCenter Single Sign On-Domäne (vsphere.local) verwalten.

Alle Benutzer, die sich bei vCenter Single Sign On authentifizieren können, können ihr Kennwort zurücksetzen, selbst wenn das Kennwort abgelaufen ist. Sie müssen jedoch ihr Kennwort kennen. Weitere Informationen hierzu finden Sie unter Ändern des vCenter Single Sign On-Kennworts. Nur vCenter Single Sign On-Administratoren können das Kennwort für Benutzer zurücksetzen, die nicht mehr über ihr Kennwort verfügen.

vCenter Single Sign On-Administratorbenutzer

Die vCenter Single Sign On-Verwaltungsschnittstelle ist vom vSphere Web Client aus zugänglich.

Um vCenter Single Sign On zu konfigurieren und vCenter Single Sign On-Benutzer und -Gruppen zu verwalten, muss sich der Benutzer „administrator@vsphere.local“ oder ein Benutzer in der vCenter Single Sign On-Administratorengruppe beim vSphere Web Client anmelden. Bei der Authentifizierung kann der Benutzer über den vCenter Single Sign On auf die vSphere Web Client-Verwaltungsschnittstelle zugreifen und Identitätsquellen und Standarddomänen verwalten, Kennwortrichtlinien angeben und andere Verwaltungsaufgaben durchführen. Weitere Informationen hierzu finden Sie unter Konfigurieren der vCenter Single Sign On-Identitätsquellen.

Anmerkung:

Sie können den Benutzer aministrator@vsphere.local nicht umbenennen. Um die Sicherheit zu verbessern, können Sie zusätzliche benannte Benutzer in der Domäne „vsphere.local“ erstellen und ihnen Administratorrechte zuweisen. Verwenden Sie administrator@vsphere.local dann nicht mehr.

Authentifizierung in verschiedenen Versionen von vSphere

Wenn ein Benutzer eine Verbindung zu einem vCenter Server-System mit Version 5.0.x oder früher herstellt, authentifiziert vCenter Server den Benutzer, indem dieser anhand einer Active Directory-Domäne bzw. der Liste der lokalen Benutzer des Betriebssystems validiert wird. In vCenter Server 5.1 und höher authentifizieren sich Benutzer über vCenter Single Sign-On.

Anmerkung:

Sie können vSphere Web Client nicht verwenden, um vCenter Server der Version 5.0 oder früher zu verwalten. Aktualisieren Sie vCenter Server auf Version 5.1 oder höher.

ESXi-Benutzer

ESXi ist nicht in vCenter Single Sign On integriert. Sie fügen den ESXi-Host explizit zu einer Active Directory-Domäne hinzu. Weitere Informationen hierzu finden Sie unter Konfigurieren eines Hosts für die Verwendung von Active Directory.

Sie können weiterhin lokale ESXi-Benutzer mit vSphere Client, vCLI oder PowerCLI erstellen. vCenter Server kennt keine lokalen Benutzer von ESXi und ESXi kennt keine vCenter Server-Benutzer.

Anmerkung:

Verwalten Sie Berechtigungen für ESXi-Hosts nach Möglichkeit über vCenter Server.

Vorgehensweise zum Anmelden bei vCenter Server-Komponenten

Wenn sich ein Benutzer vom vSphere Web Client aus bei einem vCenter Server-System anmeldet, hängt das Anmeldeverhalten davon ab, ob der Benutzer sich in der Standarddomäne befindet, d. h., in der als Standard-Identitätsquelle festgelegten Domäne.

  • Benutzer, die sich in der Standarddomäne befinden, können sich mit ihrem Benutzernamen und Kennwort anmelden.

  • Benutzer in einer Domäne, die vCenter Single Sign On als Identitätsquelle hinzugefügt wurde, aber nicht die Standarddomäne ist, können sich bei vCenter Server anmelden, müssen dazu aber die Domäne mit einer der folgenden Methoden angeben.

    • Mit Präfix des Domänennamens, beispielsweise MEINEDOMÄNE\Benutzer1

    • Mit der Domäne, beispielsweise benutzer1@meinedomäne.com

  • Benutzer in einer Domäne, die keine Identitätsquelle von vCenter Single Sign On ist, können sich nicht bei vCenter Server anmelden. Wenn die Domäne, die Sie in vCenter Single Sign On hinzufügen, zu einer Domänenhierarchie gehört, bestimmt Active Directory, ob die Benutzer anderer Domänen der Hierarchie authentifiziert werden oder nicht.

Anmerkung:

Wenn in Ihrer Umgebung eine Active Directory-Hierarchie vorhanden ist, finden Sie im VMware-Knowledgebase-Artikel 2064250 weitere Informationen zu unterstützten und nicht unterstützten Konfigurationen.