Wenn sich ein Benutzer bei einer a vSphere-Komponente anmeldet oder wenn ein vCenter Server-Lösungsbenutzer auf einen anderen vCenter Server-Dienst zugreift, führt vCenter Single Sign On die Authentifizierung durch. Die Benutzer müssen bei vCenter Single Sign On authentifiziert sein und über die erforderlichen Rechte für die Interaktion mit vSphere-Objekten verfügen.

vCenter Single Sign On authentifiziert sowohl Lösungsbenutzer als auch andere Benutzer.
  • Lösungsbenutzer stellen einen Satz von Diensten in Ihrer vSphere-Umgebung dar. Während der Installation weist VMCA standardmäßig jedem Lösungsbenutzer ein Zertifikat zu. Der Lösungsbenutzer authentifiziert sich mithilfe dieses Zertifikats bei vCenter Single Sign On. vCenter Single Sign On übergibt dem Lösungsbenutzer ein SAML-Token, und der Lösungsbenutzer kann dann mit anderen Diensten in der Umgebung interagieren.
  • Wenn sich andere Benutzer bei der Umgebung anmelden, beispielsweise vom vSphere Web Client aus, werden sie von vCenter Single Sign On zur Eingabe eines Benutzernamens und Kennworts aufgefordert. Findet vCenter Single Sign On einen Benutzer mit diesen Anmeldedaten in der entsprechenden Identitätsquelle, wird dem Benutzer ein SAML-Token zugewiesen. Der Benutzer kann nun auf andere Dienste in der Umgebung zugreifen, ohne erneut zur Authentifizierung aufgefordert zu werden.

    vCenter Server-Berechtigungseinstellungen bestimmen in der Regel, welche Objekte der Benutzer anzeigen und welche Aufgaben er ausführen kann. vCenter Server-Administratoren weisen diese Berechtigungen über die Schnittstelle Berechtigungen im vSphere Web Client zu, nicht über vCenter Single Sign On. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

vCenter Single Sign On- und vCenter Server-Benutzer

Mithilfe des vSphere Web Client authentifizieren sich Benutzer bei vCenter Single Sign On, indem sie ihre Anmeldedaten auf der Anmeldeseite des vSphere Web Client eingeben. Nach dem Herstellen der Verbindung mit vCenter Server können authentifizierte Benutzer alle vCenter Server-Instanzen oder andere vSphere-Objekte anzeigen, für die sie über die entsprechenden Rechte verfügen. Es ist keine weitere Authentifizierung erforderlich.

Nach der Installation hat der Administrator der vCenter Single Sign On-Domäne (standardmäßig „[email protected]“) Administratorzugriff auf vCenter Single Sign On und vCenter Server. Dieser Benutzer kann anschließend Identitätsquellen hinzufügen, die standardmäßige Identitätsquelle festlegen und Benutzer und Gruppen in der vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“) verwalten.

Alle Benutzer, die sich bei vCenter Single Sign On authentifizieren können, können ihr Kennwort zurücksetzen, selbst wenn das Kennwort abgelaufen ist. Sie müssen jedoch ihr Kennwort kennen. Weitere Informationen hierzu finden Sie unter Ändern des vCenter Single Sign On-Kennworts. Nur vCenter Single Sign On-Administratoren können das Kennwort für Benutzer zurücksetzen, die nicht mehr über ihr Kennwort verfügen.

vCenter Single Sign On-Administratorbenutzer

Der Zugriff auf die vCenter Single Sign On-Verwaltungsschnittstelle erfolgt über denvSphere Web Client und über die Platform Services Controller-Webschnittstelle.

Um vCenter Single Sign On zu konfigurieren und vCenter Single Sign On-Benutzer und -Gruppen zu verwalten, muss sich der Benutzer „[email protected]“ oder ein Benutzer in der vCenter Single Sign On-Administratorengruppe beim vSphere Web Client anmelden. Bei der Authentifizierung kann der Benutzer über den vCenter Single Sign On auf die vSphere Web Client-Verwaltungsschnittstelle zugreifen und Identitätsquellen und Standarddomänen verwalten, Kennwortrichtlinien angeben und andere Verwaltungsaufgaben durchführen. Weitere Informationen hierzu finden Sie unter Konfigurieren der vCenter Single Sign On-Identitätsquellen.
Hinweis: Sie können den vCenter Single Sign On-Administrator (standardmäßig „[email protected]“ oder „administrator@ mydomain“) nicht umbenennen, wenn Sie bei der Installation eine andere Domäne angegeben haben. Um die Sicherheit zu verbessern, können Sie zusätzliche benannte Benutzer in der vCenter Single Sign On-Domäne erstellen und ihnen Administratorrechte zuweisen. Verwenden Sie das Administratorkonto dann nicht mehr.

ESXi-Benutzer

Eigenständige ESXi-Hosts werden nicht in vCenter Single Sign On oder im Platform Services Controller integriert. Weitere Informationen zum Hinzufügen eines ESXi-Hosts zu Active Directory finden Sie unter vSphere-Sicherheit.

Wenn Sie lokale ESXi-Benutzer für einen verwalteten ESXi-Host mit VMware Host Client, vCLI oder PowerCLI erstellen, erkennt vCenter Server diese Benutzer nicht. Das Erstellen von lokalen Benutzern kann daher verwirrend sein, insbesondere, wenn Sie dieselben Benutzernamen verwenden. Benutzer, die sich bei vCenter Single Sign On authentifizieren können, können ESXi-Hosts anzeigen und verwalten, wenn Sie über die erforderlichen Rechte für das ESXi-Hostobjekt verfügen.
Hinweis: Verwalten Sie Berechtigungen für ESXi-Hosts nach Möglichkeit über vCenter Server.

Vorgehensweise zum Anmelden bei vCenter Server-Komponenten

Sie können sich anmelden, indem Sie eine Verbindung zum vSphere Web Client oder zur Platform Services Controller-Webschnittstelle herstellen.

Wenn sich ein Benutzer vom vSphere Web Client aus bei einem vCenter Server-System anmeldet, hängt das Anmeldeverhalten davon ab, ob der Benutzer sich in der Domäne befindet, die als Standard-Identitätsquelle festgelegt ist.

  • Benutzer, die sich in der Standarddomäne befinden, können sich mit ihrem Benutzernamen und Kennwort anmelden.
  • Benutzer in einer Domäne, die vCenter Single Sign On als Identitätsquelle hinzugefügt wurde, aber nicht die Standarddomäne ist, können sich bei vCenter Server anmelden, müssen dazu aber die Domäne mit einer der folgenden Methoden angeben.
    • Mit Präfix des Domänennamens, beispielsweise MEINEDOMÄNE\Benutzer1
    • Mit der Domäne, beispielsweise benutzer1@meinedomäne.com
  • Benutzer in einer Domäne, die keine Identitätsquelle von vCenter Single Sign On ist, können sich nicht bei vCenter Server anmelden. Wenn die Domäne, die Sie in vCenter Single Sign On hinzufügen, zu einer Domänenhierarchie gehört, bestimmt Active Directory, ob die Benutzer anderer Domänen der Hierarchie authentifiziert werden oder nicht.

Wenn in Ihrer Umgebung eine Active Directory-Hierarchie vorhanden ist, finden Sie im VMware-Knowledgebase-Artikel 2064250 weitere Informationen zu unterstützten und nicht unterstützten Konfigurationen.

Hinweis: Ab vSphere 6.0 Update 2 wird die zweistufige Authentifizierung unterstützt. Weitere Informationen hierzu finden Sie unter Zwei-Faktor-Authentifizierung vCenter Server.