Einschränkungen und Interoperabilität des vCenter Server-Identitätsanbieterverbunds

Der vCenter Server-Identitätsanbieterverbund kann mit vielen anderen VMware-Funktionen zusammenarbeiten.

Beachten Sie beim Planen Ihrer Strategie für den vCenter Server-Identitätsanbieterverbund mögliche Beschränkungen bei der Interoperabilität.

Authentifizierungsmechanismen

In einer Konfiguration für vCenter Server-Identitätsanbieterverbund verarbeitet der externe Identitätsanbieter die Authentifizierungsmechanismen (Kennwörter, MFA, Biometrie usw.).

Unterstützung für eine einzelne Active Directory-Domäne

Wenn Sie denvCenter Server-Identitätsanbieterverbund konfigurieren, werden Sie vom Assistenten „Hauptidentitätsanbieter konfigurieren“ aufgefordert, LDAP-Informationen für die AD-Domäne einzugeben, die die Benutzer und Gruppen enthält, die auf vCenter Server zugreifen sollen. vCenter Server leitet die AD-Domäne, die zur Autorisierung und für Berechtigungen verwendet wird, vom Benutzer-Basis-DN ab, den Sie im Assistenten angeben. Sie können Berechtigungen für vSphere-Objekte nur für Benutzer und Gruppen aus dieser AD-Domäne hinzufügen. Benutzer oder Gruppen aus untergeordneten AD-Domänen oder anderen Domänen in der AD-Gesamtstruktur werden vom vCenter Server-Identitätsanbieterverbund nicht unterstützt.

vCenter Server-Richtlinien

Wenn vCenter Server als Identitätsanbieter fungiert, steuern Sie Kennwort-, Sperrungs- und Token-Richtlinien von vCenter Server für die Domäne „vsphere.local“. Wenn Sie die Verbundauthentifizierung mit vCenter Server verwenden, steuert der externe Identitätsanbieter die Kennwort-, Sperrungs- und Token-Richtlinien für die in der Identitätsquelle gespeicherten Konten, wie z. B. Active Directory.

Audits und Konformität

Wenn Sie vCenter Server-Identitätsanbieterverbund verwenden, erstellt vCenter Server weiterhin Protokolleinträge für erfolgreiche Benutzeranmeldungen. Der externe Identitätsanbieter ist jedoch für die Verfolgung und Protokollierung von Aktionen wie fehlgeschlagenen Versuchen zur Kennworteingabe und die Sperrung von Benutzerkonten verantwortlich. vCenter Server protokolliert solche Ereignisse nicht, da sie für vCenter Server nicht mehr sichtbar sind. Wenn beispielsweise AD FS der Identitätsanbieter ist, werden Fehler für Verbundanmeldungen von AD FS nachverfolgt und protokolliert. Wenn vCenter Server der Identifizierungsanbieter für lokale Anmeldungen ist, werden Fehler für lokale Anmeldungen von vCenter Server nachverfolgt und protokolliert. In einer Verbundkonfiguration protokolliert vCenter Server weiterhin Benutzeraktionen nach der Anmeldung.

Integration vorhandener VMware-Produkte

VMware-Produkte, die in vCenter Server integriert sind (z. B. vROps, vSAN, NSX usw.), funktionieren weiterhin wie bisher.

Produkte, die nach der Anmeldung integriert werden

Produkte, die nach der Anmeldung integriert werden (also keine separate Anmeldung benötigten), funktionieren weiterhin wie bisher.

Einfache Authentifizierung für API-, SDK- und CLI-Zugriff

Vorhandene Skripts, Produkte und andere Funktionen, die auf API-, SDK- oder CLI-Befehlen basieren, die eine einfache Authentifizierung (Benutzername und Kennwort) verwenden, funktionieren weiterhin wie zuvor. Intern erfolgt die Authentifizierung durch Übergabe des Benutzernamens und des Kennworts. Diese Weitergabe des Benutzernamens und des Kennworts beeinträchtigt einige der Vorteile der Verwendung des Identitätsverbunds, da das Kennwort für vCenter Server und Ihre Skripts verfügbar gemacht werden. Migrieren Sie nach Möglichkeit zu einer token-basierten Authentifizierung.

vCenter Server-Verwaltungsschnittstelle

Wenn der Benutzer ein Mitglied der Administratorgruppe ist, wird der Zugriff auf die vCenter Server-Verwaltungsschnittstelle (früher als vCenter Server Appliance-Verwaltungsschnittstelle oder VAMI bezeichnet) unterstützt.

Eingeben von Benutzernamentext auf der AD FS-Anmeldeseite

Die AD FS-Anmeldeseite unterstützt keine Übergabe von Text, um das Textfeld „Benutzername“ vorab auszufüllen. Infolgedessen müssen Sie bei Verbundanmeldungen mit AD FS nach der Eingabe Ihres Benutzernamens auf der vCenter Server-Startseite und der Umleitung auf die AD FS-Anmeldeseite Ihren Benutzernamen auf der AD FS-Anmeldeseite erneut eingeben. Der Benutzername, den Sie auf der vCenter Server-Startseite eingeben, wird benötigt, um die Anmeldung an den entsprechenden Identitätsanbieter umzuleiten, und der Benutzername auf der AD FS-Anmeldeseite ist für die Authentifizierung bei AD FS erforderlich. Diese Unfähigkeit, den Benutzernamen an die AD FS-Anmeldeseite zu übergeben, ist eine Einschränkung von AD FS. Sie können dieses Verhalten nicht direkt über vCenter Server konfigurieren oder ändern.