Wenn sich ein Benutzer bei einer a vSphere-Komponente anmeldet oder wenn ein vCenter Server-Lösungsbenutzer auf einen anderen vCenter Server-Dienst zugreift, führt vCenter Single Sign On die Authentifizierung durch. Die Benutzer müssen bei vCenter Single Sign On authentifiziert sein und über die erforderlichen Rechte für die Interaktion mit vSphere-Objekten verfügen.

vCenter Single Sign On authentifiziert sowohl Lösungsbenutzer als auch andere Benutzer.

  • Lösungsbenutzer stellen einen Satz von Diensten in Ihrer vSphere-Umgebung dar. Während der Installation weist VMCA standardmäßig jedem Lösungsbenutzer ein Zertifikat zu. Der Lösungsbenutzer authentifiziert sich mithilfe dieses Zertifikats bei vCenter Single Sign On. vCenter Single Sign On übergibt dem Lösungsbenutzer ein SAML-Token, und der Lösungsbenutzer kann dann mit anderen Diensten in der Umgebung interagieren.
  • Wenn sich andere Benutzer bei der Umgebung anmelden, beispielsweise vom vSphere Client aus, werden sie von vCenter Single Sign On zur Eingabe eines Benutzernamens und Kennworts aufgefordert. Findet vCenter Single Sign On einen Benutzer mit diesen Anmeldedaten in der entsprechenden Identitätsquelle, wird dem Benutzer ein SAML-Token zugewiesen. Der Benutzer kann nun auf andere Dienste in der Umgebung zugreifen, ohne erneut zur Authentifizierung aufgefordert zu werden.

    vCenter Server-Berechtigungseinstellungen bestimmen in der Regel, welche Objekte der Benutzer anzeigen und welche Aufgaben er ausführen kann. vCenter Server-Administratoren weisen diese Berechtigungen über die Schnittstelle Berechtigungen im vSphere Client zu, nicht über vCenter Single Sign On. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

vCenter Single Sign On- und vCenter Server-Benutzer

Benutzer authentifizieren sich bei vCenter Single Sign On durch Eingabe ihrer Anmeldedaten auf der Anmeldeseite. Nach dem Herstellen der Verbindung mit vCenter Server können authentifizierte Benutzer alle vCenter Server-Instanzen oder andere vSphere-Objekte anzeigen, für die sie über die entsprechenden Rechte verfügen. Es ist keine weitere Authentifizierung erforderlich.

Nach der Installation hat der Administrator der vCenter Single Sign On-Domäne (standardmäßig „[email protected]“) Administratorzugriff auf vCenter Single Sign On und vCenter Server. Dieser Benutzer kann anschließend Identitätsquellen hinzufügen, die standardmäßige Identitätsquelle festlegen und Benutzer und Gruppen in der vCenter Single Sign On-Domäne verwalten.

Alle Benutzer, die sich bei vCenter Single Sign On authentifizieren können, können ihr Kennwort zurücksetzen. Weitere Informationen hierzu finden Sie unter Ändern des vCenter Single Sign On-Kennworts. Nur vCenter Single Sign On-Administratoren können das Kennwort für Benutzer zurücksetzen, die nicht mehr über ihr Kennwort verfügen.

vCenter Single Sign On-Administratorbenutzer

Die vCenter Single Sign On-Verwaltungsschnittstelle ist vom vSphere Client aus zugänglich.

Um vCenter Single Sign On zu konfigurieren und vCenter Single Sign On-Benutzer und -Gruppen zu verwalten, muss sich der Benutzer „[email protected]“ oder ein Benutzer in der vCenter Single Sign On-Administratorengruppe beim vSphere Client anmelden. Bei der Authentifizierung kann der Benutzer über den vCenter Single Sign On auf die vSphere Client-Verwaltungsschnittstelle zugreifen und Identitätsquellen und Standarddomänen verwalten, Kennwortrichtlinien angeben und andere Verwaltungsaufgaben durchführen.
Hinweis: Sie können den vCenter Single Sign On-Administrator (standardmäßig „[email protected]“ oder „administrator@ mydomain“) nicht umbenennen, wenn Sie bei der Installation eine andere Domäne angegeben haben. Um die Sicherheit zu verbessern, können Sie zusätzliche benannte Benutzer in der vCenter Single Sign On-Domäne erstellen und ihnen Administratorrechte zuweisen. Verwenden Sie das Administratorkonto dann nicht mehr.

Andere Benutzerkonten

Die folgenden Benutzerkonten werden automatisch innerhalb von vCenter Server in der vsphere.local.domain (oder der Standarddomäne, die Sie bei der Installation erstellt haben) erstellt. Bei diesen Benutzerkonten handelt es sich um Shell-Konten. Die vCenter Single Sign On-Kennwortrichtlinie gilt nicht für diese Konten.

Tabelle 1. Andere vSphere-Benutzerkonten
Konto Beschreibung
K/M Für die Kerberos-Schlüsselverwaltung.
krbtgt/VSPHERE.LOCAL Für die Kompatibilität mit integrierter Windows-Authentifizierung.
waiter-random_string Für Auto Deploy.

ESXi-Benutzer

Eigenständige ESXi-Hosts sind nicht in vCenter Single Sign On integriert. Weitere Informationen zum Hinzufügen eines ESXi-Hosts zu Active Directory finden Sie unter vSphere-Sicherheit.

Wenn Sie lokale ESXi-Benutzer für einen verwalteten ESXi-Host mit VMware Host Client, ESXCLI oder PowerCLI erstellen, erkennt vCenter Server diese Benutzer nicht. Das Erstellen von lokalen Benutzern kann daher verwirrend sein, insbesondere, wenn Sie dieselben Benutzernamen verwenden. Benutzer, die sich bei vCenter Single Sign On authentifizieren können, können ESXi-Hosts anzeigen und verwalten, wenn Sie über die erforderlichen Rechte für das ESXi-Hostobjekt verfügen.
Hinweis: Verwalten Sie Berechtigungen für ESXi-Hosts nach Möglichkeit über vCenter Server.

Vorgehensweise zum Anmelden bei vCenter Server-Komponenten

Sie können sich anmelden, indem Sie eine Verbindung zu vSphere Client herstellen.

Wenn sich ein Benutzer vom vSphere Client aus bei einem vCenter Server-System anmeldet, hängt das Anmeldeverhalten davon ab, ob der Benutzer sich in der Domäne befindet, die als Standard-Identitätsquelle festgelegt ist.

  • Benutzer, die sich in der Standarddomäne befinden, können sich mit ihrem Benutzernamen und Kennwort anmelden.
  • Benutzer in einer Domäne, die vCenter Single Sign On als Identitätsquelle hinzugefügt wurde, aber nicht die Standarddomäne ist, können sich bei vCenter Server anmelden, müssen dazu aber die Domäne mit einer der folgenden Methoden angeben.
    • Mit Präfix des Domänennamens, beispielsweise MEINEDOMÄNE\Benutzer1
    • Mit der Domäne, beispielsweise benutzer1@meinedomäne.com
  • Benutzer in einer Domäne, die keine Identitätsquelle von vCenter Single Sign On ist, können sich nicht bei vCenter Server anmelden. Wenn die Domäne, die Sie in vCenter Single Sign On hinzufügen, zu einer Domänenhierarchie gehört, bestimmt Active Directory, ob die Benutzer anderer Domänen der Hierarchie authentifiziert werden oder nicht.

Wenn in Ihrer Umgebung eine Active Directory-Hierarchie vorhanden ist, finden Sie im VMware-Knowledgebase-Artikel 2064250 weitere Informationen zu unterstützten und nicht unterstützten Konfigurationen.