Wenn sich ein Benutzer bei einer a vSphere-Komponente anmeldet oder wenn ein vCenter Server-Lösungsbenutzer auf einen anderen vCenter Server-Dienst zugreift, führt vCenter Single Sign On die Authentifizierung durch. Die Benutzer müssen bei vCenter Single Sign On authentifiziert sein und über die erforderlichen Rechte für die Interaktion mit vSphere-Objekten verfügen.
vCenter Single Sign On authentifiziert sowohl Lösungsbenutzer als auch andere Benutzer.
- Lösungsbenutzer stellen einen Satz von Diensten in Ihrer vSphere-Umgebung dar. Während der Installation weist VMCA standardmäßig jedem Lösungsbenutzer ein Zertifikat zu. Der Lösungsbenutzer authentifiziert sich mithilfe dieses Zertifikats bei vCenter Single Sign On. vCenter Single Sign On übergibt dem Lösungsbenutzer ein SAML-Token, und der Lösungsbenutzer kann dann mit anderen Diensten in der Umgebung interagieren.
- Wenn sich andere Benutzer bei der Umgebung anmelden, beispielsweise vom vSphere Client aus, werden sie von vCenter Single Sign On zur Eingabe eines Benutzernamens und Kennworts aufgefordert. Findet vCenter Single Sign On einen Benutzer mit diesen Anmeldedaten in der entsprechenden Identitätsquelle, wird dem Benutzer ein SAML-Token zugewiesen. Der Benutzer kann nun auf andere Dienste in der Umgebung zugreifen, ohne erneut zur Authentifizierung aufgefordert zu werden.
vCenter Server-Berechtigungseinstellungen bestimmen in der Regel, welche Objekte der Benutzer anzeigen und welche Aufgaben er ausführen kann. vCenter Server-Administratoren weisen diese Berechtigungen über die Schnittstelle Berechtigungen im vSphere Client zu, nicht über vCenter Single Sign On. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.
vCenter Single Sign On- und vCenter Server-Benutzer
Benutzer authentifizieren sich bei vCenter Single Sign On durch Eingabe ihrer Anmeldedaten auf der Anmeldeseite. Nach dem Herstellen der Verbindung mit vCenter Server können authentifizierte Benutzer alle vCenter Server-Instanzen oder andere vSphere-Objekte anzeigen, für die sie über die entsprechenden Rechte verfügen. Es ist keine weitere Authentifizierung erforderlich.
Nach der Installation hat der Administrator der vCenter Single Sign On-Domäne (standardmäßig „[email protected]“) Administratorzugriff auf vCenter Single Sign On und vCenter Server. Dieser Benutzer kann anschließend Identitätsquellen hinzufügen, die standardmäßige Identitätsquelle festlegen und Benutzer und Gruppen in der vCenter Single Sign On-Domäne verwalten.
Alle Benutzer, die sich bei vCenter Single Sign On authentifizieren können, können ihr Kennwort zurücksetzen. Weitere Informationen hierzu finden Sie unter Ändern des vCenter Single Sign On-Kennworts. Nur vCenter Single Sign On-Administratoren können das Kennwort für Benutzer zurücksetzen, die nicht mehr über ihr Kennwort verfügen.
vCenter Single Sign On-Administratorbenutzer
Die vCenter Single Sign On-Verwaltungsschnittstelle ist vom vSphere Client aus zugänglich.
Andere Benutzerkonten
Die folgenden Benutzerkonten werden automatisch innerhalb von vCenter Server in der vsphere.local.domain (oder der Standarddomäne, die Sie bei der Installation erstellt haben) erstellt. Bei diesen Benutzerkonten handelt es sich um Shell-Konten. Die vCenter Single Sign On-Kennwortrichtlinie gilt nicht für diese Konten.
Konto | Beschreibung |
---|---|
K/M | Für die Kerberos-Schlüsselverwaltung. |
krbtgt/VSPHERE.LOCAL | Für die Kompatibilität mit integrierter Windows-Authentifizierung. |
waiter-random_string | Für Auto Deploy. |
ESXi-Benutzer
Eigenständige ESXi-Hosts sind nicht in vCenter Single Sign On integriert. Weitere Informationen zum Hinzufügen eines ESXi-Hosts zu Active Directory finden Sie unter vSphere-Sicherheit.
Vorgehensweise zum Anmelden bei vCenter Server-Komponenten
Sie können sich anmelden, indem Sie eine Verbindung zu vSphere Client herstellen.
Wenn sich ein Benutzer vom vSphere Client aus bei einem vCenter Server-System anmeldet, hängt das Anmeldeverhalten davon ab, ob der Benutzer sich in der Domäne befindet, die als Standard-Identitätsquelle festgelegt ist.
- Benutzer, die sich in der Standarddomäne befinden, können sich mit ihrem Benutzernamen und Kennwort anmelden.
- Benutzer in einer Domäne, die vCenter Single Sign On als Identitätsquelle hinzugefügt wurde, aber nicht die Standarddomäne ist, können sich bei vCenter Server anmelden, müssen dazu aber die Domäne mit einer der folgenden Methoden angeben.
- Mit Präfix des Domänennamens, beispielsweise MEINEDOMÄNE\Benutzer1
- Mit der Domäne, beispielsweise benutzer1@meinedomäne.com
- Benutzer in einer Domäne, die keine Identitätsquelle von vCenter Single Sign On ist, können sich nicht bei vCenter Server anmelden. Wenn die Domäne, die Sie in vCenter Single Sign On hinzufügen, zu einer Domänenhierarchie gehört, bestimmt Active Directory, ob die Benutzer anderer Domänen der Hierarchie authentifiziert werden oder nicht.
Wenn in Ihrer Umgebung eine Active Directory-Hierarchie vorhanden ist, finden Sie im VMware-Knowledgebase-Artikel 2064250 weitere Informationen zu unterstützten und nicht unterstützten Konfigurationen.