Sie können Identitätsquellen verwenden, um vCenter Single Sign On eine oder mehrere Domänen hinzuzufügen. Bei einer Domäne handelt es sich um ein Repository für Benutzer und Gruppen, das der vCenter Single Sign On-Server für die Benutzerauthentifizierung verwenden kann.

Hinweis: Ab vSphere 7.0 Update 2 können Sie FIPS auf dem vCenter Server aktivieren. Informationen finden Sie in der Dokumentation vSphere-Sicherheit. AD über LDAP wird nicht unterstützt, wenn FIPS aktiviert ist. Verwenden Sie einen externen Identitätsanbieterverbund im FIPS-Modus. Weitere Informationen hierzu finden Sie unter Konfigurieren des vCenter Server-Identitätsanbieterverbunds.

Ein Administrator kann Identitätsquellen hinzufügen, die Standardidentitätsquelle festlegen und Benutzer und Gruppen in der Identitätsquelle „vsphere.local“ erstellen.

Die Benutzer- und Gruppendaten werden in Active Directory, OpenLDAP oder lokal im Betriebssystem der Maschine, auf der vCenter Single Sign On installiert ist, gespeichert. Nach der Installation verfügt jede Instanz von vCenter Single Sign On über die Identitätsquelle your_domain_name, z. B. „vsphere.local“. Diese Identitätsquelle befindet sich innerhalb von vCenter Single Sign On.

Hinweis: Es ist jeweils immer nur eine Standarddomäne vorhanden. Wenn sich ein Benutzer aus einer Nicht-Standarddomäne anmeldet, muss dieser Benutzer den Domänennamen hinzufügen, um erfolgreich authentifiziert zu werden. Der Domänenname weist die folgende Form auf:
DOMAIN\user

Die folgenden Identitätsquellen sind verfügbar.

  • Active Directory über LDAP vCenter Single Sign On unterstützt zahlreiche Active Directory über LDAP-Identitätsquellen.
  • Active Directory (Integrierte Windows-Authentifizierung Authentication) 2003 und höher. Mithilfe von vCenter Single Sign On können Sie eine einzelne Active Directory-Domäne als Identitätsquelle angeben. Die Domäne kann untergeordnete Domänen haben, oder es kann sich dabei um eine Gesamtstruktur-Stammdomäne handeln. Der VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2064250 behandelt Microsoft Active Directory Trusts, die zusammen mit vCenter Single Sign On unterstützt werden.
  • OpenLDAP-Versionen 2.4 und später. vCenter Single Sign On unterstützt mehrere OpenLDAP-Identitätsquellen.
Hinweis: Das Standardverhalten von Active Directory wurde durch ein Microsoft Windows-Update geändert, sodass jetzt eine starke Authentifizierung und Verschlüsselung erforderlich ist. Diese Änderung wirkt sich auf die Authentifizierung von vCenter Server bei Active Directory aus. Wenn Sie Active Directory als Identitätsquelle für vCenter Server verwenden, müssen Sie LDAPS aktivieren. Weitere Informationen finden Sie unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 and https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.