Sie können Identitätsquellen verwenden, um vCenter Single Sign-On eine oder mehrere Domänen hinzuzufügen. Bei einer Domäne handelt es sich um ein Repository für Benutzer und Gruppen, das der vCenter Single Sign-On-Server für die Benutzerauthentifizierung verwenden kann.

Hinweis: Ab vSphere 7.0 Update 2 können Sie FIPS auf dem vCenter Server aktivieren. Informationen finden Sie in der Dokumentation vSphere-Sicherheit. AD über LDAP und IWA werden nicht unterstützt, wenn FIPS aktiviert ist. Verwenden Sie einen externen Identitätsanbieterverbund im FIPS-Modus. Weitere Informationen hierzu finden Sie unter #GUID-F58EDD6D-0ACA-4ADD-AC7C-3A43C5E949F5.
Hinweis: Ab vSphere 7.0 Update 2 können Sie FIPS auf dem vCenter Server aktivieren. Informationen finden Sie in der Dokumentation vSphere-Sicherheit. AD über LDAP und IWA werden nicht unterstützt, wenn FIPS aktiviert ist. Verwenden Sie einen externen Identitätsanbieterverbund im FIPS-Modus. Weitere Informationen zum Konfigurieren des vCenter Server-Identitätsanbieterverbunds finden Sie in der Dokumentation vSphere-Authentifizierung.

Ein Administrator kann Identitätsquellen hinzufügen, die Standardidentitätsquelle festlegen und Benutzer und Gruppen in der Identitätsquelle „vsphere.local“ erstellen.

Die Benutzer- und Gruppendaten werden in Active Directory, OpenLDAP oder lokal im Betriebssystem der Maschine, auf der vCenter Single Sign-On installiert ist, gespeichert. Nach der Installation verfügt jede Instanz von vCenter Single Sign-On über die Identitätsquelle your_domain_name, z. B. „vsphere.local“. Diese Identitätsquelle befindet sich innerhalb von vCenter Single Sign-On.

Hinweis: Es ist jeweils immer nur eine Standarddomäne vorhanden. Wenn sich ein Benutzer aus einer Nicht-Standarddomäne anmeldet, muss dieser Benutzer den Domänennamen hinzufügen, um erfolgreich authentifiziert zu werden. Der Domänenname weist die folgende Form auf:
DOMAIN\user

Die folgenden Identitätsquellen sind verfügbar.

  • Active Directory über LDAP. vCenter Single Sign-On unterstützt mehrere Active Directory- über LDAP-Identitätsquellen.
  • Active Directory (Integrierte Windows-Authentifizierung Authentication) 2003 und höher. Mithilfe von vCenter Single Sign-On können Sie eine einzelne Active Directory-Domäne als Identitätsquelle angeben. Die Domäne kann untergeordnete Domänen haben, oder es kann sich dabei um eine Gesamtstruktur-Stammdomäne handeln. Im VMware-KB-Artikel 2064250 werden Microsoft Active Directory-Vertrauensstellungen behandelt, die von vCenter Single Sign-On unterstützt werden.
  • OpenLDAP Version 2.4 und höher. vCenter Single Sign-On unterstützt mehrere OpenLDAP-Identitätsquellen.
Hinweis: Ein zukünftiges Update auf Microsoft Windows ändert das Standardverhalten von Active Directory, sodass eine starke Authentifizierung und Verschlüsselung erforderlich sein wird. Diese Änderung wirkt sich auf die Authentifizierung von vCenter Server bei Active Directory aus. Wenn Sie Active Directory als Identitätsquelle für vCenter Server verwenden, müssen Sie die Aktivierung von LDAPS planen. Weitere Informationen zu diesem Microsoft-Sicherheitsupdate finden Sie unter https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 und https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.

Weitere Informationen über vCenter Single Sign-On finden Sie unter vSphere-Authentifizierung.