Cuando un usuario inicia sesión en un componente de vSphere o cuando un usuario de solución de vCenter Server accede a otro servicio de vCenter Server, vCenter Single Sign-On lleva a cabo la autenticación. Los usuarios deben autenticarse con vCenter Single Sign-On y tener los privilegios necesarios para interactuar con objetos de vSphere.

vCenter Single Sign-On autentica a los usuarios de solución y a otros usuarios.
  • Los usuarios de solución representan un conjunto de servicios en el entorno de vSphere. Durante la instalación, VMCA asigna un certificado a cada usuario de solución de forma predeterminada. El usuario de solución utiliza ese certificado para autenticarse en vCenter Single Sign-On. vCenter Single Sign-On otorga al usuario de solución un token SAML para que pueda interactuar con otros servicios del entorno.
  • Cuando otros usuarios inician sesión en el entorno, por ejemplo, desde vSphere Client, vCenter Single Sign-On solicita un nombre de usuario y una contraseña. Si vCenter Single Sign-On encuentra un usuario con esas credenciales en el origen de identidad correspondiente, le asigna un token SAML. De esta forma, el usuario puede acceder a otros servicios del entorno sin tener que autenticarse de nuevo.

    Los objetos que el usuario puede ver y lo que este puede hacer están determinados por los parámetros de configuración de permiso de vCenter Server. Los administradores de vCenter Server asignan esos permisos desde la interfaz Permisos en vSphere Web Client o vSphere Client, no a través de vCenter Single Sign-On. Consulte la documentación de Seguridad de vSphere.

Usuarios de vCenter Single Sign-On y vCenter Server

Los usuarios se autentican en vCenter Single Sign-On introduciendo sus credenciales en la página de inicio de sesión. Después de conectarse a vCenter Server, los usuarios autenticados pueden ver todas las instancias de vCenter Server u otros objetos de vSphere para los que su función les da privilegios. En esta instancia ya no se requiere autenticación adicional.

Tras la instalación, el vCenter Server del usuario cloudadmin@vmc.local tiene acceso de administrador tanto a vCenter Single Sign-On como a vCenter Server. Dicho usuario también puede agregar orígenes de identidad, establecer el origen de identidad predeterminado y configurar directivas en el dominio vmc.local. Algunas operaciones de administración en el dominio vmc.local están restringidas al personal de operaciones de VMware Cloud on AWS.

Nota: Al cambiar la contraseña del SDDC desde vSphere Client, la nueva contraseña no se sincroniza con aquella que se muestra en la página Credenciales predeterminadas de vCenter. En esa página, solo se muestran las credenciales predeterminadas. Si cambia las credenciales, debe realizar un seguimiento de la nueva contraseña. Póngase en contacto con el equipo de soporte técnico y solicite un cambio de contraseña.

Usuarios administradores de vCenter Single Sign-On

Desde vSphere Client o vSphere Web Client, puede accederse a la interfaz de administración de vCenter Single Sign-On.

Para configurar vCenter Single Sign-On y administrar usuarios y grupos de vCenter Single Sign-On, el usuario administrator@vsphere.local o un usuario del grupo de administradores de vCenter Single Sign-On deben iniciar sesión en vSphere Client. Después de la autenticación, el usuario puede acceder a la interfaz de administración de vCenter Single Sign-On desde vSphere Client y administrar orígenes de identidad y dominios predeterminados, especificar directivas de contraseñas y realizar otras tareas administrativas.