Si selecciona el tipo de origen de identidad de Active Directory (autenticación de Windows integrada), puede usar la cuenta de equipo local como un nombre de entidad de seguridad de servicio (Service Principal Name, SPN) o especificar un SPN explícitamente. Puede usar esta opción únicamente si el servidor vCenter Single Sign-On está asociado a un dominio de Active Directory.

Requisitos previos para usar un origen de identidad de Active Directory

Puede configurar vCenter Single Sign-On para que use un origen de identidad de Active Directory solo si ese origen de identidad está disponible.

  • Para una instalación de Windows, únase al equipo Windows en el dominio de Active Directory.

  • Para vCenter Server Appliance, siga las instrucciones en la documentación de Configuración de vCenter Server Appliance.

Nota:

Active Directory (autenticación integrada de Windows) usa siempre la raíz del bosque de dominios de Active Directory. Para configurar un origen de identidad para Autenticación de Windows integrada con un dominio secundario dentro del bosque de Active Directory, consulte el artículo 2070433 de la base de conocimientos de VMware.

Seleccione Usar cuenta de equipo para acelerar la configuración. Si desea cambiar el nombre del equipo local en el que se ejecuta vCenter Single Sign-On, es preferible que especifique un SPN explícitamente.

Nota:

En vSphere 5.5, vCenter Single Sign-On usa la cuenta del equipo aunque se especifique el SPN. Consulte el artículo 2087978 de la base de conocimientos de VMware.

Tabla 1. Agregar opciones de orígenes de identidad

Cuadro de texto

Descripción

Nombre de dominio

FQDN del nombre de dominio (por ejemplo, mydomain.com). No incluya una dirección IP. El sistema vCenter Server debe poder resolver este nombre de dominio mediante DNS. Si utiliza vCenter Server Appliance, use la información sobre la configuración de parámetros de red para actualizar la configuración del servidor DNS.

Usar cuenta de equipo

Seleccione esta opción para usar la cuenta de equipo local como el SPN. Si selecciona esta opción, solo debe especificar el nombre de dominio. No seleccione esta opción si desea cambiar el nombre de este equipo.

Usar nombre de entidad de seguridad de servicio (SPN)

Seleccione esta opción si desea cambiar el nombre del equipo local. Debe especificar un SPN, un usuario que pueda autenticarse con el origen de identidad y una contraseña para el usuario.

Nombre de entidad de seguridad de servicio (SPN)

SPN ayuda a que Kerberos identifique el servicio de Active Directory. Incluya un dominio en el nombre (por ejemplo, STS/example.com).

El SPN debe ser único en todo el dominio. La ejecución de setspn -S comprueba que no se creen duplicados. Consulte la documentación de Microsoft para obtener información sobre setspn.

Nombre principal de usuario (UPN)

Contraseña

Nombre y contraseña de un usuario que puede autenticarse con este origen de identidad. Utilice el formato de dirección de correo electrónico (por ejemplo, jchin@mydomain.com). Puede comprobar el nombre principal de usuario con el editor de interfaces del servicio de Active Directory (editor ADSI).