Cuando un usuario inicia sesión en un componente de vSphere, o cuando un usuario de solución de vCenter Server accede a otro servicio de vCenter Server, vCenter Single Sign-On lleva a cabo la autenticación. Los usuarios deben autenticarse con vCenter Single Sign-On y tener los privilegios necesarios para interactuar con objetos de vSphere.

vCenter Single Sign-On autentica a los usuarios de solución y a otros usuarios.

  • Los usuarios de solución representan un conjunto de servicios en el entorno de vSphere. Durante la instalación, VMCA asigna un certificado a cada usuario de solución de forma predeterminada. El usuario de solución utiliza ese certificado para autenticarse en vCenter Single Sign-On. vCenter Single Sign-On otorga al usuario de solución un token SAML para que pueda interactuar con otros servicios del entorno.

  • Cuando otros usuarios inician sesión en el entorno, por ejemplo, desde vSphere Web Client, vCenter Single Sign-On solicita un nombre de usuario y una contraseña. Si vCenter Single Sign-On encuentra un usuario con esas credenciales en el origen de identidad correspondiente, le asigna un token SAML. De esta forma, el usuario puede acceder a otros servicios del entorno sin tener que autenticarse de nuevo.

    La configuración de permisos de vCenter Server determina qué objetos puede ver el usuario y qué tareas puede realizar. Los administradores de vCenter Server asignan esos permisos desde la interfaz Administrar > Permisos de vSphere Web Client, y no mediante vCenter Single Sign-On. Consulte Tareas de administración de permisos y usuarios de vSphere.

Usuarios de vCenter Single Sign-On y vCenter Server

Con vSphere Web Client, los usuarios se autentican en vCenter Single Sign-On introduciendo sus credenciales en la página de inicio de sesión de vSphere Web Client. Después de conectarse a vCenter Server, los usuarios autenticados pueden ver todas las instancias de vCenter Server u otros objetos de vSphere para los que su función les da privilegios. En esta instancia ya no se requiere autenticación adicional. Consulte Tareas de administración de permisos y usuarios de vSphere.

Después de la instalación, el usuario de administrator@vsphere.local tiene acceso de administrador a vCenter Single Sign-On y vCenter Server. Ese usuario puede agregar orígenes de identidad, establecer el origen de identidad predeterminado y administrar usuarios y grupos en el dominio de vCenter Single Sign-On (vsphere.local).

Todos los usuarios que pueden autenticarse en vCenter Single Sign-On pueden restablecer su contraseña, incluso si esta ha caducado, siempre y cuando la sepan. Consulte Cambiar la contraseña de vCenter Single Sign-On. Solo los administradores de vCenter Single Sign-On pueden restablecer la contraseña de los usuarios que ya no tienen su contraseña.

Usuarios administradores de vCenter Single Sign-On

El acceso a la interfaz de administración de vCenter Single Sign-On se realiza desde vSphere Web Client.

Para configurar vCenter Single Sign-On y administrar usuarios y grupos de vCenter Single Sign-On, el usuario administrator@vsphere.local o un usuario del grupo de administradores de vCenter Single Sign-On deben iniciar sesión en vSphere Web Client. Después de la autenticación, el usuario puede acceder a la interfaz de administración de vCenter Single Sign-On desde vSphere Web Client y administrar orígenes de identidad y dominios predeterminados, especificar directivas de contraseñas y realizar otras tareas administrativas. Consulte Configurar orígenes de identidad de vCenter Single Sign-On.

Nota:

No se puede cambiar el nombre del usuario administrator@vsphere.local. Para mejorar la seguridad, se recomienda que cree usuarios designados adicionales en el dominio vsphere.local y les asigne privilegios administrativos. A continuación, puede dejar de utilizar administrator@vsphere.local.

Autenticar diferentes versiones de vSphere

Si un usuario se conecta a un sistema de vCenter Server versión 5.0.x o anterior, vCenter Server autentica al usuario mediante la validación del mismo en un dominio de Active Directory o la lista de usuarios del sistema operativo local. En vCenter Server 5.1 y versiones posteriores, los usuarios se autentican a través de vCenter Single Sign-On.

Nota:

No puede utilizar vSphere Web Client para administrar la versión 5.0 o anterior de vCenter Server. Actualice vCenter Server a la versión 5.1 o posterior.

Usuarios de ESXi

ESXi no está integrado con vCenter Single Sign-On. Debe agregar el host ESXi a un dominio de Active Directory explícitamente. Consulte Configurar un host para utilizar Active Directory.

Aún puede crear usuarios locales de ESXi con vSphere Client, vCLI o PowerCLI. vCenter Server no reconoce usuarios locales de ESXi y ESXi no reconoce usuarios de vCenter Server.

Nota:

De ser posible, administre los permisos de hosts ESXi mediante vCenter Server.

Cómo iniciar sesión en componentes de vCenter Server

Cuando un usuario inicia sesión en un sistema con vCenter Server desde vSphere Web Client, el comportamiento de inicio de sesión depende de si el usuario se encuentra o no en el dominio predeterminado, es decir, el dominio configurado como el origen de identidad predeterminado.

  • Los usuarios que están en el dominio predeterminado pueden iniciar sesión con su nombre de usuario y contraseña.

  • Los usuarios que están en un dominio que se ha agregado a vCenter Single Sign-On como un origen de identidad pero que no es el dominio predeterminado, pueden iniciar sesión en vCenter Server pero deben especificar el dominio de una de las siguientes maneras.

    • Incluyendo un prefijo de nombre de dominio; por ejemplo, MIDOMINIO\usuario1

    • Incluyendo el dominio; por ejemplo, usuario1@midominio.com

  • Los usuarios que se encuentran en un dominio que no es un origen de identidad de vCenter Single Sign-On no pueden iniciar sesión en vCenter Server. Si el dominio que va a agregar a vCenter Single Sign-On forma parte de una jerarquía de dominios, Active Directory determinará si los usuarios de otros dominios de la jerarquía se autentican o no.

Nota:

Si el entorno incluye una jerarquía de Active Directory, consulte el artículo 2064250 de la base de conocimientos de VMware para obtener detalles sobre las configuraciones compatibles y no compatibles.