Cuando un usuario inicia sesión en un componente de vSphere o cuando un usuario de solución de vCenter Server accede a otro servicio de vCenter Server, vCenter Single Sign-On lleva a cabo la autenticación. Los usuarios deben autenticarse con vCenter Single Sign-On y tener los privilegios necesarios para interactuar con objetos de vSphere.

vCenter Single Sign-On autentica a los usuarios de solución y a otros usuarios.
  • Los usuarios de solución representan un conjunto de servicios en el entorno de vSphere. Durante la instalación, VMCA asigna un certificado a cada usuario de solución de forma predeterminada. El usuario de solución utiliza ese certificado para autenticarse en vCenter Single Sign-On. vCenter Single Sign-On otorga al usuario de solución un token SAML para que pueda interactuar con otros servicios del entorno.
  • Cuando otros usuarios inician sesión en el entorno, por ejemplo, desde vSphere Client, vCenter Single Sign-On solicita un nombre de usuario y una contraseña. Si vCenter Single Sign-On encuentra un usuario con esas credenciales en el origen de identidad correspondiente, le asigna un token SAML. De esta forma, el usuario puede acceder a otros servicios del entorno sin tener que autenticarse de nuevo.

    Los objetos que el usuario puede ver y lo que este puede hacer están determinados por los parámetros de configuración de permiso de vCenter Server. Los administradores de vCenter Server asignan esos permisos desde la interfaz Permisos en vSphere Web Client o vSphere Client, no a través de vCenter Single Sign-On. Consulte la documentación de Seguridad de vSphere.

Usuarios de vCenter Single Sign-On y vCenter Server

Los usuarios se autentican en vCenter Single Sign-On introduciendo sus credenciales en la página de inicio de sesión. Después de conectarse a vCenter Server, los usuarios autenticados pueden ver todas las instancias de vCenter Server u otros objetos de vSphere para los que su función les da privilegios. En esta instancia ya no se requiere autenticación adicional.

Después de la instalación, el administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada, tiene acceso de administrador tanto a vCenter Single Sign-On como a vCenter Server. Ese usuario puede agregar orígenes de identidad, establecer el origen de identidad predeterminado y administrar usuarios y grupos en el dominio de vCenter Single Sign-On.

Todos los usuarios que pueden autenticarse en vCenter Single Sign-On pueden restablecer su contraseña, incluso si esta ha caducado, siempre y cuando la sepan. Consulte Cambiar la contraseña de vCenter Single Sign-On. Solo los administradores de vCenter Single Sign-On pueden restablecer la contraseña de los usuarios que ya no tienen su contraseña.

Nota: Al cambiar la contraseña del SDDC desde vSphere Client, la nueva contraseña no se sincroniza con aquella que se muestra en la página Credenciales predeterminadas de vCenter. En esa página, solo se muestran las credenciales predeterminadas. Si cambia las credenciales, debe realizar un seguimiento de la nueva contraseña. Póngase en contacto con el equipo de soporte técnico y solicite un cambio de contraseña.

Usuarios administradores de vCenter Single Sign-On

Desde vSphere Client o vSphere Web Client, puede accederse a la interfaz de administración de vCenter Single Sign-On.

Para configurar vCenter Single Sign-On y administrar usuarios y grupos de vCenter Single Sign-On, el usuario [email protected] o un usuario del grupo de administradores de vCenter Single Sign-On deben iniciar sesión en vSphere Client. Después de la autenticación, el usuario puede acceder a la interfaz de administración de vCenter Single Sign-On desde vSphere Client y administrar orígenes de identidad y dominios predeterminados, especificar directivas de contraseñas y realizar otras tareas administrativas.
Nota: No puede cambiar el nombre de usuario administrador de vCenter Single Sign-On, que es [email protected] de manera predeterminada o administrator@ mydomain si especificó un dominio diferente durante la instalación. Para mejorar la seguridad, se recomienda que cree usuarios designados adicionales en el dominio vCenter Single Sign-On y les asigne privilegios administrativos. Luego puede dejar de usar la cuenta de administrador.

Usuarios de ESXi

Los hosts ESXi independientes no están integrados con vCenter Single Sign-On ni con Platform Services Controller. Consulte Seguridad de vSphere para obtener información sobre cómo agregar un host ESXi a Active Directory.

Si crea usuarios ESXi locales para un host ESXi administrado con VMware Host Client, vCLI o PowerCLI, vCenter Server no sabe quiénes son esos usuarios. Por ello, la creación de usuarios locales puede derivar en confusión, especialmente si usa los mismos nombres de usuario. Los usuarios que pueden autenticar en vCenter Single Sign-On pueden ver y administrar hosts ESXi si tienen los permisos correspondiente en el objeto de host ESXi.
Nota: De ser posible, administre los permisos de hosts ESXi mediante vCenter Server.

Cómo iniciar sesión en componentes de vCenter Server

Puede iniciar sesión conectándose a vSphere Client o vSphere Web Client.

Cuando un usuario inicia sesión en un sistema vCenter Server desde vSphere Client, el comportamiento de inicio de sesión depende de si el usuario se encuentra o no en el dominio configurado como el origen de identidad predeterminado.

  • Los usuarios que están en el dominio predeterminado pueden iniciar sesión con su nombre de usuario y contraseña.
  • Los usuarios que están en un dominio que se ha agregado a vCenter Single Sign-On como un origen de identidad, pero que no es el dominio predeterminado, pueden iniciar sesión en vCenter Server, pero deben especificar el dominio de una de las siguientes maneras.
    • Incluyendo un prefijo de nombre de dominio; por ejemplo, MIDOMINIO\usuario1.
    • Incluyendo el dominio; por ejemplo, [email protected].
  • Los usuarios que se encuentran en un dominio que no es un origen de identidad de vCenter Single Sign-On no pueden iniciar sesión en vCenter Server. Si el dominio que va a agregar a vCenter Single Sign-On forma parte de una jerarquía de dominios, Active Directory determinará si los usuarios de otros dominios de la jerarquía se autentican o no.

Si el entorno incluye una jerarquía de Active Directory, consulte el artículo 2064250 de la base de conocimientos de VMware para obtener detalles sobre las configuraciones compatibles y no compatibles.

Nota: Se admite la autenticación de dos factores partir de vSphere 6.0 Update 2. Consulte Descripción de la autenticación de dos factores de vCenter Server.