Puede utilizar orígenes de identidad para adjuntar uno o más dominios a vCenter Single Sign-On. Un dominio es un repositorio para usuarios y grupos que el servidor vCenter Single Sign-On puede utilizar para autenticación de usuarios.

Nota: A partir vSphere 7.0 Update 2, puede habilitar FIPS en vCenter Server. Consulte la documentación de Seguridad de vSphere. AD en LDAP e IWA no se admiten cuando FIPS está habilitado. Utilice la federación de proveedores de identidad externos en modo FIPS. Consulte Configurar la federación de proveedores de identidad de vCenter Server.

Los administradores pueden agregar orígenes de identidad, configurar el origen de identidad predeterminado y crear usuarios y grupos en el origen de identidad vsphere.local.

Los datos de usuarios y grupos se almacenan en Active Directory, OpenLDAP o localmente en el sistema operativo del equipo en el que está instalado vCenter Single Sign-On. Tras la instalación, todas las instancias de vCenter Single Sign-On tienen el origen de identidad su_nombre_de_dominio; por ejemplo, vsphere.local. Este origen de identidad es interno de vCenter Single Sign-On.

Nota: En todo momento, solo hay un único dominio predeterminado. Si un usuario de un dominio que no es el predeterminado inicia sesión, debe agregar el nombre de dominio para poder autenticarse correctamente. El nombre de dominio tiene el siguiente formato:
DOMAIN\user

Los siguientes orígenes de identidad están disponibles.

  • Active Directory en LDAP. vCenter Single Sign-On admite varios orígenes de identidad de Active Directory en LDAP.
  • Active Directory (autenticación de Windows integrada), versiones 2003 y posteriores. vCenter Single Sign-On permite especificar un único dominio de Active Directory como origen de identidad. El dominio puede tener dominios secundarios o ser un dominio raíz del bosque. El artículo de la base de conocimientos de VMware 2064250 describe las confianzas de Microsoft Active Directory compatibles con vCenter Single Sign-On.
  • OpenLDAP versiones 2.4 y posteriores. vCenter Single Sign-On es compatible con varios orígenes de identidad de OpenLDAP.
Nota: Una actualización futura a Microsoft Windows cambiará el comportamiento predeterminado de Active Directory para exigir una autenticación y un cifrado seguros. Este cambio afectará al modo en que vCenter Server se autentica en Active Directory. Si utiliza Active Directory como origen de identidad para vCenter Server, debe tener previsto habilitar LDAP. Para obtener más información sobre esta actualización de seguridad de Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 y https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.