Configurar orígenes de identidad de Active Directory

Si selecciona el tipo de origen de identidad de Active Directory (autenticación integrada de Windows), puede usar la cuenta de equipo local como un nombre de entidad de seguridad de servicio (Service Principal Name, SPN) o especificar un SPN explícitamente. Puede usar esta opción únicamente si el servidor vCenter Single Sign-On está asociado a un dominio de Active Directory.

Requisitos previos para el uso de un origen de identidad de Active Directory (autenticación integrada de Windows)

Puede configurar vCenter Single Sign-On para que use un origen de identidad de Active Directory (autenticación integrada de Windows) solo si ese origen de identidad está disponible. Siga las instrucciones en la documentación de Configuración de vCenter Server.

Nota: Active Directory (autenticación integrada de Windows) usa siempre la raíz del bosque de dominios de Active Directory. Para configurar un origen de identidad para Autenticación de Windows integrado con un dominio secundario dentro del bosque de Active Directory, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2070433.

Seleccione Usar cuenta de equipo para acelerar la configuración. Si desea cambiar el nombre del equipo local en el que se ejecuta vCenter Single Sign-On, es preferible que especifique un SPN explícitamente.

Si habilitó el registro de eventos de diagnóstico en Active Directory para identificar dónde es posible que se necesite una protección, puede que vea un evento de registro con el identificador 2889 en ese servidor de directorio. El identificador de evento 2889 se genera como una anomalía en lugar de un riesgo de seguridad cuando se utiliza la autenticación integrada de Windows. Para obtener más información sobre el identificador de evento 2889, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78644.

Tabla 1. Agregar opciones de orígenes de identidad
Cuadro de texto	Descripción
Nombre de dominio	FQDN del nombre de dominio (por ejemplo, midominio.com). No incluya una dirección IP. El sistema vCenter Server debe poder resolver este nombre de dominio mediante DNS.
Usar cuenta de equipo	Seleccione esta opción para usar la cuenta de equipo local como el SPN. Si selecciona esta opción, solo debe especificar el nombre de dominio. No seleccione esta opción si desea cambiar el nombre de este equipo.
Usar nombre de entidad de seguridad de servicio (SPN)	Seleccione esta opción si desea cambiar el nombre del equipo local. Debe especificar un SPN, un usuario que pueda autenticarse con el origen de identidad y una contraseña para el usuario.
Nombre de entidad de seguridad de servicio (SPN)	SPN ayuda a que Kerberos identifique el servicio de Active Directory. Incluya un dominio en el nombre (por ejemplo, STS/ejemplo.com). El SPN debe ser único en todo el dominio. La ejecución de setspn -S comprueba que no se creen duplicados. Consulte la documentación de Microsoft para obtener información sobre setspn.
Nombre principal de usuario (UPN) Contraseña	Nombre y contraseña de un usuario que puede autenticarse con este origen de identidad. Utilice el formato de dirección de correo electrónico (por ejemplo, [email protected]). Puede comprobar el nombre principal de usuario con el editor de interfaces del servicio de Active Directory (editor ADSI).