vCenter Single Sign-On lleva a cabo una autenticación cuando un usuario inicia sesión en un componente de vSphere o cuando un usuario de una solución de vCenter Server accede a otro servicio de vCenter Server. Los usuarios deben autenticarse con vCenter Single Sign-On y tener los privilegios necesarios para interactuar con objetos de vSphere.

vCenter Single Sign-On autentica a los usuarios de solución y a otros usuarios.

  • Los usuarios de solución representan un conjunto de servicios en el entorno de vSphere. Durante la instalación, VMCA asigna un certificado a cada usuario de solución de forma predeterminada. El usuario de solución utiliza ese certificado para autenticarse ante vCenter Single Sign-On. vCenter Single Sign-On proporciona un token SAML al usuario de solución y, a continuación, el usuario de la solución puede interactuar con otros servicios del entorno.
  • Cuando otros usuarios inician sesión en el entorno, por ejemplo, desde vSphere Client, vCenter Single Sign-On solicita un nombre de usuario y una contraseña. Si vCenter Single Sign-On encuentra un usuario con esas credenciales en el origen de identidad correspondiente, le asigna un token SAML. De esta forma, el usuario puede acceder a otros servicios del entorno sin tener que autenticarse de nuevo.

    Los objetos que el usuario puede ver y lo que este puede hacer están determinados por los parámetros de configuración de permiso de vCenter Server. Los administradores de vCenter Server asignan esos permisos desde la interfaz Permisos en vSphere Client, o a través de vCenter Single Sign-On. Consulte la documentación de Seguridad de vSphere.

Usuarios de vCenter Single Sign-On y vCenter Server

Los usuarios se autentican en vCenter Single Sign-On introduciendo sus credenciales en la página de inicio de sesión. Después de conectarse a vCenter Server, los usuarios autenticados pueden ver todas las instancias de vCenter Server u otros objetos de vSphere para los que su función les da privilegios. En esta instancia ya no se requiere autenticación adicional.

Después de la instalación, el administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada, tiene acceso de administrador tanto a vCenter Single Sign-On como a vCenter Server. Ese usuario puede agregar orígenes de identidad, establecer el origen de identidad predeterminado y administrar usuarios y grupos en el dominio de vCenter Single Sign-On.

Todos los usuarios que pueden autenticarse en vCenter Single Sign-On pueden restablecer su contraseña. Consulte Cambiar la contraseña de vCenter Single Sign-On. Solo los administradores de vCenter Single Sign-On pueden restablecer la contraseña de los usuarios que ya no tienen su contraseña.

Usuarios administradores de vCenter Single Sign-On

El acceso a la interfaz de administración de vCenter Single Sign-On se realiza desde vSphere Client.

Para configurar vCenter Single Sign-On y administrar usuarios y grupos de vCenter Single Sign-On, el usuario [email protected] o un usuario del grupo de administradores de vCenter Single Sign-On deben iniciar sesión en vSphere Client. Después de la autenticación, el usuario puede acceder a la interfaz de administración de vCenter Single Sign-On desde vSphere Client y administrar orígenes de identidad y dominios predeterminados, especificar directivas de contraseñas y realizar otras tareas administrativas.
Nota: No puede cambiar el nombre de usuario administrador de vCenter Single Sign-On, que es [email protected] de manera predeterminada o administrator@ mydomain si especificó un dominio diferente durante la instalación. Para mejorar la seguridad, se recomienda que cree usuarios designados adicionales en el dominio vCenter Single Sign-On y les asigne privilegios administrativos. Luego puede dejar de usar la cuenta de administrador.

Otras cuentas de usuario en vCenter Server

Las siguientes cuentas de usuario se crean automáticamente en vCenter Server en el dominio vsphere.local (o en el dominio predeterminado que creó durante la instalación). Estas cuentas de usuario son cuentas de shell. La directiva de contraseñas de vCenter Single Sign-On no se aplica a estas cuentas.

Tabla 1. Otras cuentas de usuario de vCenter Server
Cuenta Descripción
K/M Para la administración de claves de Kerberos.
krbtgt/VSPHERE.LOCAL Para la compatibilidad con la autenticación integrada de Windows.
waiter-random_string Para Auto Deploy.

Usuarios de ESXi

Los hosts ESXi independientes no están integrados con vCenter Single Sign-On. Consulte Seguridad de vSphere para obtener información sobre cómo agregar un host ESXi a Active Directory.

Si se crean usuarios de ESXi locales para un host  ESXi administrado con VMware Host Client, ESXCLI o PowerCLI, vCenter Server no sabe quiénes son esos usuarios. Por ello, la creación de usuarios locales puede derivar en confusión, especialmente si usa los mismos nombres de usuario. Los usuarios que pueden autenticar en vCenter Single Sign-On pueden ver y administrar hosts ESXi si tienen los permisos correspondiente en el objeto de host ESXi.
Nota: De ser posible, administre los permisos de hosts ESXi mediante vCenter Server.

Cómo iniciar sesión en componentes de vCenter Server

Puede iniciar sesión conectándose a vSphere Client.

Cuando un usuario inicia sesión en un sistema vCenter Server desde vSphere Client, el comportamiento de inicio de sesión depende de si el usuario se encuentra o no en el dominio configurado como el origen de identidad predeterminado.

  • Los usuarios que están en el dominio predeterminado pueden iniciar sesión con su nombre de usuario y contraseña.
  • Los usuarios que están en un dominio que se ha agregado a vCenter Single Sign-On como un origen de identidad, pero que no es el dominio predeterminado, pueden iniciar sesión en vCenter Server, pero deben especificar el dominio de una de las siguientes maneras.
    • Incluyendo un prefijo de nombre de dominio; por ejemplo, MIDOMINIO\usuario1.
    • Incluyendo el dominio; por ejemplo, [email protected].
  • Los usuarios que se encuentran en un dominio que no es un origen de identidad de vCenter Single Sign-On no pueden iniciar sesión en vCenter Server. Si el dominio que va a agregar a vCenter Single Sign-On forma parte de una jerarquía de dominios, Active Directory determinará si los usuarios de otros dominios de la jerarquía se autentican o no.

Si el entorno incluye una jerarquía de Active Directory, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2064250 para obtener detalles sobre las configuraciones compatibles y no compatibles.