vCenter Single Sign-On lleva a cabo una autenticación cuando un usuario inicia sesión en un componente de vSphere o cuando un usuario de una solución de vCenter Server accede a otro servicio de vCenter Server. Los usuarios deben autenticarse con vCenter Single Sign-On y tener los privilegios necesarios para interactuar con objetos de vSphere.
vCenter Single Sign-On autentica a los usuarios de solución y a otros usuarios.
- Los usuarios de solución representan un conjunto de servicios en el entorno de vSphere. Durante la instalación, VMCA asigna un certificado a cada usuario de solución de forma predeterminada. El usuario de solución utiliza ese certificado para autenticarse ante vCenter Single Sign-On. vCenter Single Sign-On proporciona un token SAML al usuario de solución y, a continuación, el usuario de la solución puede interactuar con otros servicios del entorno.
- Cuando otros usuarios inician sesión en el entorno, por ejemplo, desde vSphere Client, vCenter Single Sign-On solicita un nombre de usuario y una contraseña. Si vCenter Single Sign-On encuentra un usuario con esas credenciales en el origen de identidad correspondiente, le asigna un token SAML. De esta forma, el usuario puede acceder a otros servicios del entorno sin tener que autenticarse de nuevo.
Los objetos que el usuario puede ver y lo que este puede hacer están determinados por los parámetros de configuración de permiso de vCenter Server. Los administradores de vCenter Server asignan esos permisos desde la interfaz Permisos en vSphere Client, o a través de vCenter Single Sign-On. Consulte la documentación de Seguridad de vSphere.
Usuarios de vCenter Single Sign-On y vCenter Server
Los usuarios se autentican en vCenter Single Sign-On introduciendo sus credenciales en la página de inicio de sesión. Después de conectarse a vCenter Server, los usuarios autenticados pueden ver todas las instancias de vCenter Server u otros objetos de vSphere para los que su función les da privilegios. En esta instancia ya no se requiere autenticación adicional.
Después de la instalación, el administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada, tiene acceso de administrador tanto a vCenter Single Sign-On como a vCenter Server. Ese usuario puede agregar orígenes de identidad, establecer el origen de identidad predeterminado y administrar usuarios y grupos en el dominio de vCenter Single Sign-On.
Todos los usuarios que pueden autenticarse en vCenter Single Sign-On pueden restablecer su contraseña. Consulte Cambiar la contraseña de vCenter Single Sign-On. Solo los administradores de vCenter Single Sign-On pueden restablecer la contraseña de los usuarios que ya no tienen su contraseña.
Usuarios administradores de vCenter Single Sign-On
El acceso a la interfaz de administración de vCenter Single Sign-On se realiza desde vSphere Client.
Otras cuentas de usuario en vCenter Server
Las siguientes cuentas de usuario se crean automáticamente en vCenter Server en el dominio vsphere.local (o en el dominio predeterminado que creó durante la instalación). Estas cuentas de usuario son cuentas de shell. La directiva de contraseñas de vCenter Single Sign-On no se aplica a estas cuentas.
| Cuenta | Descripción |
|---|---|
| K/M | Para la administración de claves de Kerberos. |
| krbtgt/VSPHERE.LOCAL | Para la compatibilidad con la autenticación integrada de Windows. |
| waiter-random_string | Para Auto Deploy. |
Usuarios de ESXi
Los hosts ESXi independientes no están integrados con vCenter Single Sign-On. Consulte Seguridad de vSphere para obtener información sobre cómo agregar un host ESXi a Active Directory.
Cómo iniciar sesión en componentes de vCenter Server
Puede iniciar sesión conectándose a vSphere Client.
Cuando un usuario inicia sesión en un sistema vCenter Server desde vSphere Client, el comportamiento de inicio de sesión depende de si el usuario se encuentra o no en el dominio configurado como el origen de identidad predeterminado.
- Los usuarios que están en el dominio predeterminado pueden iniciar sesión con su nombre de usuario y contraseña.
- Los usuarios que están en un dominio que se ha agregado a vCenter Single Sign-On como un origen de identidad, pero que no es el dominio predeterminado, pueden iniciar sesión en vCenter Server, pero deben especificar el dominio de una de las siguientes maneras.
- Incluyendo un prefijo de nombre de dominio; por ejemplo, MIDOMINIO\usuario1.
- Incluyendo el dominio; por ejemplo, [email protected].
- Los usuarios que se encuentran en un dominio que no es un origen de identidad de vCenter Single Sign-On no pueden iniciar sesión en vCenter Server. Si el dominio que va a agregar a vCenter Single Sign-On forma parte de una jerarquía de dominios, Active Directory determinará si los usuarios de otros dominios de la jerarquía se autentican o no.
Si el entorno incluye una jerarquía de Active Directory, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2064250 para obtener detalles sobre las configuraciones compatibles y no compatibles.
