Orígenes de identidad para vCenter Server con vCenter Single Sign-On

Puede utilizar orígenes de identidad para adjuntar uno o más dominios a vCenter Single Sign-On. Un dominio es un repositorio para usuarios y grupos que el servidor vCenter Single Sign-On puede utilizar para autenticación de usuarios.

Nota: En vSphere 7.0 Update 2 y versiones posteriores, puede habilitar FIPS en vCenter Server. Consulte la documentación de Seguridad de vSphere. AD en LDAP no se admite cuando FIPS está habilitado. Utilice la federación de proveedores de identidad externos en modo FIPS. Consulte #GUID-F58EDD6D-0ACA-4ADD-AC7C-3A43C5E949F5.

Nota: En vSphere 7.0 Update 2 y versiones posteriores, puede habilitar FIPS en vCenter Server. Consulte la documentación de Seguridad de vSphere. AD en LDAP no se admite cuando FIPS está habilitado. Utilice la federación de proveedores de identidad externos en modo FIPS. Para obtener más información sobre cómo configurar la federación de proveedores de identidad de vCenter Server, consulte la documentación de vSphere Authentication.

Los administradores pueden agregar orígenes de identidad, configurar el origen de identidad predeterminado y crear usuarios y grupos en el origen de identidad vsphere.local.

Los datos de usuarios y grupos se almacenan en Active Directory, OpenLDAP o localmente en el sistema operativo del equipo en el que está instalado vCenter Single Sign-On. Después de la instalación, cada instancia de vCenter Single Sign-On tiene el origen de identidad your_domain_name, por ejemplo vsphere.local. Este origen de identidad es interno para vCenter Single Sign-On.

Nota: En todo momento, solo hay un único dominio predeterminado. Si un usuario de un dominio que no es el predeterminado inicia sesión, debe agregar el nombre de dominio para poder autenticarse correctamente. El nombre de dominio tiene el siguiente formato:

DOMAIN\user

Los siguientes orígenes de identidad están disponibles.

Active Directory a través de LDAP. vCenter Single Sign-On admite varios orígenes de identidad de Active Directory en LDAP.
Active Directory (autenticación de Windows integrada), versiones 2003 y posteriores. vCenter Single Sign-On permite especificar un único dominio de Active Directory como origen de identidad. El dominio puede tener dominios secundarios o ser un dominio raíz del bosque. En el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2064250 se analiza las confianzas de Microsoft Active Directory compatibles con vCenter Single Sign-On.
Versiones de OpenLDAP 2.4 y posteriores. vCenter Single Sign-On admite varios orígenes de identidad de OpenLDAP.

Nota: Una actualización futura a Microsoft Windows cambiará el comportamiento predeterminado de Active Directory para exigir una autenticación y un cifrado seguros. Este cambio afectará al modo en que vCenter Server se autentica en Active Directory. Si utiliza Active Directory como origen de identidad para vCenter Server, debe tener previsto habilitar LDAP. Para obtener más información sobre esta actualización de seguridad de Microsoft, consulte https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 y https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.

Para obtener más información acerca de vCenter Single Sign-On, consulte vSphere Authentication.