Les sources d'identité vous permettent d'associer un ou plusieurs domaines à vCenter Single Sign-On. Un domaine est un référentiel d'utilisateurs et de groupes que le serveur vCenter Single Sign-On peut utiliser pour l'authentification des utilisateurs.

Une source d'identité est un ensemble de données d'utilisateurs et de groupes. Les données d'utilisateurs et de groupes sont stockées dans Active Directory, OpenLDAP ou localement dans le système d'exploitation de la machine sur laquelle vCenter Single Sign-On est installé. Lors de l'installation, chaque instance de vCenter Single Sign-On dispose d'une source d'identité du système d'exploitation local vpshere.local. Cette source d'identité est interne à vCenter Single Sign-On.

Un administrateur vCenter Single Sign-On peut créer des utilisateurs et des groupes vCenter Single Sign-On.

Types de sources d'identité

Les versions de vCenter Server antérieures à la version 5.1 prenaient en charge les utilisateurs Active Directory et les utilisateurs du système d'exploitation local en tant que référentiels d'utilisateurs. Par conséquent, les utilisateurs du système d'exploitation local peuvent toujours s'authentifier dans le système vCenter Server. vCenter Server version 5.1 et version 5.5 utilisent vCenter Single Sign-On pour l'authentification. Pour obtenir la liste des sources d'identité prises en charge par vCenter Single Sign-On 5.1, reportez-vous à la documentation de vSphere 5.1. vCenter Single Sign-On 5.5 prend en charge les types de référentiels d'utilisateurs suivants en tant que sources d'identité, mais ne prend en charge qu'une source d'identité par défaut.

  • Active Directory versions 2003 et ultérieures. vCenter Single Sign-On vous permet de spécifier un domaine Active Directory unique en tant que source d'identité. Le domaine peut avoir des domaines enfants ou être un domaine racine de la forêt. Cette source d'identité est nommée Active Directory (authentification Windows intégrée) dans vSphere Web Client.

  • Active Directory sur LDAP. vCenter Single Sign-On prend en charge plusieurs sources d'identité Active Directory sur LDAP. Ce type de source d'identité, utilisé pour la compatibilité avec le service vCenter Single Sign-On intégré à vSphere 5.1, est appelé Active Directory comme serveur LDAP dans vSphere Web Client.

  • OpenLDAP 2.4 et versions ultérieures. vCenter Single Sign-On prend en charge plusieurs sources d'identité OpenLDAP. Cette source d'identité est nommée OpenLDAP dans vSphere Web Client.

  • Utilisateurs du système d'exploitation local. Les utilisateurs du système d'exploitation local sont les utilisateurs du système d'exploitation sur lequel le serveur vCenter Single Sign-On est en cours d'exécution. La source d'identité locale système d'exploitation existe uniquement dans une installation simple de vCenter Server et dans les installations personnalisés avec une instance autonome de déploiement de vCenter Single Sign-On. La source d'identité de système d'exploitation local n'est pas disponible dans les déploiements avec plusieurs instances vCenter Single Sign-On. Une seule source d'identité de système d'exploitation local est autorisée. Cette source d'identité est nommée localos dans vSphere Web Client.

  • Utilisateurs du système vCenter Single Sign-On. Lorsque vous installez vCenter Single Sign-On, une seule source d'identité système, nommée vsphere.local, est créée. Cette source d'identité est nommée vsphere.local dans vSphere Web Client.

Remarque :

À tout moment, il n'existe qu'un seul domaine par défaut. Si un utilisateur d'un domaine autre que le domaine par défaut se connecte, il doit ajouter le nom de domaine (DOMAIN\user) pour s'authentifier.

Les sources d'identité de vCenter Single Sign-On sont gérées par les utilisateurs administrateurs de vCenter Single Sign-On.

Vous pouvez ajouter des sources d'identité à une instance du serveur vCenter Single Sign-On. Les sources d'identité distantes sont limitées aux mises en œuvre des serveurs Active Directory et OpenLDAP.

Comportement de la connexion

Lorsqu'un utilisateur se connecte au système vCenter Server à partir de vSphere Web Client, le comportement de la connexion n'est pas le même selon que l'utilisateur se trouve ou non dans le domaine par défaut.

  • Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nom d'utilisateur et mot de passe.

  • Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant que source d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, mais ils doivent spécifier le domaine de l'une des manières suivantes.

    • En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1

    • En incluant le domaine : par exemple, utilisateur1@mondomaine.com

  • Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter Single Sign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter Single Sign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs des autres domaines de la hiérarchie sont ou non authentifiés.

vCenter Single Sign-On ne propage pas les autorisations qui résultent de groupes imbriqués à partir de sources d'identité dissemblables. Par exemple, si vous ajoutez le groupe Administrateurs de domaine au groupe Administrateurs locaux, les autorisations ne sont pas propagées, car le système d'exploitation local et Active Directory sont des sources d'identité distinctes.