Lorsqu'un utilisateur se connecte à un composant vSphere, vCenter Single Sign-On est utilisé pour l'authentification. Les utilisateurs doivent être authentifiés avec vCenter Single Sign-On et doivent avoir obtenu des autorisations de vCenter Server pour voir et gérer les objets vSphere.

Lorsque les utilisateurs se connectent à vSphere Web Client, ils sont d'abord authentifiés par vCenter Single Sign-On. Pour les utilisateurs authentifiés, vCenter Server vérifie les autorisations. Ce qu'un utilisateur peut voir et ce qu'il peut faire est déterminé par les paramètres d'autorisation de vSphere pour vCenter Server et ESXi, et par les applications présentes dans l'environnement. Les administrateurs de vCenter Server attribuent ces autorisations depuis l'interface Gérer > Autorisations de vSphere Web Client, et non via vCenter Single Sign-On. Reportez-vous à la section Utilisateurs vSphere et autorisations et Tâches de gestion des utilisateurs vCenter.

Utilisateurs de vCenter Single Sign-On et de vCenter Server

À l'aide de vSphere Web Client, les utilisateurs s'authentifient dans vCenter Single Sign-On en entrant leurs informations d'identification dans la page de connexion de vSphere Web Client. Après la connexion à vCenter Server, les utilisateurs authentifiés peuvent voir toutes les instances de vCenter Server ou les autres services vSphere pour lesquels ils possèdent des autorisations. Aucune autre authentification n'est requise. Les actions que les utilisateurs authentifiés peuvent effectuer sur des objets dépendent des autorisations vCenter Server de l'utilisateur sur ces objets. Reportez-vous à la section Utilisateurs vSphere et autorisations et Tâches de gestion des utilisateurs vCenter.

Après installation, l'utilisateur administrator@vsphere.local dispose d'un accès administrateur à vCenter Single Sign-On et vCenter Server. Cet utilisateur peut alors ajouter des sources d'identité, définir la source d'identité par défaut, et gérer les utilisateurs et les groupes dans le domaine vCenter Single Sign-On (vsphere.local).

Bien que la plupart des tâches de gestion de vCenter Single Sign-On nécessitent des informations d'identification d'administrateur de vCenter Single Sign-On, tous les utilisateurs pouvant s'authentifier dans vCenter Single Sign-On peuvent réinitialiser leur mot de passe, même si le mot de passe a expiré. Reportez-vous à la section Réinitialiser un mot de passe vCenter Single Sign-On expiré.

Utilisateurs administrateurs de vCenter Single Sign-On

L'interface administrative de vCenter Single Sign-On est accessible dans vSphere Web Client.

Pour configurer vCenter Single Sign-On et gérer les utilisateurs et les groupes de vCenter Single Sign-On, l'utilisateur administrator@vsphere.local ou un utilisateur disposant de privilèges d'administrateur de vCenter Single Sign-On doit se connecter à vSphere Web Client. Après authentification, cet utilisateur peut accéder à l'interface d'administration de vCenter Single Sign-On pour gérer les sources d'identité et les domaines par défaut, spécifier des stratégies de mot de passe et effectuer d'autres tâches administratives. Reportez-vous à la section Configuration de vCenter Single Sign-On.

Remarque :

Vous ne pouvez pas renommer l'utilisateur administrator@vsphere.local. Pour davantage de sécurité, envisagez de créer des utilisateurs supplémentaires dans le domaine vsphere.local et de leur attribuer des privilèges administratifs. Vous pouvez ensuite cesser d'utiliser administrator@vsphere.local.

Authentification dans différentes versions de vSphere

Si un utilisateur se connecte à un système vCenter Server version 5.0 ou version antérieure, vCenter Server authentifie l'utilisateur en le validant par rapport à un domaine Active Directory ou à la liste des utilisateurs du système d'exploitation local. Dans vCenter Server 5.1 et les versions ultérieures, les utilisateurs sont authentifiés par l'intermédiaire de vCenter Single Sign-On.

Remarque :

Vous ne pouvez pas utiliser vSphere Web Client pour gérer vCenter Server version 5.0 ou versions antérieures. Mettez à niveau vCenter Server vers la version 5.1 ou une version ultérieure.

Utilisateurs ESXi

ESXi 5.1 n'est pas intégré à vCenter Single Sign-On. Vous ajoutez explicitement l'hôte ESXi à un domaine Active Directory. Reportez-vous à la section Ajouter un hôte ESXi à un domaine Active Directory.

Vous pouvez toujours créer des utilisateurs ESXi locaux avec vSphere Client, vCLI ou PowerCLI. vCenter Server ne reconnaît pas les utilisateurs qui sont locaux à ESXi et ESXi ne reconnaît pas les utilisateurs de vCenter Server.

Comportement de la connexion

Lorsqu'un utilisateur se connecte au système vCenter Server à partir de vSphere Web Client, le comportement de la connexion n'est pas le même selon que l'utilisateur se trouve ou non dans le domaine par défaut.

  • Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nom d'utilisateur et mot de passe.

  • Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant que source d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, mais ils doivent spécifier le domaine de l'une des manières suivantes.

    • En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1

    • En incluant le domaine : par exemple, utilisateur1@mondomaine.com

  • Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter Single Sign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter Single Sign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs des autres domaines de la hiérarchie sont ou non authentifiés.