Lorsqu'un utilisateur se connecte à un composant vSphere ou lorsqu'un utilisateur de solution vCenter Server accède à un autre service vCenter Server, vCenter Single Sign-On procède à l'authentification. Les utilisateurs doivent être authentifiés auprès de vCenter Single Sign-On et disposer de privilèges suffisants pour interagir avec les objets vSphere.

vCenter Single Sign-On authentifie à la fois les utilisateurs de solutions et les autres utilisateurs.

  • Les utilisateurs de solutions représentent un ensemble de services au sein de votre environnement vSphere. Durant l'installation, VMCA attribue par défaut un certificat à chaque utilisateur de solution. L'utilisateur de solution emploie ce certificat pour s'authentifier auprès de vCenter Single Sign-On. vCenter Single Sign-On émet un jeton SAML pour l'utilisateur de solution. Celui-ci peut alors interagir avec d'autres services au sein de l'environnement.

  • Lorsque d'autres utilisateurs se connectent à l'environnement, par exemple à partir de vSphere Web Client, vCenter Single Sign-On demande un nom d'utilisateur et un mot de passe. Si vCenter Single Sign-On trouve un utilisateur possédant ces informations d'identification dans la source d'identité correspondante, il attribue un jeton SAML à cet utilisateur. L'utilisateur peut maintenant accéder à d'autres services de l'environnement sans devoir s'authentifier à nouveau.

    Les objets visibles par l'utilisateur et les actions que celui-ci peut effectuer sont généralement déterminés par les paramètres d'autorisation vCenter Server. Les administrateurs vCenter Server attribuent ces autorisations depuis l'interface Gérer > Permissions de vSphere Web Client, et non via vCenter Single Sign-On. Reportez-vous à Tâches de gestion des utilisateurs et des autorisations de vSphere.

Utilisateurs de vCenter Single Sign-On et de vCenter Server

À l'aide de vSphere Web Client, les utilisateurs s'authentifient auprès de vCenter Single Sign-On en entrant leurs informations d'identification sur la page de connexion de vSphere Web Client. Une fois connectés à vCenter Server, les utilisateurs authentifiés peuvent afficher toutes leurs instances de vCenter Server ou d'autres objets vSphere pour lesquels leur rôle leur accorde des privilèges. Aucune autre authentification n'est requise. Reportez-vous à Tâches de gestion des utilisateurs et des autorisations de vSphere.

Après installation, l'utilisateur administrator@vsphere.local dispose d'un accès administrateur à vCenter Single Sign-On et à vCenter Server. Cet utilisateur peut alors ajouter des sources d'identité, définir la source d'identité par défaut, et gérer les utilisateurs et les groupes dans le domaine vCenter Single Sign-On (vsphere.local).

Tous les utilisateurs pouvant s'authentifier auprès de vCenter Single Sign-On ont la possibilité de réinitialiser leur mot de passe, même si celui-ci a expiré, à condition qu'ils le connaissent. Reportez-vous à Changer le mot de passe de vCenter Single Sign-On. Seuls les administrateurs vCenter Single Sign-On peuvent réinitialiser le mot de passe des utilisateurs qui n'en ont plus.

Utilisateurs administrateurs de vCenter Single Sign-On

L'interface d'administration de vCenter Single Sign-On est accessible à partir de vSphere Web Client.

Pour configurer vCenter Single Sign-On et gérer les utilisateurs et les groupes vCenter Single Sign-On, l'utilisateur administrator@vsphere.local ou un utilisateur du groupe d'administrateurs vCenter Single Sign-On doit se connecter à vSphere Web Client. Après authentification, cet utilisateur peut accéder à l'interface d'administration de vCenter Single Sign-On à partir de vSphere Web Client et gérer les sources d'identité et les domaines par défaut, spécifier les stratégies de mot de passe et effectuer d'autres tâches d'administration. Reportez-vous à Configuration des sources d'identité vCenter Single Sign-On.

Remarque :

Vous ne pouvez pas renommer l'utilisateur administrator@vsphere.local. Pour une sécurité accrue, envisagez de créer des utilisateurs nommés supplémentaires dans le domaine vsphere.local et de leur attribuer des privilèges d'administration. Vous pouvez ensuite cesser d'utiliser administrator@vsphere.local.

Authentification dans différentes versions de vSphere

Si un utilisateur se connecte à un système vCenter Server version 5.0 ou version antérieure, vCenter Server authentifie l'utilisateur en le validant par rapport à un domaine Active Directory ou à la liste des utilisateurs du système d'exploitation local. Dans vCenter Server 5.1 et les versions ultérieures, les utilisateurs sont authentifiés par l'intermédiaire de vCenter Single Sign-On.

Remarque :

Vous ne pouvez pas utiliser vSphere Web Client pour gérer vCenter Server version 5.0 ou versions antérieures. Mettez à niveau vCenter Server vers la version 5.1 ou une version ultérieure.

Utilisateurs ESXi

ESXi n'est pas intégré à vCenter Single Sign-On. Vous ajoutez explicitement l'hôte ESXi à un domaine Active Directory. Reportez-vous à Configurer un hôte pour utiliser Active Directory.

Vous pouvez toujours créer des utilisateurs ESXi locaux avec vSphere Client, vCLI ou PowerCLI. vCenter Server ne reconnaît pas les utilisateurs qui sont locaux à ESXi et ESXi ne reconnaît pas les utilisateurs de vCenter Server.

Remarque :

Si possible, gérez les autorisations pour les hôtes ESXi via vCenter Server.

Comment se connecter aux composants de vCenter Server

Lorsqu'un utilisateur se connecte à un système vCenter Server à partir de vSphere Web Client, le comportement de la connexion n'est pas le même selon que l'utilisateur se trouve ou non dans le domaine par défaut (c'est-à-dire le domaine défini comme source d'identité par défaut).

  • Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nom d'utilisateur et mot de passe.

  • Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant que source d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, mais ils doivent spécifier le domaine de l'une des manières suivantes.

    • En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1

    • En incluant le domaine : par exemple, utilisateur1@mondomaine.com

  • Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter Single Sign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter Single Sign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs des autres domaines de la hiérarchie sont ou non authentifiés.

Remarque :

Si votre environnement comprend une hiérarchie Active Directory, reportez-vous à l'article 2064250 de la base de connaissances VMware pour plus d'informations sur les configurations prises en charge et non prises en charge.