Lorsqu'un utilisateur se connecte à un composant vSphere ou lorsqu'un utilisateur de solution vCenter Server accède à un autre service vCenter Server, vCenter Single Sign-On procède à l'authentification. Les utilisateurs doivent être authentifiés auprès de vCenter Single Sign-On et disposer de privilèges suffisants pour interagir avec les objets vSphere.

vCenter Single Sign-On authentifie à la fois les utilisateurs de solutions et les autres utilisateurs.

  • Les utilisateurs de solutions représentent un ensemble de services au sein de votre environnement vSphere. Durant l'installation, VMCA attribue par défaut un certificat à chaque utilisateur de solution. L'utilisateur de solution emploie ce certificat pour s'authentifier auprès de vCenter Single Sign-On. vCenter Single Sign-On émet un jeton SAML pour l'utilisateur de solution. Celui-ci peut alors interagir avec d'autres services au sein de l'environnement.

  • Lorsque d'autres utilisateurs se connectent à l'environnement, par exemple à partir de vSphere Web Client, vCenter Single Sign-On demande un nom d'utilisateur et un mot de passe. Si vCenter Single Sign-On trouve un utilisateur possédant ces informations d'identification dans la source d'identité correspondante, il attribue un jeton SAML à cet utilisateur. L'utilisateur peut maintenant accéder à d'autres services de l'environnement sans devoir s'authentifier à nouveau.

    Les objets visibles par l'utilisateur et les actions que celui-ci peut effectuer sont généralement déterminés par les paramètres d'autorisation vCenter Server. Les administrateurs vCenter Server attribuent ces autorisations depuis l'interface Permissions de vSphere Web Client, pas au moyen de vCenter Single Sign-On. Consultez la documentation de Sécurité vSphere.

Utilisateurs de vCenter Single Sign-On et de vCenter Server

À l'aide de vSphere Web Client, les utilisateurs s'authentifient auprès de vCenter Single Sign-On en entrant leurs informations d'identification sur la page de connexion de vSphere Web Client. Une fois connectés à vCenter Server, les utilisateurs authentifiés peuvent afficher toutes leurs instances de vCenter Server ou d'autres objets vSphere pour lesquels leur rôle leur accorde des privilèges. Aucune autre authentification n'est requise.

Après l'installation, l'administrateur du domaine vCenter Single Sign-On, par défaut administrator@vsphere.local, possède un accès administrateur au vCenter Single Sign-On et au vCenter Server. Cet utilisateur peut alors ajouter des sources d'identité, définir la source d'identité par défaut, et gérer les utilisateurs et les groupes dans le domaine vCenter Single Sign-On (vsphere.local par défaut).

Tous les utilisateurs pouvant s'authentifier auprès de vCenter Single Sign-On ont la possibilité de réinitialiser leur mot de passe, même si celui-ci a expiré, à condition qu'ils le connaissent. Reportez-vous à Changer le mot de passe de vCenter Single Sign-On. Seuls les administrateurs vCenter Single Sign-On peuvent réinitialiser le mot de passe des utilisateurs qui n'en ont plus.

Utilisateurs administrateurs de vCenter Single Sign-On

L'interface administrative vCenter Single Sign-On est accessible depuis vSphere Web Client et depuis l'interface web de Platform Services Controller.

Pour configurer vCenter Single Sign-On et gérer les utilisateurs et les groupes vCenter Single Sign-On, l'utilisateur administrator@vsphere.local ou un utilisateur du groupe d'administrateurs vCenter Single Sign-On doit se connecter à vSphere Web Client. Après authentification, cet utilisateur peut accéder à l'interface d'administration de vCenter Single Sign-On à partir de vSphere Web Client et gérer les sources d'identité et les domaines par défaut, spécifier les stratégies de mot de passe et effectuer d'autres tâches d'administration. Reportez-vous à Configuration des sources d'identité vCenter Single Sign-On.

Remarque :

Vous ne pouvez pas renommer l'utilisateur administrateur vCenter Single Sign-On (administrator@vsphere.local par défaut ou administrator@mondomaine si un autre domaine a été spécifié lors de l'installation). Pour une sécurité accrue, envisagez de créer des utilisateurs nommés supplémentaires dans le domaine vCenter Single Sign-On et de leur attribuer des privilèges d'administration. Vous pouvez ensuite arrêtez d'utiliser le compte d'administrateur.

Utilisateurs ESXi

Les hôtes ESXi autonomes ne sont pas intégrés avec vCenter Single Sign-On ou avec Platform Services Controller. Voir Sécurité vSphere pour des informations sur l'ajout d'un hôte ESXi à Active Directory.

Si vous créez des utilisateurs ESXi locaux pour un hôte ESXi géré avec l'instance de VMware Host Client, vCLI ou PowerCLI. vCenter Server n'a pas connaissance de ces utilisateurs. La création d'utilisateurs locaux peut donc créer une confusion, particulièrement si vous utilisez les mêmes noms d'utilisateurs. Les utilisateurs qui peuvent s'authentifier auprès du vCenter Single Sign-On peuvent voir et gérer les hôtes ESXi s'ils possèdent les autorisations correspondantes sur l'objet hôte ESXi.

Remarque :

Si possible, gérez les autorisations pour les hôtes ESXi via vCenter Server.

Comment se connecter aux composants de vCenter Server

Vous pouvez vous connecter au moyen de vSphere Web Client ou de l'interface web de Platform Services Controller.

Lorsqu'un utilisateur se connecte à un système vCenter Server à partir de vSphere Web Client, le comportement de connexion varie selon que l'utilisateur se trouve ou non dans le domaine qui est défini comme la source d'identité par défaut.

  • Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nom d'utilisateur et mot de passe.

  • Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant que source d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, mais ils doivent spécifier le domaine de l'une des manières suivantes.

    • En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1

    • En incluant le domaine : par exemple, utilisateur1@mondomaine.com

  • Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter Single Sign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter Single Sign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs des autres domaines de la hiérarchie sont ou non authentifiés.

Si votre environnement comprend une hiérarchie Active Directory, reportez-vous à l'article 2064250 de la base de connaissances VMware pour plus d'informations sur les configurations prises en charge et non prises en charge.

Remarque :

À partir de vSphere 6.0 Update 2, l'authentification à deux facteurs est prise en charge. Reportez-vous à Authentification à deux facteurs de vCenter Server.