Lorsqu'un utilisateur se connecte à un composant vSphere ou lorsqu'un utilisateur de solution vCenter Server accède à un autre service vCenter Server, vCenter Single Sign-On procède à l'authentification. Les utilisateurs doivent être authentifiés auprès de vCenter Single Sign-On et disposer de privilèges suffisants pour interagir avec les objets vSphere.

vCenter Single Sign-On authentifie à la fois les utilisateurs de solutions et les autres utilisateurs.
  • Les utilisateurs de solutions représentent un ensemble de services au sein de votre environnement vSphere. Durant l'installation, VMCA attribue par défaut un certificat à chaque utilisateur de solution. L'utilisateur de solution emploie ce certificat pour s'authentifier auprès de vCenter Single Sign-On. vCenter Single Sign-On émet un jeton SAML pour l'utilisateur de solution. Celui-ci peut alors interagir avec d'autres services au sein de l'environnement.
  • Lorsque d'autres utilisateurs se connectent à l'environnement, par exemple à partir de vSphere Client, vCenter Single Sign-On demande un nom d'utilisateur et un mot de passe. Si vCenter Single Sign-On trouve un utilisateur possédant ces informations d'identification dans la source d'identité correspondante, il attribue un jeton SAML à cet utilisateur. L'utilisateur peut maintenant accéder à d'autres services de l'environnement sans devoir s'authentifier à nouveau.

    Les objets visibles par l'utilisateur et les actions que celui-ci peut effectuer sont généralement déterminés par les paramètres d'autorisation vCenter Server. Les administrateurs vCenter Server attribuent ces autorisations depuis l'interface Autorisations dans vSphere Web Client ou vSphere Client, pas au moyen de vCenter Single Sign-On. Consultez la documentation de Sécurité vSphere.

Utilisateurs de vCenter Single Sign-On et de vCenter Server

Les utilisateurs s'authentifient auprès de vCenter Single Sign-On en entrant leurs informations d'identification sur la page de connexion. Une fois connectés à vCenter Server, les utilisateurs authentifiés peuvent afficher toutes leurs instances de vCenter Server ou d'autres objets vSphere pour lesquels leur rôle leur accorde des privilèges. Aucune autre authentification n'est requise.

Après l'installation, l'administrateur du domaine vCenter Single Sign-On, par défaut [email protected], possède un accès administrateur au vCenter Single Sign-On et au vCenter Server. Cet utilisateur peut alors ajouter des sources d'identité, définir la source d'identité par défaut, et gérer les utilisateurs et les groupes dans le domaine vCenter Single Sign-On.

Tous les utilisateurs pouvant s'authentifier auprès de vCenter Single Sign-On ont la possibilité de réinitialiser leur mot de passe, même si celui-ci a expiré, à condition qu'ils le connaissent. Reportez-vous au Changer le mot de passe de vCenter Single Sign-On. Seuls les administrateurs vCenter Single Sign-On peuvent réinitialiser le mot de passe des utilisateurs qui n'en ont plus.

Note : Lorsque vous modifiez le mot de passe de votre SDDC à partir de vSphere Client, le nouveau mot de passe n'est pas synchronisé avec le mot de passe affiché sur la page Informations d'identification vCenter par défaut. Cette page affiche uniquement les informations d'identification par défaut. Si vous modifiez les informations d'identification, il vous appartient de garder une trace du nouveau mot de passe. Contactez le Support technique et demandez un changement de mot de passe.

Utilisateurs administrateurs de vCenter Single Sign-On

L'interface d'administration de vCenter Single Sign-On est accessible à partir de vSphere Client ou de vSphere Web Client.

Pour configurer vCenter Single Sign-On et gérer les utilisateurs et les groupes vCenter Single Sign-On, l'utilisateur [email protected] ou un utilisateur du groupe d'administrateurs vCenter Single Sign-On doit se connecter à vSphere Client. Après authentification, cet utilisateur peut accéder à l'interface d'administration de vCenter Single Sign-On à partir de vSphere Client et gérer les sources d'identité et les domaines par défaut, spécifier les stratégies de mot de passe et effectuer d'autres tâches d'administration.
Note : Vous ne pouvez pas renommer l'utilisateur administrateur vCenter Single Sign-On ([email protected] par défaut ou administrator@ mondomaine si un autre domaine a été spécifié lors de l'installation). Pour une sécurité accrue, envisagez de créer des utilisateurs nommés supplémentaires dans le domaine vCenter Single Sign-On et de leur attribuer des privilèges d'administration. Vous pouvez ensuite arrêtez d'utiliser le compte d'administrateur.

Utilisateurs ESXi

Les hôtes ESXi autonomes ne sont pas intégrés avec vCenter Single Sign-On ou avec Platform Services Controller. Voir Sécurité vSphere pour des informations sur l'ajout d'un hôte ESXi à Active Directory.

Si vous créez des utilisateurs ESXi locaux pour un hôte ESXi géré avec VMware Host Client, vCLI ou PowerCLI, vCenter Server ne reconnaît pas ces utilisateurs. La création d'utilisateurs locaux peut donc créer une confusion, particulièrement si vous utilisez les mêmes noms d'utilisateurs. Les utilisateurs qui peuvent s'authentifier auprès du vCenter Single Sign-On peuvent voir et gérer les hôtes ESXi s'ils possèdent les autorisations correspondantes sur l'objet hôte ESXi.
Note : Si possible, gérez les autorisations pour les hôtes ESXi via vCenter Server.

Comment se connecter aux composants de vCenter Server

Vous pouvez vous connecter au moyen de vSphere Client ou de vSphere Web Client.

Lorsqu'un utilisateur se connecte à un système vCenter Server à partir de vSphere Client, le comportement de connexion varie selon que l'utilisateur se trouve ou non dans le domaine qui est défini comme la source d'identité par défaut.

  • Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nom d'utilisateur et mot de passe.
  • Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant que source d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, mais ils doivent spécifier le domaine de l'une des manières suivantes.
    • En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1
    • En incluant le domaine : par exemple, [email protected]
  • Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter Single Sign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter Single Sign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs des autres domaines de la hiérarchie sont ou non authentifiés.

Si votre environnement comprend une hiérarchie Active Directory, reportez-vous à l'article 2064250 de la base de connaissances VMware pour plus d'informations sur les configurations prises en charge et non prises en charge.

Note : À partir de vSphere 6.0 Update 2, l'authentification à deux facteurs est prise en charge. Reportez-vous à la section Présentation de l'authentification à deux facteurs vCenter Server.