Si vous sélectionnez le type de source d'identité Active Directory (authentification Windows intégrée), vous pouvez utiliser le compte de l'ordinateur local en tant que nom de principal du service (SPN, Service Principal Name) ou spécifier un SPN de manière explicite. Vous pouvez utiliser cette option uniquement si le serveur vCenter Single Sign-On est joint à un domaine Active Directory.

Conditions préalables à l'utilisation d'une source d'identité Active Directory (authentification Windows intégrée)

Vous pouvez configurer vCenter Single Sign-On pour utiliser une source d'identité Active Directory (authentification Windows intégrée) uniquement si cette source d'identité est disponible. Suivez les instructions de la documentation Configuration de vCenter Server.

Note : Active Directory (authentification Windows intégrée) utilise toujours la racine de la forêt du domaine Active Directory. Pour configurer votre source d'identité d'authentification Windows intégrée avec un domaine enfant dans votre forêt Active Directory, consultez l'article de la base de connaissances VMware accessible à l'adresse http://kb.vmware.com/kb/2070433.

Sélectionnez Utiliser un compte d'ordinateur pour accélérer la configuration. Si vous prévoyez de renommer l'ordinateur local sur lequel s'exécute vCenter Single Sign-On, il est préférable de spécifier un SPN de manière explicite.

Si vous avez activé la journalisation des événements de diagnostic dans votre annuaire Active Directory pour identifier vos besoins en sécurisation renforcée, vous pouvez voir un événement de journal avec l'ID d'événement 2889 sur ce serveur d'annuaire. L'ID d'événement 2889 est généré comme une anomalie plutôt qu'un risque de sécurité lorsque vous utilisez l'authentification Windows intégrée. Pour plus d'informations sur l'ID d'événement 2889, consultez l'article de la base de connaissances VMware https://kb.vmware.com/s/article/78644.

Tableau 1. Ajouter des paramètres de source d'identité
Zone de texte Description
Nom de domaine Nom de domaine complet du nom de domaine, par exemple mondomaine.com. Ne fournissez pas une adresse IP. Ce nom de domaine doit pouvoir être résolu par DNS par le système vCenter Server
Utiliser un compte d'ordinateur Sélectionnez cette option pour utiliser le compte de l'ordinateur local en tant que SPN. Lorsque vous sélectionnez cette option, vous spécifiez uniquement le nom de domaine. Si vous prévoyez de renommer l'ordinateur, ne sélectionnez pas cette option.
Utiliser le nom de principal du service (SPN) Sélectionnez cette option si vous prévoyez de renommer l'ordinateur local. Vous devez spécifier un SPN, un utilisateur pouvant s'authentifier auprès de la source d'identité et un mot de passe pour cet utilisateur.
Nom de principal du service (SPN) SPN permettant à Kerberos d'identifier le service Active Directory. Incluez le domaine dans le nom (STS/example.com, par exemple).

Le SPN doit être unique dans le domaine. L'exécution de la commande setspn -S permet de vérifier qu'aucun doublon n'est créé. Pour obtenir des informations sur l'outil de ligne de commande setspn, reportez-vous à la documentation de Microsoft.

Nom d'utilisateur principal (UPN)

Mot de passe

Nom et mot de passe d'un utilisateur pouvant s'authentifier auprès de cette source d'identité. Utilisez le format d'adresse e-mail ( [email protected], par exemple). Vous pouvez vérifier le nom d'utilisateur principal (UPN, User Principal Name) dans l'éditeur ASDI (Active Directory Service Interfaces Editor).