Lorsqu'un utilisateur se connecte à un composant vSphere ou lorsqu'un utilisateur de solution vCenter Server accède à un autre service vCenter Server, vCenter Single Sign-On procède à l'authentification. Les utilisateurs doivent être authentifiés auprès de vCenter Single Sign-On et disposer de privilèges suffisants pour interagir avec les objets vSphere.
vCenter Single Sign-On authentifie à la fois les utilisateurs de solutions et les autres utilisateurs.
- Les utilisateurs de solutions représentent un ensemble de services au sein de votre environnement vSphere. Durant l'installation, VMCA attribue par défaut un certificat à chaque utilisateur de solution. L'utilisateur de solution utilise ce certificat pour s'authentifier auprès de vCenter Single Sign-On. vCenter Single Sign-On fournit à l'utilisateur de solution un jeton SAML et celui-ci peut ensuite interagir avec d'autres services dans l'environnement.
- Lorsque d'autres utilisateurs se connectent à l'environnement, par exemple à partir de vSphere Client, vCenter Single Sign-On demande un nom d'utilisateur et un mot de passe. Si vCenter Single Sign-On trouve un utilisateur possédant ces informations d'identification dans la source d'identité correspondante, il attribue un jeton SAML à cet utilisateur. L'utilisateur peut maintenant accéder à d'autres services de l'environnement sans devoir s'authentifier à nouveau.
Les objets visibles par l'utilisateur et les actions que celui-ci peut effectuer sont généralement déterminés par les paramètres d'autorisation vCenter Server. Les administrateurs vCenter Server attribuent ces autorisations depuis l'interface Permissions de vSphere Client, pas au moyen de vCenter Single Sign-On. Consultez la documentation de Sécurité vSphere.
Utilisateurs de vCenter Single Sign-On et de vCenter Server
Les utilisateurs s'authentifient auprès de vCenter Single Sign-On en entrant leurs informations d'identification sur la page de connexion. Une fois connectés à vCenter Server, les utilisateurs authentifiés peuvent afficher toutes leurs instances de vCenter Server ou d'autres objets vSphere pour lesquels leur rôle leur accorde des privilèges. Aucune autre authentification n'est requise.
Après l'installation, l'administrateur du domaine vCenter Single Sign-On, par défaut [email protected], possède un accès administrateur au vCenter Single Sign-On et au vCenter Server. Cet utilisateur peut alors ajouter des sources d'identité, définir la source d'identité par défaut, et gérer les utilisateurs et les groupes dans le domaine vCenter Single Sign-On.
Tous les utilisateurs pouvant s'authentifier auprès de vCenter Single Sign-On peuvent réinitialiser leur mot de passe. Reportez-vous à la section Changer le mot de passe de vCenter Single Sign-On. Seuls les administrateurs vCenter Single Sign-On peuvent réinitialiser le mot de passe des utilisateurs qui n'en ont plus.
Utilisateurs administrateurs de vCenter Single Sign-On
L'interface d'administration de vCenter Single Sign-On est accessible à partir de vSphere Client.
Autres comptes d'utilisateurs dans vCenter Server
Les comptes d'utilisateurs suivants sont créés automatiquement dans vCenter Server dans le domaine vsphere.local (ou le domaine par défaut que vous avez créé lors de l'installation). Ces comptes d'utilisateurs sont des comptes shell. La stratégie de mot de passe de vCenter Single Sign-On ne s'applique pas à ces comptes.
Compte | Description |
---|---|
K/M | Pour la gestion des clés Kerberos. |
krbtgt/VSPHERE.LOCAL | Pour la compatibilité avec l'authentification Windows intégrée. |
waiter-random_string | Pour Auto Deploy. |
Utilisateurs ESXi
Les hôtes ESXi autonomes ne sont pas intégrés à vCenter Single Sign-On. Voir Sécurité vSphere pour des informations sur l'ajout d'un hôte ESXi à Active Directory.
Comment se connecter aux composants de vCenter Server
Vous pouvez ouvrir une session en vous connectant à l'instance de vSphere Client.
Lorsqu'un utilisateur se connecte à un système vCenter Server à partir de vSphere Client, le comportement de connexion varie selon que l'utilisateur se trouve ou non dans le domaine qui est défini comme la source d'identité par défaut.
- Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nom d'utilisateur et mot de passe.
- Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant que source d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, mais ils doivent spécifier le domaine de l'une des manières suivantes.
- En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1
- En incluant le domaine : par exemple, [email protected]
- Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter Single Sign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter Single Sign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs des autres domaines de la hiérarchie sont ou non authentifiés.
Si votre environnement comprend une hiérarchie Active Directory, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2064250 pour plus d'informations sur les configurations prises en charge et non prises en charge.