Grâce aux sources d'identité, vous pouvez associer un ou plusieurs domaines à vCenter Single Sign-On. Un domaine est un référentiel d'utilisateurs et de groupes que le serveur vCenter Single Sign-On peut utiliser pour l'authentification des utilisateurs.

Note : Dans vSphere 7.0 Update 2, vous pouvez activer FIPS sur vCenter Server. Consultez la documentation de Sécurité vSphere. AD sur LDAP n'est pas pris en charge lorsque FIPS est activé. Utilisez la fédération de fournisseurs d'identité externe en mode FIPS. Reportez-vous à la section #GUID-F58EDD6D-0ACA-4ADD-AC7C-3A43C5E949F5.
Note : Dans vSphere 7.0 Update 2, vous pouvez activer FIPS sur vCenter Server. Consultez la documentation de Sécurité vSphere. AD sur LDAP n'est pas pris en charge lorsque FIPS est activé. Utilisez la fédération de fournisseurs d'identité externe en mode FIPS. Pour plus d'informations sur la configuration de la fédération de fournisseur d'identité vCenter Server, reportez-vous à la documentation de Authentification vSphere.

Un administrateur peut ajouter des sources d'identité, définir la source d'identité par défaut et créer des utilisateurs et des groupes dans la source d'identité vsphere.local.

Les données d'utilisateurs et de groupes sont stockées dans Active Directory, OpenLDAP ou localement dans le système d'exploitation de la machine sur laquelle vCenter Single Sign-On est installé. Après l'installation, chaque instance de vCenter Single Sign-On dispose de la source d'identité your_domain_name, par exemple vsphere.local. Cette source d'identité est interne à vCenter Single Sign-On.

Note : À tout moment, il n'existe qu'un seul domaine par défaut. Si un utilisateur d'un domaine autre que le domaine par défaut se connecte, il doit ajouter le nom de domaine pour s'authentifier. Le nom de domaine se présente sous la forme :
DOMAIN\user

Les sources d'identité suivantes sont disponibles.

  • Active Directory via LDAP : vCenter Single Sign-On prend en charge plusieurs sources d'identité Active Directory sur LDAP.
  • Active Directory (authentification Windows intégrée) versions 2003 et ultérieures. vCenter Single Sign-On vous permet de spécifier un domaine Active Directory unique comme source d'identité. Le domaine peut avoir des domaines enfants ou être un domaine racine de la forêt. L'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2064250 traite des relations de confiance Microsoft Active Directory prises en charge par vCenter Single Sign-On.
  • OpenLDAP 2.4 et les versions ultérieures. vCenter Single Sign-On prend en charge plusieurs sources d'identité OpenLDAP.
Note : Une prochaine mise à jour de Microsoft Windows modifiera le comportement par défaut d'Active Directory pour exiger une authentification renforcée et un chiffrement fort. Cette modification aura un impact sur la manière dont vCenter Server s'authentifie avec Active Directory. Si vous utilisez Active Directory comme source d'identité pour vCenter Server, vous devez prévoir d'activer LDAPS. Pour plus d'informations sur cette mise à jour de sécurité Microsoft, consultez https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 et https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.

Pour plus d'informations sur vCenter Single Sign-On, reportez-vous à Authentification vSphere.