È possibile utilizzare le origini identità per collegare uno o più domini a vCenter Single Sign-On. Un dominio è un repository per utenti e gruppi che il server vCenter Single Sign-On può utilizzare per l'autenticazione utente.

Nota: In vSphere 7.0 Update 2 e versioni successive, è possibile abilitare FIPS in vCenter Server. Vedere la documentazione di Sicurezza di vSphere. L'opzione AD su LDAP non è supportata quando FIPS è abilitato. In modalità FIPS, utilizzare la Federazione del provider di identità esterno. Vedere Configurazione della Federazione del provider di identità di vCenter Server.

Un amministratore può aggiungere origini identità, impostare l'origine identità predefinita e creare utenti e gruppi nell'origine identità vsphere.local.

I dati di utenti e gruppi vengono archiviati in Active Directory, OpenLDAP o localmente nel sistema operativo della macchina su cui è installato vCenter Single Sign-On. Dopo l'installazione, ogni istanza di vCenter Single Sign-On dispone dell'origine identità nome_del_proprio_dominio, ad esempio vsphere.local. Questa origine identità è interna a vCenter Single Sign-On.

Nota: Non mai è mai ammessa l'esistenza di più di un dominio predefinito. Se un utente di un dominio diverso dal dominio predefinito esegue l'accesso, per potersi autenticare correttamente tale utente dovrà aggiungere anche il nome del dominio. Il nome dominio è nel formato:
DOMAIN\user

Sono disponibili le seguenti origini identità.

  • Active Directory su LDAP. vCenter Single Sign-On supporta più origini di identità Active Directory su LDAP.
  • Active Directory (autenticazione integrata di Windows) versione 2003 e successive. vCenter Single Sign-On consente di specificare un singolo dominio di Active Directory come origine dell'identità. Il dominio può avere domini secondari o essere un dominio root della foresta. L'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2064250 illustra le relazioni di attendibilità di Microsoft Active Directory supportate con vCenter Single Sign-On.
  • OpenLDAP versione 2.4 e successive. vCenter Single Sign-On supporta più origini di identità OpenLDAP.
Nota: Un aggiornamento di Microsoft Windows ha modificato il comportamento predefinito di Active Directory in modo che richieda autenticazione e crittografia avanzate. Questa modifica influisce sul modo in cui vCenter Server esegue l'autenticazione in Active Directory. Se si utilizza Active Directory come origine identità per vCenter Server, è necessario abilitare LDAPS. Per ulteriori informazioni, vedere https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 e https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.