Quando un utente accede a un componente vSphere o quando un utente della soluzione di vCenter Server accede a un altro servizio di vCenter Server, vCenter Single Sign-On esegue l'autenticazione. Gli utenti devono essere autenticati con vCenter Single Sign-On e disporre dei privilegi necessari per interagire con gli oggetti di vSphere.
vCenter Single Sign-On autentica sia gli utenti della soluzione che gli altri utenti.
- Gli utenti della soluzione rappresentano un insieme di servizi nell'ambiente vSphere. Durante l'installazione, per impostazione predefinita VMCA assegna un certificato a ciascun utente della soluzione. L'utente della soluzione utilizza tale certificato per eseguire l'autenticazione in vCenter Single Sign-On. vCenter Single Sign-On fornisce all'utente della soluzione un token SAML, permettendogli così di interagire con altri servizi nell'ambiente.
- Quando altri utenti accedono all'ambiente, ad esempio da vSphere Client, vCenter Single Sign-On richiede loro di fornire un nome utente e una password. Se vCenter Single Sign-On trova un utente con le credenziali indicate nella corrispondente origine identità, assegna all'utente un token SAML. Da quel momento, l'utente potrà accedere ad altri servizi nell'ambiente senza che gli venga chiesto di eseguire nuovamente l'autenticazione.
In genere, gli oggetti che l'utente può visualizzare e le operazioni che può eseguire sono determinati dalle impostazioni delle autorizzazioni di vCenter Server. Gli amministratori di vCenter Server assegnano tali autorizzazioni dall'interfaccia Autorizzazioni in vSphere Client, non tramite vCenter Single Sign-On. Vedere la documentazione di Sicurezza di vSphere.
Utenti vCenter Single Sign-On e vCenter Server
Gli utenti eseguono l'autenticazione in vCenter Single Sign-On immettendo le proprie credenziali nella pagina di accesso. Dopo essere stati connessi a vCenter Server, gli utenti autenticati possono visualizzare tutte le istanze di vCenter Server o altri oggetti vSphere per cui il loro ruolo concede i necessari privilegi. Non sono necessarie ulteriori autenticazioni.
Dopo l'installazione, l'amministratore del dominio vCenter Single Sign-On, che per impostazione predefinita è [email protected], dispone dell'accesso di amministratore a vCenter Single Sign-On e vCenter Server. Questo utente può quindi aggiungere origini identità, impostare l'origine identità predefinita e gestire utenti e gruppi nel dominio vCenter Single Sign-On.
Tutti gli utenti che possono eseguire l'autenticazione in vCenter Single Sign-On possono reimpostare la propria password. Vedere Modifica della propria password di vCenter Single Sign-On. Solo gli amministratori di vCenter Single Sign-On possono reimpostare la password per gli utenti che non hanno più la propria password.
Utenti amministratore di vCenter Single Sign-On
L'interfaccia amministrativa di vCenter Single Sign-On è accessibile da vSphere Client.
Altri account utente in vCenter Server
I seguenti account utente vengono creati automaticamente all'interno di vCenter Server nel dominio vsphere.local (o nel dominio predefinito creato durante l'installazione). Questi account utente sono account shell. Il criterio password vCenter Single Sign-On non si applica a questi account.
Account | Descrizione |
---|---|
K/M | Per la gestione delle chiavi Kerberos. |
krbtgt/VSPHERE.LOCAL | Per la compatibilità dell'autenticazione integrata Windows. |
waiter-random_string | Per Auto Deploy. |
Utenti ESXi
Gli host ESXi autonomi non sono integrati con vCenter Single Sign-On. Vedere Sicurezza di vSphere per informazioni su come aggiungere un host ESXi ad Active Directory.
Accesso ai componenti di vCenter Server
È possibile accedere connettendosi a vSphere Client.
Quando un utente accede a un sistema vCenter Server da vSphere Client, il comportamento di accesso dipende dal fatto che l'utente si trovi o meno nel dominio impostato come origine di identità predefinita.
- Gli utenti che si trovano nel dominio predefinito possono accedere con il proprio nome utente e password.
- Gli utenti che si trovano in un dominio aggiunto in vCenter Single Sign-On come origine di identità, ma che non è il dominio predefinito, possono accedere a vCenter Server ma devono specificare il dominio in uno dei modi seguenti.
- Includendo un prefisso per il nome di dominio, ad esempio MYDOMAIN\user1
- Includendo il dominio, ad esempio [email protected]
- Gli utenti che si trovano in un dominio che non è un'origine di identità di vCenter Single Sign-On non possono accedere a vCenter Server. Se il dominio aggiunto in vCenter Single Sign-On fa parte di una gerarchia di domini, Active Directory determina se gli utenti di altri domini della gerarchia sono autenticati o meno.
Se l'ambiente include una gerarchia di Active Directory, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2064250 per informazioni dettagliate sulle configurazioni supportate e non supportate.