È possibile utilizzare le origini identità per collegare uno o più domini a vCenter Single Sign-On. Un dominio è un repository per utenti e gruppi che il server vCenter Single Sign-On può utilizzare per l'autenticazione utente.

Nota: In vSphere 7.0 Update 2 e versioni successive, è possibile abilitare FIPS in vCenter Server. Vedere la documentazione di Sicurezza di vSphere. L'opzione AD su LDAP non è supportata quando FIPS è abilitato. In modalità FIPS, utilizzare la Federazione del provider di identità esterno. Vedere #GUID-F58EDD6D-0ACA-4ADD-AC7C-3A43C5E949F5.
Nota: In vSphere 7.0 Update 2 e versioni successive, è possibile abilitare FIPS in vCenter Server. Vedere la documentazione di Sicurezza di vSphere. L'opzione AD su LDAP non è supportata quando FIPS è abilitato. In modalità FIPS, utilizzare la Federazione del provider di identità esterno. Per ulteriori informazioni sulla configurazione della federazione del provider di identità di vCenter Server, vedere la documentazione Autenticazione di vSphere.

Un amministratore può aggiungere origini identità, impostare l'origine identità predefinita e creare utenti e gruppi nell'origine identità vsphere.local.

I dati di utenti e gruppi vengono archiviati in Active Directory, OpenLDAP o localmente nel sistema operativo della macchina su cui è installato vCenter Single Sign-On. Dopo l'installazione, ogni istanza di vCenter Single Sign-On dispone dell'origine identità nome_del_proprio_dominio, ad esempio vsphere.local. Questa origine identità è interna a vCenter Single Sign-On.

Nota: Non mai è mai ammessa l'esistenza di più di un dominio predefinito. Se un utente di un dominio diverso dal dominio predefinito esegue l'accesso, per potersi autenticare correttamente tale utente dovrà aggiungere anche il nome del dominio. Il nome dominio è nel formato: 
DOMAIN\user

Sono disponibili le seguenti origini identità.

  • Active Directory su LDAP. vCenter Single Sign-On supporta più origini di identità Active Directory su LDAP.
  • Active Directory (autenticazione integrata di Windows) versione 2003 e successive. vCenter Single Sign-On consente di specificare un singolo dominio di Active Directory come origine dell'identità. Il dominio può avere domini secondari o essere un dominio root della foresta. L'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2064250 illustra le relazioni di attendibilità di Microsoft Active Directory supportate con vCenter Single Sign-On.
  • OpenLDAP versione 2.4 e successive. vCenter Single Sign-On supporta più origini di identità OpenLDAP.
Nota: Un futuro aggiornamento di Microsoft Windows modificherà il comportamento predefinito di Active Directory che richiederà autenticazione e crittografia forti. Questa modifica influirà sulla modalità con cui vCenter Server esegue l'autenticazione a Active Directory. Se si utilizza Active Directory come origine identità per vCenter Server, è necessario pianificare l'abilitazione di LDAPS. Per ulteriori informazioni su questo aggiornamento della sicurezza di Microsoft, vedere https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023 e https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html.

Per ulteriori informazioni relative a vCenter Single Sign-On, vedere Autenticazione di vSphere.