NAKIVO > Blog

Come configurare un dominio SSO vSphere in vCenter

Aggiornato: Gennaio 16, 2026

Written by: NAKIVO Team

<>Una parte fondamentale dell’amministrazione dell’infrastruttura vSphere è la possibilità di assegnare ruoli e autorizzazioni per le risorse vSphere. La gestione degli accessi e dei privilegi in un ambiente VMware vSphere vCenter Server è fondamentale per diversi motivi. È necessario consentire autorizzazioni granulari e fornire anche una traccia di controllo delle azioni eseguite nell’ambiente vCenter.

Diamo un’occhiata ai punti chiave, tra cui l’assegnazione di ruoli o autorizzazioni basati su vCenter Single Sign-On e Active Directory per la configurazione di vCenter SSO.

NAKIVO for VMware vSphere Backup

NAKIVO for VMware vSphere Backup

Complete data protection for VMware vSphere VMs and instant recovery options. Secure backup targets onsite, offsite and in the cloud. Anti-ransomware features.

DISCOVER SOLUTION

Che cos’è il dominio vCenter SSO?

VMware vCenter Single Sign-On (SSO) è un componente di autenticazione di VMware vSphere per la gestione delle identità. SSO autentica un utente per accedere a diversi componenti vSphere utilizzando le credenziali di un unico account. SSO si basa su un meccanismo di token sicuro per consentire a più componenti vSphere di comunicare tra loro.

La suite di prodotti VMware vSphere si integra con vCenter attraverso il meccanismo di autenticazione SSO. Ciò consente di utilizzare SSO per controllare o concedere autorizzazioni alle risorse della suite. Si noti che SSO non sostituisce VMware Horizon Identity Manager. Per ulteriori informazioni, consultare il nostro VMware Horizon e VDI post.

A partire da vSphere 5.1, VMware ha introdotto SSO per semplificare la gestione di più host VMware ESXi e altre risorse vSphere e migliorare la sicurezza del meccanismo di autenticazione vSphere con le stesse credenziali utente. SSO consente non solo l’autenticazione Active Directory, ma anche qualsiasi altra origine di autenticazione basata su Security Assertion Markup Language (SAML) 2.0.

Si noti che una origine di identità vCenter SSO può essere associata a un dominio, ma non sostituisce Active Directory. SSO può interagire con Active Directory e federare l’autenticazione e le relative query a un controller di dominio Active Directory. Non è necessario configurare un dominio Active Directory per utilizzare vCenter SSO se non si dispone di un controller di dominio AD nel proprio ambiente: SSO dispone di un archivio utenti interno per l’autenticazione.

Come funziona vCenter SSO

  1. Un utente accede a VMware vSphere Web Client.
  2. Il server SSO riceve il nome utente e la password immessi dall’utente.
  3. La richiesta viene inoltrata dal server SSO al meccanismo di autenticazione appropriato, ad esempio Active Directory o l’autenticazione locale.
  4. Dopo l’autenticazione riuscita, SSO passa il token a VMware vSphere Client.
  5. Il token può essere utilizzato per l’autenticazione direttamente con vCenter Server e altri componenti VMware vSphere.

How VMware vCenter SSO works

I servizi utilizzati per vCenter Single Sign-On sono:

  • Autenticazione utente
  • Servizio token di sicurezza
  • Autenticazione tramite certificati
  • SSL per traffico sicuro

L’autenticazione utente viene eseguita tramite un provider di identità integrato in vCenter o un provider di identità esterno (IdP). Il provider integrato supporta Active Directory, OpenLDAP, account locali, autenticazione Windows integrata, smart card, autenticazione sessione Windows e RSA SecurID. Un servizio token di sicurezza emette token SAM che rappresentano l’identità dell’utente.

Configurazione SSO di vCenter

La parte SSO dell’infrastruttura vCenter viene gestita dal Platform Services Controller quando vCenter è installato. Il Platform Services Controller viene configurato durante la configurazione di vCenter Server Appliance (VCSA), fornito come modello VM quasi preconfigurato distribuito in vSphere. VCSA funziona su Photon OS basato su Linux. Il Platform Services Controller esegue anche servizi di certificazione, servizi di licenza, framework di autenticazione e gestione delle appliance.

Nelle versioni vCenter v.6.7 e precedenti, il PSC poteva essere configurato come Embedded Platform Services Controller o come External Platform Services Controller. In vSphere v6.7, l’External Platform Services Controller è stato deprecato. In vSphere 7, è possibile installare vCenter utilizzando solo il controller dei servizi della piattaforma incorporato.

Nella schermata seguente, è possibile vedere il passaggio 1 (Introduzione) della Fase 1 durante l’installazione di vCenter 7 e un’avvertenza che informa che non è più possibile utilizzare il controller dei servizi della piattaforma esterna.

VMware vCenter SSO configuration at Stage 1 of deployment

Un dominio SSO per vSphere viene configurato durante l’implementazione dell’ appliance vCenter Server. È possibile visualizzare ulteriori dettagli sulla configurazione di vCenter SSO al passaggio 3 della fase 2 durante l’implementazione di vCenter (vedere la schermata seguente). L’amministratore SSO, la password, il nome del dominio SSO e il nome del sito SSO vengono configurati durante l’installazione.

È possibile creare un nuovo dominio SSO o unirsi a un dominio SSO esistente. Il dominio SSO vCenter creato durante la prima installazione di vCenter è l’origine di identità predefinita nell’ambiente virtuale VMware vSphere.

VMware vCenter SSO domain configuration during vCenter deployment

Il dominio SSO è l’origine di identità predefinita dell’ambiente vSphere quando non è specificato nessun altro dominio di autenticazione (come Active Directory). Come già accennato, SSO fornisce un meccanismo di scambio di token (basato su SAML) per l’autenticazione con fonti di identità quali Active Directory, ecc. È inoltre importante tenere presente che potrebbero verificarsi problemi se si imposta il dominio SSO in modo che rispecchi il nome del dominio AD. Molti scelgono un nome di dominio SSO con “.local” come suffisso.

Nome di dominio vCenter SSO: procedure consigliate

Le procedure consigliate relative al nome di dominio SSO di vCenter prevedono l’utilizzo del nome di dominio vsphere.local in ambienti di piccole dimensioni, ma può essere utilizzato anche in ambienti di grandi dimensioni. Il nome di dominio SSO vsphere.local è particolarmente adatto per l’interoperabilità in VMware vSphere, inclusi componenti quali vRealize Automation. Se non si è sicuri del nome di dominio SSO vCenter da utilizzare, utilizzare vsphere.local.

Il nome di dominio SSO utilizzato per l’autenticazione locale in vCenter non deve essere uguale al nome del dominio Active Directory esistente. Utilizzare l’integrazione Active Directory per utilizzare il dominio AD e il suo nome, se necessario, dopo l’installazione di vCenter. Immettere un nome di dominio SSO vCenter utilizzando caratteri minuscoli.

Configurazione SSO vCenter post-installazione

È possibile modificare la configurazione SSO vCenter dopo l’implementazione di VMware vCenter Server.

Accedere all’interfaccia Web di VMware vSphere Client utilizzando l’account amministratore esistente per gestire vCenter, ad esempio administrator@vsphere.local.

Nota:Se per gestire vCenter si utilizza un browser per accedere a VMware vSphere Client da un computer Windows membro di un dominio Active Directory (dopo aver effettuato l’accesso a Windows come utente di dominio) e questo dominio è configurato come dominio SSO vCenter, è possibile selezionare Utilizza l’autenticazione della sessione Windows per maggiore comodità. Se questa casella di controllo è disattivata (inattiva), è necessario scaricare il plugin di autenticazione avanzata. Di seguito viene spiegata la configurazione di vCenter SSO utilizzando un dominio Active Directory esistente.

Using credentials and vCenter Single Sign On

Aggiunta di un dominio Active Directory

È possibile configurare l’integrazione dell’autenticazione vCenter con Active Directory e utilizzare il dominio Active Directory come dominio vCenter SSO. Partiamo dal presupposto che sia già stato configurato un controller di dominio Active Directory e non entreremo nei dettagli del processo di configurazione AD in Windows Server. Ricordare che è necessario creare backup regolari di Active Directory, soprattutto se molti servizi utilizzano AD per l’autenticazione.

Eseguire le seguenti azioni per modificare la configurazione SSO di vCenter e integrarla con Active Directory:

  1. Fare clic sull’icona del menu nell’angolo in alto a sinistra dell’interfaccia web. Scorrere fino alla sezione Single Sign On nel riquadro sinistro e fare clic su Configuration.
  2. Selezionare la scheda Identity Provider e quindi selezionare Dominio Active Directory.
  3. Fare clic su Unisci AD per unire il dominio Active Directory da utilizzare per vCenter Single Sign-On (come dominio vCenter SSO).

Editing the vCenter SSO domain configuration to join the AD domain

  1. Immettere un nome di dominio, selezionare un’unità organizzativa (facoltativo) e immettere le credenziali dell’amministratore del dominio AD (Nome utente e password).
  2. Fare clic su Aggiungere e riavviare l’istanza vCenter (VCSA) applica le modifiche.

Configuring the vCenter SSO domain using integration with Active Directory

Provider di identità

È possibile utilizzare un’origine di identità alternativa per il dominio vCenter Single Sign On.

  1. Vai a Amministrazione > Single Sign On > Configurazione in VMware vSphere Client e fai clic su Identity Sources (Origini identità) nella scheda Identity Provider (Provider identità) .
  2. Selezionare l’origine identità disponibile o fare clic su Add (Aggiungi) per aggiungerne una nuova.

SSO configuration vCenter

È possibile selezionare la scheda Account locali e configurare il tempo di scadenza della password e altri criteri relativi alle password.

Gestione di utenti e gruppi

Dopo aver configurato un dominio vCenter SSO, è possibile creare utenti e aggiungerli a gruppi per fornire le autorizzazioni appropriate.

  1. Fare clic su Utenti e gruppi nella sezione Single Sign On nel riquadro sinistro della pagina di amministrazione di vCenter.
  2. Selezionare la scheda Utenti .
  3. Selezionare un dominio che può essere predefinito (integrato) vsphere.local o un dominio Active Directory aggiunto manualmente da utilizzare come dominio vCenter Single Sign-On.
  4. Fare clic su Aggiungi per aggiungere un nuovo utente per il dominio selezionato.
  5. Compilare i campi obbligatori e salvare le impostazioni.

Editing users and groups in vCenter SSO configuration

I vantaggi della gestione dei gruppi sono la possibilità di assegnare le autorizzazioni necessarie a un gruppo e di aggiungere più utenti al gruppo per concedere loro automaticamente le autorizzazioni.

  1. Selezionare la scheda Gruppi nella pagina Utenti e gruppi .
  2. Fare clic su Aggiungi membri.

Adding users for vCenter Single Sign On

  1. Compila i campi obbligatori, come il nome del gruppo, e seleziona da quale dominio aggiungere i membri. Può trattarsi di un dominio SSO vCenter integrato, come vsphere.local o di un dominio Active Directory.
  2. Aggiungere i membri (utenti o gruppi) da i domini selezionati e fare clic su Salvare.

Adding users to a group

Non eliminare utenti e gruppi predefiniti (quelli esistenti dopo l’installazione pulita di vCenter).

Conclusioni

Si consiglia di eseguire il backup delle VM vCenter Server Appliance e delle macchine che eseguono controller di dominio Active Directory. Queste macchine vengono utilizzate per la gestione e l’autenticazione centralizzate e qualsiasi guasto può causare gravi ripercussioni e tempi di inattività.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Come proteggere gli oggetti S3 con la crittografia Amazon S3
Picture
Opzioni di licenza VMware vCenter Server
Picture
Protezione dei backup di Microsoft 365 con la crittografia cloud