当用户登录 vSphere 组件或 vCenter Server 解决方案用户访问另一个 vCenter Server 服务时,vCenter Single Sign-On 会执行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证,且应具有所需权限才能与 vSphere 对象进行交互。

vCenter Single Sign-On 会同时对解决方案用户和其他用户进行身份验证。
  • 解决方案用户表示 vSphere 环境中的一组服务。在安装期间,默认情况下,VMCA 会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会向解决方案用户提供一个 SAML 令牌,然后,该解决方案用户可以与环境中的其他服务进行交互。
  • 其他用户登录到环境时(例如,从 vSphere Client 登录),vCenter Single Sign-On 会提示您输入用户名和密码。如果 vCenter Single Sign-On 在相应的标识源中找到具有这些凭据的用户,则会向该用户分配 SAML 令牌。现在,用户可以访问环境中的其他服务,而无需提示再次进行身份验证。

    用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter Server 权限设置决定。vCenter Server 管理员可以从 vSphere Web ClientvSphere Client 中的权限界面分配这些权限,而不是通过 vCenter Single Sign-On 进行分配。请参见《vSphere 安全性》文档。

vCenter Single Sign-OnvCenter Server 用户

用户可通过在登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后,通过身份验证的用户可以查看所有 vCenter Server 实例或向其角色提供权限的其他 vSphere 对象。无需进一步进行身份验证。

安装后,cloudadmin@vmc.local 用户 vCenter Server 将拥有对 vCenter Single Sign-OnvCenter Server 的管理员访问权限。该用户也可添加标识源,设置默认标识源以及在 vmc.local 域中设置策略。vmc.local 域中的某些管理操作仅限于 VMware Cloud on AWS 操作人员。

注: 通过 vSphere Client 更改 SDDC 的密码时,新密码不会与“默认 vCenter 凭据”页面上显示的密码同步。该页面仅显示默认凭据。如果更改了凭据,您自己应负责记好新密码。请联系技术支持以请求更改密码。

vCenter Single Sign-On 管理员用户

可从 vSphere ClientvSphere Web Client 访问 vCenter Single Sign-On 管理界面。

要配置 vCenter Single Sign-On 并管理 vCenter Single Sign-On 用户和组,用户 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组中的用户必须登录到 vSphere Client。根据身份验证,该用户可以通过 vSphere Client 访问 vCenter Single Sign-On 管理界面,并管理标识源和默认域、指定密码策略以及执行其他管理任务。