本主题介绍了有关使用 VMware Cloud services 对企业域进行企业联合的常见问题解答 (FAQ)。

问:为企业域设置企业联合后,是否仍能使用 VMware ID (My VMware) 帐户访问 my.vmware.com?

答:是。如果您的域已联合,您只能使用您的企业帐户访问 VMware Cloud services,但仍可以使用您的 My VMware 帐户访问 my.vmware.com

问:如果企业帐户已联合,是否仍需要在 VMware 上创建帐户?

答:作为联合帐户的用户,只有在要提交支持请求或执行计费和订阅相关操作时,才需要创建 My VMware 帐户。

问:为企业设置联合后,是否可以继续使用 VMware ID 帐户登录到 VMware Cloud Services 门户?

答:否。为企业联合设置企业身份提供程序后,必须在所有后续登录 VMware Cloud services 时使用您的企业身份。

问:将 VMware ID 帐户链接到企业帐户是否会导致企业帐户发生更改?

答:企业帐户不会因将其链接到 My VMware 帐户而发生更改。链接将创建一个内部映射,不会更改企业帐户的任何属性。

问:设置企业联合后,对于访问 VMware Cloud Services 是否可以实施多因素身份验证 (MFA)?

答:这取决于您的企业设置。如果您的企业使用的身份提供程序设置为执行 MFA,则可以实施。登录时,系统将提示您访问 VMware Cloud services 需要 MFA。

问:企业联合是否与 VMware Cloud Services 中的特定组织或服务绑定?

答:否。企业联合属于域范围。已注册并已验证的域的任何用户可以访问任何 VMware Cloud services 组织以及该组织订阅的服务。

此外,如果您从 VMware 订阅其他云服务,则将继续使用企业凭据访问新服务。

问:企业联合启用后是否可以撤消?

答:是。要撤消域的联合设置,请在 Cloud Services Console 中提交支持请求。如果 VMware 技术支持恢复企业联合设置,则联合设置后添加的任何授权、用户和组都可能会丢失。

问:使用企业帐户登录后,为什么看不到组织中的服务?

为企业设置企业联合之前,您使用 My VMware 帐户向 VMware Cloud services 进行身份验证。启用联合后,需要使用企业帐户登录到 VMware Cloud services,然后直接通过企业身份提供程序进行身份验证。要访问以前通过使用您的 My VMware 帐户进行登录来使用的服务,必须将您的企业帐户链接到您的 VMware ID。仅当链接这两个帐户后,服务才会根据您在组织中拥有的组织和服务角色访问权限对您可见并可供您访问。

问:启用企业联合后,为什么在“身份与访问”选项卡下看到两个帐户?

您最初使用 My VMware 帐户访问 VMware Cloud services。假设您使用 joe@acme.com 创建了一个 My VMware 帐户,然后使用该帐户登录 VMware Cloud services。联合后,需要使用联合帐户和链接的 My VMware ID 帐户访问 VMware Cloud services。初始 joe@acme.com 将灰显,并标有“VMware ID”标签以指示您不再使用的 My VMware 帐户,但仍显示为“影子帐户”。

您无法根据组织角色和服务角色分配修改影子帐户。最好在启用联合设置后至少将这些条目保留几个月,以防您决定撤消企业联合设置。

问:支持何种第三方身份提供程序?

答:使用 VMware Cloud services 进行的企业联合均支持符合 SAML 2.0 的任何第三方身份提供程序。

问:我没有符合 SAML 2.0 的第三方身份提供程序,希望直接通过我的企业 Active Directory (AD) 进行身份验证。是否支持此操作?

是。您可以使用内部部署 Workspace ONE Access Connector 的内置身份验证方法直接通过企业 AD 验证用户的身份。

问:是否可以使用通过 VMware 技术创建的 Windows 虚拟机安装内部部署 Workspace ONE Access Connector?

答:是。可以使用 VMware 技术创建 Windows 虚拟机,然后可以使用此虚拟机安装 Workspace ONE Access Windows Connector。

问:Workspace ONE Access Connector 是否必须在内部环境中安装?

答:Workspace ONE Access Windows Connector 是一个内部部署组件,通常安装在企业的 Intranet 或绿色区域中。但是,客户可以在云环境中安装此连接器,只要连接器可以在端口 389 和 636 上与企业基于 LDAP/LDAPS 的 Active Directory 协议进行通信。

我的企业已将 Workspace ONE Access 租户配置为通过 VMware 购买的其他产品的一部分。是否可以对自助服务联合设置使用现有的租户实例,而无需创建一个新的租户实例?

否,不能使用您的任何现有 Workspace ONE Access(以前称为 VMware Identity Manager)租户。在自助服务联合设置过程中将使用一个新的 Workspace ONE Access 租户。它将专门用于 VMware Cloud Services。使用新的 Workspace ONE Access 租户访问 VMware Cloud Services 不需要任何成本或许可证。

对于使用现有 Workspace ONE Access Connector 的情况,同样如此。联合设置需要新的连接器。

我的企业已具有内部部署 Workspace ONE Access Connector。是否可以对自助服务联合设置使用现有的连接器,而无需创建一个新的连接器?

不可以。自助服务联合设置要求企业安装和配置专用的 Workspace ONE Access Connector,该连接器仅用于使用 VMware Cloud Services 进行联合。

对于使用现有 Workspace ONE Access 租户的情况,同样如此。联合设置需要新租户。

问:是否必须打开所有防火墙端口,Workspace ONE Access Connector 才能与 Workspace ONE Access 服务实例建立信任关系?

答:Workspace ONE Access Connector 通过出站 HTTPS/443 通道与充当身份代理的 Workspace ONE Access 服务实例进行通信。如果防火墙阻止访问外部域,则必须授予某些 VMware 域访问权限。

问:内部部署 Workspace ONE Access Connector 同步哪些数据?

答:内部部署 Workspace ONE Access Connector 用于将用户和组同步到客户身份提供程序的 Workspace ONE Access 服务实例(身份代理)。仅同步在自助服务设置期间配置的用户和组 DN,而不是整个 AD。仅同步一组必需的属性:名字、姓氏、电子邮件、用户名和域。如果您的企业使用用户主体名称 (UPN) 对用户进行身份验证,则此属性也必须具有用于同步的值。
重要事项: 永远不会同步用户密码。

问:Workspace ONE Access 服务实例(身份代理)托管在哪些区域?

答:Workspace ONE Access 服务实例托管在美国区域的 AWS 上。

问:对于我拥有的不同域(如 acme.com、ext.acme.com、company.com)中的用户,是否可以通过我的身份提供程序验证这些用户的身份?

答:是。如果您能够验证所拥有的所有公共域,则这些域的用户可以使用其企业凭据向 VMware Cloud services 进行身份验证。所有这些域的用户必须先同步到 Workspace ONE Access 服务实例(身份代理)。

问:是否可以将服务添加到企业联合组织?

答:否。您无法也不应将服务添加到企业联合组织。您可以访问企业联合组织,但只能执行影响给定域的所有服务和组织的操作。

如果无法使用企业凭据登录,是否有紧急帐户可以用于访问 VMware Cloud Services?

您可以将 My VMware 帐户添加到域未联合的组织。例如,如果 acme.com 域已联合,则具有非 acme.com 域的任何 My VMware 帐户都可以用于登录 VMware Cloud services。必须将具有 My VMware 帐户的用户添加为组织的组织所有者或组织成员。

从企业 Active Directory 同步的属性保留在 AWS 上的 Workspace ONE Access 服务实例和 VMware Cloud Services 时是否加密?

不可以。用户属性(名字、姓氏、电子邮件、用户名、域和 UPN)由 AWS 上的 VMware Cloud services 保留时不加密。

如果连接器服务器关闭,对访问 Cloud Services Console 的用户会造成什么影响?是否可以在 HA 模式下配置连接器?

如果您的企业使用的是第三方身份提供程序身份验证,而不是基于连接器的身份验证方法,则将直接通过您的身份提供程序执行所有用户身份验证。在这种情况下,如果连接器关闭,已同步的用户登录时将不会受到影响。由于连接器仅用于用户和组同步,因此可能不需要采用 HA 模式的连接器。