当用户登录 vSphere 组件时,vCenter Single Sign-On 用于进行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证,并且必须已授予 vCenter Server 权限才能查看和管理 vSphere 对象。

当用户登录 vSphere Web Client 时,他们首先由 vCenter Single Sign-On 进行身份验证。对于经过身份验证的用户,vCenter Server 将检查权限。用户所能看到的内容和所能执行的操作均取决于 vCenter ServerESXi 的 vSphere 权限设置以及环境中的应用程序。vCenter Server 管理员从 vSphere Web Client 中的管理 > 权限界面来分配这些权限,而不是通过 vCenter Single Sign-On。请参见vSphere 用户和权限vCenter 用户管理任务

vCenter Single Sign-On 和 vCenter Server 用户

用户可使用 vSphere Web Client,通过在 vSphere Web Client 登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后,通过身份验证的用户可以查看所有 vCenter Server 实例或对其具有权限的其他 vSphere 服务。无需进一步进行身份验证。经过身份验证的用户可对对象执行的操作取决于用户对这些对象的 vCenter Server 权限。请参见vSphere 用户和权限vCenter 用户管理任务

安装后,administrator@vsphere.local 用户将对 vCenter Single Sign-On 和 vCenter Server 具有管理员访问权限。然后,该用户可以添加标识源、设置默认标识源,以及管理 vCenter Single Sign-On 域 (vsphere.local) 中的用户和组。

虽然大多数 vCenter Single Sign-On 管理任务需要 vCenter Single Sign-On 管理员凭据,但是可对 vCenter Single Sign-On 进行身份验证的所有用户均可重置其密码,即使该密码已过期也是如此。请参见重置过期的 vCenter Single Sign-On 密码

vCenter Single Sign-On 管理员用户

可从 vSphere Web Client 访问 vCenter Single Sign-On 管理界面。

要配置 vCenter Single Sign-On 并管理 vCenter Single Sign-On 用户和组,用户 administrator@vsphere.local 或具有 vCenter Single Sign-On 管理员权限的用户必须登录到 vSphere Web Client。根据身份验证,该用户可以访问 vCenter Single Sign-On 管理界面来管理标识源和默认域、指定密码策略并执行其他管理任务。请参见配置 vCenter Single Sign-On

注:

无法重命名 administrator@vsphere.local 用户。为提高安全性,请考虑在 vsphere.local 域中创建其他用户,并为其分配管理权限。然后,可以停止使用 administrator@vsphere.local。

vSphere 的不同版本中的身份验证

如果用户连接到 5.0.x 或早期版本的 vCenter Server 系统,则 vCenter Server 将根据 Active Directory 域或本地操作系统用户列表来对用户进行身份验证。在 vCenter Server 5.1 及更高版本中,用户将通过 vCenter Single Sign-On 进行身份验证。

注:

您无法使用 vSphere Web Client 来管理 vCenter Server 5.0 或更早版本。将 vCenter Server 升级至 5.1 或更高版本。

ESXi 用户

ESXi 5.1 未与 Center Single Sign-On 集成。将 ESXi 主机明确添加到 Active Directory 域。请参见将 ESXi 主机添加到 Active Directory 域

仍可以使用 vSphere Client、vCLI 或 PowerCLI 创建本地 ESXi 用户。vCenter Server 不会识别 ESXi 的本地用户。ESXi 不会识别 vCenter Server 用户。

登录行为

用户从 vCenter Server 登录到 vSphere Web Client 系统时,登录行为取决于用户是否位于默认域中。

  • 默认域中的用户可使用其自身的用户名和密码进行登录。

  • 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域。

    • 包含域名前缀,例如 MYDOMAIN\user1

    • 包含域,例如 user1@mydomain.com

  • 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用户是否进行了身份验证。