标识源允许您将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由 vCenter Single Sign-On 服务器用于用户身份验证。

标识源是用户和组数据的集合。用户和组数据存储在 Active Directory 中、OpenLDAP 中或者存储到本地安装了 vCenter Single Sign-On 的计算机操作系统。安装后,vCenter Single Sign-On 的每个实例都具有一个本地操作系统标识源 vpshere.local。此标识源是 vCenter Single Sign-On 的内部标识源。

vCenter Single Sign-On 管理员用户可以创建 vCenter Single Sign-On 用户和组。

标识源的类型

vCenter Server 5.1 版之前的版本支持将 Active Directory 和本地操作系统用户作为用户存储库。因此,本地操作系统用户可以始终对 vCenter Server 系统进行身份验证。vCenter Server 5.1 版和 5.5 版使用 vCenter Single Sign-On 进行身份验证。有关 vCenter Single Sign-On 5.1 支持的标识源的列表,请参见 vSphere 5.1 文档。vCenter Single Sign-On 5.5 支持将以下类型的用户存储库用作标识源,但仅支持一个默认标识源。

  • Active Directory 版本 2003 及更高版本。vCenter Single Sign-On 仅允许您指定单个 Active Directory 域作为标识源。该域可包含子域或作为林的 root 域。在 vSphere Web Client 中显示为 Active Directory (已集成 Windows 身份验证)

  • Active Directory over LDAP。vCenter Single Sign-On 支持多个 Active Directory over LDAP 标识源。包括此标识源类型是为了与 vSphere 5.1 附带的 vCenter Single Sign-On 服务兼容。在 vSphere Web Client 中显示为 Active Directory 作为 LDAP 服务器

  • OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。在 vSphere Web Client 中显示为 OpenLDAP

  • 本地操作系统用户。本地操作系统用户是运行 vCenter Single Sign-On 服务器的操作系统的本地用户。本地操作系统标识源仅在 vCenter Server 简易安装和具有独立 vCenter Single Sign-On 部署的自定义安装中存在。本地操作系统标识源在具有多个 vCenter Single Sign-On 实例的部署中不可用。仅允许一个本地操作系统标识源。在 vSphere Web Client 中显示为 localos

  • vCenter Single Sign-On 系统用户。每次安装 vCenter Single Sign-On 时都会创建一个名为 vsphere.local 的系统标识源。在 vSphere Web Client 中显示为 vsphere.local

注:

无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名(\用户)才能成功进行身份验证。

vCenter Single Sign-On 标识源由 vCenter Single Sign-On 管理员用户管理。

可以将多个标识源添加到一个 vCenter Single Sign-On 服务器实例中。远程标识源仅限用于 Active Directory 和 OpenLDAP 服务器实施。

有关 vCenter Single Sign-On 的详细信息,请参见 vSphere 安全性

登录行为

用户从 vCenter Server 登录到 vSphere Web Client 系统时,登录行为取决于用户是否位于默认域中。

  • 默认域中的用户可使用其自身的用户名和密码进行登录。

  • 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域。

    • 包含域名前缀,例如 MYDOMAIN\user1

    • 包含域,例如 user1@mydomain.com

  • 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用户是否进行了身份验证。

vCenter Single Sign-On 不会传播从来自不同标识源的嵌套组获取的权限。例如,如果您将域管理员组添加到本地管理员组,则不会传播权限,因为本地操作系统和 Active Directory 均为独立的标识源。