仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时,才可以登录 vCenter ServervCenter Single Sign-On 管理员用户可从 vSphere Web Client 中添加标识源。

开始之前

要添加为标识源的域必须对正在运行 vCenter Single Sign-On 的计算机可用。如果使用的是 vCenter Server Appliance,请参见《vCenter Server Appliance 配置》文档。

关于此任务

标识源可以是本机 Active Directory(已集成 Windows 身份验证)域,也可以是 OpenLDAP 目录服务。为实现向后兼容性,也可以选择 Active Directory 作为 LDAP 服务器。请参见vCenter Server 和 vCenter Single Sign-On 的标识源

一旦完成安装,以下默认标识源和用户立即可用:

localos

所有本地操作系统用户。如果要进行升级,已能够进行身份验证的用户可以继续进行身份验证。在使用 Platform Services Controller 的环境中使用 localos 标识源没有意义。

vsphere.local

包含 vCenter Single Sign-On 内部用户。

过程

  1. 以 administrator@vsphere.local 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client

    具有 vCenter Single Sign-On 管理员特权的用户位于 vsphere.local 域的管理员组中。

  2. 浏览到管理 > Single Sign-On > 配置
  3. 标识源选项卡上,单击添加标识源图标。
  4. 选择标识源的类型,然后输入标识源设置。

    选项

    描述

    Active Directory (已集成 Windows 身份验证)

    对于本机 Active Directory 实施,请使用此选项。如果要使用此选项,则运行 vCenter Single Sign-On 服务的计算机必须在 Active Directory 域中。

    请参见Active Directory 标识源设置

    Active Directory 作为 LDAP 服务器

    此选项可用于向后兼容性。这需要您指定域控制器和其他信息。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置

    OpenLDAP

    对于 OpenLDAP 标识源,请使用此选项。请参见Active Directory LDAP Server 和 OpenLDAP Server 标识源设置

    LocalOS

    使用此选项可添加本地操作系统以作为标识源。系统仅提示您输入本地操作系统的名称。如果选择此选项,则指定计算机上的所有用户都对 vCenter Single Sign-On 可见,即使这些用户不属于其他域也是如此。

    注:

    如果用户帐户已锁定或禁用,Active Directory 域中的身份验证以及组和用户搜索将失败。用户帐户必须具有用户和组 OU 的只读访问权限,并且必须能够读取用户和组属性。这是身份验证权限的默认 Active Directory 域配置。VMware 建议使用特殊服务用户。

  5. 如果配置 Active Directory 作为 LDAP 服务器或 OpenLDAP 标识源,则单击测试连接以确保您可以连接到标识源。
  6. 单击确定

下一步做什么

添加标识源后,所有用户均可进行身份验证,但只有无权访问角色。具有 vCenter Server修改权限特权的用户可向单个用户或一组用户分配特权,以便他们能够登录 vCenter Server 并查看和管理对象。请参见《vSphere 安全性》文档。