当用户登录 vSphere 组件或 vCenter Server 解决方案用户访问另一个 vCenter Server 服务时,vCenter Single Sign-On 会执行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证,且应具有所需权限才能与 vSphere 对象进行交互。
- 解决方案用户表示 vSphere 环境中的一组服务。在安装期间,默认情况下,VMCA 会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会向解决方案用户提供一个 SAML 令牌,然后,该解决方案用户可以与环境中的其他服务进行交互。
- 其他用户登录到环境时(例如,从 vSphere Web Client 登录),vCenter Single Sign-On 会提示您输入用户名和密码。如果 vCenter Single Sign-On 在相应的标识源中找到具有这些凭据的用户,则会向该用户分配 SAML 令牌。现在,用户可以访问环境中的其他服务,而无需提示再次进行身份验证。
用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter Server 权限设置决定。vCenter Server 管理员可以从 vSphere Web Client 中的权限界面分配这些权限,而不是通过 vCenter Single Sign-On 进行分配。请参见vSphere 安全性文档。
vCenter Single Sign-On 和 vCenter Server 用户
用户可使用 vSphere Web Client,通过在 vSphere Web Client 登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后,通过身份验证的用户可以查看所有 vCenter Server 实例或向其角色提供权限的其他 vSphere 对象。无需进一步进行身份验证。
安装后,vCenter Single Sign-On 域的管理员(默认为 [email protected])对 vCenter Single Sign-On 和 vCenter Server 具有管理员访问权限。然后,该用户可以添加标识源、设置默认标识源以及管理 vCenter Single Sign-On 域(默认为 vsphere.local)中的用户和组。
可对 vCenter Single Sign-On 进行身份验证的所有用户均可重置其密码,即使这些密码已过期也是如此,只要用户知道密码。请参见更改 vCenter Single Sign-On 密码。只有 vCenter Single Sign-On 管理员可以为不再具有其密码的用户重置密码。
vCenter Single Sign-On 管理员用户
vCenter Single Sign-On 管理界面可从 vSphere Web Client 和 Platform Services Controller Web 界面访问。
ESXi 用户
独立 ESXi 主机未与 vCenter Single Sign-On 或 Platform Services Controller 集成。请参见 vSphere 安全性,了解有关将 ESXi 主机添加到 Active Directory 的信息。
如何登录到 vCenter Server 组件
您可以通过连接到 vSphere Web Client 或 Platform Services Controller Web 界面登录。
用户从 vSphere Web Client 登录到 vCenter Server 系统时,登录行为取决于用户是否位于设置为默认标识源的域中。
- 默认域中的用户可使用其自身的用户名和密码进行登录。
- 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域。
- 包含域名前缀,例如 MYDOMAIN\user1
- 包含域,例如 [email protected]
- 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用户是否进行了身份验证。
如果环境中包括 Active Directory 层次结构,请参见 VMware 知识库文章 2064250 获取受支持和不支持的设置的详细信息。
