在使用增强型链接模式的 vCenter Server环境中启用身份提供程序联合时,身份验证和工作流的运行方式保持不变。

如果使用增强型链接模式配置,在使用联合身份验证登录到 vCenter Server时,请注意以下几点。

  • 根据 vCenter Server权限和角色模型,用户继续查看相同的清单,并执行相同的操作。
  • 采用增强型链接模式的vCenter Server主机无需访问彼此的身份提供程序。例如,假设有两个vCenter Server系统 A 和 B,并使用增强型链接模式。在 vCenter ServerA 授权用户之后,也会在 vCenter Server B 上授权该用户。

下图显示了使用增强型链接模式和 vCenter Server身份提供程序联合的身份验证工作流。

图 1. 增强型链接模式和 vCenter Server身份提供程序联合
此图显示了使用增强型链接模式的 vCenter Server 系统如何与 AD FS 进行交互。
  1. 以增强型链接模式配置部署两个 vCenter Server节点。
  2. 已使用 vSphere Client中的“更改身份提供程序”向导在vCenter Server A 上配置 AD FS 设置。还为 AD FS 用户或组建立了组成员资格和权限。
  3. vCenter ServerA 将 AD FS 配置复制到 vCenter Server B。
  4. 两个 vCenter Server 节点的所有重定向 URI 都将添加到 AD FS 中的 OAuth 应用程序组。仅创建一个 OAuth 应用程序组。
  5. 当用户登录到 vCenter ServerA 并获得授权时,该用户也获得了 vCenter Server B 的授权。如果用户先登录到 vCenter Server B,同样如此。
vCenter Server 增强型链接模式支持身份提供程序联合的以下配置方案。在此部分中,术语“AD FS 设置”和“AD FS 配置”指的是在 vSphere Client中使用“更改身份提供程序”向导配置的设置,以及为 AD FS 用户或组建立的任何组成员资格或权限。
在现有增强型链接模式配置上启用 AD FS
简要步骤:
  1. 以增强型链接模式配置部署 N 个 vCenter Server节点。
  2. 在其中一个链接的 vCenter Server节点上配置 AD FS。
  3. 将 AD FS 配置复制到所有其他 (N-1) 个 vCenter Server节点。
  4. 将所有 N 个 vCenter Server节点的所有重定向 URI 添加到 AD FS 中的已配置 OAuth 应用程序组。
将新的 vCenter Server链接到现有的增强型链接模式 AD FS 配置
简要步骤:
  1. (必备条件)在 vCenter ServerN 节点增强型链接模式配置上设置 AD FS。
  2. 部署新的独立 vCenter Server节点。
  3. 使用 N 个节点中的一个作为其复制合作伙伴,将新 vCenter Server 重新指向 N 节点 AD FS 增强型链接模式域。
  4. 现有增强型链接模式配置中的所有 AD FS 设置都将复制到新 vCenter Server

    N 节点 AD FS 增强型链接模式域中的 AD FS 设置将覆盖新链接的 vCenter Server上的任何现有 AD FS 设置。

  5. 将新 vCenter Server的所有重定向 URI 添加到 AD FS 中的现有已配置 OAuth 应用程序组。
取消 vCenter Server与增强型链接模式 AD FS 配置的链接
简要步骤:
  1. (必备条件)在 N 节点 vCenter Server 增强型链接模式配置上设置 AD FS。
  2. 取消注册 N 节点配置中的一个 vCenter Server 主机,并将其重新指向新域,以便取消其与 N 节点配置的链接。
  3. 域重新指向过程不保留 SSO 设置,因此取消链接的vCenter Server节点上的所有 AD FS 设置都将恢复并丢失。要在此取消链接的 vCenter Server 节点上继续使用 AD FS,必须从头开始重新配置 AD FS,或者必须将 vCenter Server 重新链接到已设置 AD FS 的增强型链接模式配置。