vCenter Server身份提供程序联合可以与许多其他 VMware 功能进行交互操作。

在计划 vCenter Server身份提供程序联合策略时,请考虑可能的互操作限制。

身份验证机制

vCenter Server 身份提供程序联合配置中,外部身份提供程序处理身份验证机制(密码、MFA、生物识别等)。

支持单一 Active Directory 域

在配置 vCenter Server 身份提供程序联合时,“配置主身份提供程序”向导将提示您输入包含希望访问 vCenter Server 的用户和组的 AD 域的 LDAP 信息。vCenter Server 将从您在向导中指定的用户基本 DN 派生用于授权和权限的 AD 域。只能为此 AD 域中的用户和组添加 vSphere 对象的权限。vCenter Server 身份提供程序联合不支持 AD 子域中或 AD 林中其他域中的用户或组。

vCenter Server策略

vCenter Server作为身份提供程序时,您可以控制 vsphere.local 域的vCenter Server 密码、锁定和令牌策略。将联合身份验证与 vCenter Server结合使用时,外部身份提供程序可控制存储在标识源(如 Active Directory)中的帐户的密码、锁定和令牌策略。

审核和合规性

使用 vCenter Server身份提供程序联合时,vCenter Server 会继续为成功用户登录创建日志条目。但是,外部身份提供程序负责跟踪和记录操作,如密码输入尝试失败和用户帐户锁定。vCenter Server不会记录此类事件,因为这些事件对vCenter Server 不再可见。例如,当 AD FS 是身份提供程序时,AD FS 跟踪并记录联合登录错误。当 vCenter Server 是用于本地登录的身份提供程序时,vCenter Server 跟踪并记录本地登录错误。在联合配置中,vCenter Server会继续记录用户的登录后操作。

现有 VMware 产品集成

vCenter Server 集成的 VMware 产品(例如,vROps、vSAN、NSX 等)可继续像以前一样正常工作。

集成登录后的产品

集成登录后的产品(即,不需要单独登录)可继续像以前一样正常工作。

用于 API、SDK 和 CLI 访问的简单身份验证

现有脚本、产品和其他依赖于使用简单身份验证(即,用户名和密码)的 API、SDK 或 CLI 命令的功能可继续像以前一样正常工作。在内部,身份验证是通过传递用户名和密码进行的。这种传递用户名和密码的方式会影响使用身份联合的一些优势,因为它会向 vCenter Server(和您的脚本)暴露密码。请考虑尽可能迁移到基于令牌的身份验证。

vCenter Server管理界面

如果用户是管理员组的成员,则支持访问 vCenter Server管理界面(以前称为 vCenter Server Appliance 管理界面或 VAMI)。

在 AD FS 登录页面上输入用户名文本

AD FS 登录页面不支持传递文本以预填充用户名文本框。因此,在使用 AD FS 进行联合登录期间,在vCenter Server登录页面上输入用户名并重定向到 AD FS 登录页面后,您必须在 AD FS 登录页面上重新输入您的用户名。需要使用您在 vCenter Server 登录页面上输入的用户名将登录重定向到相应的身份提供程序,并且需要 AD FS 登录页面上的用户名才能使用 AD FS 进行身份验证。无法将用户名传递给 AD FS 登录页面是 AD FS 的局限性。您无法直接从 vCenter Server配置或更改此行为。