当用户登录 vSphere 组件或 vCenter Server 解决方案用户访问另一个 vCenter Server 服务时,vCenter Single Sign-On 会执行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证,且应具有所需权限才能与 vSphere 对象进行交互。
vCenter Single Sign-On 会同时对解决方案用户和其他用户进行身份验证。
- 解决方案用户表示 vSphere 环境中的一组服务。在安装期间,默认情况下,VMCA 会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会向解决方案用户提供一个 SAML 令牌,然后,该解决方案用户可以与环境中的其他服务进行交互。
- 其他用户登录到环境时(例如,从 vSphere Client 登录),vCenter Single Sign-On 会提示您输入用户名和密码。如果 vCenter Single Sign-On 在相应的标识源中找到具有这些凭据的用户,则会向该用户分配 SAML 令牌。现在,用户可以访问环境中的其他服务,而无需提示再次进行身份验证。
用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter Server 权限设置决定。vCenter Server 管理员可以从 vSphere Client 中的权限界面分配这些权限,而不是通过 vCenter Single Sign-On 进行分配。请参见《vSphere 安全性》文档。
vCenter Single Sign-On 和 vCenter Server 用户
用户可通过在登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后,通过身份验证的用户可以查看所有 vCenter Server 实例或向其角色提供权限的其他 vSphere 对象。无需进一步进行身份验证。
安装后,vCenter Single Sign-On 域的管理员(默认为 [email protected])对 vCenter Single Sign-On 和 vCenter Server 具有管理员访问权限。然后,该用户可以添加标识源、设置默认标识源,以及管理 vCenter Single Sign-On 域中的用户和组。
可以向 vCenter Single Sign-On 进行身份验证的所有用户都可以重置其密码。请参见更改 vCenter Single Sign-On 密码。只有 vCenter Single Sign-On 管理员可以为不再具有其密码的用户重置密码。
vCenter Single Sign-On 管理员用户
可从 vSphere Client 访问 vCenter Single Sign-On 管理界面。
其他用户帐户
以下用户帐户将在 vsphere.local 域(或在安装时创建的默认域)中的 vCenter Server 内自动创建。这些用户帐户是 shell 帐户。vCenter Single Sign-On 密码策略不适用于这些帐户。
帐户 | 描述 |
---|---|
K/M | 用于 Kerberos 密钥管理。 |
krbtgt/VSPHERE.LOCAL | 用于集成 Windows 身份验证兼容性。 |
waiter-random_string | 用于 Auto Deploy。 |
ESXi 用户
独立的 ESXi 主机未与 vCenter Single Sign-On 集成。请参见 《vSphere 安全性》,了解有关将 ESXi 主机添加到 Active Directory 的信息。
如何登录到 vCenter Server 组件
可以通过连接到 vSphere Client 登录。
用户从 vSphere Client 登录到 vCenter Server 系统时,登录行为取决于用户是否位于设置为默认标识源的域中。
- 默认域中的用户可使用其自身的用户名和密码进行登录。
- 如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中,则可以登录到 vCenter Server,但必须按照以下方式之一指定域。
- 包含域名前缀,例如 MYDOMAIN\user1
- 包含域,例如 [email protected]
- 如果用户位于不是 vCenter Single Sign-On 标识源的域中,则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分,则 Active Directory 将确定层次结构中其他域的用户是否进行了身份验证。
如果环境中包括 Active Directory 层次结构,请参见 VMware 知识库文章 2064250 获取受支持和不支持的设置的详细信息。