可以停止和启动 VMware Identity Services,重新生成 SCIM 令牌,以及还原已删除的 SCIM 用户和组。

根据任务,可以使用 vSphere Client 或外部身份提供程序的管理控制台。

停止和启动 VMware Identity Services

要将 Okta、Microsoft Entra ID(以前称为 Azure AD)或 PingFederate 配置为外部身份提供程序并运行,必须在 vCenter Server 上启动 VMware Identity Services。默认情况下,安装或升级到 vSphere 8.0 Update 1 或更高版本时,将启动 VMware Identity Services。您可以使用 vCenter Server 管理界面管理 VMware Identity Services。

从版本 8.0 Update 1 开始, vSphere 包括 VMware Identity Services,以支持向 Okta 进行身份验证。从版本 8.0 Update 2 开始,VMware Identity Services 支持向 Microsoft Entra ID 进行身份验证。从版本 8.0 Update 3 开始,VMware Identity Services 支持向 PingFederate 进行身份验证。

前提条件

安装或升级到 vSphere 8.0 Update 1 或更高版本时,VMware Identity Services 会自动启动。将 Okta、Microsoft Entra ID 或 PingFederate 配置为外部身份提供程序时,无需启动 VMware Identity Services,因为它们已在运行。要启动或停止 VMware Identity Services,您必须是 root 用户。

只能在单个 vCenter Server 上配置外部身份提供程序。该 vCenter Server 通过其 VMware Identity Services 实例与身份提供程序进行通信。增强型链接模式配置中的其他 vCenter Server 系统也在运行 VMware Identity Services,但它们不会直接与身份提供程序通信。

过程

  1. 在 Web 浏览器中,转到 vCenter Server 管理界面 https://vcenter-IP-address-or-FQDN:5480。
  2. 以 root 用户身份登录。
    默认 root 密码是您在部署 vCenter Server 时设置的密码。
  3. 选择服务
  4. 查看 VMware Identity Services 的状态。
  5. 要停止或启动服务,请选择 VMware Identity Services,然后单击停止启动
    启动 VMware Identity Services 后,无需重新引导 vCenter Server

vCenter Server 中重新生成 SCIM 令牌

vCenter Server 中,您可以为外部身份提供程序重新生成跨域身份管理系统 (SCIM) 令牌。

如果生成另一个令牌,该令牌将立即变为活动状态,之前的令牌将被吊销。

前提条件

您必须已在 vCenter Server 中创建外部身份提供程序。

过程

  1. 以管理员身份使用 vSphere Client 登录到 vCenter Server
  2. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  3. 配置页面上的用户置备/密钥令牌下,单击重新生成以重新生成密钥令牌,从下拉列表中选择令牌使用期限,然后单击复制到剪贴板。将令牌保存到安全位置。
  4. 复制的令牌可用于更新外部身份提供程序配置。

还原已删除的 SCIM 用户和组

如果 vCenter Server 上的 SCIM 推送用户和组与外部身份提供程序不同步,您可以采取措施修复此问题。

如果要还原已从 vCenter Server 中删除的 SCIM 推送用户或组,则不能简单地从身份提供程序推送该用户或组。由于 vCenter Server 使用跨域身份管理系统 (SCIM) 进行用户和组管理,因此必须使用缺失的用户或组更新 SCIM 2.0 应用程序本身。

过程

  1. 登录到外部 IDP 管理控制台。
  2. 导航到 SCIM 2.0 应用程序。
  3. 分配已删除或缺失的用户或组。
  4. 选择相应的操作以删除已推送的组或用户,以取消链接推送的组或用户。
  5. 选择相应的操作以推送组。
  6. vCenter Server 上确认外部 IDP 已同步组或用户。