通过 vSphere 使用 vCenter Single Sign-On

当用户登录 vSphere 组件或 vCenter Server 解决方案用户访问另一个 vCenter Server 服务时，vCenter Single Sign-On 会执行身份验证。用户必须通过 vCenter Single Sign-On 进行身份验证，且应具有所需权限才能与 vSphere 对象进行交互。

vCenter Single Sign-On 会同时对解决方案用户和其他用户进行身份验证。

解决方案用户表示 vSphere 环境中的一组服务。在安装期间，默认情况下，VMCA 会向每个解决方案用户分配一个证书。解决方案用户使用该证书对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会为解决方案用户提供 SAML 令牌，然后解决方案用户可以与环境中的其他服务进行交互。
其他用户登录到环境时（例如，从 vSphere Client 登录），vCenter Single Sign-On 会提示您输入用户名和密码。如果 vCenter Single Sign-On 在相应的标识源中找到具有这些凭据的用户，则会向该用户分配 SAML 令牌。现在，用户可以访问环境中的其他服务，而无需提示再次进行身份验证。
用户可以查看哪些对象以及用户能够执行哪些操作通常由 vCenter Server 权限设置决定。vCenter Server 管理员可以从 vSphere Client 中的权限界面分配这些权限，而不是通过 vCenter Single Sign-On 进行分配。请参见《vSphere 安全性》文档。

vCenter Single Sign-On 和 vCenter Server 用户

用户可通过在登录页面上输入凭据向 vCenter Single Sign-On 进行身份验证。连接到 vCenter Server 后，通过身份验证的用户可以查看所有 vCenter Server 实例或向其角色提供权限的其他 vSphere 对象。无需进一步进行身份验证。

安装后，vCenter Single Sign-On 域的管理员（默认为 [email protected]）对 vCenter Single Sign-On 和 vCenter Server 具有管理员访问权限。然后，该用户可以添加标识源、设置默认标识源，以及管理 vCenter Single Sign-On 域中的用户和组。

可以向 vCenter Single Sign-On 进行身份验证的所有用户都可以重置其密码。请参见更改 vCenter Single Sign-On 密码。只有 vCenter Single Sign-On 管理员可以为不再具有其密码的用户重置密码。

vCenter Single Sign-On 管理员用户

可从 vSphere Client 访问 vCenter Single Sign-On 管理界面。

要配置 vCenter Single Sign-On 并管理 vCenter Single Sign-On 用户和组，用户 [email protected] 或 vCenter Single Sign-On 管理员组中的用户必须登录到 vSphere Client。根据身份验证，该用户可以通过 vSphere Client 访问 vCenter Single Sign-On 管理界面，并管理标识源和默认域、指定密码策略以及执行其他管理任务。

注：如果在安装过程中指定了其他域，则不能重命名 vCenter Single Sign-On 管理员用户，它默认为 [email protected] 或 administrator@ mydomain。为提高安全性，请考虑在 vCenter Single Sign-On 域中创建其他命名的用户，并为其分配管理特权。然后，可以使用管理员帐户停止。

vCenter Server 中的其他用户帐户

以下用户帐户将在 vsphere.local 域（或在安装时创建的默认域）中的 vCenter Server 内自动创建。这些用户帐户是 shell 帐户。vCenter Single Sign-On 密码策略不适用于这些帐户。

表 1. 其他 vCenter Server 用户帐户
帐户	描述
K/M	用于 Kerberos 密钥管理。
krbtgt/VSPHERE.LOCAL	用于集成 Windows 身份验证兼容性。
waiter-`random_string`	用于 Auto Deploy。

ESXi 用户

独立的 ESXi 主机未与 vCenter Single Sign-On 集成。请参见《vSphere 安全性》，了解有关将 ESXi 主机添加到 Active Directory 的信息。

如果使用 VMware Host Client、ESXCLI 或 PowerCLI 为受管 ESXi 主机创建本地 ESXi 用户， vCenter Server 不会识别这些用户。因此，创建本地用户会造成混淆，尤其是如果使用相同的用户名。如果可以对 vCenter Single Sign-On 进行身份验证的用户对 ESXi 主机对象拥有对应的权限，他们则可以查看和管理 ESXi 主机。

注：通过 vCenter Server 管理 ESXi 主机的权限（如果可能）。

如何登录到 vCenter Server 组件

可以通过连接到 vSphere Client 登录。

用户从 vSphere Client 登录到 vCenter Server 系统时，登录行为取决于用户是否位于设置为默认标识源的域中。

默认域中的用户可使用其自身的用户名和密码进行登录。
如果用户位于已添加到 vCenter Single Sign-On 作为标识源的域而并非默认域中，则可以登录到 vCenter Server，但必须按照以下方式之一指定域。
- 包含域名前缀，例如 MYDOMAIN\user1
- 包含域，例如 [email protected]
如果用户位于不是 vCenter Single Sign-On 标识源的域中，则无法登录到 vCenter Server。如果添加到 vCenter Single Sign-On 的域是域层次结构的一部分，则 Active Directory 将确定层次结构中其他域的用户是否进行了身份验证。

如果环境中包括 Active Directory 层次结构，请参见 VMware 知识库文章（网址为 https://kb.vmware.com/s/article/2064250）获取受支持和不支持的设置的详细信息。