安装或升级到 vSphere 8.0 Update 3 后,您可以为 VMware Single Sign-On 配置 vCenter Server 主机。配置 VMware Single Sign-On 时,使用外部身份提供程序登录到 vCenter Server 主机。
VMware Single Sign-On 支持在非增强型链接模式配置中连接 vCenter Server 主机。也就是说,只要配置外部身份提供程序,就可以利用该配置对其他 vCenter Server 主机进行单点登录。配置了外部身份提供程序的 vCenter Server 主机充当其他 vCenter Server 主机的身份提供程序。
可以配置多个 vCenter Server 主机以执行 VMware Single Sign-On。为此,必须将每个 vCenter Server 主机配置为指向配置了外部身份提供程序的 vCenter Server 主机。
执行 VMware Single Sign-On 配置后,仍然可以使用本地帐户登录到 vCenter Server 主机。
注: VMware Single Sign-On 不会像在增强型链接模式下那样在
vCenter Server 主机之间共享清单。
前提条件
VMware Single Sign-On 要求:
- 配置 VMware Single Sign-On 的 vCenter Server 运行 vSphere 8.0 Update 3。
- 要连接的 vCenter Server 主机至少运行 vSphere 8.0 Update 1。
- 您已配置以下外部身份提供程序之一:
- Microsoft Entra ID
- Okta
- PingFederate
- 必须将可信根证书从配置了外部身份提供程序的 vCenter Server 主机添加到配置 VMware Single Sign-On 的 vCenter Server 主机。
过程
- 从配置了外部身份提供程序的 vCenter Server 主机下载可信根证书。例如,请参见相应的 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2108294。
- 将该可信根证书上载到要配置 VMware SSO 的 vCenter Server 主机。
- 使用 vSphere Client 以管理员身份登录到要配置 VMware SSO 的 vCenter Server 主机。
- 导航到。
- 单击更改提供程序并选择 VMware SSO。
此时将打开
配置主身份提供程序向导。
- 在必备条件面板中,查看 vCenter Server 要求。
- 单击运行预检查。
如果预检查发现错误,请单击
查看详细信息,然后按照指示采取措施,解决错误。
- 如果预检查通过,请单击确认复选框,然后单击下一步。
- 在 OpenID Connect 面板中,输入以下信息。
- 身份提供程序名称:填写 VMware SSO。
- vCenter Server FQDN:输入配置了外部身份提供程序的 vCenter Server 主机的 FQDN。
- 端口号:接受默认值 443,或者更改为要使用的端口。
- 用户名和密码:输入配置了外部身份提供程序的此 vCenter Server 主机上管理员帐户的用户名和密码。
- 单击下一步。
- 检查信息,然后单击完成。
vCenter Server 将创建 VMware SSO 提供程序并显示配置信息。此
vCenter Server 主机现在包含与创建配置时所在的主机相同的外部身份提供程序配置。例如,当您比较两个主机之间的 OpenID 配置时,它们是相同的。
- 将此 vCenter Server 配置为使用外部身份提供程序进行授权。
可以将外部身份提供程序用户分配给
vCenter Server 组,也可以为这些用户分配清单级别权限和全局权限。登录所需的最低权限为只读。
- 验证是否以外部身份提供程序用户身份登录到此 vCenter Server 主机。
启动
vSphere Client 时,会看到“欢迎使用 VMware vSphere”屏幕,其中包含
使用 SSO 登录按钮。单击此按钮后,将重定向到外部身份提供程序的登录屏幕。
