您可以通过 VMware Identity Manager 单点登录身份验证在 vRealize Log Insight 中使用 Active Directory 组。必须为您的站点配置启用了 Active Directory 支持的 VMware Identity Manager 身份验证,并且必须启用了服务器同步。

您还必须将组信息导入到 vRealize Log Insight 中。

除了分配给单个用户的角色以外,VMware Identity Manager 用户还会继承分配给所属的任何组的角色。例如,管理员可以为组 A 分配查看管理员角色,并为某个用户分配用户角色。此外,也可以将该用户分配到组 A。当该用户登录时,用户将继承组角色,因而将同时拥有查看管理员用户角色特权。

该组不是 VMware Identity Manager 本地组,而是与 VMware Identity Manager 同步的 Active Directory 组。

前提条件

  • 确认您配置了 UPN 属性 (userPrincipalName)。可以通过 VMware Identity Manager 管理员界面的身份和访问管理 > 用户属性配置该属性。
  • 验证是否已以具有编辑管理员权限的用户身份登录到vRealize Log Insight Web 用户界面。URL 格式为 https://log-insight-host,其中,log-insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。
  • 确认在 vRealize Log Insight 中配置了 VMware Identity Manager 支持。请参见启用通过 VMware Identity Manager 进行用户身份验证

过程

  1. 导航到管理选项卡。
  2. 在“管理”下,单击访问控制
  3. 单击用户和组
  4. 滚动到目录组表,然后单击新建组
  5. 类型下拉菜单中选择 VMware Identity Manager
    将在 文本框中显示在配置 VMware Identity Manager 支持时指定的默认域名。
  6. 将域名更改为组的 Active Directory 名称。
  7. 输入要添加的组的名称。
  8. 从右侧的角色列表中,选择一个或多个预定义或自定义的用户角色。
    选项 描述
    用户 用户可以访问 vRealize Log Insight 的完整功能。您可以查看日志事件,运行查询以搜索和筛选日志,将内容包导入到自己的用户空间中,添加警示查询,以及管理自己的用户帐户以更改密码或电子邮件地址。用户没有访问管理选项的权限,无法与其他用户共享内容,无法修改其他用户的帐户,也无法从商城安装内容包。但是,您可以将内容包导入到只有您自己可以看到的用户空间中。
    仪表板用户 仪表板用户只能使用 vRealize Log Insight的“仪表板”页面。
    仅查看管理员 “查看管理员”用户可以查看管理员信息,具有完全用户访问权限,并且可以编辑共享内容。
    超级管理员 “超级管理员”用户可以访问 vRealize Log Insight的完整功能,可以管理 vRealize Log Insight,还可以管理所有其他用户的帐户。
  9. 单击保存
    在进行身份验证时, vRealize Log Insight 将验证用户的域是否已与某个组关联。如果该域不属于任一组, vRealize Log Insight 将验证该域是否已同与某个组关联的域建立了信任关系。如果已建立跨域信任关系,则用户可以登录到 vRealize Log Insight,且相应的用户帐户会被添加到 访问控制 > 用户和组中的用户表。

结果

属于您添加的组的用户可以使用其 VMware Identity Manager 帐户登录到 vRealize Log Insight,并拥有所属的组的权限级别。