您可以通过 VMware Identity Manager 单点登录身份验证在 vRealize Log Insight 中使用 Active Directory 组。必须为您的站点配置启用了 Active Directory 支持的 VMware Identity Manager 身份验证,并且必须启用了服务器同步。
您还必须将组信息导入到 vRealize Log Insight 中。
除了分配给单个用户的角色以外,VMware Identity Manager 用户还会继承分配给所属的任何组的角色。例如,管理员可以为组 A 分配查看管理员角色,并为某个用户分配用户角色。此外,也可以将该用户分配到组 A。当该用户登录时,用户将继承组角色,因而将同时拥有查看管理员和用户角色特权。
该组不是 VMware Identity Manager 本地组,而是与 VMware Identity Manager 同步的 Active Directory 组。
前提条件
- 确认您配置了 UPN 属性 (userPrincipalName)。可以通过 VMware Identity Manager 管理员界面的配置该属性。
- 验证是否已以具有编辑管理员权限的用户身份登录到vRealize Log Insight Web 用户界面。URL 格式为 https://log-insight-host,其中,log-insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。
- 确认在 vRealize Log Insight 中配置了 VMware Identity Manager 支持。请参见启用通过 VMware Identity Manager 进行用户身份验证
过程
- 导航到管理选项卡。
- 在“管理”下,单击访问控制。
- 单击用户和组。
- 滚动到目录组表,然后单击新建组。
- 从类型下拉菜单中选择 VMware Identity Manager。
将在
域文本框中显示在配置 VMware Identity Manager 支持时指定的默认域名。
- 将域名更改为组的 Active Directory 名称。
- 输入要添加的组的名称。
- 从右侧的角色列表中,选择一个或多个预定义或自定义的用户角色。
| 选项 |
描述 |
| 用户 |
用户可以访问 vRealize Log Insight 的完整功能。您可以查看日志事件,运行查询以搜索和筛选日志,将内容包导入到自己的用户空间中,添加警示查询,以及管理自己的用户帐户以更改密码或电子邮件地址。用户没有访问管理选项的权限,无法与其他用户共享内容,无法修改其他用户的帐户,也无法从商城安装内容包。但是,您可以将内容包导入到只有您自己可以看到的用户空间中。 |
| 仪表板用户 |
仪表板用户只能使用 vRealize Log Insight的“仪表板”页面。 |
| 仅查看管理员 |
“查看管理员”用户可以查看管理员信息,具有完全用户访问权限,并且可以编辑共享内容。 |
| 超级管理员 |
“超级管理员”用户可以访问 vRealize Log Insight的完整功能,可以管理 vRealize Log Insight,还可以管理所有其他用户的帐户。 |
- 单击保存。
在进行身份验证时,
vRealize Log Insight 将验证用户的域是否已与某个组关联。如果该域不属于任一组,
vRealize Log Insight 将验证该域是否已同与某个组关联的域建立了信任关系。如果已建立跨域信任关系,则用户可以登录到
vRealize Log Insight,且相应的用户帐户会被添加到
中的用户表。
结果
属于您添加的组的用户可以使用其 VMware Identity Manager 帐户登录到
vRealize Log Insight,并拥有所属的组的权限级别。
