您可以通过 VMware Identity Manager 单点登录身份验证在 vRealize Log Insight 中使用 Active Directory 组。必须为您的站点配置启用了 Active Directory 支持的 VMware Identity Manager 身份验证,并且必须启用了服务器同步。

您还必须将组信息导入到 vRealize Log Insight 中。

除了分配给单个用户的角色以外,VMware Identity Manager 用户还会继承分配给所属的任何组的角色。例如,您可以为组 A 分配仅查看管理员角色,并为某个用户分配用户角色。此外,也可以将该用户分配到组 A。当该用户登录时,用户将继承组角色,因而将同时拥有仅查看管理员用户角色特权。

该组不是 VMware Identity Manager 本地组,而是与 VMware Identity Manager 同步的 Active Directory 组。

前提条件

  • 确认您配置了 UPN 属性 (userPrincipalName)。可以通过 VMware Identity Manager 管理员界面的身份和访问管理 > 用户属性配置该属性。

  • 确认您已经以超级管理员用户身份,或者以与具有访问控制权限且访问级别为编辑的角色相关联的用户身份,登录到 vRealize Log Insight Web 用户界面。该 Web 用户界面的 URL 格式为 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。

  • 确认在 vRealize Log Insight 中配置了 VMware Identity Manager 支持。请参见激活通过 VMware Identity Manager 进行用户身份验证

过程

  1. 导航到管理选项卡。
  2. 在“管理”下,单击访问控制
  3. 单击用户
  4. 滚动到目录组表,然后单击新建组
  5. 类型下拉菜单中选择 VMware Identity Manager
    将在 文本框中显示在配置 VMware Identity Manager 支持时指定的默认域名。
  6. 将域名更改为组的 Active Directory 名称。
  7. 输入要添加的组的名称。
  8. 从右侧的角色列表中,选择一个或多个预定义或自定义的用户角色。
    选项 描述
    仪表板用户 仪表板用户只能使用 vRealize Log Insight仪表板选项卡。
    超级管理员 超级管理员用户可以访问 vRealize Log Insight 的所有功能,可以管理 vRealize Log Insight,还可以管理所有其他用户的帐户。
    用户 用户可以访问 vRealize Log Insight 的所有功能。用户可以查看日志事件、运行查询以搜索和筛选日志、将内容包导入到自己的用户空间、查看警示以及管理自己的用户帐户以更改密码或电子邮件地址。用户没有访问管理选项的权限,无法与其他用户共享内容,无法创建或修改警示,无法修改其他用户的帐户,也无法从商城安装内容包。但是,用户可以将内容包导入到只有他们自己可以查看的用户空间中。
    仅查看管理员 “仅查看管理员”用户可以查看管理员信息,具有完全用户访问权限,并且可以编辑共享内容。
    自定义角色 具有自定义角色的用户可以根据与该角色关联的权限查看或修改信息。
    要查看与某个预定义角色或自定义角色关联的权限,请在 访问控制页面中单击 角色选项卡,然后单击相应角色对应的 显示权限选项。
  9. 单击保存
    在进行身份验证时, vRealize Log Insight 将验证用户的域是否已与某个组关联。如果该域不属于任一组, vRealize Log Insight 将验证该域是否已同与某个组关联的域建立了信任关系。如果已建立跨域信任关系,则用户可以登录到 vRealize Log Insight,且相应的用户帐户会被添加到 访问控制 > 用户中的用户表。

结果

属于您添加的组的用户可以使用其 VMware Identity Manager 帐户登录到 vRealize Log Insight,并拥有所属的组的权限级别。