作为系统管理员或虚拟基础架构管理员,您可以使用单一登录使 SSO 用户能够安全地登录 vRealize Operations Manager环境。

开始之前

  • 验证单一登录源的服务器系统时间与vRealize Operations Manager是否同步。如果您需要配置网络时间协议 (Network Time Protocol, NTP),请参见vRealize Operations Manager群集和节点维护

  • 验证您是否能够通过vCenter Server访问平台服务控制器。请参阅 VMware vSphere 信息中心了解更多详细信息。

关于此任务

配置单一登录源后,会将用户重定向到 SSO 身份源进行身份验证。登录后,用户可以访问其他 vSphere 组件(如 vCenter Server)而不必再次登录。

过程

  1. 以管理员身份登录 vRealize Operations Manager
  2. 选择系统管理 > 身份验证源,然后在工具栏上单击添加图标。
  3. 在“为用户和组导入添加源”对话框中,为单一登录源提供信息。

    选项

    操作

    源显示名称

    键入导入源的名称。

    源类型

    验证是否显示 SSO SAML。

    主机

    输入单一登录服务器所在主机的 IP 地址或 FQDN。如果输入主机的 FQDN,请验证 vRealize Operations Manager群集中的每个非远程收集器节点都可以解析单一登录主机 FQDN。

    端口

    将端口设置为单一登录服务器侦听端口。默认情况下,该端口设置为 443。

    用户名

    输入可以登录到 SSO 服务器的用户名。

    密码

    输入密码。

    是否授予 vRealize Operations Manager管理员角色以方便日后的配置?

    选择,以便对vRealize Operations Manager 设置进行更改时 SSO 源会自动重新注册。如果选择,并且 vRealize Operations Manager 设置已更改,则直到您手动重新注册单一登录源之后,单一登录用户才能登录。

    是否自动重定向到 vRealize Operations 单一登录 URL?

    选择将用户定向到 vCenter 单一登录的登录页面。如果选择,则不会将用户重定向到 SSO 进行身份验证。可在 vRealize Operations Manager全局设置中更改此选项。

    添加当前源后是否导入单一登录用户组?

    选择,则 SSO 源设置完成后,向导会将您定向到“导入用户组”页面。如果要稍后导入用户帐户或用户组,请选择

    高级选项

    如果环境使用负载平衡器,请输入负载平衡器的 IP 地址。

  4. 单击测试以测试源连接,然后单击确定

    此时将显示证书详细信息。

  5. 选中接受此证书复选框,然后单击确定
  6. 在“导入用户组”对话框中,从另一台机器上的 SSO 服务器导入用户帐户。

    选项

    操作

    导入来源

    选择在配置单一登录源时指定的单一登录服务器。

    域名

    选择想从中导入用户组的域名。 如果 Active Directory 在 PSC 中配置为 LDAP 源,则当 vCenter Server驻留在同一个域中,您只能导入通用组和域本地组。

    结果限制

    输入执行搜索时显示的结果数。

    搜索前缀

    输入搜索用户组时要用的前缀。

  7. 在显示的用户组列表中,至少选择一个用户组,然后单击下一步
  8. 在“角色和对象”窗格中,从选择角色下拉菜单中选择角色,然后选中将此角色分配给该组复选框。
  9. 选择组的用户在拥有此角色时可以访问的对象。

    要分配权限以便用户可以访问 vRealize Operations Manager中的所有对象,请选中允许访问系统中的所有对象复选框。

  10. 单击确定
  11. 使您自己熟悉单一登录,并确认您已正确配置了单一登录源。
    1. 注销 vRealize Operations Manager
    2. 作为从单一登录服务器导入的用户组中的一个用户,登录 vSphere Web Client
    3. 在新浏览器选项卡中,输入 vRealize Operations Manager环境的 IP 地址。
    4. 如果单一登录服务器配置正确,您将登录到 vRealize Operations Manager,而无需输入用户凭据。