作为系统管理员或虚拟基础架构管理员,您可以使用单点登录让 SSO 用户能够安全地登录您的 vRealize Operations 环境。

配置单点登录源后,会将用户重定向到 SSO 身份源进行身份验证。登录后,用户可以访问其他 vSphere 组件(如 vCenter Server)而不必再次登录。

前提条件

  • 验证单点登录源的服务器系统时间与 vRealize Operations 是否同步。如果您需要配置网络时间协议 (NTP),请参见vRealize Operations vApp 部署和配置指南》中有关集群和节点维护的信息。
  • 验证您是否能够通过vCenter Server访问平台服务控制器。请参阅 VMware vSphere 信息中心了解更多详细信息。

过程

  1. 以管理员身份登录 vRealize Operations
  2. 从左侧菜单中,单击系统管理,然后单击身份验证源图标。
  3. 单击添加
  4. 在“为用户和组导入添加源”对话框中,为单点登录源提供信息。
    选项 操作
    源显示名称 键入导入源的名称。
    源类型 验证是否显示 SSO SAML。
    主机 输入单点登录服务器所在主机的 IP 地址或 FQDN。如果输入主机的 FQDN,请验证 vRealize Operations 集群中的每个非远程收集器节点是否都能解析单点登录主机 FQDN。
    端口 将端口设置为单点登录服务器侦听端口。默认情况下,该端口设置为 443。
    用户名 输入可以登录到 SSO 服务器的用户名。
    密码 输入密码。
    是否授予 vRealize Operations Manager管理员角色以方便日后的配置? 选择,以便在您对 vRealize Operations 设置进行更改时,SSO 源会自动重新注册。如果选择,并且 vRealize Operations 设置已更改,则直到您手动重新注册单点登录源之后,单点登录用户才能登录。
    是否自动重定向到 vRealize Operations 单点登录 URL? 选择将用户定向到 vCenter 单点登录的登录页面。如果选择,则不会将用户重定向到 SSO 进行身份验证。
    添加当前源后是否导入单点登录用户组? 选择,则 SSO 源设置完成后,向导会将您定向到“导入用户组”页面。如果要稍后导入用户帐户或用户组,请选择
    高级选项 如果环境使用负载均衡器,请输入负载均衡器的 IP 地址。
  5. 单击测试以测试源连接,然后单击确定
    此时将显示证书详细信息。
  6. 选中接受此证书复选框,然后单击确定
  7. 在“导入用户组”对话框中,从另一台计算机上的 SSO 服务器导入用户帐户。
    选项 操作
    导入来源 选择在配置单点登录源时指定的单点登录服务器。
    域名 选择想从中导入用户组的域名。 如果 Active Directory 在 PSC 中配置为 LDAP 源,则当 vCenter Server驻留在同一个域中,您只能导入通用组和域本地组。
    结果限制 输入执行搜索时显示的结果数。
    搜索前缀 输入搜索用户组时要用的前缀。
  8. 在显示的用户组列表中,至少选择一个用户组,然后单击下一步
  9. 在“角色和对象”窗格中,从选择角色下拉菜单中选择角色,然后选中将此角色分配给该组复选框。
  10. 选择组的用户在拥有此角色时可以访问的对象。
    要分配权限以便用户可以访问 vRealize Operations 中的所有对象,请选中 允许访问系统中的所有对象复选框。
  11. 单击确定
  12. 使您自己熟悉单点登录,并确认您已正确配置了单点登录源。
    1. 注销 vRealize Operations
    2. 作为从单点登录服务器导入的用户组中的一个用户,登录 vSphere Web Client
    3. 在新浏览器选项卡中,输入 vRealize Operations 环境的 IP 地址。
    4. 如果单点登录服务器配置正确,您将登录到 vRealize Operations,而无需输入用户凭据。