當使用者登入 vSphere 元件,或當 vCenter Server 解決方案使用者存取另一個 vCenter Server 服務時,vCenter Single Sign-On 會執行驗證。使用者必須透過 vCenter Single Sign-On 進行驗證,並具有與 vSphere 物件互動所需的權限。

vCenter Single Sign-On 會驗證解決方案使用者和其他使用者。
  • 解決方案使用者代表 vSphere 環境中的一組服務。依預設,VMCA 會在安裝期間為每個解決方案使用者指派憑證。解決方案使用者會使用該憑證向 vCenter Single Sign-On 進行驗證。vCenter Single Sign-On 會為解決方案使用者提供 SAML Token,然後解決方案使用者便可與環境中的其他服務互動。
  • 當其他使用者登入環境時 (例如從 vSphere Client),vCenter Single Sign-On 會提示輸入使用者名稱和密碼。如果 vCenter Single Sign-On 發現使用者的相應身分識別來源中具備這些認證,就會為該使用者指派 SAML Token。接著使用者就可以存取環境中的其他服務,而不會收到再次進行驗證的提示。

    使用者可以檢視的物件,以及使用者可以執行的動作,通常是由 vCenter Server 權限設定決定。vCenter Server 管理員會從 vSphere Web ClientvSphere Client 中的權限介面指派這些權限,而不是透過 vCenter Single Sign-On。請參閱 vSphere 安全性說明文件。

vCenter Single Sign-OnvCenter Server 使用者

使用者可透過在登入頁面上輸入其認證,向 vCenter Single Sign-On 進行驗證。連線到 vCenter Server 後,已驗證的使用者可以檢視所有 vCenter Server 執行個體,或其角色有權檢視的其他 vSphere 物件。無需進一步驗證。

安裝後,cloudadmin@vmc.local 使用者 vCenter Server 將擁有 vCenter Single Sign-OnvCenter Server 的管理員存取權。該使用者也可以新增身分識別來源、設定預設身分識別來源,以及設定 vmc.local 網域中的原則。vmc.local 網域中的某些管理作業會限制為 VMware Cloud on AWS 作業人員。

備註: 當您從 vSphere Client 變更 SDDC 的密碼時,新密碼不會與 [預設 vCenter 認證] 頁面上顯示的密碼同步。該頁面僅顯示預設認證。如果您變更認證,您將負責追蹤新密碼。請連絡技術支援並要求密碼變更。

vCenter Single Sign-On 管理員使用者

可以從 vSphere ClientvSphere Web Client 存取 vCenter Single Sign-On 管理介面。

若要設定 vCenter Single Sign-On 並管理 vCenter Single Sign-On 使用者和群組,使用者 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組中的使用者必須登入 vSphere Client。驗證後,該使用者可以從 vSphere Client 存取 vCenter Single Sign-On 管理介面並管理身分識別來源和預設網域、指定密碼原則,以及執行其他管理工作。