您可以使用 vdmutil 命令列介面來設定及啟用或停用 True SSO。

執行這項作業的原因和時機

此程序只需在叢集的其中一個連線伺服器上執行。

重要事項︰

此程序只會使用要啟用 True SSO 所必須用到的命令。如需可用於管理 True SSO 組態之所有組態選項的清單及各個選項的說明,請參閱 用於設定 True SSO 的命令列參考

先決條件

程序

  1. 在叢集的某個連線伺服器上,開啟命令提示字元,然後輸入命令來新增註冊伺服器。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn

    註冊伺服器隨即新增到全域清單中。

  2. 輸入命令來列出該註冊伺服器的資訊。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn

    命令的輸出會顯示樹系名稱、註冊伺服器的憑證是否有效、可使用之憑證範本的名稱和詳細資料,以及憑證授權單位的一般名稱。若要設定註冊伺服器可連線到的網域,可在註冊伺服器上使用 [Windows 登錄] 設定。預設是連線到所有信任的網域。

    重要事項︰

    您必須在下一個步驟中指定憑證授權單位的一般名稱。

  3. 輸入命令以建立用來保存組態資訊的 True SSO 連接器,並啟用連接器。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled

    在此命令中,TrueSSO-template-name 是上一個步驟的輸出中所顯示範本的名稱,而 ca-common-name 則是該輸出中所顯示之企業憑證授權單位的一般名稱。

    指定網域的集區或叢集上已啟用 True SSO 連接器。若要在集區層級停用 True SSO,請執行 vdmUtil --certsso --edit --connector <domain> --mode disabled。若要停用個別虛擬機器的 True SSO,您可以使用 GPO (vdm_agent.adm)。

  4. 輸入命令來探索可使用的 SAML 驗證器。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator

    當您使用 View Administrator 設定 VMware Identity Manager 和連線伺服器之間的 SAML 驗證時,即會建立驗證器。

    輸出中會顯示驗證器名稱並顯示是否已啟用 True SSO。

    重要事項︰

    您必須在下一個步驟中指定驗證器名稱。

  5. 輸入命令啟用驗證器,以使用 True SSO 模式。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}

    針對 --truessoMode,若您只想在使用者已登入 VMware Identity Manager 但未提供密碼的情況下使用 True SSO,請使用 ENABLED。在此案例中,若已使用並快取密碼,系統將會使用該密碼。若在使用者已登入 VMware Identity Manager 且已提供密碼的情況下,您仍想使用 True SSO,請將 --truessoMode 設為 ALWAYS

下一步

在 View Administrator 中,確認 True SSO 組態的健全狀況狀態。如需更多資訊,請參閱 使用系統健全狀況儀表板來疑難排解與 True SSO 有關的問題

若要設定進階選項,請在合適的系統上使用 Windows 進階設定。請參閱 True SSO 的進階組態設定