身分識別來源可讓您將一或多個網域連結到 vCenter Single Sign-On。網域是使用者和群組的存放庫,vCenter Single Sign-On 伺服器可以用來進行使用者驗證。

身分識別來源是使用者和群組資料的集合。使用者和群組資料儲存在 Active Directory、OpenLDAP 中,或在本機儲存到安裝有 vCenter Single Sign-On 的機器的作業系統。安裝後,vCenter Single Sign-On 的每個執行個體都具有一個本機作業系統身分識別來源 vpshere.local。此身分識別來源是 vCenter Single Sign-On 的內部身分識別來源。

vCenter Single Sign-On 管理員使用者可以建立 vCenter Single Sign-On 使用者和群組。

身分識別來源類型

vCenter Server 5.1 版之前的版本支援將 Active Directory 和本機作業系統使用者做為使用者存放庫。因此,本機作業系統使用者可以永遠向 vCenter Server 系統進行驗證。vCenter Server 5.1 版和 5.5 版使用 vCenter Single Sign-On 進行驗證。如需 vCenter Single Sign-On 5.1 支援的身分識別來源的清單,請參閱 vSphere 5.1 說明文件。vCenter Single Sign-On 5.5 支援將下列類型的使用者存放庫用作身分識別來源,但僅支援一個預設身分識別來源。

  • Active Directory 2003 及更新版本。vCenter Single Sign-On 僅允許指定單一 Active Directory 網域做為身分識別來源。該網域可包含子網域或做為樹系的根網域。在 vSphere Web Client 中顯示為 Active Directory (整合式 Windows 驗證)

  • Active Directory over LDAP。vCenter Single Sign-On 支援多個 Active Directory over LDAP 身分識別來源。包含這種身分識別來源類型旨在與 vSphere 5.1 隨附的 vCenter Single Sign-On 服務相容。在 vSphere Web Client 中顯示為做為 LDAP 伺服器的 Active Directory

  • OpenLDAP 2.4 及更新版本。vCenter Single Sign-On 支援多個 OpenLDAP 身分識別來源。在 vSphere Web Client 中顯示為 OpenLDAP

  • 本機作業系統使用者。本機作業系統使用者是執行 vCenter Single Sign-On 伺服器之作業系統的本機使用者。本機作業系統身分識別來源僅存在於 vCenter Server 簡單安裝,以及在獨立 vCenter Single Sign-On 部署的自訂安裝中。本機作業系統身分識別來源在具有多個 vCenter Single Sign-On 執行個體的部署中無法使用。僅允許一個本機作業系統身分識別來源。在 vSphere Web Client 中顯示為 localos

  • vCenter Single Sign-On 系統使用者。每次安裝 vCenter Single Sign-On 時,只會建立一個名為 vsphere.local 的系統身分識別來源。在 vSphere Web Client 中顯示為 vsphere.local

備註︰

在任何時候都僅存在一個預設網域。來自非預設網域的使用者在登入時必須新增網域名稱 (DOMAIN\user),才能成功進行驗證。

vCenter Single Sign-On 身分識別來源由 vCenter Single Sign-On 管理員使用者管理。

您可以將身分識別來源新增到 vCenter Single Sign-On 伺服器執行個體。遠端身分識別來源僅限於 Active Directory 和 OpenLDAP 伺服器實作。

登入行為

使用者從 vSphere Web Client 登入 vCenter Server 系統時,登入行為視使用者是否位於預設網域而定。

  • 預設網域中的使用者可以使用自己的使用者名稱和密碼登入。

  • 位於已新增到 vCenter Single Sign-On 做為身分識別來源的網域而並非預設網域的使用者,可以登入 vCenter Server 但必須以下列其中一種方式指定網域。

    • 包括網域名稱前置詞,例如 MYDOMAIN\user1

    • 包括網域,例如 user1@mydomain.com

  • 位於並非 vCenter Single Sign-On 身分識別來源之網域的使用者,則無法登入 vCenter Server。如果新增到 vCenter Single Sign-On 的網域是網域階層的一部分,則 Active Directory 會判定階層中其他網域的使用者是否已進行驗證。

vCenter Single Sign-On 不會傳播經由不同身分識別來源的巢狀群組所取得的權限。例如,如果您將網域管理員群組新增到本機管理員群組,則不會散佈權限,因為本機作業系統和 Active Directory 是不同的身分識別來源。