使用者登入 vSphere 元件時,vCenter Single Sign-On 用於驗證。必須透過 vCenter Single Sign-On 驗證使用者,並且必須已授與 vCenter Server 權限,使用者才能檢視和管理 vSphere 物件。

使用者登入 vSphere Web Client 時,首先由 vCenter Single Sign-On 驗證。針對已驗證的使用者,vCenter Server 將檢查權限。使用者所能看到的內容和所能執行的作業,均取決於 vCenter ServerESXi 的 vSphere 權限設定以及環境中的應用程式。vCenter Server 管理員從 vSphere Web Client 中的管理 > 權限介面來指派這些權限,而不是透過 vCenter Single Sign-On。請參閱 vSphere 使用者和權限vCenter 使用者管理工作

vCenter Single Sign-On 和 vCenter Server 使用者

使用者可使用 vSphere Web Client,透過在 vSphere Web Client 登入頁面上輸入認證,向 vCenter Single Sign-On 驗證。連線到 vCenter Server 後,已驗證的使用者可以檢視所有 vCenter Server 執行個體,或具有權限的其他 vSphere 服務。無需進一步驗證。已驗證的使用者可對物件執行的動作取決於使用者對這些物件的 vCenter Server權限。請參閱 vSphere 使用者和權限vCenter 使用者管理工作

安裝後,administrator@vsphere.local 使用者將對 vCenter Single Sign-On 和 vCenter Server 擁有管理員存取權限。然後,該使用者可以新增身分識別來源、設定預設身分識別來源,以及管理 vCenter Single Sign-On 網域 (vsphere.local) 中的使用者和群組。

雖然大多數 vCenter Single Sign-On 管理工作需要 vCenter Single Sign-On 管理員認證,但是可對 vCenter Single Sign-On 進行驗證的所有使用者均可重設密碼,即使該密碼已到期也是如此。請參閱重設已到期的 vCenter Single Sign-On 密碼

vCenter Single Sign-On 管理員使用者

可以從 vSphere Web Client 存取 vCenter Single Sign-On 管理介面。

若要設定 vCenter Single Sign-On 並管理 vCenter Single Sign-On 使用者和群組,使用者 administrator@vsphere.local 或具有 vCenter Single Sign-On 管理員權限的使用者必須登入 vSphere Web Client。驗證後,該使用者可以存取 vCenter Single Sign-On 管理介面,管理身分識別來源和預設網域、指定密碼原則,以及執行其他管理工作。請參閱設定 vCenter Single Sign-On

備註︰

您無法重新命名 administrator@vsphere.local 使用者。為提高安全性,請考慮在 vsphere.local 網域中建立其他使用者,並為這些使用者指派管理權限。隨後即可停止使用 administrator@vsphere.local。

不同版本 vSphere 中的驗證

如果使用者連線到 vCenter Server 系統 5.0.x 或更早版本,vCenter Server 會根據 Active Directory 網域或本機作業系統使用者清單驗證使用者,從而對使用者進行驗證。在 vCenter Server 5.1 及更新版本中,使用者將透過 vCenter Single Sign-On 進行驗證。

備註︰

您無法使用 vSphere Web Client 管理 vCenter Server 5.0 或更早版本。將 vCenter Server 升級到 5.1 或更新版本。

ESXi 使用者

ESXi 5.1 未與 vCenter Single Sign-On 整合。將 ESXi 主機明確新增到 Active Directory 網域。請參閱將 ESXi 主機新增到 Active Directory 網域

您仍然可以使用 vSphere Client、vCLI 或 PowerCLI 建立本機 ESXi 使用者。vCenter Server 無法感知 ESXi 的本機使用者,且 ESXi 無法感知 vCenter Server 使用者。

登入行為

使用者從 vSphere Web Client 登入 vCenter Server 系統時,登入行為視使用者是否位於預設網域而定。

  • 預設網域中的使用者可以使用自己的使用者名稱和密碼登入。

  • 位於已新增到 vCenter Single Sign-On 做為身分識別來源的網域而並非預設網域的使用者,可以登入 vCenter Server 但必須以下列其中一種方式指定網域。

    • 包括網域名稱前置詞,例如 MYDOMAIN\user1

    • 包括網域,例如 user1@mydomain.com

  • 位於並非 vCenter Single Sign-On 身分識別來源之網域的使用者,則無法登入 vCenter Server。如果新增到 vCenter Single Sign-On 的網域是網域階層的一部分,則 Active Directory 會判定階層中其他網域的使用者是否已進行驗證。