僅當使用者位於已新增為 vCenter Single Sign-On 身分識別來源的網域中時,才可以登入 vCenter Server。vCenter Single Sign-On 管理員使用者可以從 vSphere Web Client 新增身分識別來源。

執行這項作業的原因和時機

身分識別來源可以是原生 Active Directory (整合式 Windows 驗證) 網域,也可以是 OpenLDAP 目錄服務。為實現回溯相容性,做為 LDAP 伺服器的 Active Directory 也可供使用。

完成安裝後,下列預設身分識別來源和使用者便立即可用:

localos

所有本機作業系統使用者。這些使用者可以取得 vCenter Server 的權限。如果要進行升級,已取得權限的使用者將保留這些權限。

vsphere.local

包含 vCenter Single Sign-On 內部使用者。

程序

  1. 以 administrator@vsphere.local 或擁有 vCenter Single Sign-On 管理員權限的其他使用者身分登入 vSphere Web Client

    具有 vCenter Single Sign-On 管理員權限的使用者位於 CAAdmins 群組。

  2. 瀏覽到管理 > Single Sign-On > 組態
  3. 身分識別來源索引標籤上,按一下新增身分識別來源圖示。
  4. 選取身分識別來源的類型,然後輸入身分識別來源設定。

    選項

    說明

    Active Directory (整合式 Windows 驗證)

    對於原生 Active Directory 實作,請使用此選項。如果您想要使用此選項,則執行 vCenter Single Sign-On 服務所在的機器必須位於 Active Directory 網域。

    請參閱 Active Directory 身分識別來源設定

    做為 LDAP 伺服器的 Active Directory

    此選項適用於回溯相容性。這需要您指定網域控制站和其他資訊。請參閱 Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    OpenLDAP

    對於 OpenLDAP 身分識別來源,請使用此選項。請參閱 Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    LocalOS

    使用此選項可新增本機作業系統做為身分識別來源。系統僅會提示您輸入本機作業系統的名稱。如果選取此選項,則指定機器上的所有使用者皆對 vCenter Single Sign-On 可見,即使這些使用者不屬於其他網域亦是如此。

    備註︰

    如果使用者帳戶已鎖定或停用,Active Directory 網域中的驗證以及群組和使用者搜尋會失敗。使用者帳戶必須具有使用者和群組 OU 的唯讀存取權,並且必須能夠讀取使用者和群組屬性。這是使用者權限的預設 Active Directory 網域組態。VMware 建議使用特殊服務使用者。

  5. 如果將 Active Directory 設定為 LDAP 伺服器或 OpenLDAP 身分識別來源,請按一下測試連線以確保您可以連線到身分識別來源。
  6. 按一下確定

下一步

新增身分識別來源後,所有使用者皆可進行驗證但僅具有無存取權權限。具有 vCenter Server Modify.permissions 權限的使用者可向使用者或使用者群組指派權限,以便他們能夠登入 vCenter Server。請參閱在 vSphere Web Client 中指派權限