僅當使用者位於已新增為 vCenter Single Sign-On 身分識別來源的網域中時,才可以登入 vCenter ServervCenter Single Sign-On 管理員使用者可以從 vSphere Web Client 新增身分識別來源。

開始之前

想要新增為身分識別來源的網域必須可用於 vCenter Single Sign-On 執行所在的機器。如果使用 vCenter Server Appliance,請參閱《vCenter Server Appliance 組態》說明文件。

執行這項作業的原因和時機

身分識別來源可以是原生 Active Directory (整合式 Windows 驗證) 網域,也可以是 OpenLDAP 目錄服務。為實現回溯相容性,做為 LDAP 伺服器的 Active Directory 也可供使用。請參閱具有 vCenter Single Sign-On 的 vCenter Server 的身分識別來源

完成安裝後,下列預設身分識別來源和使用者便立即可用:

localos

所有本機作業系統使用者。如果正在升級,已經可以驗證的使用者仍能夠繼續進行驗證。在使用 Platform Services Controller 的環境中,使用 localos 身分識別來源沒有意義。

vsphere.local

包含 vCenter Single Sign-On 內部使用者。

程序

  1. 以 administrator@vsphere.local 或擁有 vCenter Single Sign-On 管理員權限的其他使用者身分登入 vSphere Web Client

    具有 vCenter Single Sign-On 管理員權限的使用者位於 vsphere.local 網域的管理員群組中。

  2. 瀏覽到管理 > Single Sign-On > 組態
  3. 身分識別來源索引標籤上,按一下新增身分識別來源圖示。
  4. 選取身分識別來源的類型,然後輸入身分識別來源設定。

    選項

    說明

    Active Directory (整合式 Windows 驗證)

    對於原生 Active Directory 實作,請使用此選項。如果您想要使用此選項,則執行 vCenter Single Sign-On 服務所在的機器必須位於 Active Directory 網域。

    請參閱 Active Directory 身分識別來源設定

    做為 LDAP 伺服器的 Active Directory

    此選項適用於回溯相容性。這需要您指定網域控制站和其他資訊。請參閱 Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    OpenLDAP

    對於 OpenLDAP 身分識別來源,請使用此選項。請參閱 Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    LocalOS

    使用此選項可新增本機作業系統做為身分識別來源。系統僅會提示您輸入本機作業系統的名稱。如果選取此選項,則 vCenter Single Sign-On 可看到指定機器上的所有使用者,即使這些使用者不屬於其他網域亦是如此。

    備註︰

    如果使用者帳戶已鎖定或停用,Active Directory 網域中的驗證以及群組和使用者搜尋會失敗。使用者帳戶必須具有使用者和群組 OU 的唯讀存取權,並且必須能夠讀取使用者和群組屬性。這是驗證權限的預設 Active Directory 網域組態。VMware 建議使用特殊服務使用者。

  5. 如果將 Active Directory 設定為 LDAP 伺服器或 OpenLDAP 身分識別來源,請按一下測試連線以確保您可以連線到身分識別來源。
  6. 按一下確定

下一步

新增身分識別來源後,所有使用者皆可進行驗證但僅具有無存取權角色。具有 vCenter Server 修改權限權限的使用者可向使用者或使用者群組指派權限,以便其能夠登入 vCenter Server 並檢視和管理物件。請參閱 《vSphere 安全性》說明文件。