當使用者登入 vSphere 元件,或當 vCenter Server 解決方案使用者存取另一個 vCenter Server 服務時,vCenter Single Sign-On 會執行驗證。使用者必須透過 vCenter Single Sign-On 進行驗證,並具有與 vSphere 物件互動所需的權限。

vCenter Single Sign-On 會驗證解決方案使用者和其他使用者。

  • 解決方案使用者代表 vSphere 環境中的一組服務。依預設,VMCA 會在安裝期間為每個解決方案使用者指派憑證。解決方案使用者會使用該憑證向 vCenter Single Sign-On 進行驗證。vCenter Single Sign-On 會為解決方案使用者提供 SAML Token,然後解決方案使用者便可與環境中的其他服務互動。

  • 當其他使用者登入環境時 (例如從 vSphere Web Client),vCenter Single Sign-On 會提示輸入使用者名稱和密碼。如果 vCenter Single Sign-On 發現使用者的相應身分識別來源中具備這些認證,就會為該使用者指派 SAML Token。接著使用者就可以存取環境中的其他服務,而不會收到再次進行驗證的提示。

    使用者可以檢視的物件,以及使用者可以執行的動作,通常是由 vCenter Server 權限設定決定。vCenter Server 管理員會從 vSphere Web Client 中的權限介面指派這些權限,而不是透過 vCenter Single Sign-On。請參閱 vSphere 安全性說明文件。

vCenter Single Sign-OnvCenter Server 使用者

使用者可使用 vSphere Web Client,透過在 vSphere Web Client 登入頁面上輸入認證,向 vCenter Single Sign-On 進行驗證。連線到 vCenter Server 後,已驗證的使用者可以檢視所有 vCenter Server 執行個體,或其角色有權檢視的其他 vSphere 物件。無需進一步驗證。

安裝之後,vCenter Single Sign-On 網域的管理員,預設是 administrator@vsphere.local,會具有 vCenter Single Sign-OnvCenter Server 的管理員存取權。然後,該使用者可以新增身分識別來源、設定預設身分識別來源,以及管理 vCenter Single Sign-On 網域 (預設為 vsphere.local) 中的使用者和群組。

可向 vCenter Single Sign-On 進行驗證的所有使用者,只要記得密碼,都能進行密碼重設,即使密碼已過期也一樣。請參閱變更 vCenter Single Sign-On 密碼。只有 vCenter Single Sign-On 管理員能為遺失密碼的使用者重設密碼。

vCenter Single Sign-On 管理員使用者

vCenter Single Sign-On 管理介面可從 vSphere Web ClientPlatform Services Controller Web 介面存取。

若要設定 vCenter Single Sign-On 並管理 vCenter Single Sign-On 使用者和群組,使用者 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組中的使用者必須登入 vSphere Web Client。驗證後,該使用者可以從 vSphere Web Client 存取 vCenter Single Sign-On 管理介面並管理身分識別來源和預設網域、指定密碼原則,以及執行其他管理工作。請參閱設定 vCenter Single Sign-On 身分識別來源

備註︰

您無法重新命名 vCenter Single Sign-On 管理員使用者,其預設為 administrator@vsphere.local,或如果您在安裝期間指定了不同的網域,則為 administrator@mydomain。為提高安全性,請考量在 vCenter Single Sign-On 網域中建立其他具名使用者,並為這些使用者指派管理權限。然後您可以停止使用管理員帳戶。

ESXi 使用者

獨立 ESXi 主機未與 vCenter Single Sign-On 或與 Platform Services Controller 整合。如需新增 ESXi 主機至 Active Directory 的相關資訊,請參閱vSphere 安全性

如果您使用 VMware Host Client、vCLI 或 PowerCLI 為受管理 ESXi 主機建立本機 ESXi 使用者。vCenter Server 不會知道這些使用者。因此,建立本機使用者可能會造成混亂,尤其是如果您使用相同的使用者名稱。能夠向 vCenter Single Sign-On 驗證的使用者若具有 ESXi 主機物件上的對應權限,則可以檢視和管理 ESXi 主機。

備註︰

如果可能,請透過 vCenter Server 管理 ESXi 主機權限。

如何登入 vCenter Server 元件

您可以透過連線至 vSphere Web ClientPlatform Services Controller Web 介面來登入。

使用者從 vSphere Web Client登入 vCenter Server 系統時,登入行為視使用者是否位於設定為預設身分識別來源的網域而定。

  • 預設網域中的使用者可以使用自己的使用者名稱和密碼登入。

  • 若使用者位於已新增到 vCenter Single Sign-On做為身分識別來源的網域,但未位於預設網域,可以登入 vCenter Server 但必須以下列其中一種方式指定網域。

    • 包括網域名稱前置詞,例如 MYDOMAIN\user1

    • 包括網域,例如 user1@mydomain.com

  • 若使用者位於並非 vCenter Single Sign-On身分識別來源的網域,則無法登入vCenter Server。如果新增到 vCenter Single Sign-On的網域是網域階層的一部分,則 Active Directory 會判斷階層中其他網域的使用者是否已進行驗證。

如果您的環境包含 Active Directory 階層,請參閱 VMware 知識庫文章 2064250 以取得支援與不支援之設定的相關詳細資料。

備註︰

從 vSphere 6.0 Update 2 開始,已支援雙重要素驗證。請參閱vCenter Server 雙因素驗證