當使用者登入 vSphere 元件,或當 vCenter Server 解決方案使用者存取另一個 vCenter Server 服務時,vCenter Single Sign-On 會執行驗證。使用者必須透過 vCenter Single Sign-On 進行驗證,並具有與 vSphere 物件互動所需的權限。
- 解決方案使用者代表 vSphere 環境中的一組服務。依預設,VMCA 會在安裝期間為每個解決方案使用者指派憑證。解決方案使用者會使用該憑證向 vCenter Single Sign-On 進行驗證。vCenter Single Sign-On 會為解決方案使用者提供 SAML Token,然後解決方案使用者便可與環境中的其他服務互動。
- 當其他使用者登入環境時 (例如從 vSphere Web Client),vCenter Single Sign-On 會提示輸入使用者名稱和密碼。如果 vCenter Single Sign-On 發現使用者的相應身分識別來源中具備這些認證,就會為該使用者指派 SAML Token。接著使用者就可以存取環境中的其他服務,而不會收到再次進行驗證的提示。
使用者可以檢視的物件,以及使用者可以執行的動作,通常是由 vCenter Server 權限設定決定。vCenter Server 管理員會從 vSphere Web Client 中的權限介面指派這些權限,而不是透過 vCenter Single Sign-On。請參閱 vSphere 安全性說明文件。
vCenter Single Sign-On 和 vCenter Server 使用者
使用者可使用 vSphere Web Client,透過在 vSphere Web Client 登入頁面上輸入認證,向 vCenter Single Sign-On 進行驗證。連線到 vCenter Server 後,已驗證的使用者可以檢視所有 vCenter Server 執行個體,或其角色有權檢視的其他 vSphere 物件。無需進一步驗證。
安裝之後,vCenter Single Sign-On 網域的管理員,預設是 [email protected],會具有 vCenter Single Sign-On 和 vCenter Server 的管理員存取權。然後,該使用者可以新增身分識別來源、設定預設身分識別來源,以及管理 vCenter Single Sign-On 網域 (預設為 vsphere.local) 中的使用者和群組。
可向 vCenter Single Sign-On 進行驗證的所有使用者,只要記得密碼,都能進行密碼重設,即使密碼已過期也一樣。請參閱變更 vCenter Single Sign-On 密碼。只有 vCenter Single Sign-On 管理員能為遺失密碼的使用者重設密碼。
vCenter Single Sign-On 管理員使用者
vCenter Single Sign-On 管理介面可從 vSphere Web Client 和 Platform Services Controller Web 介面存取。
ESXi 使用者
獨立 ESXi 主機未與 vCenter Single Sign-On 或與 Platform Services Controller 整合。如需新增 ESXi 主機至 Active Directory 的相關資訊,請參閱vSphere 安全性。
如何登入 vCenter Server 元件
您可以透過連線至 vSphere Web Client 或 Platform Services Controller Web 介面來登入。
使用者從 vSphere Web Client登入 vCenter Server 系統時,登入行為視使用者是否位於設定為預設身分識別來源的網域而定。
- 預設網域中的使用者可以使用自己的使用者名稱和密碼登入。
- 若使用者位於已新增到 vCenter Single Sign-On做為身分識別來源的網域,但未位於預設網域,可以登入 vCenter Server 但必須以下列其中一種方式指定網域。
- 包括網域名稱前置詞,例如 MYDOMAIN\user1
- 包括網域,例如 [email protected]
- 若使用者位於並非 vCenter Single Sign-On身分識別來源的網域,則無法登入vCenter Server。如果新增到 vCenter Single Sign-On的網域是網域階層的一部分,則 Active Directory 會判斷階層中其他網域的使用者是否已進行驗證。
如果您的環境包含 Active Directory 階層,請參閱 VMware 知識庫文章 2064250 以取得支援與不支援之設定的相關詳細資料。