僅在使用者位於已新增為 vCenter Single Sign-On 身分識別來源的網域中時,才可登入 vCenter ServervCenter Single Sign-On 管理員使用者可以從 vSphere Web ClientPlatform Services Controller 介面新增身分識別來源。

執行這項作業的原因和時機

身分識別來源可以是原生 Active Directory (整合式 Windows 驗證) 網域,也可以是 OpenLDAP 目錄服務。為實現回溯相容性,做為 LDAP 伺服器的 Active Directory 也可供使用。請參閱具有 vCenter Single Sign-On 的 vCenter Server 的身分識別來源

完成安裝後,下列預設身分識別來源和使用者便立即可用:

localos

所有本機作業系統使用者。如果您要升級,這些已驗證的 localos 使用者可繼續進行驗證。在使用內嵌式 Platform Services Controller 的環境中,使用 localos 身分識別來源沒有意義。

vsphere.local

包含 vCenter Single Sign-On 內部使用者。

先決條件

如果您新增 Active Directory 身分識別來源,則執行 vCenter Server 所在的 vCenter Server Appliance 或 Windows 機器必須位於 Active Directory 網域中。請參閱將 Platform Services Controller 應用裝置新增到 Active Directory 網域

程序

  1. 從網頁瀏覽器連線至 vSphere Web ClientPlatform Services Controller

    選項

    說明

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在內嵌式部署中,Platform Services Controller主機名稱或 IP 位址與 vCenter Server 主機名稱或 IP 位址相同。

  2. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。

    如果在安裝期間指定了其他網域,請以 administrator@mydomain 身分登入。

  3. 導覽至 vCenter Single Sign-On 組態 UI。

    選項

    說明

    vSphere Web Client

    1. 首頁功能表中,選取管理

    2. Single Sign-On 下,按一下組態

    Platform Services Controller

    按一下 Single Sign-On,然後按一下組態

  4. 身分識別來源索引標籤上,按一下新增身分識別來源圖示。
  5. 選取身分識別來源的類型,然後輸入身分識別來源設定。

    選項

    說明

    Active Directory (整合式 Windows 驗證)

    對於原生 Active Directory 實作,請使用此選項。如果您想要使用此選項,則執行 vCenter Single Sign-On 服務所在的機器必須位於 Active Directory 網域。

    請參閱Active Directory 身分識別來源設定

    做為 LDAP 伺服器的 Active Directory

    此選項適用於回溯相容性。這需要您指定網域控制站和其他資訊。請參閱Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    OpenLDAP

    對於 OpenLDAP 身分識別來源,請使用此選項。請參閱Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    LocalOS

    使用此選項可新增本機作業系統做為身分識別來源。系統僅會提示您輸入本機作業系統的名稱。如果選取此選項,則 vCenter Single Sign-On 可看到指定機器上的所有使用者,即使這些使用者不屬於其他網域亦是如此。

    備註︰

    如果使用者帳戶已鎖定或停用,則 Active Directory 網域中的驗證以及群組和使用者搜尋會失敗。使用者帳戶必須具有使用者和群組 OU 的唯讀存取權,並且必須能夠讀取使用者和群組屬性。依預設,Active Directory 會提供此存取權。使用特殊服務使用者以提升安全性。

  6. 如果將 Active Directory 設定為 LDAP 伺服器或 OpenLDAP 身分識別來源,請按一下測試連線以確保您可以連線到身分識別來源。
  7. 按一下確定

下一步

新增身分識別來源後,所有使用者皆可進行驗證但僅具有無存取權角色。具有 vCenter Server 修改權限權限的使用者可向使用者或使用者群組指派權限,以便其能夠登入 vCenter Server 並檢視和管理物件。請參閱 vSphere 安全性說明文件。