您可以使用身分識別來源將一或多個網域連結到 vCenter Single Sign-On。網域是使用者和群組的存放庫,vCenter Single Sign-On 伺服器可以用來進行使用者驗證。
管理員可以新增身分識別來源、設定預設身分識別來源,以及在 vsphere.local 身分識別來源中建立使用者和群組。
使用者和群組資料儲存在 Active Directory、OpenLDAP 中,或安裝 vCenter Single Sign-On 所在機器的作業系統本機上。安裝完成之後,vCenter Single Sign-On 的每個執行個體都會擁有身分識別來源 your_domain_name,例如 vsphere.local。此身分識別來源位於 vCenter Single Sign-On 內部。
vCenter Server5.1 版之前的版本支援將 Active Directory 和本機作業系統使用者做為使用者存放庫。因此,本機作業系統使用者始終能向vCenter Server系統進行驗證。vCenter Server5.1 版和 5.5 版使用vCenter Single Sign-On 進行驗證。如需 vCenter Single Sign-On5.1 支援的身分識別來源清單,請參閱 vSphere 5.1 說明文件。vCenter Single Sign-On 5.5 支援將下列類型的使用者存放庫做為身分識別來源,但僅支援一個預設身分識別來源。
- Active Directory 2003 及更新版本。在 vSphere Client 中顯示為 Active Directory (整合式 Windows 驗證)。vCenter Single Sign-On 可讓您將單一 Active Directory 網域指定為身分識別來源。該網域可包含子網域或做為樹系的根網域。VMware 知識庫文章 2064250 說明 vCenter Single Sign-On 支援的 Microsoft Active Directory 信任關係。
- Active Directory over LDAP。vCenter Single Sign-On支援多個 Active Directory over LDAP 身分識別來源。包含這種身分識別來源類型旨在與 vSphere 5.1 隨附的 vCenter Single Sign-On 服務相容。在 vSphere Client 中顯示為做為 LDAP 伺服器的 Active Directory。
- OpenLDAP 2.4 及更新版本。vCenter Single Sign-On支援多個 OpenLDAP 身分識別來源。在 vSphere Client 中顯示為 OpenLDAP。
- 本機作業系統使用者。本機作業系統使用者是執行vCenter Single Sign-On伺服器之作業系統的本機使用者。本機作業系統身分識別來源僅存在於基本 vCenter Single Sign-On部署,在具有多個vCenter Single Sign-On 執行個體的部署中無法使用。僅允許一個本機作業系統身分識別來源。在 vSphere Client 中顯示為 localos。
備註: 如果 Platform Services Controller與 vCenter Server 系統不在相同的機器上,請勿使用本機作業系統使用者。您可以在內嵌式部署中使用本機作業系統使用者,但不建議如此操作。
- vCenter Single Sign-On 系統使用者。當您安裝 vCenter Single Sign-On 時,只會建立一個系統身分識別來源。
備註: 在任何時候都僅存在一個預設網域。來自非預設網域的使用者在登入時必須新增網域名稱 (
DOMAIN\
user),才能成功進行驗證。