僅在使用者位於已新增為 vCenter Single Sign-On 身分識別來源的網域中時,才可登入 vCenter ServervCenter Single Sign-On管理員使用者可以新增身分識別來源,或變更使用者新增的身分識別來源設定。

身分識別來源可以是原生 Active Directory (整合式 Windows 驗證) 網域,也可以是 OpenLDAP 目錄服務。為實現回溯相容性,做為 LDAP 伺服器的 Active Directory 也可供使用。請參閱具有 vCenter Single Sign-On 的 vCenter Server 的身分識別來源

完成安裝後,下列預設身分識別來源和使用者便立即可用:

localos

所有本機作業系統使用者。如果您要升級,已經可以驗證的 localos 使用者可繼續進行驗證。在使用內嵌式 Platform Services Controller 的環境中,使用 localos 身分識別來源沒有意義。

vsphere.local

包含 vCenter Single Sign-On 內部使用者。

先決條件

如要新增 Active Directory 身分識別來源,則 vCenter Server AppliancevCenter Server Windows 機器必須位於 Active Directory 網域中。請參閱將 Platform Services Controller 應用裝置新增到 Active Directory 網域

程序

  1. 使用 vSphere Client登入連線到 Platform Services ControllervCenter Server
  2. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。

    如果在安裝期間指定了其他網域,請以 administrator@mydomain 身分登入。

  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 按一下身分識別來源,然後按一下新增身分識別來源
  5. 選取身分識別來源,然後輸入身分識別來源設定。

    選項

    說明

    Active Directory (整合式 Windows 驗證)

    對於原生 Active Directory 實作,請使用此選項。如果您想要使用此選項,則執行 vCenter Single Sign-On 服務所在的機器必須位於 Active Directory 網域。

    請參閱Active Directory 身分識別來源設定

    Active Directory over LDAP

    此選項適用於回溯相容性。這需要您指定網域控制站和其他資訊。請參閱Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    OpenLDAP

    對於 OpenLDAP 身分識別來源,請使用此選項。請參閱Active Directory LDAP Server 和 OpenLDAP Server 身分識別來源設定

    SSO 伺服器的本機作業系統

    將此選項用於 SSO 伺服器的本機作業系統。

    備註:

    如果使用者帳戶已鎖定或停用,則 Active Directory 網域中的驗證以及群組和使用者搜尋會失敗。使用者帳戶必須具有使用者和群組 OU 的唯讀存取權,並且必須能夠讀取使用者和群組屬性。依預設,Active Directory 會提供此存取權。使用特殊服務使用者以提升安全性。

  6. 按一下新增

下一步

新增身分識別來源後,所有使用者皆可進行驗證但僅具有無存取權角色。具有 vCenter Server修改權限的使用者可以為使用者或使用者群組指定權限。此權限可讓使用者或群組登入 vCenter Server 以及檢視和管理物件。您可以設定權限,以便加入的 Active Directory 網域中的使用者和群組可以存取 vCenter Server 元件。請參閱 vSphere 安全性說明文件。