vCenter Server身分識別提供者聯盟基礎

從 vSphere 7.0 開始，vCenter Server支援同盟驗證。在此案例中，當使用者登入 vCenter Server時，vCenter Server 會將使用者登入重新導向至外部身分識別提供者。使用者認證不再直接提供給vCenter Server。而是由使用者將認證提供給外部身分識別提供者。vCenter Server 信任由外部身分識別提供者執行驗證。在聯盟模型中，使用者永遠不會將認證直接提供給任何服務或應用程式，而只會提供給身分識別提供者。因此，您可以使用身分識別提供者來「聯盟」應用程式和服務，例如 vCenter Server。

vCenter Server身分識別提供者聯盟優勢

vCenter Server身分識別提供者聯盟提供以下優勢。

• 您可以將 Single Sign-On 與現有的同盟基礎結構和應用程式搭配使用。
• 可以提高資料中心的安全性，因為 vCenter Server永遠不會處理使用者的認證。
• 您可以使用外部身分識別提供者支援的驗證機制，例如多重要素驗證。

vCenter Server身分識別提供者聯盟元件

下列元件包括使用 Microsoft Active Directory Federation Services (AD FS) 的 vCenter Server身分識別提供者聯盟組態：

• vCenter Server
• vCenter Server上設定的身分識別提供者服務
• AD FS 伺服器和相關聯的 Microsoft Active Directory 網域
• AD FS 應用程式群組
• 對應至 vCenter Server群組和使用者的 Active Directory 群組和使用者

vCenter Server身分識別提供者聯盟架構

在 vCenter Server身分識別提供者聯盟中，vCenter Server 會使用 OpenID Connect (OIDC) 通訊協定來接收可向 vCenter Server 驗證使用者的身分識別 Token。

若要在vCenter Server和身分識別提供者之間建立信賴方信任，則必須在兩者之間建立識別資訊和共用密碼。在 AD FS 中，您可以透過建立稱為應用程式群組 (由伺服器應用程式和 Web API 組成) 的 OIDC 組態來執行此操作。這兩個元件會指定vCenter Server用於信任和與 AD FS 伺服器進行通訊的資訊。您也可以在vCenter Server中建立對應的身分識別提供者。最後，您可以在 vCenter Server中設定群組成員資格，以授權來自 AD FS 網域中的使用者登入。

AD FS 管理員必須提供下列資訊，才能建立 vCenter Server身分識別提供者組態：

• 用戶端識別碼：由 AD FS [應用程式群組] 精靈所產生並用於識別應用程式群組本身的 UUID 字串。
• 共用密碼：由 AD FS [應用程式群組] 精靈所產生並用於向 AD FS 驗證 vCenter Server的密碼。
• OpenID 位址：AD FS 伺服器的 OpenID 提供者探索端點 URL，指定眾所周知的位址，通常是與路徑「/.well-known/openid-configuration」相連接的簽發者端點。例如：https://webserver.example.com/adfs/.well-known/openid-configuration。