在使用增強型連結模式的 vCenter Server環境中啟用身分識別提供者聯盟時,驗證和工作流程將繼續如往常一般運作。
如果您使用增強型連結模式組態,請在使用同盟驗證登入 vCenter Server時注意下列事項。
- 根據 vCenter Server權限和角色模型,使用者會繼續查看相同的詳細目錄,並且可以執行相同的動作。
- 增強型連結模式下的vCenter Server主機不需要存取彼此的身分識別提供者。例如,假設有兩個vCenter Server系統 A 和 B,且使用增強型連結模式。當 vCenter ServerA 授權使用者後,也會在 vCenter Server B 上授權該使用者。
下圖顯示使用增強型連結模式和 vCenter Server身分識別提供者聯盟的驗證工作流程。
- 在增強型連結模式組態中部署了兩個 vCenter Server節點。
- 已使用 vSphere Client中的 [變更身分識別提供者] 精靈在vCenter Server A 設定 AD FS 設定。此外,已為 AD FS 使用者或群組建立群組成員資格和權限。
- vCenter ServerA 將 AD FS 組態複寫至 vCenter Server B。
- 兩個 vCenter Server 節點的所有重新導向 URI 都會新增至 AD FS 中的 OAuth 應用程式群組。僅建立一個 OAuth 應用程式群組。
- 當使用者登入 vCenter ServerA 並獲得該伺服器授權時,該使用者也會在 vCenter Server B 上獲得授權。如果使用者先登入 vCenter Server B,則同樣適用。
vCenter Server 增強型連結模式支援身分識別提供者聯盟的下列組態案例。在此區段中,「AD FS 設定」和「AD FS 組態」一詞是指您使用 [變更身分識別提供者] 精靈在
vSphere Client中進行的設定,以及針對 AD FS 使用者或群組建立的任何群組成員資格或權限。
- 在現有的增強型連結模式組態上啟用 AD FS
-
高層級步驟:
- 在增強型連結模式組態中,部署 N 個 vCenter Server節點。
- 在其中一個連結的 vCenter Server節點上設定 AD FS。
- AD FS 組態會複寫至所有其他 (N-1 個) vCenter Server節點。
- 將全部 N 個 vCenter Server節點的所有重新導向 URI 新增至 AD FS 中已設定的 OAuth 應用程式群組。
- 將新的 vCenter Server連結至現有的增強型連結模式 AD FS 組態
-
高層級步驟:
- (必要條件) 在 vCenter ServerN 節點增強型連結模式組態上設定 AD FS。
- 部署新的獨立 vCenter Server節點。
- 使用 N 個節點中的一個節點做為其複寫合作夥伴,將新 vCenter Server 重新指向 N 節點 AD FS 增強型連結模式網域。
- 現有增強型連結模式組態中的所有 AD FS 設定都會複寫到新的 vCenter Server。
N 節點 AD FS 增強型連結模式網域中的 AD FS 設定會覆寫新連結 vCenter Server上的任何現有 AD FS 設定。
- 將新 vCenter Server的所有重新導向 URI 新增至 AD FS 中現有的已設定 OAuth 應用程式群組。
- 從增強型連結模式 AD FS 組態取消連結 vCenter Server
-
高層級步驟:
- (必要條件) 在 N 節點 vCenter Server增強型連結模式組態上設定 AD FS。
- 解除登錄 N 節點組態中的其中一部 vCenter Server主機並將其重新指向至新網域,以將該主機從 N 節點組態取消連結。
- 網域重新指向程序不會保留 SSO 設定,因此未連結的vCenter Server節點上的所有 AD FS 設定都會還原並遺失。若要繼續在此 vCenter Server未連結的節點上使用 AD FS,您必須從頭開始重新設定 AD FS,或者必須將 vCenter Server 重新連結至已設定 AD FS 的增強型連結模式組態。
