為了有效地設定 vCenter Server身分識別提供者聯盟,您必須瞭解發生的通訊流程。

vCenter Server身分識別提供者聯盟設定程序流程

下圖顯示了設定 vCenter Server身分識別提供者聯盟時發生的程序流程。

圖 1. vCenter Server身分識別提供者聯盟設定程序流程

此圖顯示設定 vCenter Server 身分識別提供者聯盟的程序流程。

vCenter Server、AD FS 和 Active Directory 以如下方式進行互動。

  1. AD FS 管理員為 vCenter Server設定 AD FS OAuth 應用程式。
  2. vCenter Server管理員使用 vSphere Client 登入 vCenter Server
  3. vCenter Server管理員將 AD FS 身分識別提供者新增至 vCenter Server,並同時輸入 Active Directory 網域的相關資訊。

    vCenter Server需要此資訊才能與 AD FS 伺服器的 Active Directory 網域建立 LDAP 連線。使用此連線時,vCenter Server搜尋使用者和群組,並在下一個步驟中將其新增至vCenter Server 的本機群組。如需詳細資訊,請參閱下文中標題為「搜尋 Active Directory 網域」的章節。

  4. vCenter Server管理員在 vCenter Server 中為 AD FS 使用者設定授權權限。
  5. AD FS 提供者查詢 VcIdentityProviders API,以取得 Active Directory 來源的 LDAP 連線資訊。
  6. AD FS 提供者在 Active Directory 中搜尋查詢的使用者或群組,以完成授權設定。

搜尋 Active Directory 網域

可以使用 vSphere Client中的 [設定主要身分識別提供者] 精靈,將 AD FS 設定為vCenter Server 中的外部身分識別提供者。在設定過程中,必須輸入 Active Directory 網域的相關資訊,包括使用者和群組辨別名稱資訊。設定 AD FS 進行驗證需要此 Active Directory 連線資訊。必須具備此連線,才能搜尋 Active Directory 使用者名稱和群組並將其對應至vCenter Server中的角色和權限,而 AD FS 則用於驗證使用者。[設定主要身分識別提供者] 精靈的這一步驟不會建立 Active Directory Over LDAP 身分識別來源。而 vCenter Server會使用此資訊與 Active Directory 網域建立可進行有效搜尋的連線,以便在此尋找使用者和群組。

假設使用下列辨別名稱項目的範例:

  • 使用者的基本辨別名稱:cn=Users,dc=corp,dc=local
  • 群組的基本辨別名稱:dc=corp,dc=local
  • 使用者名稱:cn=Administrator,cn=Users,dc=corp,dc=local

如果 [email protected] 使用者是 [email protected] 群組的成員,則在精靈中輸入此資訊可允許 vCenter Server管理員搜尋和尋找 [email protected] 群組,並將其新增至vCenter Server [email protected] 群組。如此一來,[email protected] 使用者在登入後會被授與 vCenter Server的管理權限。

當您為 Active Directory 使用者和群組設定全域權限時,vCenter Server也會使用此搜尋程序。無論是設定全域權限,還是新增使用者或群組,在這兩種情況下,您都可以從網域下拉式功能表中選取為 AD FS 身分識別提供者輸入的域以進行搜尋,並從 Active Directory 網域中選取使用者和群組。