vCenter Server 身分識別提供者同盟可以與許多其他 VMware 功能進行交互操作。

規劃 vCenter Server 身分識別提供者同盟策略時,請考慮可能的互通性限制。

驗證機制

vCenter Server 身分識別提供者聯盟組態中,外部身分識別提供者會處理驗證機制 (密碼、MFA、生物識別等)。

支援單一 Active Directory 網域

設定 vCenter Server 身分識別提供者聯盟時,[設定主要身分識別提供者] 精靈會提示您輸入包含要存取 vCenter Server 之使用者和群組的 AD 網域的 LDAP 資訊。vCenter Server 將從您在精靈中指定的使用者基本 DN 衍生用於授權和權限的 AD 網域。只能為此 AD 網域中的使用者和群組新增 vSphere 物件的權限。vCenter Server 身分識別提供者聯盟不支援 AD 子網域或 AD 樹系中其他網域中的使用者或群組。

vCenter Server 原則

vCenter Server 充當身分識別提供者時,您可以控制 vsphere.local 網域的 vCenter Server 密碼、鎖定和 Token 原則。將同盟驗證與 vCenter Server 搭配使用時,外部身分識別提供者會控制儲存在身分識別來源 (例如 Active Directory) 中帳戶的密碼、鎖定和 Token 原則。

稽核與符合性

使用 vCenter Server 身分識別提供者同盟時,vCenter Server 會繼續為成功的使用者登入建立記錄項目。但是,外部身分識別提供者會負責追蹤和記錄動作,例如失敗的密碼輸入嘗試和使用者帳戶鎖定。vCenter Server 不會記錄此類事件,因為它們無法向 vCenter Server 顯示。例如,當 AD FS 為身分識別提供者時,AD FS 會追蹤並記錄同盟登入的錯誤。當 vCenter Server 是用於本機登入的身分識別提供者時,vCenter Server 會追蹤並記錄本機登入的錯誤。在同盟組態中,vCenter Server 會繼續記錄使用者在登入後的動作。

現有的 VMware 產品整合

VMware 產品與 vCenter Server (例如 vROps、vSAN、NSX 等) 的整合會繼續像之前一樣運作。

整合登入後的產品

整合登入後的產品 (即不需要單獨登入) 會繼續像之前一樣運作。

API、SDK 和 CLI 存取的簡單驗證

依賴 API、SDK 或使用簡單驗證 (即使用者名稱和密碼) 的 CLI 命令的現有指令碼、產品和其他功能,可如以往般繼續運作。在內部,驗證是透過傳遞使用者名稱和密碼進行。此使用者名稱和密碼的傳遞會削弱使用身分識別聯盟的某些優點,因為它會公開密碼給 vCenter Server (和您的指令碼)。如果可能,請考慮移轉至以 Token 為基礎的驗證。

vCenter Server 管理介面

如果使用者是 Administrators 群組的成員,則支援存取 vCenter Server 管理介面 (先前稱為 vCenter Server 應用裝置管理介面或 VAMI)。

在 AD FS 登入頁面上輸入使用者名稱文字

AD FS 登入頁面不支援傳遞文字以預先填入使用者名稱文字方塊。因此,在使用 AD FS 進行同盟登入期間,於 vCenter Server 登陸頁面上輸入您的使用者名稱並重新導向至 AD FS 登入頁面後,您必須在 AD FS 登入頁面上重新輸入您的使用者名稱。需要您在 vCenter Server 登陸頁面上輸入的使用者名稱,以將登入重新導向至適當的身分識別提供者,並且需要 AD FS 登入頁面上的使用者名稱,以使用 AD FS 進行驗證。無法將使用者名稱傳遞至 AD FS 登入頁面,這是 AD FS 的限制。您無法直接從 vCenter Server 設定或變更此行為。