安裝或升級至 vSphere 7.0 或更新版本之後,您可以設定 vCenter Server 身分識別提供者聯盟。
vCenter Server 僅支援一個設定的外部身分識別提供者 (一個來源) 和 vsphere.local 身分識別來源。無法使用多個外部身分識別提供者。vCenter Server 身分識別提供者聯盟使用 OpenID Connect (OIDC),以供使用者登入 vCenter Server。
此工作說明如何將 AD FS 群組新增至 vSphere 管理員群組以作為控制權限的方式。此外,還可以透過 vCenter Server 中的全域或物件權限使用 AD FS 授權設定權限。如需有關新增權限的詳細資料,請參閱vSphere 安全性說明文件。
注意:
如果您使用先前新增至 vCenter Server 的 Active Directory 身分識別來源做為 AD FS 身分識別來源,請不要從 vCenter Server 中刪除現有的身分識別來源。這樣做會導致先前指派的角色和群組成員資格出現回歸問題。具有全域權限的 AD FS 使用者和新增至管理員群組的使用者都將無法登入。
因應措施:如果您不需要先前指派的角色和群組成員資格,且想要移除先前的 Active Directory 身分識別來源,請先移除身分識別來源,然後再建立 AD FS 提供者並在 vCenter Server 中設定群組成員資格。
必要條件
Active Directory Federation Services 需求:
- 必須已部署適用於 Windows Server 2016 或更新版本的 AD FS。
- AD FS 必須連線至 Active Directory。
- 在設定過程中,必須在 AD FS 中建立 vCenter Server 的應用程式群組。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/78029。
- 已將 AD FS 根 CA 憑證新增到受信任的根憑證存放區 (亦稱為 VMware 憑證存放區)。
- 您已在 AD FS 中建立 vCenter Server 管理員群組,該群組包含您想要授與 vCenter Server 管理員權限的使用者。
如需有關設定 AD FS 的詳細資訊,請參閱 Microsoft 說明文件。
vCenter Server 和其他需求:
- vSphere 7.0 或更新版本
- vCenter Server 必須能夠連線至 AD FS 探索端點,以及在探索端點中繼資料中通告的授權、Token、登出、JWKS 和任何其他端點。
- 您需要 vCenter Server 身分識別提供者。若要限制使用者僅檢視身分識別提供者組態資訊,請指派 權限。 權限,才能建立、更新或刪除同盟驗證所需的