管理 vCenter Server身分識別提供者同盟的生命週期時,有一些特定考量事項。

您可以使用下列方式管理 vCenter Server身分識別提供者同盟生命週期。

從使用 Active Directory 移轉至 AD FS

如果您使用 Active Directory 做為vCenter Server的身分識別來源,則移轉為使用 AD FS 最直接。如果您的 Active Directory 群組和角色符合您的 AD FS 群組和角色,則無需執行任何其他動作。當群組和角色不相符時,您必須執行一些額外的工作。如果 vCenter Server是網域成員,請考慮將其從網域中移除,因為不需要它或用於身分識別聯盟。

跨網域重新指向和移轉

vCenter Server身分識別提供者同盟支援跨網域重新指向,也就是將vCenter Server從一個 vSphere SSO 網域移到另一個。重新指向的 vCenter Server會從所指向的 vCenter Server 系統或系統接收已複寫的 AD FS 組態。

一般而言,除非下列其中一項成立,否則您不需要針對跨網域重新指向執行任何其他 AD FS 重新設定。

  1. 重新指向 vCenter Server的 AD FS 組態與所指向之 vCenter Server 的 AD FS 組態不同。
  2. 這是重新指向的 vCenter Server第一次接收 AD FS 組態。

在這些情況下,您必須將vCenter Server系統的重新導向 URI 新增至 AD FS 伺服器上對應的應用程式群組。例如,如果將具有 AD FS 應用程式群組 A (或沒有 AD FS 組態) 的 vCenter Server1 重新指向至具有 AD FS 應用程式群組 B 的 vCenter Server 2,則必須將 vCenter Server 1 的重新導向 URI 新增至應用程式群組 B。