vCenter Server 內建身分識別提供者

vCenter Server 包含內建身分識別提供者。依預設，vCenter Server 使用 vsphere.local 網域做為身分識別來源，但您可以在安裝期間加以變更。您可以使用 LDAP/S、OpenLDAP/S 或整合式 Windows 驗證 (IWA) 設定 vCenter Server 內建身分識別提供者，以使用 Active Directory (AD) 做為其身分識別來源。此類組態可讓客戶使用其 AD 帳戶登入 vCenter Server。

vCenter Server 和外部身分識別提供者

在 vSphere 7.0 及更新版本中，您可以使用同盟驗證為外部身分識別提供者設定 vCenter Server。在此類組態中，將取代 vCenter Server 做為身分識別提供者。

vSphere 支援下列身分識別提供者。

• vSphere 7.0 及更新版本：Active Directory Federation Services (AD FS)
• vSphere 8.0 Update 1 及更新版本：Okta
• vSphere 8.0 Update 2 及更新版本：Microsoft Entra ID (以前稱為 Azure AD)
• 從 vSphere 8.0 Update 3 開始：PingFederate

將 vSphere 設定為使用外部身分識別提供者時，外部身分識別提供者將代表 vCenter Server 與身分識別來源互動。

使用者透過 vCenter Server 身分識別提供者同盟驗證登入

使用外部身分識別提供者對 vCenter Server 進行驗證時，vCenter Server 會將登入要求重新導向至外部身分識別提供者。外部身分識別提供者使用其目錄服務對使用者進行驗證，然後發出 Token，供 vCenter Server 用於將使用者登入。

例如，下圖詳細展示了使用 AD FS 的 vCenter Server 身分識別提供者聯盟的使用者登入流程。

vCenter Server、AD FS 和 Active Directory 以如下方式進行互動：

1. 使用者可以透過輸入使用者名稱，在 vCenter Server 登陸頁面上啟動。
2. 如果使用者名稱用於聯盟網域，vCenter Server 會將驗證要求重新導向至 AD FS。
3. 如有需要，AD FS 會提示使用者使用 Active Directory 認證登入。
4. AD FS 會使用 Active Directory 驗證使用者。
5. AD FS 透過來自 Active Directory 的群組資訊核發安全性 Token。
6. vCenter Server 使用 Token 將使用者登入。

如果無法連線到外部身分識別提供者，則登入程序會退回到 vCenter Server 登陸頁面，並顯示相應的資訊訊息。使用者仍然可以使用 vsphere.local 身分識別來源中的本機帳戶登入。

vCenter Server 和 Okta、Microsoft Entra ID 或 PingFederate 之間的互動類似於與 AD FS 的互動，但 vCenter Server 會使用 VMware Identity Services。請參閱VMware Identity Services 驗證程式。

使用者透過 vCenter Server 內建身分識別提供者登入

下圖顯示在 vCenter Server 充當身分識別提供者時的使用者登入流程。

1. 使用者透過使用者名稱和密碼登入 vSphere Client，以存取 vCenter Server 系統或其他 vCenter 服務。
2. vSphere Client 會將登入資訊傳遞到 vCenter Single Sign-On 服務，該服務將檢查 vSphere Client 的 SAML Token。如果 vSphere Client 的 Token 有效，vCenter Single Sign-On 隨後會檢查使用者是否位於已設定的身分識別來源中 (例如，Active Directory)。
   • 如果僅使用了使用者名稱，則 vCenter Single Sign-On 將在預設網域中檢查。
   • 如果使用者名稱中包含網域名稱 (DOMAIN\user1 或 user1@DOMAIN)，則 vCenter Single Sign-On 將檢查該網域。
3. 如果使用者可驗證身分識別來源，則 vCenter Single Sign-On 會將表示該使用者的 Token 傳回到 vSphere Client。
4. vSphere Client 會將 Token 傳遞到 vCenter Server 系統。
5. vCenter Server 與 vCenter Single Sign-On 伺服器確認 Token 是否有效且未到期。
6. vCenter Single Sign-On 伺服器會將 Token 傳回到 vCenter Server 系統，以利用 vCenter Server 授權架構允許使用者存取。

解決方案使用者的登入

解決方案使用者是用於 vCenter Server 基礎結構的服務集，例如 vCenter Server 延伸。VMware 延伸和潛在的第三方延伸可能也會驗證 vCenter Single Sign-On。

下圖顯示了解決方案使用者的登入流程。

1. 解決方案使用者會嘗試連線至 vCenter Server 服務。
2. 解決方案使用者會重新導向到 vCenter Single Sign-On。如果該解決方案使用者對 vCenter Single Sign-On 來說是新的使用者，則必須提供有效憑證。
3. 如果憑證有效，則 vCenter Single Sign-On 會為解決方案使用者指派 SAML Token (Bearer Token)。此 Token 由 vCenter Single Sign-On 簽署。
4. 然後，解決方案使用者會重新導向到 vCenter Single Sign-On，並且可以根據其權限執行相關工作。

   下次解決方案使用者必須進行驗證，可使用 SAML Token 登入 vCenter Server。

依預設，由於啟動期間 VMCA 為解決方案使用者佈建有憑證，所以此信號交換會自動執行。如果公司原則需要第三方 CA 簽署的憑證，您可以用第三方 CA 簽署的憑證取代解決方案使用者憑證。如果這些憑證有效，則 vCenter Single Sign-On 會為解決方案使用者指派 SAML Token。請參閱使用 Certificate Manager 將解決方案使用者憑證取代為自訂憑證。

vSphere 中支援的加密

支援 AES 加密，此加密是最高層級加密。當 vCenter Single Sign-On 使用 Active Directory 做為身分識別來源時，支援的加密會影響安全性。

每當 ESXi 主機或 vCenter Server 加入 Active Directory 時，它也會影響安全性。