可以停止和啟動 VMware Identity Services,重新產生 SCIM Token,以及還原已刪除的 SCIM 使用者和群組。

根據工作,可以使用 vSphere Client 或外部身分識別提供者的管理主控台。

停止和啟動 VMware Identity Services

若要將 Okta、Microsoft Entra ID (先前稱為 Azure AD) 或 PingFederate 設定為外部身分識別提供者並執行,必須在 vCenter Server 上啟動 VMware Identity Services。依預設,安裝或升級到 vSphere 8.0 Update 1 或更新版本時,將啟動 VMware Identity Services。您可以使用 vCenter Server 管理介面管理 VMware Identity Services。

從版本 8.0 Update 1 開始, vSphere 包括 VMware Identity Services 以支援向 Okta 進行驗證。從版本 8.0 Update 2 開始,VMware Identity Services 支援向 Microsoft Entra ID 進行驗證。從版本 8.0 Update 3 開始,VMware Identity Services 支援向 PingFederate 進行驗證。

必要條件

當您安裝或升級至 vSphere 8.0 Update 1 或更新版本時,VMware Identity Services 會自動啟動。將 Okta、Microsoft Entra ID 或 PingFederate 設定為外部身分識別提供者時,無需啟動 VMware Identity Services,因為它們已在執行中。若要啟動或停止 VMware Identity Services,您必須是 root 使用者。

只能在單一 vCenter Server 上設定外部身分識別提供者。該 vCenter Server 透過其 VMware Identity Services 執行個體與身分識別提供者進行通訊。增強型連結模式組態中的其他 vCenter Server 系統也在執行 VMware Identity Services,但它們不會直接與身分識別提供者進行通訊。

程序

  1. 在網頁瀏覽器中,移至 vCenter Server 管理介面,網址為 https://vcenter-IP-address-or-FQDN:5480。
  2. 以 root 身分登入。
    預設根密碼為部署 vCenter Server 時設定的密碼。
  3. 選取服務
  4. 檢視 VMware Identity Services 的狀態。
  5. 若要停止或啟動服務,請選取 VMware Identity Services,然後按一下停止啟動
    啟動 VMware Identity Services 後,無需將 vCenter Server 重新開機。

vCenter Server 中重新產生 SCIM Token

vCenter Server 中,您可以為外部身分識別提供者重新產生跨網域身分識別管理系統 (SCIM) Token。

如果產生另一個 Token,該 Token 將立即變為作用中狀態,先前的 Token 將被撤銷。

必要條件

您必須已在 vCenter Server 中建立外部身分識別提供者。

程序

  1. 以管理員身分使用 vSphere Client 登入 vCenter Server
  2. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  3. 組態頁面上的使用者佈建/密碼 Token 下,按一下重新產生以重新產生密碼 Token,從下拉式清單中選取 Token 週期,然後按一下複製到剪貼簿。將 Token 儲存到安全位置。
  4. 複製的 Token 可用於更新身分識別提供者組態。

還原已刪除的 SCIM 使用者和群組

如果 vCenter Server 上 SCIM 推送的使用者和群組與外部身分識別提供者不同步,您可以採取步驟以修正此問題。

如果要還原已從 vCenter Server 中刪除的 SCIM 推送的使用者或群組,則不能簡單地從身分識別提供者推送該使用者或群組。由於 vCenter Server 使用跨網域身分識別管理系統 (SCIM) 進行使用者和群組管理,必須更新 SCIM 2.0 應用程式本身,包含缺失的使用者或群組。

程序

  1. 登入外部 IDP 管理主控台。
  2. 導覽至 SCIM 2.0 應用程式。
  3. 指派已刪除或缺失的使用者或群組。
  4. 選取相應的動作以刪除已推送的群組或使用者,以取消連結推送的群組或使用者。
  5. 選取相應的動作以推送群組。
  6. vCenter Server 上確認外部 IDP 已同步群組或使用者。