將 vCenter Single Sign-On 與 vSphere 搭配使用

當使用者登入 vSphere 元件，或當 vCenter Server 解決方案使用者存取另一個 vCenter Server 服務時，vCenter Single Sign-On 會執行驗證。使用者必須透過 vCenter Single Sign-On 進行驗證，並具有與 vSphere 物件互動所需的權限。

vCenter Single Sign-On 會驗證解決方案使用者和其他使用者。

解決方案使用者代表 vSphere 環境中的一組服務。依預設，VMCA 會在安裝期間為每個解決方案使用者指派憑證。解決方案使用者使用該憑證向 vCenter Single Sign-On 進行驗證。vCenter Single Sign-On 會為解決方案使用者提供 SAML Token，然後解決方案使用者可以與環境中的其他服務進行互動。
當其他使用者登入環境時 (例如從 vSphere Client)，vCenter Single Sign-On 會提示輸入使用者名稱和密碼。如果 vCenter Single Sign-On 發現使用者的相應身分識別來源中具備這些認證，就會為該使用者指派 SAML Token。接著使用者就可以存取環境中的其他服務，而不會收到再次進行驗證的提示。
使用者可以檢視的物件，以及使用者可以執行的動作，通常是由 vCenter Server 權限設定決定。vCenter Server 管理員會從 vSphere Client 中的權限介面指派這些權限，而不是透過 vCenter Single Sign-On。請參閱 vSphere 安全性說明文件。

vCenter Single Sign-On 和 vCenter Server 使用者

使用者可透過在登入頁面上輸入其認證，向 vCenter Single Sign-On 進行驗證。連線到 vCenter Server 後，已驗證的使用者可以檢視所有 vCenter Server 執行個體，或其角色有權檢視的其他 vSphere 物件。無需進一步驗證。

安裝之後，vCenter Single Sign-On 網域的管理員，預設是 [email protected]，會具有 vCenter Single Sign-On 和 vCenter Server 的管理員存取權。然後，該使用者可以新增身分識別來源、設定預設身分識別來源，以及管理 vCenter Single Sign-On 網域中的使用者和群組。

可對 vCenter Single Sign-On 進行驗證的所有使用者都可以重設其密碼。請參閱變更 vCenter Single Sign-On密碼。只有 vCenter Single Sign-On 管理員能為遺失密碼的使用者重設密碼。

vCenter Single Sign-On 管理員使用者

可以從 vSphere Client 存取 vCenter Single Sign-On 管理介面。

若要設定 vCenter Single Sign-On 並管理 vCenter Single Sign-On 使用者和群組，使用者 [email protected] 或 vCenter Single Sign-On 管理員群組中的使用者必須登入 vSphere Client。驗證後，該使用者可以從 vSphere Client 存取 vCenter Single Sign-On 管理介面並管理身分識別來源和預設網域、指定密碼原則，以及執行其他管理工作。

備註：您無法重新命名 vCenter Single Sign-On 管理員使用者，其預設為 [email protected]，或如果您在安裝期間指定了不同的網域，則為 administrator@ mydomain。為提高安全性，請考量在 vCenter Single Sign-On 網域中建立其他具名使用者，並為這些使用者指派管理權限。然後您可以停止使用管理員帳戶。

vCenter Server 中的其他使用者帳戶

在 vsphere.local 網域 (或安裝時建立的預設網域) 中，下列使用者帳戶會在 vCenter Server 內自動建立。這些使用者帳戶是 shell 帳戶。vCenter Single Sign-On 密碼原則不適用於這些帳戶。

表 1. 其他 vCenter Server 使用者帳戶
帳戶	說明
K/M	適用於 Kerberos 金鑰管理。
krbtgt/VSPHERE.LOCAL	適用於整合式 Windows 驗證相容性。
waiter-`random_string`	適用於 Auto Deploy。

ESXi 使用者

獨立的 ESXi 主機未與 vCenter Single Sign-On 整合。如需新增 ESXi 主機至 Active Directory 的相關資訊，請參閱vSphere 安全性。

如果您使用 VMware Host Client、ESXCLI 或 PowerCLI 為受管理 ESXi 主機建立本機 ESXi 使用者， vCenter Server 不會感知這些使用者。因此，建立本機使用者可能會造成混亂，尤其是如果您使用相同的使用者名稱。能夠向 vCenter Single Sign-On 驗證的使用者若具有 ESXi 主機物件上的對應權限，則可以檢視和管理 ESXi 主機。

備註：如果可能，請透過 vCenter Server 管理 ESXi 主機權限。

如何登入 vCenter Server 元件

您可以透過連線至 vSphere Client 來登入。

使用者從 vSphere Client 登入 vCenter Server 系統時，登入行為視使用者是否位於設定為預設身分識別來源的網域而定。

預設網域中的使用者可以使用自己的使用者名稱和密碼登入。
若使用者位於已新增到 vCenter Single Sign-On 做為身分識別來源的網域，但未位於預設網域，可以登入 vCenter Server 但必須以下列其中一種方式指定網域。
- 包括網域名稱前置詞，例如 MYDOMAIN\user1
- 包括網域，例如 [email protected]
若使用者位於並非 vCenter Single Sign-On 身分識別來源的網域，則無法登入 vCenter Server。如果新增到 vCenter Single Sign-On 的網域是網域階層的一部分，則 Active Directory 會判斷階層中其他網域的使用者是否已進行驗證。

如果您的環境包含 Active Directory 階層，請參閱 VMware 知識庫文章 (網址為 https://kb.vmware.com/s/article/2064250)，以取得支援與不支援之設定的相關詳細資料。