您可以使用身分識別來源將一或多個網域連結到 vCenter Single Sign-On。網域是使用者和群組的存放庫,vCenter Single Sign-On 伺服器可以用來進行使用者驗證。

備註: 在 vSphere 7.0 Update 2 及更新版本中,可以在 vCenter Server 上啟用 FIPS。請參閱 vSphere 安全性說明文件。啟用 FIPS 後,不支援 AD over LDAP。處於 FIPS 模式時,請使用外部身分識別提供者聯盟。請參閱 #GUID-F58EDD6D-0ACA-4ADD-AC7C-3A43C5E949F5
備註: 在 vSphere 7.0 Update 2 及更新版本中,可以在 vCenter Server 上啟用 FIPS。請參閱 vSphere 安全性說明文件。啟用 FIPS 後,不支援 AD over LDAP。處於 FIPS 模式時,請使用外部身分識別提供者聯盟。如需有關設定 vCenter Server 身分識別提供者聯盟的詳細資訊,請參閱 vSphere 驗證說明文件。

管理員可以新增身分識別來源、設定預設身分識別來源,以及在 vsphere.local 身分識別來源中建立使用者和群組。

使用者和群組資料儲存在 Active Directory、OpenLDAP 中,或安裝 vCenter Single Sign-On 所在機器的作業系統本機上。安裝後,每個 vCenter Single Sign-On 執行個體都具有身分識別來源 your_domain_name,例如 vsphere.local。此身分識別來源是 vCenter Single Sign-On 的內部身分識別來源。

備註: 在任何時候都僅存在一個預設網域。來自非預設網域的使用者在登入時必須新增網域名稱,才能成功進行驗證。網域名稱的格式如下:
DOMAIN\user

以下是可用的身分識別來源。

  • Active Directory over LDAP。vCenter Single Sign-On 支援多個 Active Directory over LDAP 身分識別來源。
  • Active Directory (整合式 Windows 驗證) 2003 版及更新版本。vCenter Single Sign-On 允許將單一 Active Directory 網域指定為身分識別來源。該網域可包含子網域或做為樹系的根網域。位於 https://kb.vmware.com/s/article/2064250 的 VMware 知識庫文章討論了 vCenter Single Sign-On 支援的 Microsoft Active Directory 信任。
  • OpenLDAP 2.4 及更新版本。vCenter Single Sign-On 支援多個 OpenLDAP 身分識別來源。
備註: 對 Microsoft Windows 的未來更新將變更 Active Directory 的預設行為,以要求使用強式驗證和加密。此變更會影響 vCenter Server向 Active Directory 進行驗證的方式。如果您使用 Active Directory 做為 vCenter Server 的身分識別來源,則必須計劃啟用 LDAPS。如需有關此 Microsoft 安全性更新的詳細資訊,請參閱 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html

如需有關 vCenter Single Sign-On 的詳細資訊,請參閱 vSphere 驗證