您可以使用 Active Directory 群組搭配 vRealize Log Insight 來通過 VMware Identity Manager Single Sign-On 驗證。您的站台必須設定為使用針對 Active Directory 支援啟用的 VMware Identity Manager 驗證,且必須啟用了伺服器同步化。

您也必須將群組資訊匯入至 vRealize Log Insight

VMware Identity Manager 使用者除了繼承指派給個別使用者的角色之外,還繼承指派給使用者所屬之任意群組的角色。例如,您可以將群組 A 指派給僅限檢視管理員角色,將使用者指派給使用者角色。還可以將同一位使用者指派給群組 A。當使用者登入時,便會繼承具有僅限檢視管理員使用者角色權限的群組角色。

此群組不是 VMware Identity Manager 本機群組,而是與 VMware Identity Manager 同步化的 Active Directory 群組。

必要條件

  • 確認您已設定 UPN 屬性 (userPrincipalName)。可以透過 VMware Identity Manager 管理員介面來設定,位於身分識別與存取管理 > 使用者屬性中。
  • 確認您是以「超級管理員」使用者身分,或是以其相關聯角色具有存取控制權限且存取層級為編輯的使用者身分,來登入 vRealize Log Insight Web 使用者介面。Web 使用者介面的 URL 格式為 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虛擬應用裝置的 IP 位址或主機名稱。

  • 確認您已在 vRealize Log Insight 中設定 VMware Identity Manager 支援。請參閱透過 VMware Identity Manager 啟用使用者驗證

程序

  1. 展開主功能表,並導覽至管理 > 存取控制
  2. 按一下使用者
  3. 捲動至 [目錄群組] 表格,然後按一下新增群組
  4. 類型下拉式功能表中選取 VMware Identity Manager
    您在設定 VMware Identity Manager 支援時指定的預設網域名稱,會出現在 網域文字方塊中。
  5. 將網域名稱變更為群組的 Active Directory 名稱。
  6. 輸入要新增之群組的名稱。
  7. 在右側的角色清單中,選取一或多個預先定義或自訂使用者角色。
    選項 說明
    儀表板使用者 儀表板使用者只能使用 vRealize Log Insight儀表板頁面。
    超級管理員 「超級管理員」使用者可以存取 vRealize Log Insight 的所有功能,可以管理 vRealize Log Insight 以及所有其他使用者的帳戶。
    使用者 使用者可以存取 vRealize Log Insight 的所有功能。使用者可以檢視記錄事件、執行查詢以搜尋和篩選記錄、將內容套件匯入其自己的使用者空間、檢視警示,以及管理其自己的使用者帳戶以變更密碼或電子郵件地址。使用者無權存取管理選項,而且無法與其他使用者共用內容、建立或修改警示、修改其他使用者的帳戶,以及從市集安裝內容套件。但是,他們可以將內容套件匯入只有其自己可以看見的使用者空間。
    僅檢視管理員 「僅限檢視管理員」使用者可以檢視管理員資訊、擁有完整使用者存取權,並且可以編輯共用內容。
    自訂角色 具有自訂角色的使用者可以根據該角色相關聯的權限,來檢視或修改資訊。
    若要檢視與某個預先定義角色或自訂角色相關聯的權限,請在 存取控制頁面中,按一下 角色索引標籤,然後針對該角色,按一下 顯示權限
  8. 按一下儲存
    為進行驗證, vRealize Log Insight 會驗證使用者的網域是否連結至群組。如果網域不屬於群組, vRealize Log Insight 會驗證該網域是否已與群組相關聯的網域建立信任。如果已建立跨網域信任,則使用者可以登入 vRealize Log Insight,而對應的使用者帳戶會新增至 存取控制 > 使用者的使用者表格。

結果

屬於您新增之群組的使用者可以使用其 VMware Identity Manager 帳戶登入 vRealize Log Insight,並擁有與他們所屬群組相同層級的權限。