如何在vCenter中配置vSphere SSO域

教程

VMware

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

让我们来看一下关键点，包括基于 vCenter Single Sign-On 和 Active Directory 为 vCenter SSO 配置分配角色或权限。

什么是 vCenter SSO 域？

VMware vCenter Single Sign-On（SSO）是 VMware vSphere 的身份管理认证组件。SSO 认证用户可以使用单个帐户的凭据访问不同的 vSphere 组件。SSO 依赖于安全令牌机制，允许多个 vSphere 组件相互通信。

VMware vSphere 产品套件通过 SSO 认证机制与 vCenter 集成。这使您可以使用 SSO 控制或授予套件中资源的权限。请注意，SSO 不会取代 VMware Horizon Identity Manager。在我们的 VMware Horizon 和 VDI 帖子中了解更多信息。

从 vSphere 5.1 开始，VMware 引入了 SSO 来简化对多个 ESXi 主机和其他 vSphere 资源的管理，并改进具有相同用户凭据的 vSphere 认证机制的安全性。SSO 不仅允许 Active Directory 认证，还允许基于安全声明标记语言（SAML）2.0 的任何其他认证源。

请注意，vCenter SSO身份源可以与域关联，但不能替代Active Directory。SSO可以与Active Directory进行交互，并将身份验证和相关查询委托给Active Directory域控制器。如果您的环境中没有AD域控制器，您不需要配置Active Directory域来使用vCenter SSO – SSO具有用于身份验证目的的内部用户存储。

vCenter SSO的工作原理

A user logs in to VMware vSphere Web Client.
SSO服务器接收用户输入的用户名和密码。
SSO服务器将请求转发给适当的身份验证机制，例如Active Directory或本地身份验证。
验证成功后，SSO将令牌传递给VMware vSphere Client。
该令牌可直接用于与vCenter Server和其他VMware vSphere组件进行身份验证。

vCenter单一登录使用的服务包括：

用户身份验证
安全令牌服务
通过证书进行身份验证
用于安全流量的SSL

用户身份验证通过vCenter内置的身份提供者或外部身份提供者（IdP）执行。内置提供者支持Active Directory、OpenLDAP、本地账户、集成的Windows身份验证、智能卡、Windows会话身份验证和RSA securID。安全令牌服务发出代表用户身份的SAM令牌。

vCenter SSO配置

vCenter 基础架构的 SSO 部分在安装 vCenter 时由平台服务控制器处理。在配置 vCenter Server Appliance（VCSA）期间设置平台服务控制器，该控制器提供了几乎预配置的 VM 模板，部署在 vSphere 中。VCSA 运行在基于 Linux 的 Photon OS 上。平台服务控制器还运行证书服务、许可证服务、身份验证框架和设备管理。

在 vCenter 版本 v.6.7 及更早版本中，PSC 可以配置为嵌入式平台服务控制器或外部平台服务控制器。在 vSphere v6.7 中，外部平台服务控制器已被弃用。在 vSphere 7 中，您只能使用嵌入式平台服务控制器安装 vCenter。

在下面的截图中，您可以看到第 1 步（介绍）的阶段 1，在安装 vCenter 7 时，以及一个警告消息，指出您不能再使用外部平台服务控制器。

vSphere 的 SSO 域是在部署 vCenter Server appliance 时配置的。在部署 vCenter 时（见下面的截图），您可以在阶段 2 的第 3 步中查看更多有关 vCenter SSO 配置的详细信息。SSO 管理员、密码、SSO 域名和 SSO 站点名称在安装期间配置。

您可以创建一个新的SSO域或加入现有的SSO域。您在第一次安装vCenter时创建的vCenter SSO域是您的VMware vSphere虚拟环境中的默认身份源。

当未指定其他身份验证域（如Active Directory）时，SSO域是vSphere环境的默认身份源。正如前面提到的，SSO提供了一个基于SAML的令牌交换机制，用于与诸如Active Directory等身份源进行身份验证。您还应该记住，如果将SSO域设置为与AD域名镜像，则可能会出现问题。许多人选择使用“.local”作为后缀的SSO域名。

vCenter SSO域名：最佳实践

vCenter SSO域名的最佳实践包括在小型环境中使用vsphere.local域名，但也可用于大型环境。vsphere.local SSO域名非常适合在VMware vSphere中实现互操作性，包括诸如vRealize Automation等组件。如果您不确定要使用哪个vCenter SSO域名，请使用vsphere.local。

在vCenter中用于本地身份验证的SSO域名不能与现有Active Directory域的名称相同。安装vCenter后，如有需要，请使用Active Directory集成来使用AD域及其名称。输入小写字符以输入vCenter SSO域名。

安装后的vCenter SSO配置

您可以在部署VMware vCenter Server后编辑vCenter SSO配置。

使用现有的管理员帐户登录到 VMware vSphere Client 的 Web 界面，以管理 vCenter，例如，[email protected]。

注意: 如果您正在使用浏览器访问 VMware vSphere Client 来管理 vCenter，而此浏览器运行在属于 Active Directory 域的 Windows 计算机上（在 Windows 中以域用户身份登录），并且此域已配置为 vCenter SSO 域，则可以选择使用 Windows 会话身份验证以获得更大的便利性。如果此复选框处于灰色（不可用）状态，则需要下载增强身份验证插件。下面我们将使用现有的 Active Directory 域来说明 vCenter SSO 配置。

添加 Active Directory 域

我们可以配置 vCenter 认证与 Active Directory 的集成，并使用 Active Directory 域作为 vCenter SSO 域。我们假设您已经配置了 Active Directory 域控制器，不会详细介绍在 Windows Server 中进行 AD 配置过程的细节。请记住，您应该定期创建 Active Directory 备份，尤其是如果许多服务使用 AD 进行身份验证的话。

执行以下操作以编辑 vCenter SSO 配置并与 Active Directory 集成：点击 Web 界面左上角的菜单图标。滚动到左侧窗格中的单点登录部分，然后点击配置。