如何在 vCenter 中配置 vSphere SSO 域

教學

VMware

A key part of vSphere infrastructure administration is being able to assign roles and permissions for vSphere resources. Managing logins and privileges in a VMware vSphere vCenter Server environment is critical for several reasons. You want to allow granular permissions and also provide an audit trail of the actions performed in the vCenter environment.

讓我們看一下關鍵點，包括基於 vCenter Single Sign-On 和 Active Directory 的角色或權限分配進行 vCenter SSO 配置。

什麼是 vCenter SSO 域？

VMware vCenter Single Sign-On（SSO）是 VMware vSphere 的身份管理認證組件。 SSO 通過單一帳戶的憑據對用戶進行身份驗證，以訪問不同的 vSphere 組件。 SSO 倚賴安全令牌機制，使多個 vSphere 組件能夠彼此通信。

VMware vSphere 產品套件通過 SSO 認證機制與 vCenter 整合。這使您可以使用 SSO 控制或授予套件中各種資源的權限。請注意，SSO 並不取代 VMware Horizon Identity Manager。在我們的 VMware Horizon 和 VDI 文章中了解更多信息。

從 vSphere 5.1 開始，VMware 推出了 SSO 來簡化多個 ESXi 主機和其他 vSphere 資源的管理，並使用相同的用戶憑據改進 vSphere 認證機制的安全性。 SSO 不僅允許 Active Directory 認證，還允許基於 Security Assertion Markup Language（SAML）2.0 的任何其他認證來源。

注意，vCenter SSO 身份來源可以與域關聯，但並不取代 Active Directory。SSO 可與 Active Directory 互動，並將身份驗證和相關查詢聯合至 Active Directory 域控制器。如果您的環境中沒有 AD 域控制器，您無需配置 Active Directory 域來使用 vCenter SSO — SSO 具有用於身份驗證目的的內部用戶存儲。

vCenter SSO 的工作原理

A user logs in to VMware vSphere Web Client.
SSO 伺服器接收使用者輸入的使用者名稱和密碼。
該請求被 SSO 伺服器轉發到適當的身份驗證機制，例如 Active Directory 或本地身份驗證。
經過成功驗證後，SSO 將令牌傳遞給 VMware vSphere Client。
令牌可直接用於與 vCenter Server 和其他 VMware vSphere 元件進行身份驗證。

vCenter 單一登錄所使用的服務包括：

使用者身份驗證
安全令牌服務
通過憑證進行身份驗證
用於安全流量的 SSL

使用者身份驗證通過 vCenter 內建身份提供者或外部身份提供者（IdP）執行。內建提供者支持 Active Directory、OpenLDAP、本地帳戶、整合的 Windows 身份驗證、智能卡、Windows 會話身份驗證和 RSA SecurID。安全令牌服務發出代表使用者身份的 SAM 令牌。

vCenter SSO 配置

vCenter 基礎架構的 SSO 部分在安裝 vCenter 時由平台服務控制器處理。平台服務控制器在配置 vCenter Server Appliance（VCSA）期間設置，VCSA 提供作為幾乎預配置的 VM 模板部署在 vSphere 中。VCSA 在基於 Linux 的 Photon OS 上運行。平台服務控制器還運行證書服務、授權服務、身份驗證框架和設備管理。

在 vCenter 版本 v.6.7 及更早版本中，PSC 可以配置為嵌入式平台服務控制器或外部平台服務控制器。在 vSphere v6.7 中，已棄用外部平台服務控制器。在 vSphere 7 中，您只能使用嵌入式平台服務控制器安裝 vCenter。

在下面的屏幕截圖中，您可以看到安裝 vCenter 7 的第 1 步（介紹）和一個警告消息，指出您不能再使用外部平台服務控制器。

vSphere 的 SSO 域在部署 vCenter Server appliance 過程中配置。在部署 vCenter 時（請參閱下面的屏幕截圖），您可以在第 2 階段的第 3 步中看到有關 vCenter SSO 配置的更多詳細信息。在安裝期間配置 SSO 管理員、密碼、SSO 域名和 SSO 站點名。

您可以創建新的 SSO 域，或加入現有的 SSO 域。在首次安裝 vCenter 時創建的 vCenter SSO 域是您 VMware vSphere 虛擬環境中的默認身份來源。

當未指定其他身份驗證域（如 Active Directory）時，SSO 域是 vSphere 環境的默認身份來源。正如已經提到的，SSO 提供了一個基於 SAML 的令牌交換機制，用於與 Active Directory 等身份來源進行身份驗證。您還應該記住，如果將 SSO 域設置為與 AD 域名相同，可能會出現問題。許多人選擇將 SSO 域名設置為以 “.local” 為後綴。

vCenter SSO 域名：最佳做法

最佳的 vCenter SSO 域名做法涉及在小型環境中使用 vsphere.local 域名，但它也可以用於大型環境。 vsphere.local SSO 域名對於 VMware vSphere 中的互操作性非常適用，包括諸如 vRealize Automation 等組件。如果您不確定要使用哪個 vCenter SSO 域名，請使用 vsphere.local。

在 vCenter 中用於本地身份驗證的 SSO 域名不得與現有的 Active Directory 域名相同。在安裝 vCenter 後，如有需要，使用 Active Directory 整合來使用 AD 域和其名稱。輸入小寫字符以進入 vCenter SSO 域名。

安裝後的 vCenter SSO 配置

您可以在部署 VMware vCenter Server 後編輯 vCenter SSO 配置。

登入 VMware vSphere 客戶端的 Web 介面，使用現有的管理員帳戶來管理 vCenter，例如，[email protected]。

注意：如果您使用瀏覽器從一台隸屬於 Active Directory 域的 Windows 機器（作為域用戶登入 Windows 後）來訪問 VMware vSphere 客戶端來管理 vCenter，並且此域已配置為 vCenter SSO 域，您可以選擇使用 Windows 會話驗證以提高便利性。如果此核取方塊處於灰色（非活動狀態），您需要下載增強驗證插件。下面我們解釋使用現有 Active Directory 域配置 vCenter SSO。

添加 Active Directory 域

我們可以配置 vCenter 認證與 Active Directory 的集成，並將 Active Directory 域用作 vCenter SSO 域。我們假設您已經配置了一個 Active Directory 域控制器，並且不會詳細說明 Windows Server 中的 AD 配置過程。請記住，您應該定期備份 Active Directory，特別是如果許多服務使用 AD 進行身份驗證。

執行以下操作來編輯 vCenter SSO 配置並與 Active Directory 集成：點擊 Web 介面左上角的菜單圖標。滾動到左側窗格中的單一登入部分，然後點擊配置。