vCenter Single Sign On
VMware vCenter Single Sign-On (SSO) 是認證中介與安全令牌交換基礎架構,可讓 VMware vSphere 元件透過安全令牌機制互相通訊,並使用下列服務:
- 安全記號服務 (Security Token Service, STS)
- SSL 確保流量安全
- 使用身分來源驗證使用者,例如 Active Directory™ 或 OpenLDAP
查看以下vSphere SSO 流程。
- 使用者以使用者名稱和密碼登入 vSphere Client,以存取 vCenter 或 vCenter 服務。
- vSphere Client 將登入資訊傳遞給 SSO 服務,該服務會檢查 vSphere Client 的 SAML 記號。 如果vSphere Client 具有有效令牌,SSO 將檢查:
- 如果使用者 ID 是
@vsphere.local,則會根據本機 SSO 網域檢查使用者。 - 如果使用者 ID 是
@DOMAIN,則 SSO 會使用身分來源檢查該網域。
- 如果使用者 ID 是
- 如果鑑別成功,SSO 會將代表使用者的記號傳回給 vSphere Client。
- vSphere Client 將記號傳遞給 vCenter。
- vCenter 與 SSO 檢查令牌是否有效且未過期。
- 使用者可以檢視和修改使用者角色對其具有專用權的任何物件。
vSphere SSO 網域用作初始驗證機制,它的作用是將一個實例或多個連結的實例連接到 IBM Cloud® for VMware Solutions 基礎結構網域中的 AD 伺服器。 在 IBM Cloud for VMware Solutions vCenter Server 設計中,套用了下列 SSO 配置:
- 總是使用
vsphere.local的 SSO 網域。 - SSO 網站名稱等於訂購過程中擷取的
<root_domain>。 - 設定身分來源 IBM Cloud for VMware Solutions 基礎架構網域
<root_domain>。 VSPHERE.LOCAL\Administrator使用者設定為管理員角色。- 下列群組配置為具有「管理者」角色:
<root_domain>\ic4v-vCentervsphere.local\Administrators
部署後,administrator@vsphere.local 使用者俱有對 SSO 和vCenter Server 的管理員存取權限。 此使用者可以管理身分來源和預設網域、指定密碼原則以及在 vsphere.local 網域中執行其他管理任務。 但是,此使用者是 VMware vSphere® 和 VMware NSX® 基礎結構認證的組成部分,他們不是 AD 的一部分,而是在 vSphere 部署時自動建立的。 由於此帳戶不屬於
AD,因此在 AD 未正常工作的狀況下,仍可以使用此帳戶。
作為客戶,您具有完整存取權,可根據需要管理 vSphere SSO 使用者和群組。 有關更改這些策略的詳細信息,請參閱 管理vCenter Single Sign-On 使用者和群組。
身分來源
身分來源用於將一個以上的網域連接到 vCenter SSO。 網域是vCenter SSO 可用於使用者驗證的使用者和群組的儲存庫。vCenter SSO 具有在vCenter Server 執行個體部署後配置的下列網域。
- 本端作業系統 - 本端作業系統使用者是執行 vCenter Single Sign-On 伺服器的作業系統的本端使用者。 本端作業系統身分來源僅存在於基本 vCenter SSO 部署中,在具有多個 vCenter SSO 實例的部署中無法使用。 只容許使用一個本端作業系統身分來源。 在 vSphere Client 中顯示為本機。
- vsphere.local- 啟用 進行驗證。
administrator@vsphere.local - IBM Cloud for VMware Solutions基礎架構 – 此網域是根據訂購程序中收集的參數在 AD DNS 伺服器上配置的 <root_domain>。 此程序可讓使用者
automation@<root_domain>進行驗證。
使用者只有在已新增為 vCenter SSO 身份來源的網域中,才能登入 vCenter Server。 如有需要,您可以新增更多身分來源,讓您的 AD 或 LDAP 使用者能夠存取。
vSphere SSO 配置
以下各節提供在 vSphere SSO 中配置的設定。
記號可信任性
| 參數 | 值 |
|---|---|
| 時鐘容錯性 | 600000 毫秒 |
| 最大記號更新計數 | 10 |
| 最大記號委派計數 | 10 |
| 最長持有人記號生命期限 | 300 秒 |
| 最長金鑰持有者記號生命期限 | 2592000 秒 |
鎖定原則
有關鎖定策略的詳細信息,請參閱 策略配置。
密碼原則
| 參數 | 值 |
|---|---|
| 最長生命期限 | 密碼必須每 90 天變更一次 |
| 限制重複使用 | 使用者不能重複使用之前的五個密碼 |
| 最大長度 | 20 個字元 |
| 最小長度 | 15 個字元 |
| 字元需求 |
|
作為客戶,您具有完整存取權,可根據需要對這些設定進行自訂,以套用企業安全原則。 如需變更這些政策,請參閱 管理 vCenter 單點登入政策。
vSphere ESXi 主機
每個vSphere ESXi 主機都有自己的 root 帳戶和密碼。 要識別此密碼,請完成以下步驟:
-
在 VMware Solutions 主控台中,從左側導覽面板按一下資源 > VCF for Classic。
-
在 VMware Cloud Foundation for Classic 表中,找到並按一下實例。
-
按一下基礎架構選項卡,然後按一下所需的叢集。
vSphere ESXi 主機也加入 AD,以便每個系統管理員都可以使用自己的帳戶登入。