NAKIVO > Blog > VMware

Jak skonfigurować domenę SSO vSphere w vCenter

Updated: 22 czerwca, 2026

Autor:: Zespół NAKIVO

Kluczowym elementem administracji infrastrukturą vSphere jest możliwość przypisywania ról i uprawnień do zasobów vSphere. Zarządzanie logowaniami i uprawnieniami w środowisku VMware vSphere vCenter Server ma kluczowe znaczenie z kilku powodów. Chodzi o to, aby umożliwić precyzyjne przyznawanie uprawnień, a także zapewnić ścieżkę audytu działań wykonywanych w środowisku vCenter.

Przyjrzyjmy się kluczowym kwestiom, w tym przypisywaniu ról lub uprawnień w oparciu o vCenter Single Sign-On oraz konfiguracji Active Directory dla vCenter SSO.

NAKIVO do tworzenia kopii zapasowej VMware vSphere

NAKIVO do tworzenia kopii zapasowej VMware vSphere

Kompleksowa ochrona danych dla maszyn wirtualnych VMware vSphere oraz opcje natychmiastowego odzyskiwania. Bezpieczne lokalizacje kopii zapasowych na miejscu, zdalnie oraz w chmurze. Funkcje ochrony przed oprogramowaniem wymuszającym okup.

ODKRYJ ROZWIĄZANIE

Czym jest domena vCenter SSO?

VMware vCenter Single Sign-On (SSO) to komponent uwierzytelniający platformy VMware vSphere służący do zarządzania tożsamością. SSO uwierzytelnia użytkownika, umożliwiając mu dostęp do różnych komponentów vSphere przy użyciu danych logowania z jednego konta. SSO opiera się na mechanizmie bezpiecznych tokenów, który pozwala wielu komponentom vSphere na wzajemną komunikację.

Pakiet produktów VMware vSphere integruje się z vCenter za pośrednictwem mechanizmu uwierzytelniania SSO. Pozwala to na wykorzystanie SSO do kontrolowania lub przyznawania uprawnień do zasobów w całym pakiecie. Należy pamiętać, że SSO nie zastępuje VMware Horizon Identity Manager. Więcej informacji znajdziesz w naszym poście „ VMware Horizon i VDI ”.

Począwszy od wersji vSphere 5.1, firma VMware wprowadziła SSO w celu usprawnienia zarządzania wieloma hostami ESXi i innymi zasobami vSphere oraz poprawy bezpieczeństwa mechanizmu uwierzytelniania vSphere przy użyciu tych samych poświadczeń użytkownika. SSO umożliwia nie tylko uwierzytelnianie za pomocą Active Directory, ale także dowolnego innego źródła uwierzytelniania opartego na języku SAML (Security Assertion Markup Language) 2.0.

Należy pamiętać, że źródło tożsamości vCenter SSO może być powiązane z domeną, ale nie zastępuje ono usługi Active Directory. SSO może współpracować z usługą Active Directory oraz federować uwierzytelnianie i powiązane zapytania do kontrolera domeny Active Directory. Nie ma potrzeby konfigurowania domeny Active Directory w celu korzystania z vCenter SSO, jeśli w środowisku nie ma kontrolera domeny AD — SSO posiada wewnętrzny magazyn użytkowników do celów uwierzytelniania.

Jak działa vCenter SSO

  1. Użytkownik loguje się do VMware vSphere Web Client.
  2. Serwer SSO odbiera nazwę użytkownika i hasło wprowadzone przez użytkownika.
  3. Żądanie jest przekazywane przez serwer SSO do odpowiedniego mechanizmu uwierzytelniania, takiego jak Active Directory lub uwierzytelnianie lokalne.
  4. Po pomyślnym uwierzytelnieniu SSO przekazuje token do VMware vSphere Client.
  5. Token może być używany do uwierzytelniania bezpośrednio w vCenter Server i innych komponentach VMware vSphere.

How VMware vCenter SSO works

Usługi wykorzystywane w vCenter Single Sign-On to:

  • Uwierzytelnianie użytkowników
  • Usługa tokenów bezpieczeństwa
  • Uwierzytelnianie za pomocą certyfikatów
  • SSL dla bezpiecznego ruchu

Uwierzytelnianie użytkowników odbywa się za pośrednictwem wbudowanego dostawcy tożsamości vCenter lub zewnętrznego dostawcy tożsamości (IdP). Wbudowany dostawca obsługuje usługi Active Directory, OpenLDAP, konta lokalne, zintegrowane uwierzytelnianie systemu Windows, karty inteligentne, uwierzytelnianie sesji systemu Windows oraz RSA SecurID. Usługa tokenów bezpieczeństwa wydaje tokeny SAM, które reprezentują tożsamość użytkownika.

Konfiguracja SSO w vCenter

Element infrastruktury vCenter odpowiedzialny za SSO jest obsługiwany przez Platform Services Controller po zainstalowaniu vCenter. Kontroler usług platformy (Platform Services Controller) jest konfigurowany podczas konfiguracji urządzenia vCenter Server Appliance (VCSA), które jest dostarczane jako niemal wstępnie skonfigurowany szablon maszyny wirtualnej wdrożony w vSphere. Urządzenie VCSA działa w systemie operacyjnym Photon OS opartym na systemie Linux. Kontroler usług platformy obsługuje również usługi certyfikatów, usługi licencyjne, strukturę uwierzytelniania oraz zarządzanie urządzeniami.

W wersjach vCenter v.6.7 i starszych kontroler PSC można było skonfigurować jako Embedded Platform Services Controller lub External Platform Services Controller. W vSphere v6.7 kontroler usług platformy zewnętrznej został wycofany. W vSphere 7można zainstalować vCenter, korzystając wyłącznie z wbudowanego kontrolera usług platformy.

Na poniższym zrzucie ekranu widać krok 1 (Wprowadzenie) etapu 1 podczas Instalacja vCenter 7 oraz komunikat ostrzegawczy informujący, że nie można już korzystać z kontrolera usług platformy zewnętrznej.

VMware vCenter SSO configuration at Stage 1 of deployment

Domena SSO dla vSphere jest konfigurowana podczas wdrażania Urządzenie vCenter Server. Więcej szczegółów dotyczących konfiguracji vCenter SSO można znaleźć w kroku 3 etapu 2 podczas wdrażania vCenter (patrz zrzut ekranu poniżej). Podczas instalacji konfigurowane są: administrator SSO, hasło, nazwa domeny SSO oraz nazwa witryny SSO.

Można utworzyć nową domenę SSO lub dołączyć do istniejącej domeny SSO. Domena vCenter SSO utworzona podczas pierwszej instalacji vCenter jest domyślnym źródłem tożsamości w środowisku wirtualnym VMware vSphere.

VMware vCenter SSO domain configuration during vCenter deployment

Domena SSO jest domyślnym źródłem tożsamości środowiska vSphere, gdy nie określono żadnej innej domeny uwierzytelniania (takiej jak Active Directory). Jak już wspomniano, SSO zapewnia mechanizm wymiany tokenów (oparty na SAML) do uwierzytelniania w źródłach tożsamości, takich jak Active Directory itp. Należy również pamiętać, że mogą pojawić się problemy, jeśli domena SSO zostanie ustawiona tak, aby odzwierciedlała nazwę domeny AD. Wiele osób wybiera nazwę domeny SSO z końcówką „.local” .

Nazwa domeny SSO vCenter: najlepsze rozwiązania

Najlepsze rozwiązania dotyczące nazwy domeny SSO vCenter obejmują użycie nazwy domeny vsphere.local w małych środowiskach, ale można jej również używać w dużych środowiskach. Nazwa domeny SSO vsphere.local doskonale sprawdza się w kontekście współdziałania w środowisku VMware vSphere, w tym z komponentami takimi jak vRealize Automation. Jeśli nie masz pewności, jakiej nazwy domeny SSO vCenter użyć, skorzystaj z vsphere.local .

Nazwa domeny SSO używana do lokalnego uwierzytelniania w vCenter nie może być taka sama jak nazwa istniejącej domeny Active Directory. W razie potrzeby po zainstalowaniu vCenter skorzystaj z integracji z usługą Active Directory, aby użyć domeny AD i jej nazwy. Wprowadź nazwę domeny SSO vCenter, używając małych liter.

Konfiguracja SSO vCenter po instalacji

Konfigurację SSO vCenter można edytować po wdrażaniu serwera VMware vCenter Server.

Zaloguj się do interfejsu internetowego klienta VMware vSphere, używając istniejącego konta administratora do administracji vCenter, na przykład administrator@vsphere.local .

Uwaga:Jeśli do zarządzania vCenter używasz przeglądarki, aby uzyskać dostęp do Klient VMware vSphere z komputera z systemem Windows, który jest członkiem domeny Active Directory (po zalogowaniu się w systemie Windows jako użytkownik domeny), a domena ta jest skonfigurowana jako domena vCenter SSO, możesz wybrać Użyj uwierzytelniania sesji Windows dla większej wygody. Jeśli to pole wyboru jest wyszarzone (nieaktywne), należy pobrać wtyczkę Enhanced Authentication Plugin. Poniżej wyjaśniamy konfigurację vCenter SSO przy użyciu istniejącej domeny Active Directory.

Using credentials and vCenter Single Sign On

Dodawanie domeny Active Directory

Możemy skonfigurować integrację uwierzytelniania vCenter z Active Directory i używać domeny Active Directory jako domeny vCenter SSO. Zakładamy, że masz już skonfigurowany kontroler domeny Active Directory i nie będziemy zagłębiać się w szczegóły procesu konfiguracji AD w systemie Windows Server. Pamiętaj, że powinieneś tworzyć regularne kopie zapasowe usługi Active Directory, zwłaszcza jeśli wiele usług korzysta z AD do uwierzytelniania.

Wykonaj następujące czynności, aby przeprowadzić edycję konfiguracji vCenter SSO i zintegrować ją z Active Directory:

  1. Kliknij ikonę menu w lewym górnym rogu interfejsu internetowego. Przewiń do sekcji Single Sign On w lewym panelu i kliknij Configuration.
  2. Wybierz kartę Identity Provider , a następnie wybierz Active Directory Domain.
  3. Kliknij Join AD , aby dołączyć domenę Active Directory, która będzie używana dla vCenter Single Sign-On (jako domena vCenter SSO).

Editing the vCenter SSO domain configuration to join the AD domain

  1. Wprowadź nazwę domeny, wybierz jednostkę organizacyjną (opcjonalnie) i wprowadź poświadczenia administratora domeny AD (nazwa użytkownika i hasło).
  2. Kliknij Join i uruchom ponownie instancję vCenter (VCSA), aby zastosować zmiany.

Configuring the vCenter SSO domain using integration with Active Directory

Dostawca tożsamości

Można użyć alternatywnego źródła tożsamości dla domeny vCenter Single Sign-On.

  1. Przejdź do Administration > Single Sign On > Configuration w kliencie VMware vSphere Client i kliknij Identity Sources w zakładce Dostawca tożsamości .
  2. Wybierz dostępne źródło tożsamości lub kliknij Add , aby dodać nowe.

SSO configuration vCenter

Możesz wybrać zakładkę Local accounts i skonfigurować czas wygaśnięcia hasła oraz inne zasady dotyczące haseł.

Zarządzanie użytkownikami i grupami

Po skonfigurowaniu domeny vCenter SSO można tworzyć użytkowników i dodawać ich do grup w celu przyznania odpowiednich uprawnień.

  1. Kliknij Users and Groups w sekcji Single Sign On w lewym panelu strony administracyjnej vCenter.
  2. Wybierz kartę Users .
  3. Wybierz domenę, która może być domyślną (wbudowaną) vsphere.local lub domeną Active Directory dodaną ręcznie w celu wykorzystania jako domena vCenter Single Sign On.
  4. Kliknij Add , aby dodać nowego użytkownika do wybranej domeny.
  5. Wypełnij wymagane pola i zapisz ustawienia.

Editing users and groups in vCenter SSO configuration

Zaletą zarządzania grupami jest możliwość przypisania grupie niezbędnych uprawnień oraz dodania do niej wielu użytkowników w celu automatycznego przyznania im tych uprawnień.

  1. Wybierz kartę Groups na stronie Users and Groups .
  2. Kliknij Add members.

Adding users for vCenter Single Sign On

  1. Wypełnij wymagane pola, takie jak nazwa grupy, i wybierz domenę, z której chcesz dodać członków. Może to być wbudowana domena vCenter SSO, taka jak vsphere.local lub domena Active Directory.
  2. Dodaj członków (użytkowników lub grupy) z wybranych domen i kliknij Save.

Adding users to a group

Nie usuwaj predefiniowanych użytkowników i grup (tych, które istnieją po czystej instalacji vCenter).

Podsumowanie

Zaleca się wykonanie kopii zapasowej maszyn wirtualnych vCenter Server Appliance oraz maszyn z kontrolerami domeny Active Directory. Maszyny te służą do scentralizowanego zarządzania i uwierzytelniania, a każda awaria może prowadzić do poważnych konsekwencji i przestojów.

Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby poznać wszystkie funkcje rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo

People also read

Picture
Czym jest MSP, czyli dostawca usług zarządzanych?
Picture
Microsoft Hyper-V Server 2016 a rola Hyper-V
Picture
Ustawianie liczby rdzeni procesora VMware na gniazdo: najlepsze rozwiązania