NAKIVO > Blog > VMware

Cách định cấu hình miền SSO vSphere trong vCenter

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Một phần quan trọng trong việc quản trị hạ tầng vSphere là khả năng gán vai trò và quyền truy cập cho các tài nguyên vSphere. Việc quản lý tài khoản đăng nhập và quyền hạn trong môi trường VMware vSphere vCenter Server là vô cùng quan trọng vì nhiều lý do. Bạn cần thiết lập các quyền truy cập chi tiết và đồng thời tạo ra bản ghi kiểm tra (audit trail) cho các thao tác được thực hiện trong môi trường vCenter.

Hãy cùng xem xét các điểm chính, bao gồm việc gán vai trò hoặc quyền truy cập dựa trên vCenter Single Sign-On và Active Directory cho cấu hình vCenter SSO.

NAKIVO cho sao lưu VMware vSphere

NAKIVO cho sao lưu VMware vSphere

Bảo vệ dữ liệu toàn diện cho các máy ảo VMware vSphere cùng các tùy chọn khôi phục tức thì. Các điểm sao lưu an toàn tại chỗ, ngoài cơ sở và trên đám mây. Các tính năng chống ransomware.

KHÁM PHÁ GIẢI PHÁP

vCenter SSO Domain là gì?

VMware vCenter Single Sign-On (SSO) là một thành phần xác thực của VMware vSphere dành cho quản lý danh tính. SSO xác thực người dùng để truy cập các thành phần vSphere khác nhau bằng thông tin đăng nhập của một tài khoản duy nhất. SSO dựa trên cơ chế mã thông báo an toàn để cho phép nhiều thành phần vSphere giao tiếp với nhau.

Bộ sản phẩm VMware vSphere tích hợp với vCenter thông qua cơ chế xác thực SSO. Điều này cho phép bạn sử dụng SSO để kiểm soát hoặc cấp quyền truy cập vào các tài nguyên trong toàn bộ bộ sản phẩm. Lưu ý rằng SSO không thay thế VMware Horizon Identity Manager. Tìm hiểu thêm trong bài viết của chúng tôi tại VMware Horizon và VDI .

Bắt đầu từ vSphere 5.1, VMware đã giới thiệu SSO để đơn giản hóa việc quản lý nhiều máy chủ ESXi và các tài nguyên vSphere khác, đồng thời nâng cao bảo mật của cơ chế xác thực vSphere bằng cùng một thông tin đăng nhập người dùng. SSO không chỉ hỗ trợ xác thực Active Directory mà còn hỗ trợ bất kỳ nguồn xác thực nào dựa trên Ngôn ngữ Đánh dấu Khẳng định Bảo mật (SAML) 2.0.

Lưu ý rằng nguồn danh tính vCenter SSO có thể được liên kết với một miền nhưng không thay thế cho Active Directory. SSO có thể tương tác với Active Directory và liên kết xác thực cùng các truy vấn liên quan đến máy chủ miền Active Directory. Bạn không cần cấu hình miền Active Directory để sử dụng vCenter SSO nếu môi trường của bạn không có máy chủ miền Active Directory – SSO có kho lưu trữ người dùng nội bộ dành cho mục đích xác thực.

Cách vCenter SSO hoạt động

  1. Người dùng đăng nhập vào VMware vSphere Web Client.
  2. Máy chủ SSO nhận tên người dùng và mật khẩu do người dùng nhập.
  3. Yêu cầu được máy chủ SSO chuyển tiếp đến cơ chế xác thực phù hợp, chẳng hạn như Active Directory hoặc xác thực cục bộ.
  4. Sau khi xác thực thành công, SSO truyền token đến VMware vSphere Client.
  5. Token có thể được sử dụng để xác thực trực tiếp với vCenter Server và các thành phần khác của VMware vSphere.

How VMware vCenter SSO works

Các dịch vụ được sử dụng cho vCenter Single Sign-On là:

  • Xác thực người dùng
  • Dịch vụ mã thông báo bảo mật
  • Xác thực thông qua chứng chỉ
  • SSL cho lưu lượng truy cập an toàn

Xác thực người dùng được thực hiện thông qua nhà cung cấp danh tính tích hợp sẵn trong vCenter hoặc nhà cung cấp danh tính bên ngoài (IdP). Nhà cung cấp tích hợp sẵn hỗ trợ Active Directory, OpenLDAP, tài khoản cục bộ, xác thực Windows tích hợp, thẻ thông minh, xác thực phiên Windows và RSA SecurID. Dịch vụ mã thông báo bảo mật (STS) cấp phát các mã thông báo SAM đại diện cho danh tính của người dùng.

Cấu hình SSO cho vCenter

Phần SSO trong cơ sở hạ tầng vCenter được xử lý bởi Platform Services Controller khi cài đặt vCenter. Platform Services Controller được thiết lập trong quá trình cấu hình vCenter Server Appliance (VCSA), được cung cấp dưới dạng mẫu máy ảo (VM) gần như đã được cấu hình sẵn và triển khai trên vSphere. VCSA chạy trên hệ điều hành Photon OS dựa trên Linux. Platform Services Controller cũng quản lý các dịch vụ chứng chỉ, dịch vụ cấp phép, khung xác thực và quản lý thiết bị.

Trong các phiên bản vCenter 6.7 và cũ hơn, PSC có thể được cấu hình dưới dạng Embedded Platform Services Controller hoặc External Platform Services Controller. Trong vSphere v6.7, External Platform Services Controller đã bị loại bỏ. Trong vSphere 7, bạn có thể cài đặt vCenter chỉ sử dụng Embedded Platform Services Controller.

Trong hình ảnh minh họa bên dưới, bạn có thể thấy Bước 1 (Giới thiệu) của Giai đoạn 1 khi Cài đặt vCenter 7 và một thông báo cảnh báo rằng bạn không thể sử dụng External Platform Services Controller nữa.

VMware vCenter SSO configuration at Stage 1 of deployment

Một miền SSO cho vSphere được cấu hình trong quá trình triển khai Thiết bị vCenter Server. Bạn có thể xem thêm chi tiết về cấu hình SSO của vCenter tại bước 3 của Giai đoạn 2 khi triển khai vCenter (xem hình ảnh minh họa bên dưới). Quản trị viên SSO, mật khẩu, tên miền SSO và tên trang web SSO được cấu hình trong quá trình cài đặt.

Bạn có thể tạo một miền SSO mới hoặc tham gia vào một miền SSO hiện có. Miền SSO của vCenter mà bạn tạo trong lần cài đặt vCenter đầu tiên là nguồn danh tính mặc định trong môi trường ảo VMware vSphere của bạn.

VMware vCenter SSO domain configuration during vCenter deployment

Miền SSO là nguồn nhận dạng mặc định của môi trường vSphere khi không có miền xác thực nào khác (như Active Directory) được chỉ định. Như đã đề cập, SSO cung cấp cơ chế trao đổi token (dựa trên SAML) để xác thực với các nguồn nhận dạng như Active Directory, v.v. Bạn cũng nên lưu ý rằng các vấn đề có thể phát sinh nếu bạn đặt tên miền SSO trùng với tên miền AD. Nhiều người chọn tên miền SSO có hậu tố “.local ”.

Tên miền SSO của vCenter: các thực hành tốt nhất

Các thực hành tốt nhất về tên miền SSO của vCenter bao gồm việc sử dụng tên miền “ vsphere.local ” trong các môi trường nhỏ, nhưng nó cũng có thể được sử dụng trong các môi trường lớn. Tên miền SSO vsphere.local rất phù hợp để đảm bảo khả năng tương tác trong VMware vSphere, bao gồm các thành phần như vRealize Automation. Nếu bạn không chắc chắn nên sử dụng tên miền SSO vCenter nào, hãy sử dụng vsphere.local .

Tên miền SSO được sử dụng cho xác thực cục bộ trong vCenter không được trùng với tên của miền Active Directory hiện có. Sử dụng tích hợp Active Directory để sử dụng miền AD và tên của nó nếu cần sau khi cài đặt vCenter. Nhập tên miền SSO của vCenter bằng các ký tự viết thường.

Cấu hình SSO của vCenter sau khi cài đặt

Bạn có thể chỉnh sửa cấu hình SSO của vCenter sau khi triển khai VMware vCenter Server.

Đăng nhập vào giao diện web của VMware vSphere Client bằng tài khoản quản trị viên hiện có để quản lý vCenter, ví dụ: administrator@vsphere.local .

Lưu ý:Nếu bạn đang sử dụng trình duyệt để truy cập Ứng dụng VMware vSphere Client từ một máy tính Windows là thành viên của miền Active Directory (sau khi đã đăng nhập vào Windows với tư cách người dùng miền), và miền này được cấu hình là miền SSO của vCenter, bạn có thể chọn Sử dụng xác thực phiên Windows để thuận tiện hơn. Nếu hộp kiểm này bị mờ (không hoạt động), bạn cần tải xuống Plugin xác thực nâng cao. Dưới đây, chúng tôi giải thích cấu hình vCenter SSO bằng cách sử dụng miền Active Directory hiện có.

Using credentials and vCenter Single Sign On

Thêm miền Active Directory

Chúng ta có thể cấu hình tích hợp xác thực vCenter với Active Directory và sử dụng miền Active Directory làm miền vCenter SSO. Chúng tôi giả định rằng bạn đã có một máy chủ miền Active Directory được cấu hình và sẽ không đi vào chi tiết về quy trình cấu hình AD trên Windows Server. Hãy nhớ rằng bạn nên Tạo bản sao lưu Active Directory định kỳ, đặc biệt nếu nhiều dịch vụ sử dụng AD để xác thực.

Thực hiện các thao tác sau để chỉnh sửa cấu hình vCenter SSO và tích hợp với Active Directory:

  1. Nhấp vào biểu tượng menu ở góc trên bên trái của giao diện web. Cuộn đến phần Single Sign On trong khung bên trái và nhấp vào Configuration.
  2. Chọn tab Identity Provider và sau đó chọn Active Directory Domain.
  3. Nhấp vào Join AD để tham gia miền Active Directory sẽ được sử dụng cho vCenter Single Sign-On (với tư cách là miền vCenter SSO).

Editing the vCenter SSO domain configuration to join the AD domain

  1. Nhập tên miền, chọn đơn vị tổ chức (tùy chọn) và nhập thông tin đăng nhập của quản trị viên miền AD (tên người dùng và mật khẩu).
  2. Nhấp vào Join và khởi động lại phiên bản vCenter (VCSA) để áp dụng các thay đổi.

Configuring the vCenter SSO domain using integration with Active Directory

Nhà cung cấp danh tính

Bạn có thể sử dụng một nguồn danh tính thay thế cho miền vCenter Single Sign On của mình.

  1. Truy cập Administration > Single Sign On > Configuration trong VMware vSphere Client và nhấp vào Identity Sources trong tab Nhà cung cấp danh tính .
  2. Chọn nguồn danh tính có sẵn hoặc nhấp vào Add để thêm một nguồn mới.

SSO configuration vCenter

Bạn có thể chọn tab Local accounts và định cấu hình thời gian hết hạn mật khẩu cũng như các chính sách mật khẩu khác.

Quản lý người dùng và nhóm

Sau khi đã cấu hình miền SSO vCenter, bạn có thể tạo người dùng và thêm người dùng vào các nhóm để cấp quyền thích hợp.

  1. Nhấp vào Users and Groups trong phần Single Sign On ở khung bên trái của trang quản trị vCenter.
  2. Chọn tab Users .
  3. Chọn một miền có thể là miền mặc định (tích hợp sẵn) vsphere.local hoặc một miền Active Directory mà bạn đã thêm thủ công để sử dụng làm miền vCenter Single Sign On.
  4. Nhấp vào Add để thêm người dùng mới cho miền đã chọn.
  5. Điền vào các trường bắt buộc và lưu cài đặt.

Editing users and groups in vCenter SSO configuration

Lợi ích của quản lý nhóm là khả năng gán quyền truy cập cần thiết cho nhóm và thêm nhiều người dùng vào nhóm để tự động cấp quyền cho họ.

  1. Chọn tab Groups trên trang Users and Groups .
  2. Nhấp vào Add members.

Adding users for vCenter Single Sign On

  1. Điền vào các trường bắt buộc, chẳng hạn như tên nhóm, và chọn miền nào để thêm thành viên. Đó có thể là miền vCenter SSO tích hợp sẵn như vsphere.local hoặc miền Active Directory.
  2. Thêm các thành viên (người dùng hoặc nhóm) từ các miền đã chọn và nhấp vào Save.

Adding users to a group

Không xóa các người dùng và nhóm được định nghĩa sẵn (những người dùng và nhóm tồn tại sau khi cài đặt sạch vCenter).

Kết luận

Bạn nên sao lưu các máy ảo vCenter Server Appliance và các máy chạy bộ điều khiển miền Active Directory. Các máy này được sử dụng để quản lý và xác thực tập trung, và bất kỳ sự cố nào cũng có thể dẫn đến hậu quả nghiêm trọng và thời gian ngừng hoạt động.

Hãy thử NAKIVO Backup & Replication

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí

People also read

Picture
Cách làm việc với các tệp VHD và VHDX của Hyper-V: Những kiến thức cơ bản cần thiết
Picture
Tổng quan toàn diện về các vấn đề hiệu suất của máy ảo VMware
Picture
NAKIVO tại VMware Explore 2023 Mỹ: Tóm tắt