NAKIVO > Blog > VMware

如何在 vCenter 中設定 vSphere SSO 網域

Updated: 22 6 月, 2026

撰文:: NAKIVO 團隊

vSphere 基礎架構管理的一項關鍵環節,在於能夠為 vSphere 資源指派角色與權限。在 VMware vSphere vCenter Server 環境中管理登入與權限至關重要,原因如下:您需要設定細粒度的權限,同時也需針對 vCenter 環境中執行的操作提供稽核追蹤紀錄。

讓我們來看看幾個重點,包括基於 vCenter 單一登入 (SSO) 以及 Active Directory 進行 vCenter SSO 配置,來指派角色或權限。

NAKIVO for VMware vSphere 備份

NAKIVO for VMware vSphere 備份

為 VMware vSphere 虛擬機器提供全面資料保護及快速還原選項。支援本地、異地及雲端的備份目標。具備防勒索軟體功能。

探索解決方案

什麼是 vCenter SSO 網域?

VMware vCenter 單一登入 (SSO) 是 VMware vSphere 用於身分識別管理的驗證元件。SSO 透過單一帳戶的憑證,對使用者進行驗證,使其能夠存取不同的 vSphere 元件。SSO 仰賴安全的憑證機制,使多個 vSphere 元件能夠相互通訊。

VMware vSphere 產品套件透過 SSO 驗證機制與 vCenter 整合。這使您能夠使用 SSO 來控制或授予整個套件中資源的權限。請注意,SSO 並未取代 VMware Horizon Identity Manager。欲了解更多資訊,請參閱我們的 VMware Horizon 與 VDI 文章。

從 vSphere 5.1 開始,VMware 引入了 SSO,以簡化多個 ESXi 主機和其他 vSphere 資源的管理,並透過使用相同的使用者憑證來提升 vSphere 驗證機制的安全性。SSO 不僅支援 Active Directory 驗證,還支援任何基於安全斷言標記語言 (SAML) 2.0 的其他驗證來源。

請注意,vCenter SSO 身分來源雖可與網域關聯,但並不能取代 Active Directory。SSO 可與 Active Directory 互動,並將驗證及相關查詢聯邦化至 Active Directory 網域控制器。若您的環境中沒有 AD 網域控制器,您無需配置 Active Directory 網域即可使用 vCenter SSO —— SSO 具備用於驗證目的的內部使用者儲存庫。

vCenter SSO 的運作方式

  1. 一位使用者登入 VMware vSphere Web Client。
  2. SSO 伺服器會接收使用者輸入的使用者名稱和密碼。
  3. SSO 伺服器會將此請求轉發至適當的驗證機制,例如 Active Directory 或本機驗證。
  4. 成功驗證後,SSO 會將憑證傳遞給 VMware vSphere Client。
  5. 此憑證可直接用於與 vCenter Server 及其他 VMware vSphere 元件進行驗證。

How VMware vCenter SSO works

vCenter 單一登入所使用的服務包括:

  • 使用者驗證
  • 安全憑證服務
  • 透過憑證進行驗證
  • SSL 用於安全傳輸

使用者驗證是透過 vCenter 內建的身分識別提供者或外部身分識別提供者 (IdP) 來執行。內建的身分識別提供者支援 Active Directory、OpenLDAP、本機帳戶、整合式 Windows 驗證、智慧卡、Windows 工作階段驗證以及 RSA SecurID。安全性憑證服務會發行代表使用者身分的 SAM 憑證。

vCenter SSO 設定

在安裝 vCenter 時,vCenter 基礎架構中的 SSO 功能由 Platform Services Controller 負責處理。Platform Services Controller 是在設定 vCenter Server 裝置 (VCSA) 時進行設定的,而 VCSA 是以幾乎預先設定好的虛擬機器範本形式提供,並部署於 vSphere 中。 VCSA 運行於基於 Linux 的 Photon OS 上。Platform Services Controller 同時負責執行憑證服務、授權服務、驗證框架以及裝置管理。

在 vCenter 6.7 及更早版本中,PSC 可配置為 Embedded Platform Services Controller 或一個 External Platform Services Controller. 在 vSphere v6.7 中,外部平台服務控制器已不再支援。在 vSphere 7, 您僅需使用內嵌式平台服務控制器 (Embedded Platform Services Controller) 即可安裝 vCenter。

在下方的螢幕截圖中,您可以看到第一階段的第 1 步(簡介) 安裝 vCenter 7 以及一則警告訊息,指出您無法再使用外部平台服務控制器。

VMware vCenter SSO configuration at Stage 1 of deployment

在部署 vSphere 時,會設定一個 SSO 網域 vCenter Server 裝置. 您可以在部署 vCenter 時,於第 2 階段的第 3 步中查看 vCenter SSO 設定的更多詳細資訊(請參閱下方的螢幕截圖)。SSO 管理員、密碼、SSO 網域名稱及 SSO 站點名稱皆會在安裝過程中進行設定。

您可以建立新的 SSO 網域,或加入現有的 SSO 網域。您在首次安裝 vCenter 時所建立的 vCenter SSO 網域,即是 VMware vSphere 虛擬環境中的預設身分來源。

VMware vCenter SSO domain configuration during vCenter deployment

當未指定其他驗證網域(例如 Active Directory)時,SSO 網域即為 vSphere 環境的預設身分來源。如前所述,SSO 提供了一種基於 SAML 的憑證交換機制,用於與 Active Directory 等身分來源進行驗證。您還應注意,若將 SSO 網域名稱設定為與 AD 網域名稱完全相同,可能會引發問題。許多人會選擇一個包含".local” 作為後綴。

vCenter SSO 網域名稱:最佳實踐

vCenter SSO 網域名稱的最佳實踐包括使用 vsphere.local 域名適用於小型環境,但也適用於大型環境。該 vsphere.local SSO 網域名稱非常適合用於 VMware vSphere 的互通性,包括 vRealize Automation 等元件。如果您不確定該使用哪個 vCenter SSO 網域名稱,請使用 vsphere.local.

用於 vCenter 本地驗證的 SSO 網域名稱不得與現有 Active Directory 網域的名稱相同。若需在安裝 vCenter 後使用 AD 網域及其名稱,請透過 Active Directory 整合功能進行設定。請使用小寫字母輸入 vCenter SSO 網域名稱。

安裝完成後的 vCenter SSO 設定

部署 VMware vCenter Server 後,您可以編輯 vCenter SSO 設定。

使用您現有的管理員帳戶登入 VMware vSphere Client 的網頁介面以管理 vCenter,例如: administrator@vsphere.local.

註: 如果您是透過瀏覽器存取 vCenter 來進行管理 VMware vSphere Client 若您使用的是隸屬於 Active Directory 網域的 Windows 電腦(且已以網域使用者身分登入 Windows),且該網域已設定為 vCenter SSO 網域,您可以選擇 使用 Windows 工作階段驗證 以便操作更為便利。若此核取方塊呈灰色(不可用),您需要下載"進階驗證外掛程式"。以下我們將說明如何使用現有的 Active Directory 網域來設定 vCenter SSO。

Using credentials and vCenter Single Sign On

新增 Active Directory 網域

我們可以設定 vCenter 與 Active Directory 的整合,並將 Active Directory 網域用作 vCenter SSO 網域。我們假設您已設定好 Active Directory 網域控制器,因此不會深入探討 Windows Server 中的 AD 設定流程。請記住,您應該 建立定期的 Active Directory 備份,尤其是當許多服務都使用 AD 進行驗證時。

請執行以下操作來編輯 vCenter SSO 設定並與 Active Directory 整合:

  1. 點擊網頁介面左上角的選單圖示。捲動至 單一登入 左側窗格中的區段,然後按一下 Configuration.
  2. 請選擇 Identity Provider 按一下"標籤"頁,然後選取 Active Directory Domain.
  3. 點擊 Join AD 加入將用於 vCenter 單一登入 (vCenter SSO) 的 Active Directory 網域(作為 vCenter SSO 網域)。

Editing the vCenter SSO domain configuration to join the AD domain

  1. 請輸入網域名稱、選取組織單位(可選),並輸入 AD 網域管理員的憑證(使用者名稱和密碼)。
  2. 點擊 Join 並重新啟動 vCenter 實例 (VCSA) 以套用變更。

Configuring the vCenter SSO domain using integration with Active Directory

身分識別供應商

您可以為您的 vCenter 單一登入 (SSO) 網域使用其他身分識別來源。

  1. 前往 Administration > Single Sign On > Configuration 在 VMware vSphere Client 中,點擊 Identity Sources身分識別提供者 分頁。
  2. 選擇可用的身分來源,或點擊 Add 要新增一個。

SSO configuration vCenter

您可以選擇 Local accounts 請點選該分頁,並設定密碼到期時間及其他密碼政策。

管理使用者與群組

完成 vCenter SSO 網域的設定後,即可建立使用者並將其加入群組,以授予相應的權限。

  1. 點擊 Users and Groups 根據 單一登入 vCenter 管理頁面的左側窗格中的區段。
  2. 請選擇 Users 分頁。
  3. 選擇一個可作為預設(內建)的網域 vsphere.local 網域,或是您手動新增並用作 vCenter 單一登入網域的 Active Directory 網域。
  4. 點擊 Add 為所選網域新增一位使用者。
  5. 請填寫必填欄位並儲存設定。

Editing users and groups in vCenter SSO configuration

群組管理的優勢在於,能夠將所需的權限指派給群組,並將多名使用者加入該群組,從而自動授予他們相應的權限。

  1. 請選擇 Groups [標籤] 上的 使用者與群組 頁面。
  2. 點擊 Add members.

Adding users for vCenter Single Sign On

  1. 請填寫必填欄位(例如群組名稱),並選擇要從哪個網域新增成員。該網域可以是內建的 vCenter SSO 網域,例如 vsphere.local 或 Active Directory 網域。
  2. 新增選取網域中的成員(使用者或群組),然後按一下 Save.

Adding users to a group

請勿刪除預設的使用者和群組(即在 vCenter 乾淨安裝後存在的那些)。

結語

建議您備份 vCenter Server Appliance 虛擬機器以及執行 Active Directory 網域控制器的電腦。這些電腦用於集中式管理與驗證,一旦發生故障,可能會導致嚴重後果及系統停機。

試試看 NAKIVO Backup & Replication

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

免費試用

People also read

Picture
MSP 遠端存取解決方案終極指南
Picture
使用虛擬機器範本複製 Hyper-V 虛擬機器
Picture
NAKIVO 備份 & 複製元件:傳輸器