• 点击进入：ChatGPT工具插件导航大全

通过连接到vCenter Server的vSphere Web客户端完成添加和删除vCenter Identity来源，或设置默认身份来源。SSO可以将多个域附加到身份源，具体取决于一组作为默认域。

有关组和用户的所有数据都存储在SSO数据库本地，或者通过Microsoft Active Directory（AD）/ Open LDAP系统检索和搜索（如果已配置）。

注意：任何给定时间只有一个默认域。您不能同时拥有两个默认域。

将身份提供者视为管理身份来源并验证用户身份的服务。身份提供者的示例包括Microsoft AD联合身份验证服务（ADFS）或vCenter SSO。

vCenter Server 7支持哪些类型的身份源？^

• LDAP上的Microsoft AD- SSO支持LDAP身份源上的多个AD
• LDAPS上的AD-使用SSL到LDAP的安全连接（LDAP安全）
• Microsoft IWA（集成Windows身份验证） –允许您将单个AD指定为身份源。该选项允许用户使用您的AD帐户登录vCenter Server。
• Open LDAP- vCenter SSO支持Open LDAP 2.4及更高版本；支持多个Open LDAP身份源。

通过管理部分> SSO配置中的选项可以使用不同的选项。本节提供了不同的身份提供程序选项。

如何通过vSphere Client设置默认身份源^

使用默认的administrator@vsphere.local登录名和密码连接到vCenter Server 。这是您在安装过程中创建的默认设置。（注意：如果在安装过程中创建了其他域，请通过administrator @ yourdomain连接。）

转到“主页”>“管理”>“单点登录”>“配置”>“身份提供程序”选项卡。

如何设置默认身份源

当您单击按钮时，将打开一个覆盖窗口，询问您是否要继续。

设置默认身份来源验证

您具有有关域，别名，类型，服务器URL或名称的详细信息。通过单选按钮选择连接之一后，您可以编辑，设置为默认设置或删除连接。

在“身份提供程序”选项卡之外，还有一个“本地帐户”选项卡，您可以在其中指定和更改密码策略或帐户锁定策略。这些策略仅适用于本地SSO帐户。

Microsoft AD安全性更改在不久的将来会如何？

许多管理员使用“集成Windows身份验证”选项，因为这是与现有Microsoft AD环境集成的最简单方法。但是，Microsoft计划更改AD的默认行为，以要求强身份验证和加密。

更改后，集成Windows身份验证将无法正常工作。您将无法搜索SSO的用户和组，并且还有其他一些不兼容之处。

尽管集成Windows身份验证目前可以使用，但Microsoft计划进一步保护AD。这将影响VMware配置，因为将强烈要求使用强身份验证和加密。如果您使用的是未加密的LDAP（ldap：//，而不是ldaps：//），则需要进行一些更改。您需要计划和启用LDAPS或使用身份联合。

VMware在此处发送消息-vSphere 7中不推荐使用集成Windows身份验证（IWA）。仍支持但不推荐使用。LDAPS上的Microsoft AD和Identity Federation是将vSphere连接到Active Directory的两个主要建议。

请注意，如果您已将vCenter Server添加到Microsoft AD域， 则不 受此即将发生的更改的影响。仅在使用LDAP而不将vCenter Server添加到AD时受影响。

如您所见，我们已经将vCenter Server加入了Microsoft AD，所以应该没问题。

我们的vCenter Server已加入AD 1

如何从LDAP迁移到LDAPS？

如果由于某种原因您在未加入AD的vCenter Server系统上运行，则从LDAP迁移到LDAPS时需要在DC上进行补充配置和设置，因为您将需要安装企业CA并处理证书。

使用脚本管理身份验证服务

vCenter Server Appliance（VCSA）具有一个称为sso-config的内置命令，用于管理配置服务。您可以通过运行sso-config -help来查看不同的选项。

还有另一个service-control，它允许您启动，停止和列出服务。使用service-control –list-services显示所有服务及其状态。

使用service-control –help可获得更多详细信息。