vCenter Single Sign-On 允许 vSphere 组件通过安全的令牌机制相互通信。

vCenter Single Sign-On 使用以下服务。
  • STS (Security Token Service)。
  • 用于确保安全流量的 SSL。
  • 通过 Active Directory 或 OpenLDAP 对人工用户进行身份验证。

人工用户的 vCenter Single Sign-On 握手

下图显示了人工用户的握手。

图 1. 人工用户的 vCenter Single Sign-On 握手
用户登录 vSphere Web Client 时,Single Sign-On 服务器会建立身份验证握手。
  1. 用户使用用户名和密码登录 vSphere Client 以访问 vCenter Server 系统或其他 vCenter 服务。

    用户还可以不使用密码而选中使用 Windows 会话身份验证复选框进行登录。

  2. vSphere Client 将登录信息传递到 vCenter Single Sign-On 服务,该服务将检查 vSphere Client 的 SAML 令牌。如果 vSphere Client 具有有效令牌,vCenter Single Sign-On 随后会检查用户是否位于已配置的标识源中(例如,Active Directory)。
    • 如果仅使用用户名,则 vCenter Single Sign-On 将在默认域中执行检查。
    • 如果域名随用户名一起提供(DOMAIN\user1 或 user1@DOMAIN),则 vCenter Single Sign-On 将检查该域。
  3. 如果用户可以对此标识源进行身份验证,则 vCenter Single Sign-On 会返回表示 vSphere Client 的用户的令牌。
  4. vSphere Client 将令牌传递到 vCenter Server 系统。
  5. vCenter ServervCenter Single Sign-On 服务器确认令牌是否有效且未过期。
  6. vCenter Single Sign-On 服务器将令牌返回到 vCenter Server 系统,从而使用 vCenter Server 授权框架以允许用户访问。

用户现在可以进行身份验证,并可以查看和修改用户角色具有特权的任何对象。

支持的加密

支持 AES 加密,即最高级别的加密。支持的加密会在 vCenter Single Sign-On 使用 Active Directory 作为标识源时影响安全性。