vCenter Single Sign-On 允许 vSphere 组件通过安全的令牌机制互相通信,而不需要用户分别通过每个组件的身份验证。

vCenter Single Sign-On 使用 STS(安全令牌服务)、用于实现安全通信的 SSL 以及通过 Active Directory 或 OpenLDAP 的身份验证的组合,如下图所示。

图 1. vCenter Single Sign-On 握手
用户登录 vSphere Web Client 时,Single Sign-On 服务器会建立身份验证握手。
  1. 用户使用用户名和密码登录 vSphere Web Client 以访问 vCenter Server 系统或其他 vCenter 服务。

    用户还可以不使用密码而选中使用 Windows 会话身份验证复选框进行登录。该复选框在您安装 VMware 客户端集成插件后变为可用。

  2. vSphere Web Client 将登录信息传递到 vCenter Single Sign-On 服务,该服务将检查 vSphere Web Client 的 SAML 令牌。如果 vSphere Web Client 具有有效令牌,vCenter Single Sign-On 随后会检查用户是否位于已配置的标识源中(例如,Active Directory)。

    • 如果仅使用用户名,则 vCenter Single Sign-On 将在默认域中执行检查。

    • 如果域名随用户名一起提供(\user1),则 vCenter Single Sign-On 将检查该域。

  3. 如果用户位于标识源中,vCenter Single Sign-On 会返回表示 vSphere Web Client 的用户的令牌。

  4. vSphere Web Client 将令牌传递到 vCenter Server 系统。

  5. vCenter Server 与 vCenter Single Sign-On 服务器确认令牌是否有效且未过期。

  6. vCenter Single Sign-On 服务器返回 vCenter Server 系统的令牌。

用户现在可以对 vCenter Server 进行身份验证,以及查看和修改用户具有权限的任何对象。

注:

首先,每个用户都分配有“无权访问”权限。vCenter Server 管理员必须至少为用户分配“只读”权限,用户才能登录。请参见在 vSphere Web Client 中分配权限vCenter 用户管理任务