vCenter Single Sign-On 是一个身份验证代理程序和安全令牌交换基础架构。当用户或解决方案用户可以向 vCenter Single Sign-On 进行身份验证时,该用户将收到 SAML 令牌。从今往后,用户可以使用 SAML 令牌向 vCenter 服务进行身份验证。然后,该用户可以执行其权限范围内的操作。

由于所有通信的流量都会进行加密,且只有经过身份验证的用户才能执行其权限范围内的操作,因此您的环境是安全的。

从 vSphere 6.0 开始,vCenter Single Sign-OnPlatform Services Controller 的一部分。Platform Services Controller 包含支持 vCenter ServervCenter Server 组件的共享服务。这些服务包括 vCenter Single Sign-On、VMware Certificate Authority、License Service 和 Lookup Service。有关 Platform Services Controller 的详细信息,请参见《《vSphere 安装和设置》》。

对于初始握手,用户使用用户名和密码进行身份验证,而解决方案用户使用证书进行身份验证。有关替换解决方案用户证书的信息,请参见 vSphere 安全证书

在用户能够使用 vCenter Single Sign-On 进行身份验证之后,您可以授权该用户执行特定任务。在大多数情况下,您可以分配 vCenter Server 特权,但 vSphere 还包括其他权限模型。请参见了解 vSphere 中的授权

注:

如果希望 Active Directory 用户能够使用具有 SSPI 的 vSphere Client 登录 vCenter Server 实例,则必须将 vCenter Server 实例加入到 Active Directory 域。有关将具有外部 Platform Services Controller 部署的 vCenter Server Appliance 加入到 Active Directory 域的信息,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2118543