vCenter Single Sign-On 安全令牌服务 (STS) 是一项发布、验证和续订安全令牌的 Web 服务。

要获取 SAML 令牌,用户须向 STS 接口提供其主凭据。主凭据取决于用户类型。
用户
vCenter Single Sign-On 标识源中提供的用户名和密码。
应用程序用户
有效证书。

STS 将根据主凭据对用户进行身份验证,并构建包含用户属性的 SAML 令牌。STS 会使用其 STS 签名证书对 SAML 令牌进行签名,并将该令牌分配给用户。默认情况下,将由 VMCA 生成 STS 签名证书。可以从 vSphere Web Client 替换默认 STS 签名证书。除非贵公司的安全策略要求替换所有证书,否则不要替换 STS 签名证书。

用户具有 SAML 令牌后,该 SAML 令牌可作为该用户的 HTTP 请求的一部分进行发送(可能通过各种代理进行发送)。只有预期接收方(服务提供程序)可以使用 SAML 令牌中的信息。