vCenter Single Sign-On 令牌策略可以指定令牌属性,如时钟容错和续订计数。您可以编辑令牌策略以确保令牌规范遵从贵公司的安全标准。
过程
- 从 Web 浏览器连接到 vSphere Web Client 或 Platform Services Controller。
选项 描述 vSphere Web Client https://vc_hostname_or_IP/vsphere-client Platform Services Controller https://psc_hostname_or_IP/psc 在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。
- 为 [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
- 导航到 vCenter Single Sign-On 配置 UI。
选项 描述 vSphere Web Client - 在主页菜单中,选择系统管理。
- 在 Single Sign-On 下,单击配置。
Platform Services Controller 单击 Single Sign-On,然后单击配置。 - 单击策略选项卡,然后选择令牌策略。
vSphere Web Client 将显示当前的配置设置。如果您未修改默认设置, vCenter Single Sign-On 将使用这些设置。
- 编辑令牌策略配置参数。
选项 描述 时钟容错 vCenter Single Sign-On 允许客户端时钟与域控制器时钟之间存在的时差(以毫秒为单位)。如果时差大于指定值,vCenter Single Sign-On 将声明令牌无效。 最大令牌续订计数 可以续订令牌的最大次数。超过最大续订尝试次数后,需要使用新安全令牌。 最大令牌委派计数 可以将密钥所有者令牌委派给 vSphere 环境中的服务。使用委派令牌的服务将代表提供该令牌的主体执行服务。令牌请求指定 DelegateTo 身份。DelegateTo 值可以是解决方案令牌或对解决方案令牌的引用。此值指定可以委派单个密钥所有者令牌的次数。 持有者令牌的最长生命周期 持有者令牌仅根据令牌的占有情况提供身份验证。持有者令牌只能在短期的单个操作中使用。持有者令牌不验证发送请求的用户或实体的身份。此值指定在重新发布持有者令牌之前该令牌的生命周期值。 密钥所有者令牌的最长生命周期 密钥所有者令牌根据令牌中嵌入的安全项目提供身份验证。密钥所有者令牌可用于委派。客户端可以获取密钥所有者令牌并将该令牌委托给其他实体。该令牌包含用于标识请求方和委派方的声明。在 vSphere 环境中,vCenter Server 系统代表用户获取委派的令牌并使用这些令牌执行操作。 此值决定在将密钥所有者令牌标记为无效之前该令牌的生命周期。
- 单击确定。