vCenter Single Sign-On 令牌策略可以指定令牌属性,如时钟容错和续订计数。您可以编辑令牌策略以确保令牌规范遵从贵公司的安全标准。

过程

  1. 从 Web 浏览器连接到 vSphere Web ClientPlatform Services Controller

    选项

    描述

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。

    如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。

  3. 导航到 vCenter Single Sign-On 配置 UI。

    选项

    描述

    vSphere Web Client

    1. 主页菜单中,选择系统管理

    2. Single Sign-On 下,单击配置

    Platform Services Controller

    单击 Single Sign-On,然后单击配置

  4. 单击策略选项卡,然后选择令牌策略

    vSphere Web Client 将显示当前的配置设置。如果您未修改默认设置,vCenter Single Sign-On 将使用这些设置。

  5. 编辑令牌策略配置参数。

    选项

    描述

    时钟容错

    vCenter Single Sign-On 允许客户端时钟与域控制器时钟之间存在的时差(以毫秒为单位)。如果时差大于指定值,vCenter Single Sign-On 将声明令牌无效。

    最大令牌续订计数

    可以续订令牌的最大次数。超过最大续订尝试次数后,需要使用新安全令牌。

    最大令牌委派计数

    可以将密钥所有者令牌委派给 vSphere 环境中的服务。使用委派令牌的服务将代表提供该令牌的主体执行服务。令牌请求指定 DelegateTo 身份。DelegateTo 值可以是解决方案令牌或对解决方案令牌的引用。此值指定可以委派单个密钥所有者令牌的次数。

    持有者令牌的最长生命周期

    持有者令牌仅根据令牌的占有情况提供身份验证。持有者令牌只能在短期的单个操作中使用。持有者令牌不验证发送请求的用户或实体的身份。此值指定在重新发布持有者令牌之前该令牌的生命周期值。

    密钥所有者令牌的最长生命周期

    密钥所有者令牌根据令牌中嵌入的安全项目提供身份验证。密钥所有者令牌可用于委派。客户端可以获取密钥所有者令牌并将该令牌委托给其他实体。该令牌包含用于标识请求方和委派方的声明。在 vSphere 环境中,vCenter Server 系统代表用户获取委派的令牌并使用这些令牌执行操作。

    此值决定在将密钥所有者令牌标记为无效之前该令牌的生命周期。

  6. 单击确定