vCenter Single Sign-On 包括 Security Token Service (STS)、管理服务器和 vCenter Lookup Service 以及 VMware Directory Service (vmdir)。VMware Directory Service 还可用于证书管理。

在安装期间,组件将作为嵌入式部署的一部分或作为 Platform Services Controller 的一部分进行部署。

STS (Security Token Service)
STS 服务会发出安全断言标记语言 (SAML) 令牌。这些安全令牌表示 vCenter Single Sign-On支持的标识源类型之一中的用户标识。SAML 令牌允许成功通过 vCenter Single Sign-On身份验证的人工用户和解决方案用户使用 vCenter Single Sign-On 支持的所有 vCenter,而无需再次经过每个服务的身份验证。
vCenter Single Sign-On 服务会使用签名证书对所有令牌进行签名,并在磁盘上存储令牌签名证书。该服务本身的证书也会存储在磁盘上。
管理服务器
管理服务器允许用户具有 vCenter Single Sign-On 的管理员特权,以便配置 vCenter Single Sign-On 服务器并管理 vSphere Web Client 中的用户和组。最初,仅 administrator@ your_domain_name 用户具有这些特权。在 vSphere 5.5 中,该用户为 [email protected]。在 vSphere 6.0 中,在使用新的 Platform Services Controller 安装 vCenter Server 或部署 vCenter Server Appliance 时,可以更改 vSphere 域。请勿使用 Microsoft Active Directory 或 OpenLDAP 域名命名该域名。
VMware Directory Service (vmdir)

VMware Directory Service (vmdir) 与安装期间您指定的域相关联,并且包含在每个嵌入式部署和每个 Platform Services Controller 中。此服务是一个多租户、对等复制目录服务,可使 LDAP 目录在端口 389 上可用。此服务仍然使用端口 11711,以便向后兼容 vSphere 5.5 及更低版本的系统。

如果您的环境包含多个 Platform Services Controller 实例,则一个 vmdir 实例中的 vmdir 内容更新会传播到所有其他 vmdir 实例。

自 vSphere 6.0 起,VMware Directory Service 不仅会存储 vCenter Single Sign-On 信息,而且还会存储证书信息。

Identity Management Service
处理标识源和 STS 身份验证请求。