vCenter Single Sign-On 包括 Security Token Service (STS)、管理服务器和 vCenter Lookup Service 以及 VMware Directory Service (vmdir)。VMware Directory Service 还可用于证书管理。
在安装期间,组件将作为嵌入式部署的一部分或作为 Platform Services Controller 的一部分进行部署。
- STS (Security Token Service)
- STS 服务会发出安全断言标记语言 (SAML) 令牌。这些安全令牌表示 vCenter Single Sign-On支持的标识源类型之一中的用户标识。SAML 令牌允许成功通过 vCenter Single Sign-On身份验证的人工用户和解决方案用户使用 vCenter Single Sign-On 支持的所有 vCenter,而无需再次经过每个服务的身份验证。
- 管理服务器
- 管理服务器允许用户具有 vCenter Single Sign-On 的管理员特权,以便配置 vCenter Single Sign-On 服务器并管理 vSphere Web Client 中的用户和组。最初,仅 administrator@ your_domain_name 用户具有这些特权。在 vSphere 5.5 中,该用户为 [email protected]。在 vSphere 6.0 中,在使用新的 Platform Services Controller 安装 vCenter Server 或部署 vCenter Server Appliance 时,可以更改 vSphere 域。请勿使用 Microsoft Active Directory 或 OpenLDAP 域名命名该域名。
- VMware Directory Service (vmdir)
-
VMware Directory Service (vmdir) 与安装期间您指定的域相关联,并且包含在每个嵌入式部署和每个 Platform Services Controller 中。此服务是一个多租户、对等复制目录服务,可使 LDAP 目录在端口 389 上可用。此服务仍然使用端口 11711,以便向后兼容 vSphere 5.5 及更低版本的系统。
如果您的环境包含多个 Platform Services Controller 实例,则一个 vmdir 实例中的 vmdir 内容更新会传播到所有其他 vmdir 实例。
自 vSphere 6.0 起,VMware Directory Service 不仅会存储 vCenter Single Sign-On 信息,而且还会存储证书信息。
- Identity Management Service
- 处理标识源和 STS 身份验证请求。
