vCenter Single Sign-On令牌策略可以指定令牌属性,如时钟容错和续订计数。您可以编辑令牌策略以确保令牌规范遵从贵公司的安全标准。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 单击本地帐户选项卡。
  5. 单击令牌的可信赖度行对应的编辑
    可能需要向下滚动才能看到 令牌的可信赖度行。
  6. 编辑令牌策略配置参数。
    选项 描述
    时钟容错 vCenter Single Sign-On允许客户端时钟与域控制器时钟之间存在的时差(以毫秒为单位)。如果时差大于指定值,vCenter Single Sign-On 将声明令牌无效。
    最大令牌续订计数 可以续订令牌的最大次数。超过最大续订尝试次数后,需要使用新安全令牌。
    最大令牌委派计数 可以将密钥所有者令牌委派给 vSphere 环境中的服务。使用委派令牌的服务将代表提供该令牌的主体执行服务。令牌请求指定 DelegateTo 身份。DelegateTo 值可以是解决方案令牌或对解决方案令牌的引用。此值指定可以委派单个密钥所有者令牌的次数。
    持有者令牌的最长生命周期 持有者令牌仅根据令牌的占有情况提供身份验证。持有者令牌只能在短期的单个操作中使用。持有者令牌不验证发送请求的用户或实体的身份。此值指定在重新发布持有者令牌之前该令牌的生命周期值。
    密钥所有者令牌的最长生命周期 密钥所有者令牌根据令牌中嵌入的安全项目提供身份验证。密钥所有者令牌可用于委派。客户端可以获取密钥所有者令牌并将该令牌委托给其他实体。该令牌包含用于标识请求方和委派方的声明。在 vSphere 环境中,vCenter Server 系统代表用户获取委派的令牌并使用这些令牌执行操作。

    此值决定在将密钥所有者令牌标记为无效之前该令牌的生命周期。

  7. 单击保存