vSphere 提供了一些服务,可帮助您执行 vCenter Server和 ESXi 组件的证书管理任务,并通过 vCenter Single Sign-On 配置身份验证。
vSphere 证书管理概览
默认情况下,vSphere 支持使用 VMware Certificate Authority (VMCA) 证书置备 vCenter Server 组件和 ESXi 主机。也可以使用自定义证书,这些证书存储在 VMware 端点证书存储 (VECS) 中。
vCenter Single Sign-On 概述
vCenter Single Sign-On允许 vSphere 组件通过安全的令牌机制相互通信。vCenter Single Sign-On使用一些必须了解的特定术语和定义。
| 术语 | 定义 |
|---|---|
| 主体 | 可以对其进行身份验证的实体,例如用户。 |
| 身份提供程序 | 管理标识源和对主体进行身份验证的服务。示例:Microsoft Active Directory 联合身份验证服务 (AD FS) 和 vCenter Single Sign-On。 |
| 标识源(目录服务) | 存储和管理主体。主体包含有关用户或服务帐户的属性集合,例如名称、地址、电子邮件和组成员资格。示例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。 |
| 身份验证 | 确定某人或某物实际上是否是将其自身声明为的人或物的方法。例如,用户在提供凭据(如智能卡、用户名和正确密码等)时对其进行身份验证。 |
| 授权 | 验证主体有权访问哪些对象的过程。 |
| 令牌 | 包含给定主体标识信息的签名数据集合。令牌可能不仅包括有关主体的基本信息(如电子邮件地址和全名),还包括主体的组和角色,具体取决于令牌类型。 |
| vmdir | VMware Directory Service。vCenter Server中的内部(本地)LDAP 存储库,包含用户身份、组和配置数据。 |
| OpenID Connect (OIDC) | 基于 OAuth2 的身份验证协议。在与 Active Directory 联合身份验证服务 (AD FS) 交互时,vCenter Server使用 OIDC 功能。 |
vCenter Single Sign-On身份验证类型
vCenter Single Sign-On使用不同类型的身份验证,具体取决于是涉及内置 vCenter Server 身份提供程序还是外部身份提供程序。
| 身份验证类型 | 作为身份提供程序的服务 | vCenter Server 是否处理密码? | 描述 |
|---|---|---|---|
| 基于令牌的身份验证 | 外部身份提供程序。例如,AD FS。 | 否 | vCenter Server通过特定协议访问外部身份提供程序,并获取表示特定用户身份的令牌。 |
| 简单身份验证 | vCenter Server | 是 | 用户名和密码直接传递到 vCenter Server,以便通过其标识源验证凭据。 |
