vSphere 提供了一些服务,可帮助您执行 vCenter ServerESXi 组件的证书管理任务,并通过 vCenter Single Sign-On 配置身份验证。

vSphere 证书管理概览

默认情况下,vSphere 支持使用 VMware Certificate Authority (VMCA) 证书置备 vCenter Server 组件和 ESXi 主机。也可以使用自定义证书,这些证书存储在 VMware 端点证书存储 (VECS) 中。

vCenter Single Sign-On 概述

vCenter Single Sign-On允许 vSphere 组件通过安全的令牌机制相互通信。vCenter Single Sign-On使用一些必须了解的特定术语和定义。

表 1. vCenter Single Sign-On术语表
术语 定义
主体 可以对其进行身份验证的实体,例如用户。
身份提供程序 管理标识源和对主体进行身份验证的服务。示例:Microsoft Active Directory 联合身份验证服务 (AD FS) 和 vCenter Single Sign-On
标识源(目录服务) 存储和管理主体。主体包含有关用户或服务帐户的属性集合,例如名称、地址、电子邮件和组成员资格。示例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。
身份验证 确定某人或某物实际上是否是将其自身声明为的人或物的方法。例如,用户在提供凭据(如智能卡、用户名和正确密码等)时对其进行身份验证。
授权 验证主体有权访问哪些对象的过程。
令牌 包含给定主体标识信息的签名数据集合。令牌可能不仅包括有关主体的基本信息(如电子邮件地址和全名),还包括主体的组和角色,具体取决于令牌类型。
vmdir VMware Directory Service。vCenter Server中的内部(本地)LDAP 存储库,包含用户身份、组和配置数据。
OpenID Connect (OIDC) 基于 OAuth2 的身份验证协议。在与 Active Directory 联合身份验证服务 (AD FS) 交互时,vCenter Server使用 OIDC 功能。

vCenter Single Sign-On身份验证类型

vCenter Single Sign-On使用不同类型的身份验证,具体取决于是涉及内置 vCenter Server 身份提供程序还是外部身份提供程序。

表 2. vCenter Single Sign-On身份验证类型
身份验证类型 作为身份提供程序的服务 vCenter Server 是否处理密码? 描述
基于令牌的身份验证 外部身份提供程序。例如,AD FS。 vCenter Server通过特定协议访问外部身份提供程序,并获取表示特定用户身份的令牌。
简单身份验证 vCenter Server 用户名和密码直接传递到 vCenter Server,以便通过其标识源验证凭据。