vCenter Single Sign-On包括 Security Token Service (STS)(管理服务器)、vCenter Lookup Service 和 VMware Directory Service (vmdir)。VMware Directory Service 还可用于证书管理。

在安装过程中,以下组件会作为 vCenter Server部署的一部分进行部署。

STS (Security Token Service)
STS 服务会发出安全断言标记语言 (SAML) 令牌。这些安全令牌表示 vCenter Server 支持的标识源类型之一中的用户标识。SAML 令牌允许成功通过 vCenter Single Sign-On 身份验证的交互式用户、脚本式用户和服务用户使用 vCenter Single Sign-On 支持的任何 vCenter 服务,而无需再次经过每个服务的身份验证。
vCenter Single Sign-On 服务会使用签名证书对所有令牌进行签名,并在磁盘上存储令牌签名证书。该服务本身的证书也会存储在磁盘上。
管理服务器
管理服务器允许用户具有 vCenter Single Sign-On 的管理员特权,以便配置 vCenter Single Sign-On 服务器并管理 vSphere Client 中的用户和组。最初,仅 administrator@ your_domain_name 用户具有这些特权。可以在安装 vCenter Server 时更改 vSphere 域。请勿使用 Microsoft Active Directory 或 OpenLDAP 域名命名该域名。
VMware Directory Service (vmdir)

VMware Directory Service (vmdir) 与安装期间您指定的域相关联,并且包含在每个 vCenter Server 部署中。此服务是一个多租户、对等复制目录服务,可使 LDAP 目录在端口 389 上可用。此外,还会存储和管理由 SHA-512 哈希算法保护的 vCenter Single Sign-On 用户帐户和密码。

如果您的环境包含在链接模式下配置的多个 vCenter Server 实例,则一个 vmdir 实例中的 vmdir 内容更新会传播到所有其他 vmdir 实例。

VMware Directory Service 不仅会存储 vCenter Single Sign-On 信息,还会存储证书信息。

Identity Management Service
处理标识源和 STS 身份验证请求。