vSphere 提供了通用基础架构服务来管理 vCenter ServerESXi 组件的证书,以及管理向 vCenter Single Sign-On 的身份验证。

如何管理 vSphere 证书

默认情况下,vSphere 支持使用 VMware Certificate Authority (VMCA) 证书置备 vCenter Server 组件和 ESXi 主机。也可以使用自定义证书,这些证书存储在 VMware 端点证书存储 (VECS) 中。有关详细信息,请参见可通过哪些选项管理 vSphere 证书

什么是 vCenter Single Sign-On

vCenter Single Sign-On 允许 vSphere 组件通过安全的令牌机制相互通信。vCenter Single Sign-On 使用一些必须了解的特定术语和定义。

表 1. vCenter Single Sign-On 术语表
术语 定义
主体 可以对其进行身份验证的实体,例如用户。
身份提供程序 管理标识源和对主体进行身份验证的服务。示例:Microsoft Active Directory 联合身份验证服务 (AD FS) 和 vCenter Single Sign-On
标识源(目录服务) 存储和管理主体。主体包含有关用户或服务帐户的属性集合,例如名称、地址、电子邮件地址和组成员资格。示例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。
身份验证 确定某人或某物实际上是否是将其自身声明为的人或物的方法。例如,用户在提供凭据(如智能卡、用户名和正确密码等)时对其进行身份验证。
授权 验证主体有权访问哪些对象的过程。
令牌 包含给定主体标识信息的签名数据集合。令牌可能不仅包括有关主体的基本信息(如电子邮件地址和全名),还包括主体的组和角色,具体取决于令牌类型。
vmdir VMware Directory Service。vCenter Server 中的内部(本地)LDAP 存储库,包含用户身份、组和配置数据。
OAuth 2.0 一种开放式授权标准,支持在主体和 Web 服务之间交换信息,而不会公开主体的凭据。
OpenID Connect (OIDC) 基于 OAuth 2.0 的身份验证协议,增加了用户标识信息,完善了 OAuth。它由授权服务器在 OAuth 身份验证期间与访问令牌一起返回的 ID 令牌表示。在与 Active Directory 联合身份验证服务 (AD FS) 和 Okta 交互时,vCenter Server 使用 OIDC 功能。
跨域身份管理 (SCIM) 系统 用于在身份域或 IT 系统之间自动交换用户身份信息的标准。
VMware Identity Services 从版本 8.0 Update 1 开始,VMware Identity Services 是 vCenter Server 中的内置容器,可用于外部身份提供程序的身份联合。它作为 vCenter Server 内的独立身份代理运行,并附带一组自己的 API。目前,Okta 是 VMware Identity Services 支持的唯一外部身份提供程序。
租户 VMware Identity Services 概念。租户可将数据与同一个虚拟环境中的其他租户数据进行逻辑隔离。
JSON Web令牌 (JWT) OAuth 2.0 规范定义的令牌格式。JWT 令牌承载有关主体的身份验证和授权信息。
依赖方 依赖方“依赖”授权服务器(VMware Identity Services 或 AD FS)进行身份管理。例如,通过联合,vCenter Server 对 VMware Identity Services 或 AD FS 建立了依赖方信任。

有哪些 vCenter Single Sign-On 身份验证类型

vCenter Single Sign-On 使用不同类型的身份验证,具体取决于是涉及内置 vCenter Server 身份提供程序还是外部身份提供程序。

表 2. vCenter Single Sign-On 身份验证类型
身份验证类型 作为身份提供程序的服务 vCenter Server 是否处理密码? 描述
基于令牌的身份验证 外部身份提供程序。例如,AD FS。 vCenter Server 通过特定协议访问外部身份提供程序,并获取表示特定用户身份的令牌。
简单身份验证 vCenter Server 用户名和密码直接传递到 vCenter Server,以便通过其标识源验证凭据。