vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren.

vCenter Single Sign On verwendet die folgenden Dienste.
  • STS (Security Token Service)
  • SSL für sicheren Datenverkehr.
  • Authentifizierung für Personen als Benutzer mit Active Directory oder OpenLDAP.

vCenter Single Sign On-Handshake für Personen als Benutzer

Die folgende Abbildung zeigt den Handshake für Personen als Benutzer.

Abbildung 1. vCenter Single Sign On-Handshake für Personen als Benutzer
Wenn sich der Benutzer am vSphere Web Client anmeldet, richtet der Single Sign-On-Server den Authentifizierungs-Handshake ein.
  1. Ein Benutzer muss sich mit einem Benutzernamen und einem Kennwort am vSphere Client anmelden, um auf das vCenter Server-System oder einen anderen vCenter-Dienst zugreifen zu können.

    Der Benutzer hat auch die Möglichkeit, sich ohne ein Kennwort anzumelden. In diesem Fall muss er das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktivieren.

  2. Der vSphere Client leitet die Anmeldeinformationen an den vCenter Single Sign On-Dienst weiter, der das SAML-Token des vSphere Client überprüft. Wenn der vSphere Client über ein gültiges Token verfügt, überprüft vCenter Single Sign On weiterhin, ob sich der Benutzer in der konfigurierten Identitätsquelle (z. B. Active Directory) befindet.
    • Wenn nur der Benutzername verwendet wird, überprüft vCenter Single Sign On die Standarddomäne.
    • Ist ein Domänenname im Benutzernamen enthalten (DOMÄNE\Benutzer1 oder Benutzer1@DOMÄNE), überprüft vCenter Single Sign On diese Domäne.
  3. Wenn sich der Benutzer bei der Identitätsquelle authentifizieren kann, gibt vCenter Single Sign On ein Token zurück, das für den vSphere Client den Benutzer darstellt.
  4. Der vSphere Client leitet das Token an das vCenter Server-System weiter.
  5. vCenter Server überprüft gemeinsam mit dem vCenter Single Sign On-Server, ob das Token gültig und noch nicht abgelaufen ist.
  6. Der vCenter Single Sign On-Server gibt das Token an das vCenter Server-System zurück und nutzt das Autorisierungs-Framework von vCenter Server, um Benutzerzugriff zu ermöglichen.

Der Benutzer kann sich nun authentifizieren und alle Objekte anzeigen und ändern, für die die Benutzerrolle über die entsprechenden Berechtigungen verfügt.

Unterstützte Verschlüsselung

AES-Verschlüsselung, die den höchsten Verschlüsselungsgrad darstellt, wird unterstützt. Die unterstützte Verschlüsselung wirkt sich auf die Sicherheit aus, wenn vCenter Single Sign On Active Directory als Identitätsquelle verwendet.