vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren, ohne dass die Benutzer sich bei jeder Komponente einzeln authentifizieren müssen.

vCenter Single Sign On verwendet eine Kombination von STS (Security Token Service), SSL für sicheren Datenverkehr und Authentifizierung durch Active Directory oder OpenLDAP, wie in der folgenden Abbildung dargestellt.

Abbildung 1. vCenter Single Sign On-Handshake
Wenn sich der Benutzer am vSphere Web Client anmeldet, richtet der Single Sign On-Server den Authentifizierungs-Handshake ein.
  1. Ein Benutzer muss sich mit einem Benutzernamen und einem Kennwort am vSphere Web Client anmelden, um auf das vCenter Server-System oder einen anderen vCenter-Dienst zugreifen zu können.

    Der Benutzer hat auch die Möglichkeit, sich ohne ein Kennwort anzumelden. In diesem Fall muss er das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktivieren. Dieses Kontrollkästchen ist nach der Installation des VMware Client-Integrations-Plug-Ins verfügbar.

  2. Der vSphere Web Client leitet die Anmeldedaten an den vCenter Single Sign On-Dienst weiter, der das SAML-Token des vSphere Web Client überprüft. Wenn der vSphere Web Client über ein gültiges Token verfügt, überprüft vCenter Single Sign On weiterhin, ob sich der Benutzer in der konfigurierten Identitätsquelle (z. B. Active Directory) befindet.

    • Wenn nur der Benutzername verwendet wird, überprüft vCenter Single Sign On die Standarddomäne.

    • Ist ein Domänenname im Benutzernamen enthalten (DOMÄNE\Benutzer1), überprüft vCenter Single Sign On diese Domäne.

  3. Wenn sich der Benutzer in der Identitätsquelle befindet, gibt vCenter Single Sign On ein Token zurück, das am vSphere Web Client den Benutzer darstellt.

  4. Der vSphere Web Client leitet das Token an das vCenter Server-System weiter.

  5. vCenter Server überprüft gemeinsam mit dem vCenter Single Sign On-Server, ob das Token gültig und noch nicht abgelaufen ist.

  6. Der vCenter Single Sign On-Server gibt das Token an das vCenter Server-System zurück.

Der Benutzer kann sich nun am vCenter Server authentifizieren und alle Objekte anzeigen und ändern, für die er über die entsprechenden Berechtigungen verfügt.

Anmerkung:

Zu Beginn wird jedem Benutzer die Berechtigung „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens eine Berechtigung für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Weitere Informationen hierzu finden Sie unter Zuweisen von Berechtigungen im vSphere Web Client und vCenter-Benutzer-Verwaltungsaufgaben.