vCenter Single Sign On ermöglicht vSphere-Komponenten, über einen sicheren Token-Mechanismus miteinander zu kommunizieren, ohne dass die Benutzer sich bei jeder Komponente einzeln authentifizieren müssen.

vCenter Single Sign On verwendet eine Kombination aus STS (Security Token Service), SSL für sicheren Datenverkehr und Authentifizierung von Lösungsbenutzern durch Zertifikate und von anderen Benutzern (Personen) durch Active Directory oder OpenLDAP.

vCenter Single Sign On-Handshake für Personen als Benutzer

Die folgende Abbildung zeigt den Handshake für Personen als Benutzer.

Abbildung 1. vCenter Single Sign On-Handshake für Personen als Benutzer
Wenn sich der Benutzer am vSphere Web Client anmeldet, richtet der Single Sign On-Server den Authentifizierungs-Handshake ein.
  1. Ein Benutzer muss sich mit einem Benutzernamen und einem Kennwort am vSphere Web Client anmelden, um auf das vCenter Server-System oder einen anderen vCenter-Dienst zugreifen zu können.

    Der Benutzer hat auch die Möglichkeit, sich ohne ein Kennwort anzumelden. In diesem Fall muss er das Kontrollkästchen Windows-Sitzungsauthentifizierung verwenden aktivieren.

  2. Der vSphere Web Client leitet die Anmeldeinformationen an den vCenter Single Sign On-Dienst weiter, der das SAML-Token des vSphere Web Client überprüft. Wenn der vSphere Web Client über ein gültiges Token verfügt, überprüft vCenter Single Sign On weiterhin, ob sich der Benutzer in der konfigurierten Identitätsquelle (z. B. Active Directory) befindet.

    • Wenn nur der Benutzername verwendet wird, überprüft vCenter Single Sign On die Standarddomäne.

    • Ist ein Domänenname im Benutzernamen enthalten (DOMÄNE\Benutzer1 oder Benutzer1@DOMÄNE), überprüft vCenter Single Sign On diese Domäne.

  3. Wenn sich der Benutzer bei der Identitätsquelle authentifizieren kann, gibt vCenter Single Sign On ein Token zurück, das für den vSphere Web Client den Benutzer darstellt.

  4. Der vSphere Web Client leitet das Token an das vCenter Server-System weiter.

  5. vCenter Server überprüft gemeinsam mit dem vCenter Single Sign On-Server, ob das Token gültig und noch nicht abgelaufen ist.

  6. Der vCenter Single Sign On-Server gibt das Token an das vCenter Server-System zurück und nutzt das Autorisierungs-Framework von vCenter Server, um den Benutzerzugriff zu ermöglichen.

Der Benutzer kann sich nun authentifizieren und alle Objekte anzeigen und ändern, für die die Benutzerrolle über die entsprechenden Berechtigungen verfügt.

Anmerkung:

Zu Beginn wird jedem Benutzer die Rolle „Kein Zugriff“ zugewiesen. Ein vCenter Server-Administrator muss dem jeweiligen Benutzer mindestens die Rolle für den Zugriff „Nur Lesen“ zuweisen, bevor sich der Benutzer anmelden kann. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Berechtigung zu einem Bestandslistenobjekt.

vCenter Single Sign On-Handshake für Lösungsbenutzer

Lösungsbenutzer sind Sätze von Diensten, die in der vCenter Server-Infrastruktur verwendet werden, zum Beispiel der vCenter Server oder die vCenter Server-Erweiterungen. VMware-Erweiterungen und eventuell Erweiterungen von Drittanbietern können sich ebenfalls bei vCenter Single Sign On authentifizieren.

Abbildung 2. vCenter Single Sign On-Handshake für Lösungsbenutzer
Der Handshake zwischen einem Lösungsbenutzer, vCenter Single Sign On und anderen vCenter-Komponenten erfolgt in den im Folgenden beschriebenen Schritten.

Für Lösungsbenutzer verläuft die Interaktion folgendermaßen:

  1. Der Lösungsbenutzer versucht, eine Verbindung mit einem vCenter-Dienst herzustellen,

  2. Der Lösungsbenutzer wird zu vCenter Single Sign On weitergeleitet. Wenn der Lösungsbenutzer für vCenter Single Sign On neu ist, muss er ein gültiges Zertifikat vorweisen.

  3. Wenn das Zertifikat gültig ist, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token (Bearer-Token) zu. Das Token wird durch vCenter Single Sign On signiert.

  4. Der Lösungsbenutzer wird dann zu vCenter Single Sign On weitergeleitet und kann Aufgaben entsprechend seinen Berechtigungen ausführen.

  5. Wenn sich der Lösungsbenutzer beim nächsten Mal authentifizieren muss, kann er das SAML-Token zum Anmelden bei vCenter Server verwenden.

Dieser Handshake erfolgt standardmäßig automatisch, weil VMCA beim Starten Zertifikate für Lösungsbenutzer bereitstellt. Wenn gemäß der Unternehmensrichtlinie Drittanbieterzertifikate einer Zertifizierungsstelle benötigt werden, können Sie die Lösungsbenutzerzertifikate durch Drittanbieterzertifikate einer Zertifizierungsstelle ersetzen. Wenn diese Zertifikate gültig sind, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token zu. Siehe Verwenden von Drittanbieterzertifikaten mit vSphere.