vCenter Single Sign-On permite que los componentes de vSphere se comuniquen entre sí a través de un mecanismo de token seguro.

vCenter Single Sign-On utiliza los siguientes servicios.
  • STS (servicio de token de seguridad).
  • SSL para proteger el tráfico.
  • La autenticación de usuarios humanos a través de Active Directory u OpenLDAP.

Protocolo de enlace de vCenter Single Sign-On para usuarios humanos

En la siguiente ilustración se muestra el protocolo de enlace para usuarios humanos.

Figura 1. Protocolo de enlace de vCenter Single Sign-On para usuarios humanos
Cuando el usuario inicia sesión en vSphere Web Client, el servidor Single Sign-On establece el protocolo de enlace de la autenticación.
  1. El usuario inicia sesión en vSphere Client con un nombre de usuario y una contraseña para acceder al sistema vCenter Server o a otro servicio de vCenter.

    El usuario también puede iniciar sesión sin una contraseña y activar la casilla Usar la autenticación de sesión de Windows.

  2. vSphere Client pasa la información de inicio de sesión al servicio vCenter Single Sign-On, que comprueba el token SAML de vSphere Client. Si vSphere Client tiene un token válido, vCenter Single Sign-On comprueba si el usuario se encuentra en el origen de identidad configurado (por ejemplo, Active Directory).
    • Si solo se emplea el nombre de usuario, vCenter Single Sign-On comprueba el dominio predeterminado.
    • Si se incluye un nombre de dominio con el nombre de usuario (DOMAIN\user1 o user1@DOMAIN), vCenter Single Sign-On comprueba ese dominio.
  3. Si el usuario puede autenticarse en el origen de identidad, vCenter Single Sign-On devuelve un token que representa al usuario en vSphere Client.
  4. vSphere Client pasa el token al sistema vCenter Server.
  5. vCenter Server comprueba con el servidor de vCenter Single Sign-On que el token sea válido y que no haya caducado.
  6. El servidor de vCenter Single Sign-On devuelve el token al sistema vCenter Server mediante el marco de autorización de vCenter Server para otorgar acceso a los usuarios.

Ahora el usuario puede autenticarse, y ver y modificar todos los objetos sobre los que tiene privilegios por su función.

Cifrado compatible

Se admite el cifrado AES, que es el nivel más alto de cifrado. El cifrado compatible también afecta a la seguridad cuando vCenter Single Sign-On utiliza Active Directory como un origen de identidad.