El servicio de token de seguridad (STS) de vCenter Single Sign-On es un servicio web que emite, valida y renueva los tokens de seguridad.

Los usuarios presentan sus credenciales principales a la interfaz de STS para adquirir tokens SAML. La credencial principal depende del tipo de usuario.
Usuario
Nombre de usuario y contraseña disponibles en un origen de identidad de vCenter Single Sign-On.
Usuario de la aplicación
Certificado válido.

El STS autentica al usuario en función de las credenciales principales y crea un token SAML que contiene los atributos del usuario. El STS firma el token SAML con su certificado de firma de STS y asigna el token al usuario. De forma predeterminada, VMCA genera el certificado de firma del STS. Puede reemplazar el certificado de firma predeterminado del STS desde vSphere Web Client. No reemplace el certificado de firma STS a menos que la directiva de seguridad de la empresa exija que se reemplacen todos los certificados.

Una vez que el usuario tiene un token SAML, este se envía como parte de las solicitudes HTTP del usuario, posiblemente a través de varios proxy. Únicamente el destinatario previsto (el proveedor de servicios) puede utilizar la información del token SAML.