El servicio de token de seguridad (STS) de vCenter Single Sign-On es un servicio web que emite, valida y renueva los tokens de seguridad.

Como emisor de tokens, STS utiliza una clave privada para firmar tokens y publica los certificados públicos para que los servicios puedan comprobar la firma del token. vCenter Single Sign-On administra certificados de firma de STS. Los certificados de firma de STS no se almacenan en VMware Endpoint Certificate Store (VECS), sino en VMware Directory Service (vmdir). Los tokens pueden tener una duración considerable e, históricamente, podrían haber sido firmados por diversas claves.

Los usuarios presentan sus credenciales principales a la interfaz de STS para adquirir los tokens. La credencial principal depende del tipo de usuario.
Usuario de solución
Certificado válido.
Otros usuarios
Nombre de usuario y contraseña disponibles en un origen de identidad de vCenter Single Sign-On.

El STS autentica al usuario en función de las credenciales principales y crea un token SAML que contiene los atributos del usuario. De forma predeterminada, VMware Certificate Authority (VMCA) genera el certificado de firma de STS. Puede reemplazar el certificado de firma de STS predeterminado mediante la CLI, o bien puede renovar el certificado de firma de STS mediante vSphere Client. No reemplace el certificado de firma STS a menos que la directiva de seguridad de la empresa exija que se reemplacen todos los certificados.

Duración y caducidad del certificado STS

Una instalación nueva de vSphere 7.0 Update 1 crea un certificado STS con una duración de 10 años. Cuando un certificado de STS está a punto de caducar, una alarma de vCenter Server le advierte empezando a los 90 días una vez por semana y, a continuación, a diario cuando quedan siete días.