vCenter Single Sign-On permet aux composants vSphere de communiquer entre eux au moyen d'un mécanisme d'échange de jetons sécurisé au lieu d'obliger les utilisateurs à s'authentifier séparément pour chaque composant.

vCenter Single Sign-On utilise une combinaison de STS (Security Token Service), de SSL pour la sécurisation du trafic et d'authentification par Active Directory ou OpenLDAP, comme indiqué dans l'illustration suivante.

Figure 1. Établissement d'une liaison vCenter Single Sign-On
Lorsque l'utilisateur se connecte à vSphere Web Client, le serveur Single Sign-On établit une liaison pour l'authentification.
  1. Un utilisateur se connecte à vSphere Web Client avec un nom d'utilisateur et un mot de passe pour accéder au système vCenter Server ou à un autre service vCenter.

    L'utilisateur peut également se connecter sans mot de passe et cocher la case Utiliser l'authentification de session Windows. Cette case à cocher devient disponible après l'installation du plug-in d'intégration du client VMware.

  2. vSphere Web Client transmet les informations de connexion au service vCenter Single Sign-On, qui vérifie le jeton SAML de vSphere Web Client. Si vSphere Web Client dispose d'un jeton valide, vCenter Single Sign-On vérifie ensuite que l'utilisateur figure bien dans la source d'identité configurée (par exemple, Active Directory).

    • Si seul le nom d'utilisateur est employé, vCenter Single Sign-On vérifie dans le domaine par défaut.

    • Si un nom de domaine est inclus avec le nom d'utilisateur (DOMAIN\utilisateur1), vCenter Single Sign-On vérifie ce domaine.

  3. Si l'utilisateur figure dans la source d'identité, vCenter Single Sign-On renvoie un jeton qui représente l'utilisateur auprès de vSphere Web Client.

  4. vSphere Web Client transmet le jeton au système vCenter Server.

  5. vCenter Server vérifie auprès du serveur vCenter Single Sign-On que le jeton est valide et n'a pas expiré.

  6. Le serveur vCenter Single Sign-On renvoie le jeton au système vCenter Server.

L'utilisateur peut maintenant s'authentifier auprès de vCenter Server. Il peut également afficher et modifier tous les objets pour lesquels il dispose d'autorisations.

Remarque :

L'autorisation Aucun accès est attribuée initialement à chaque utilisateur. Un administrateur de vCenter Server doit attribuer au moins des autorisations Lecture seule à l'utilisateur avant que ce dernier puisse se connecter. Reportez-vous à Attribuer des autorisations dans vSphere Web Client et à Tâches de gestion des utilisateurs vCenter.