Le serveur vCenter Single Sign-On comprend un service de jetons de sécurité (STS). Le service de jetons de sécurité est un service Web qui émet, valide, et renouvelle les jetons de sécurité. Lorsque le certificat STS existant expire ou change, vous pouvez l'actualiser manuellement via vSphere Web Client.

Avant de commencer

Copiez le certificat que vous venez d'ajouter au keystore Java à partir de Platform Services Controller vers votre poste de travail local.

Dispositif Platform Services Controller

certificate_location/keys/root-trust.jks Par exemple : /keys/root-trust.jks

Par exemple :

/root/newsts/keys/root-trust.jks

Installation Windows

certificate_location\root-trust.jks

Par exemple :

C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks

Pourquoi et quand exécuter cette tâche

Pour acquérir un jeton SAML, l'utilisateur présente les informations d'identification principales au serveur de jetons sécurisés (STS). Les informations d'identification principales dépendent du type d'utilisateur :

Utilisateur de solution

Certificat valide

Autres utilisateurs

Nom d'utilisateur et mot de passe disponibles dans une source d'identité vCenter Single Sign-On.

Le STS authentifie l'utilisateur à l'aide des informations d'identification principales et crée un jeton SAML contenant les attributs de l'utilisateur. Le service STS signe le jeton SAML avec son certificat de signature STS, puis attribue le jeton à un utilisateur. Par défaut, le certificat de signature STS est généré par VMCA.

Une fois qu'un utilisateur dispose d'un jeton SAML, ce dernier est envoyé dans le cadre des demandes HTTP de l'utilisateur, éventuellement via divers proxies. Seul le destinataire prévu (le fournisseur de services) peut utiliser les informations du jeton SAML.

Vous pouvez remplacer le certificat de signature STS existant dans vSphere Web Client, si votre stratégie d'entreprise l'exige ou si vous souhaitez mettre à jour un certificat qui a expiré.

ATTENTION :

Ne remplacez pas le fichier qui réside dans le système de fichiers. Cette opération entraîne la survenue d'erreurs inattendues et difficiles à résoudre.

Remarque :

Après avoir remplacé le certificat, vous devez redémarrer le nœud afin de redémarrer le service vSphere Web Client et le service STS.

Procédure

  1. Connectez-vous à vSphere Web Client en tant qu'administrator@vsphere.local ou un autre utilisateur disposant des privilèges vCenter Single Sign-On.

    Les utilisateurs disposant des privilèges d'administrateur vCenter Single Sign-On font partie du groupe Administrateurs du domaine vsphere.local.

  2. Sélectionnez l'onglet Certificats, puis le sous-onglet Signature STS et cliquez sur l'icône Ajouter un certificat de signature STS.
  3. Ajoutez le certificat.
    1. Cliquez sur Parcourir pour accéder au fichier JKS du magasin de clés qui contient le nouveau certificat, puis cliquez sur Ouvrir.
    2. Tapez le mot de passe lorsque vous y êtes invité.
    3. Cliquez sur le haut de la chaîne d'alias STS, puis cliquez sur OK.
    4. Retapez le mot de passe lorsque vous y êtes invité.
  4. Cliquez sur OK.
  5. Redémarrez le nœud Platform Services Controller pour démarrer le service STS et l'instance de vSphere Web Client.

    Le redémarrage est indispensable au fonctionnement correct de l'authentification.