Le serveur vCenter Single Sign-On comprend un service de jetons de sécurité (STS). Le service de jetons de sécurité est un service Web qui émet, valide, et renouvelle les jetons de sécurité. Lorsque le certificat STS existant expire ou change, vous pouvez l'actualiser manuellement via vSphere Web Client.

Pour acquérir un jeton SAML, l'utilisateur présente les informations d'identification principales au serveur de jetons sécurisés (STS). Les informations d'identification principales dépendent du type d'utilisateur :
Utilisateur de solution
Certificat valide
Autres utilisateurs
Nom d'utilisateur et mot de passe disponibles dans une source d'identité vCenter Single Sign-On.

Le STS authentifie l'utilisateur à l'aide des informations d'identification principales et crée un jeton SAML contenant les attributs de l'utilisateur. Le service STS signe le jeton SAML avec son certificat de signature STS, puis attribue le jeton à un utilisateur. Par défaut, le certificat de signature STS est généré par VMCA.

Une fois qu'un utilisateur dispose d'un jeton SAML, ce dernier est envoyé dans le cadre des demandes HTTP de l'utilisateur, éventuellement via divers proxies. Seul le destinataire prévu (le fournisseur de services) peut utiliser les informations du jeton SAML.

Vous pouvez remplacer le certificat de signature STS existant dans vSphere Web Client, si votre stratégie d'entreprise l'exige ou si vous souhaitez mettre à jour un certificat qui a expiré.
Attention : Ne remplacez pas le fichier qui réside dans le système de fichiers. Cette opération entraîne la survenue d'erreurs inattendues et difficiles à résoudre.
Note : Après avoir remplacé le certificat, vous devez redémarrer le nœud afin de redémarrer le service vSphere Web Client et le service STS.

Conditions préalables

Copiez le certificat que vous venez d'ajouter au keystore Java à partir de Platform Services Controller vers votre poste de travail local.
Dispositif Platform Services Controller
certificate_location/keys/root-trust.jks Par exemple : /keys/root-trust.jks
Par exemple :
/root/newsts/keys/root-trust.jks
Installation Windows
certificate_location\root-trust.jks
Par exemple :
C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks

Procédure

  1. Connectez-vous à vSphere Web Client en tant qu'[email protected] ou un autre utilisateur disposant de privilèges d'administrateur de vCenter Single Sign-On.
    Les utilisateurs disposant de privilèges d'administrateur vCenter Single Sign-On appartiennent au groupe Administrateurs du domaine vCenter Single Sign-On local, vsphere.local par défaut.
  2. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  3. Sélectionnez l'onglet Certificats, puis le sous-onglet Signature STS et cliquez sur l'icône Ajouter un certificat de signature STS.
  4. Ajoutez le certificat.
    1. Cliquez sur Parcourir pour accéder au fichier JKS du magasin de clés qui contient le nouveau certificat, puis cliquez sur Ouvrir.
    2. Tapez le mot de passe lorsque vous y êtes invité.
    3. Cliquez sur le haut de la chaîne d'alias STS, puis cliquez sur OK.
    4. Retapez le mot de passe lorsque vous y êtes invité.
  5. Cliquez sur OK.
  6. Redémarrez le nœud Platform Services Controller pour démarrer le service STS et l'instance de vSphere Web Client.
    Le redémarrage est indispensable au fonctionnement correct de l'authentification.