vCenter Server Appliance は、vCenter Single Sign-On レベルの Site Recovery Manager と vCenter Server の間の認証を処理します。
Site Recovery Manager と vCenter Server インスタンス間のすべての通信は、Transport Layer Security (TLS) 接続を介して行われます。
サービス アカウント認証
Site Recovery Manager では、vCenter Server などのリモート サービスとセキュアな通信を確立するためにサービス アカウント認証が使用されます。サービス アカウントは、Site Recovery Manager 構成サービスにより生成されるセキュリティ プリンシパルです。サービス アカウントは、トークン、またはユーザー名とパスワードを使用して認証します。
サービス アカウントは、Site Recovery Manager、vCenter Server、および vCenter Single Sign-On が内部で使用します。
動作中は、Site Recovery Manager がトークンベースの認証で vCenter Single Sign-On からキーホルダ SAML トークンを取得して認証済み通信チャネルを確立します。Site Recovery Manager は、暗号で署名されたリクエスト内のこのトークンをリモート サービスへ送信します。リモート サービスは、トークンを検証し、サービス アカウントの ID を確立します。
サービス アカウントと Site Recovery Manager サイト ペアリング
拡張リンク モードを使用しない vCenter Single Sign-On サイト間で Site Recovery Manager インスタンスをペアリングする場合、Site Recovery Manager は各サイトのリモート サイト用に追加のサービス アカウントを作成します。リモート サイト用のこのサービス アカウントにより、リモート サイトの Site Recovery Manager Serverがローカル サイトのサービスに対して認証を行うことができます。
拡張リンク モードが有効な vCenter Single Sign-On 環境で Site Recovery Manager インスタンスをペアリングする場合、リモート サイトの Site Recovery Manager は、ローカル サイトのサービスを認証するために同じサービス アカウントを使用します。
Site Recovery Manager の SSL/TLS サーバ エンドポイント証明書
Site Recovery Manager には、Site Recovery Manager に確立されたすべての TLS 接続に対するエンドポイント証明書として使用するための SSL/TLS 証明書が必要です。Site Recovery Manager サーバのエンドポイント証明書は、サービス アカウントを含む Holder-of-Key (HOK) SAML トークンを取得するために Site Recovery Manager で使用される証明書とは別のものです。
Site Recovery Manager の SSL/TLS エンドポイント証明書については、Site Recovery Manager の SSL/TLS サーバ エンドポイント証明書の作成を参照してください。