vCenter Single Sign-Onを使用すると、vSphere コンポーネントの安全なトークン メカニズムを介した相互通信が可能になります。

vCenter Single Sign-Onは次のサービスを使用します。
  • STS (Security Token Service)。
  • トラフィックを保護するための SSL。
  • Active Directory または OpenLDAP を介した人間のユーザー認証。

ユーザー(人)の vCenter Single Sign-Onハンドシェイク

次の図に、ユーザー(人)のハンドシェイクを示します。

図 1. ユーザー(人)の vCenter Single Sign-Onハンドシェイク
ユーザーが vSphere Web Client にログインすると、Single Sign-On サーバによって認証ハンドシェイクが確立されます。
  1. ユーザーは、vCenter Serverシステムや別の vCenter サービスにアクセスするためのユーザー名とパスワードで、vSphere Client にログインします。

    また、ユーザーはパスワードなしでログインして、[Windows セッション認証を使用してください] チェック ボックスにチェックを付けることができます。

  2. vSphere Clientは、ログイン情報を vCenter Single Sign-On サービスに渡します。このサービスにより、vSphere Client の SAML トークンがチェックされます。vSphere Clientに有効なトークンがある場合、vCenter Single Sign-On により、ユーザーが構成済み ID ソース (Active Directory など) に存在するかどうかがチェックされます。
    • ユーザー名のみが使用されている場合は、vCenter Single Sign-Onによってデフォルト ドメイン内がチェックされます。
    • ドメイン名がユーザー名に含まれている場合(DOMAIN\user1 または user1@DOMAIN)、vCenter Single Sign-On によってそのドメインがチェックされます。
  3. ユーザーが ID ソースの認証を受けることができる場合、そのユーザーを vSphere Clientに示すトークンが vCenter Single Sign-On によって返されます。
  4. vSphere Clientはトークンを vCenter Server システムに渡します。
  5. vCenter Serverは、トークンが有効で期限切れになっていないことを、vCenter Single Sign-On サーバでチェックします。
  6. vCenter Single Sign-Onサーバにより、トークンが vCenter Server システムに返され、vCenter Server 認可フレームワークを使用してユーザーのアクセスを許可します。

これで、ユーザーは認証を受けて、自分のロールに権限があるすべてのオブジェクトを表示および変更できます。

サポートされている暗号化

最高レベルの暗号化である AES 暗号化がサポートされています。サポートされている暗号化は、vCenter Single Sign-Onが ID ソースとして Active Directory を使用するときにセキュリティに影響します。