vCenter Single Sign-On では、ユーザーが各コンポーネントで個別に認証を行うのではなく、セキュアなトークン メカニズムを介して、vSphere コンポーネントが相互に通信できるようにします。

vCenter Single Sign-On は、次の図に示すように、STS (Security Token Service)、安全なトラフィック用の SSL、Active Directory またはOpenLDAP による認証を組み合わせて使用します。

図 1. vCenter Single Sign-On ハンドシェイク
ユーザーが vSphere Web Client にログインすると、Single Sign-On サーバによって認証ハンドシェイクが確立されます。
  1. ユーザーは、vCenter Server システムや別の vCenter サービスにアクセスするためのユーザー名とパスワードで、vSphere Web Client にログインします。

    また、ユーザーはパスワードなしでログインして、Windows セッション認証を使用してください チェックボックスにチェックを付けることができます。VMware クライアント統合プラグインのインストール後、チェックボックスが使用可能になります。

  2. vSphere Web Client はログイン情報を vCenter Single Sign-On サービスに渡します。このサービスにより、vSphere Web Client の SAML トークンがチェックされます。vSphere Web Client に有効なトークンがある場合、vCenter Single Sign-On により、ユーザーが構成済み ID ソース (Active Directory など) に存在するかどうかがチェックされます。

    • ユーザー名のみが使用されている場合は、vCenter Single Sign-On によってデフォルト ドメイン内がチェックされます。

    • ドメイン名がユーザー名に含まれている場合 (DOMAIN\user1)、vCenter Single Sign-On によってそのドメインがチェックされます。

  3. ユーザーが ID ソース内にある場合、ユーザーを vSphere Web Client に示すトークンが vCenter Single Sign-On によって返されます。

  4. vSphere Web Client はトークンを vCenter Server システムに渡します。

  5. vCenter Server は、トークンが有効で期限切れになっていないことを、vCenter Single Sign-On サーバでチェックします。

  6. vCenter Single Sign-On サーバにより、トークンが vCenter Server システムに返されます。

これで、ユーザーは vCenter Server への認証を行って、自分が権限を持つすべてのオブジェクトを表示および変更できます。

注:

まず、各ユーザーにアクセス不可権限が割り当てられます。vCenter Server の管理者は、ユーザーがログインできるように少なくとも読み取り専用権限を割り当てる必要があります。vSphere Web Client での権限の割り当て および vCenter ユーザー管理タスク を参照してください。