vCenter Single Sign-On には、Security Token Service (STS)、管理サーバ、vCenter Lookup Service、および VMware ディレクトリ サービス (vmdir) が含まれています。VMware ディレクトリ サービスは、証明書管理でも使用されます。

インストール時に各コンポーネントは、組み込みデプロイの一部として、または Platform Services Controller の一部としてデプロイされます。

STS (Security Token Service)

STS サービスは、Security Assertion Markup Language (SAML) トークンを発行します。これらのセキュリティ トークンは、vCenter Single Sign-On によってサポートされているアイデンティティ ソースのタイプの 1 つでユーザーの ID を表します。SAML トークンを使用すると、vCenter Single Sign-On で正常に認証されたユーザー(人とプログラムの両方)は、vCenter Single Sign-On がサポートしている任意の vCenter サービスを、再度各サービスの認証を受けなくても何度でも利用できます。

vCenter Single Sign-On サービスは、署名証明書ですべてのトークンに署名し、そのトークン署名証明書をディスクに保存します。サービス自体の証明書もディスクに保存されます。

管理サーバ

管理サーバにより、ユーザーが vCenter Single Sign-On の管理者権限で vCenter Single Sign-On サーバを構成したり、vSphere Web Client からユーザーとグループを管理したりすることが可能です。初期の状態では administrator@your_domain_name のユーザーのみにこの権限があります。vSphere 5.5 では、このユーザーは administrator@vsphere.local でした。vSphere 6.0 では、新しい Platform Services Controller を使用して vCenter Server をインストールするときや vCenter Server Appliance をデプロイするときに vSphere ドメインを変更できます。このドメイン名に Microsoft Active Directory や OpenLDAP のドメイン名を使用しないでください。

VMware ディレクトリ サービス (vmdir)

VMware ディレクトリ サービス (vmdir) は、インストール時に指定したドメインに関連付けられ、組み込みの各デプロイおよび各 Platform Services Controller に含まれます。ポート 389 で LDAP ディレクトリを使用可能にするマルチテナント、マルチマスターのディレクトリ サービスです。このサービスでは、vSphere 5.5 以前のシステムとの下位互換性を確保するためにポート 11711 が引き続き使用されています。

使用している環境に Platform Services Controller の複数のインスタンスが含まれている場合、1 つの vmdir インスタンスで更新された vmdir の内容は、他のすべての vmdir インスタンスに伝達されます。

vSphere 6.0 以降では、VMware ディレクトリ サービスで vCenter Single Sign-On の情報だけでなく、証明書情報も保存されます。

ID 管理サービス

アイデンティティ ソースおよび STS 認証要求を処理します。