vCenter Single Sign-On では、ユーザーが各コンポーネントで個別に認証を行うのではなく、セキュアなトークン メカニズムを介して、vSphere コンポーネントが相互に通信できるようにします。

vCenter Single Sign-On は、STS (Security Token Service)、安全なトラフィック用の SSL、Active Directory または OpenLDAP によるユーザー(人)の認証、証明書によるソリューション ユーザーの認証を組み合わせて使用します。

ユーザー(人)の vCenter Single Sign-On ハンドシェイク

次の図に、ユーザー(人)のハンドシェイクを示します。

図 1. ユーザー(人)の vCenter Single Sign-On ハンドシェイク
ユーザーが vSphere Web Client にログインすると、Single Sign-On サーバによって認証ハンドシェイクが確立されます。
  1. ユーザーは、vCenter Server システムや別の vCenter サービスにアクセスするためのユーザー名とパスワードで、vSphere Web Client にログインします。

    また、ユーザーはパスワードなしでログインして、Windows セッション認証を使用してください チェックボックスにチェックを付けることができます。

  2. vSphere Web Client は、ログイン情報を vCenter Single Sign-On サービスに渡します。このサービスにより、vSphere Web Client の SAML トークンがチェックされます。vSphere Web Client に有効なトークンがある場合、vCenter Single Sign-On により、ユーザーが構成済み ID ソース (Active Directory など) に存在するかどうかがチェックされます。

    • ユーザー名のみが使用されている場合は、vCenter Single Sign-On によってデフォルト ドメイン内がチェックされます。

    • ドメイン名がユーザー名に含まれている場合(DOMAIN\user1 または user1@DOMAIN)、vCenter Single Sign-On によってそのドメインがチェックされます。

  3. ユーザーがアイデンティティ ソースの認証を受けることができる場合、そのユーザーを vSphere Web Client に示すトークンが vCenter Single Sign-On によって返されます。

  4. vSphere Web Client はトークンを vCenter Server システムに渡します。

  5. vCenter Server は、トークンが有効で期限切れになっていないことを、vCenter Single Sign-On サーバでチェックします。

  6. vCenter Single Sign-On サーバにより、トークンが vCenter Server システムに返され、vCenter Server 認可フレームワークを利用してユーザーのアクセスを許可します。

これで、ユーザーは認証を受けて、自分のロールに権限があるすべてのオブジェクトを表示および変更できます。

注:

まず、各ユーザーにアクセスなしロールが割り当てられます。vCenter Server の管理者は、ユーザーがログインできるように少なくとも読み取り専用ロールを割り当てる必要があります。インベントリ オブジェクトへのアクセス許可の追加を参照してください。

ソリューション ユーザーの vCenter Single Sign-On ハンドシェイク

ソリューション ユーザーは、vCenter Server インフラストラクチャで使用されるサービスのセット(vCenter ServervCenter Server の拡張機能など)です。VMware の拡張機能や、場合によってはサードパーティ製拡張機能も vCenter Single Sign-On の認証を受けることができます。

図 2. ソリューション ユーザーの vCenter Single Sign-On ハンドシェイク
ソリューション ユーザー、vCenter Single Sign-On、その他の vCenter コンポーネント間のハンドシェイクは、下記の手順に従います。

ソリューション ユーザーの場合、やりとりは、次のように行われます。

  1. ソリューション ユーザーが vCenter サービスに接続しようとします。

  2. ソリューション ユーザーは vCenter Single Sign-On にリダイレクトされます。ソリューション ユーザーが vCenter Single Sign-On を初めて使用する場合、有効な証明書を提供する必要があります。

  3. 証明書が有効であれば、vCenter Single Sign-On は SAML トークン(ベアラ トークン)をソリューション ユーザーに割り当てます。このトークンは、vCenter Single Sign-On によって署名されます。

  4. ソリューション ユーザーは vCenter Single Sign-On にリダイレクトされ、そのアクセス許可に基づいてタスクを実行できます。

  5. 次にソリューション ユーザーが認証を受ける必要があるときは、SAML トークンを使用して vCenter Server にログインできます。

デフォルトでは、起動時に VMCA からソリューション ユーザーに証明書がプロビジョニングされるため、このハンドシェイクは自動的に行われます。会社のポリシーで、サードパーティ CA 署名付き証明書が求められる場合、ソリューション ユーザー証明書をサードパーティ CA 署名付き証明書に置き換えることができます。これらの証明書が有効であれば、vCenter Single Sign-On は SAML トークンをソリューション ユーザーに割り当てます。vSphere でのサードパーティ証明書の使用 を参照してください。