vCenter Single Sign-On は認証ブローカおよびセキュリティ トークン交換インフラストラクチャです。ユーザーまたはソリューション ユーザーが vCenter Single Sign-On の認証を受けることができる場合、そのユーザーは SAML トークンを受信します。その後、ユーザーは SAML トークンを使用して vCenter Server サービスの認証を受けることができます。次に、ユーザーは権限のあるアクションを実行できます。

すべての通信でトラフィックが暗号化され、認証されたユーザーのみが権限のあるアクションを実行できるため、環境の安全が確保されます。

vSphere 6.0 以降では、vCenter Single Sign-OnPlatform Services Controller に含まれています。Platform Services Controller には、vCenter Server および vCenter Server コンポーネントをサポートする共有サービスが用意されています。vCenter Single Sign-On、VMware 認証局、ライセンス サービス、および Lookup Service などが共有サービスになります。Platform Services Controller の詳細については、『vSphere のインストールとセットアップ』を参照してください。

最初のハンドシェイクでは、ユーザーはユーザー名とパスワード、ソリューション ユーザーは証明書を使用して認証を行います。ソリューション ユーザー証明書の置き換えの詳細については、vSphere セキュリティ証明書を参照してください。

ユーザーが vCenter Single Sign-On で認証できるようになると、そのユーザーに特定のタスクの実行を認可できます。通常、vCenter Server 権限を割り当てますが、vSphere には他のアクセス許可モデルも用意されています。vSphere での認可についてを参照してください。

注:

vCenter Server インスタンスに対し、Active Directory ユーザーが vSphere Client から SSPI でログインできるようにするには、vCenter Server インスタンスを Active Directory ドメインに参加させる必要があります。外部 Platform Services Controller を使用した vCenter Server Appliance を Active Directory ドメインに参加させる方法については、VMware のナレッジベースの記事 (http://kb.vmware.com/kb/2118543) を参照してください。