ユーザー（人）の vCenter Single Sign-On ハンドシェイク

次の図に、ユーザー（人）のハンドシェイクを示します。

1. ユーザーは、vCenter Serverシステムや別の vCenter サービスにアクセスするためのユーザー名とパスワードで、vSphere Web Client にログインします。

   また、ユーザーはパスワードなしでログインして、[Windows セッション認証を使用してください] チェック ボックスにチェックを付けることができます。

2. vSphere Web Clientは、ログイン情報を vCenter Single Sign-On サービスに渡します。このサービスにより、vSphere Web Client の SAML トークンがチェックされます。vSphere Web Clientに有効なトークンがある場合、vCenter Single Sign-On により、ユーザーが構成済み ID ソース （Active Directory など） に存在するかどうかがチェックされます。
   • ユーザー名のみが使用されている場合は、vCenter Single Sign-Onによってデフォルト ドメイン内がチェックされます。
   • ドメイン名がユーザー名に含まれている場合（DOMAIN\user1 または user1@DOMAIN）、vCenter Single Sign-On によってそのドメインがチェックされます。
3. ユーザーが ID ソースの認証を受けることができる場合、そのユーザーを vSphere Web Clientに示すトークンが vCenter Single Sign-On によって返されます。
4. vSphere Web Clientはトークンを vCenter Server システムに渡します。
5. vCenter Serverは、トークンが有効で期限切れになっていないことを、vCenter Single Sign-On サーバでチェックします。
6. vCenter Single Sign-Onサーバにより、トークンが vCenter Server システムに返され、vCenter Server 認可フレームワークを使用してユーザーのアクセスを許可します。

ソリューション ユーザーの vCenter Single Sign-On ハンドシェイク

ソリューション ユーザーは、vCenter Server インフラストラクチャで使用されるサービスのセット（vCenter Server や vCenter Server の拡張機能など）です。VMware の拡張機能や、場合によってはサードパーティ製拡張機能も vCenter Single Sign-Onの認証を受けることができます。

デフォルトでは、起動時に VMCA からソリューション ユーザーに証明書がプロビジョニングされるため、このハンドシェイクは自動的に行われます。会社のポリシーで、サードパーティ CA 署名付き証明書が求められる場合、ソリューション ユーザー証明書をサードパーティ CA 署名付き証明書に置き換えることができます。これらの証明書が有効であれば、vCenter Single Sign-Onは SAML トークンをソリューション ユーザーに割り当てます。vSphere でのカスタム証明書の使用を参照してください。

サポートされている暗号化

最高レベルの暗号化である AES 暗号化がサポートされています。

サポートされている暗号化は、ESXi ホストまたは vCenter Server が Active Directory に参加するたびにセキュリティに影響を与えます。vCenter Single Sign-On がアイデンティティ ソースとして Active Directory を使用するときにも、セキュリティに影響します。