vCenter Single Sign-On サーバには、Security Token Service (STS) があります。Security Token Service は、セキュリティ トークンの発行、検証、更新を行う Web サービスです。既存の Security Token Service 証明書の有効期限が切れたり変更されると、vSphere Web Client から手動で更新することができます。

このタスクについて

SAML トークンを取得するために、ユーザーはプライマリ認証情報を Secure Token Server (STS) に提供します。プライマリ認証情報は、ユーザーのタイプによって異なります。

ソリューション ユーザー

有効な証明書

その他のユーザー

vCenter Single Sign-On アイデンティティ ソースで使用できるユーザー名とパスワード

STS は、プライマリ認証情報を使用してユーザーを認証し、ユーザー属性が含まれている SAML トークンを構築します。STS サービスは、その STS 署名証明書を使用して SAML トークンを署名し、トークンをユーザーに割り当てます。デフォルトでは、STS 署名証明書は VMCA によって生成されます。

ユーザーが SAML トークンを取得したら、SAML トークンはそのユーザーの HTTP 要求の一部として送信されます。このとき、さまざまなプロキシを通過する場合があります。対象受信者(サービス プロバイダ)のみが SAML トークンの情報を使用できます。

会社のポリシーで求められている場合や、有効期限の切れた証明書を更新する場合、vSphere Web Client で既存の STS 署名証明書を置き換えることができます。

注意:

ファイルシステムのファイルを置き換えないでください。置き換えた場合、予期せぬエラーが発生し、結果のデバッグは困難になります。

注:

証明書を置き換えた後に、vSphere Web Client サービスと STS サービスの両方を再起動するために、ノードを再起動する必要があります。

前提条件

Platform Services Controller から java キーストアに追加したばかりの証明書を、ローカル ワークステーションにコピーします。

Platform Services Controller アプライアンス

certificate_location/keys/root-trust.jks 例:/keys/root-trust.jks

例:

/root/newsts/keys/root-trust.jks

Windows インストール

certificate_location\root-trust.jks

例:

C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks

手順

  1. administrator@vsphere.local または vCenter Single Sign-On 管理者権限を持つ別のユーザーとして vSphere Web Client にログインします。

    vCenter Single Sign-On 管理者権限を保有するユーザーは、ローカルの vCenter Single Sign-On ドメインの管理者グループに含まれます(デフォルトは vsphere.local)。

  2. 証明書 タブを選択して、STS 署名 サブタブを選択し、STS 署名証明書の追加 アイコンをクリックします。
  3. 証明書を追加します。
    1. 参照 をクリックして、新しい証明書を含むキー ストア JKS ファイルを参照し、開く をクリックします。
    2. パスワードの入力が求められた場合は、入力します。
    3. STS エイリアス チェーンの最上部をクリックし、OK をクリックします。
    4. パスワードの入力が求められた場合は、再び入力します。
  4. OK をクリックします。
  5. Platform Services Controller ノードを再起動し、STS サービスと vSphere Web Client の両方を起動します。

    再起動するまで認証は正しく機能しません。そのため、再起動は必須です。