vCenter Single Sign-Onサーバには、Security Token Service (STS) があります。Security Token Service は、セキュリティ トークンの発行、検証、更新を行う Web サービスです。既存の Security Token Service 証明書の有効期限が切れたり変更されると、vSphere Web Clientから手動で更新することができます。
SAML トークンを取得するために、ユーザーはプライマリ認証情報を Secure Token Server (STS) に提供します。プライマリ認証情報は、ユーザーのタイプによって異なります。
-
ソリューション ユーザー
-
有効な証明書
-
その他のユーザー
-
vCenter Single Sign-Onアイデンティティ ソースで使用できるユーザー名とパスワード
STS は、プライマリ認証情報を使用してユーザーを認証し、ユーザー属性が含まれている SAML トークンを構築します。STS サービスは、その STS 署名証明書を使用して SAML トークンを署名し、トークンをユーザーに割り当てます。デフォルトでは、STS 署名証明書は VMCA によって生成されます。
ユーザーが SAML トークンを取得したら、SAML トークンはそのユーザーの HTTP 要求の一部として送信されます。このとき、さまざまなプロキシを通過する場合があります。対象受信者(サービス プロバイダ)のみが SAML トークンの情報を使用できます。
会社のポリシーで求められている場合や、有効期限の切れた証明書を更新する場合、
vSphere Web Clientで既存の STS 署名証明書を置き換えることができます。
注意: ファイルシステムのファイルを置き換えないでください。置き換えた場合、予期せぬエラーが発生し、結果のデバッグは困難になります。
注: 証明書を置き換えた後に、
vSphere Web Clientサービスと STS サービスの両方を再起動するために、ノードを再起動する必要があります。
前提条件
Platform Services Controllerから java キーストアに追加したばかりの証明書を、ローカル ワークステーションにコピーします。
-
Platform Services Controllerアプライアンス
-
certificate_location/keys/root-trust.jks 例:/keys/root-trust.jks
-
例:
-
/root/newsts/keys/root-trust.jks
-
Windows インストール
-
certificate_location\root-trust.jks
-
例:
-
C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks
手順
- [email protected] または vCenter Single Sign-On 管理者権限を持つ別のユーザーとして vSphere Web Client にログインします。
vCenter Single Sign-On 管理者権限を保有するユーザーは、ローカルの
vCenter Single Sign-On ドメインの管理者グループに含まれます(デフォルトは vsphere.local)。
- [構成] ユーザー インターフェイスに移動します。
- [ホーム] メニューから [管理] を選択します。
- [Single Sign-On] で、[構成] をクリックします。
- [証明書] タブを選択して、[STS 署名] サブタブを選択し、[STS 署名証明書の追加] アイコンをクリックします。
- 証明書を追加します。
- [参照] をクリックして、新しい証明書を含むキー ストア JKS ファイルを参照し、[開く] をクリックします。
- パスワードの入力が求められた場合は、入力します。
- STS エイリアス チェーンの最上部をクリックし、[OK] をクリックします。
- パスワードの入力が求められた場合は、再び入力します。
- [OK] をクリックします。
- Platform Services Controllerノードを再起動し、STS サービスと vSphere Web Client の両方を起動します。
再起動するまで認証は正しく機能しません。そのため、再起動は必須です。