vCenter Single Sign-On 可讓 vSphere 元件透過安全的 Token 機制相互通訊。

vCenter Single Sign-On 將使用下列服務。
  • STS (Security Token Service)。
  • 用於安全流量的 SSL。
  • 透過 Active Directory 或 OpenLDAP 進行的個人使用者驗證。

個人使用者的 vCenter Single Sign-On 信號交換

下圖顯示的是個人使用者的信號交換。

圖 1. 個人使用者的 vCenter Single Sign-On 信號交換
使用者登入 vSphere Web Client 時,Single Sign-On 伺服器會建立驗證信號交換。
  1. 使用者透過使用者名稱和密碼登入 vSphere Client,以存取 vCenter Server 系統或其他 vCenter 服務。

    使用者亦可不使用密碼,而是勾選使用 Windows 工作階段驗證核取方塊登入。

  2. vSphere Client 會將登入資訊傳遞到 vCenter Single Sign-On 服務,該服務將檢查 vSphere Client 的 SAML Token。如果 vSphere Client 的 Token 有效,vCenter Single Sign-On 隨後會檢查使用者是否位於已設定的身分識別來源中 (例如,Active Directory)。
    • 如果僅使用了使用者名稱,則 vCenter Single Sign-On 將在預設網域中檢查。
    • 如果使用者名稱中包含網域名稱 (DOMAIN\user1 或 user1@DOMAIN),則 vCenter Single Sign-On 將檢查該網域。
  3. 如果使用者可驗證身分識別來源,則 vCenter Single Sign-On 會將表示該使用者的 Token 傳回到 vSphere Client
  4. vSphere Client 會將 Token 傳遞到 vCenter Server 系統。
  5. vCenter ServervCenter Single Sign-On 伺服器確認 Token 是否有效且未到期。
  6. vCenter Single Sign-On 伺服器會將 Token 傳回到 vCenter Server 系統,以利用 vCenter Server 授權架構允許使用者存取。

目前,使用者可以驗證、檢視並修改使用者角色對其擁有權限的任何物件。

支援的加密

支援 AES 加密,此加密是最高層級加密。當 vCenter Single Sign-On 使用 Active Directory 做為身分識別來源時,支援的加密會影響安全性。