vCenter Single Sign-On 可讓 vSphere 元件透過安全的 Token 機制相互通訊,而不需要使用者分別驗證每個元件。

vCenter Single Sign-On 將 STS (安全性 Token 服務)、用於保護流量安全的 SSL 以及透過 Active Directory 或 OpenLDAP 的驗證組合使用,如下圖所示。

圖表 1. vCenter Single Sign-On 信號交換
使用者登入 vSphere Web Client 時,Single Sign-On 伺服器會建立驗證信號交換。
  1. 使用者透過使用者名稱和密碼登入 vSphere Web Client,以存取 vCenter Server 系統或其他 vCenter 服務。

    使用者亦可不使用密碼,而是勾選使用 Windows 工作階段驗證核取方塊登入。此核取方塊在您安裝 VMware 用戶端整合外掛程式後可用。

  2. vSphere Web Client 會將登入資訊傳遞到 vCenter Single Sign-On 服務,該服務將檢查 vSphere Web Client 的 SAML Token。如果 vSphere Web Client 的 Token 有效,vCenter Single Sign-On 隨後會檢查使用者是否位於已設定的身分識別來源中 (例如,Active Directory)。

    • 如果僅使用了使用者名稱,則 vCenter Single Sign-On 將在預設網域中檢查。

    • 如果使用者名稱中包含網域名稱 (網域 \user1),則 vCenter Single Sign-On 將檢查該網域。

  3. 如果使用者位於身分識別來源中,vCenter Single Sign-On 會將表示該使用者的 Token 傳回到 vSphere Web Client

  4. vSphere Web Client 會將 Token 傳遞到 vCenter Server 系統。

  5. vCenter Server 與 vCenter Single Sign-On 伺服器確認 Token 是否有效且未到期。

  6. vCenter Single Sign-On 伺服器會將 Token 傳回 vCenter Server 系統。

使用者現在可向 vCenter Server 驗證,檢視並修改具有權限的任何物件。

備註︰

系統初始會向每個使用者指派「無存取權」的權限。vCenter Server 管理員必須至少為使用者指派「唯讀」權限,使用者才能登入。請參閱在 vSphere Web Client 中指派權限vCenter 使用者管理工作