vCenter Single Sign-On 包括 Security Token Service (STS)、管理伺服器和 vCenter Lookup Service 以及 VMware 目錄服務 (vmdir)。VMware 目錄服務也可用於憑證管理。

在安裝期間,這些元件會做為內嵌式部署或 Platform Services Controller 的一部分進行部署。

STS (Security Token Service)

STS 服務會核發安全性聲明標記語言 (SAML) Token。這些安全性 Token 代表 vCenter Single Sign-On 支援的其中一種身分識別來源類型中的使用者身分識別。SAML Token 允許成功通過 vCenter Single Sign-On 驗證的個人使用者和解決方案使用者使用 vCenter Single Sign-On 支援的任何 vCenter 服務,無需再次向每項服務進行驗證。

vCenter Single Sign-On 服務使用簽署憑證簽署所有 Token,並將 Token 簽署憑證儲存在磁碟上。服務本身的憑證也儲存在磁碟上。

管理伺服器

管理伺服器允許具有 vCenter Single Sign-On 管理員權限的使用者,從 vSphere Web Client 設定 vCenter Single Sign-On 伺服器並管理使用者和群組。一開始,只有使用者 administrator@your_domain_name 具有這些權限。在 vSphere 5.5 中,此使用者是 administrator@vsphere.local。藉由 vSphere 6.0,您可以在使用新的 Platform Services Controller 安裝 vCenter Server 或部署 vCenter Server Appliance 時變更 vSphere 網域。請勿使用您的 Microsoft Active Directory 或 OpenLDAP 網域名稱命名此網域名稱。

VMware Directory Service (vmdir)

VMware Directory Service (vmdir) 與您安裝期間指定的網域相關聯,並包含於每個內嵌式部署及 Platform Services Controller 中。此服務是一種多承租人、多重管理的目錄服務,可在連接埠 389 上提供 LDAP 目錄。對於 vSphere 5.5 及更早版本的系統,此服務仍然使用連接埠 11711 回溯相容。

如果您的環境包含多個 Platform Services Controller 執行個體,則一個 vmdir 執行個體中的 vmdir 內容更新將傳播到所有其他 vmdir 執行個體。

從 vSphere 6.0 開始,VMware Directory Service 不僅儲存 vCenter Single Sign-On 資訊,還會儲存憑證資訊。

Identity Management 服務

處理身分識別來源和 STS 驗證要求。