vCenter Single Sign-On 可讓 vSphere 元件透過安全的 Token 機制相互通訊,而不需要使用者分別驗證每個元件。

vCenter Single Sign-On 將使用下列服務。

  • STS (Security Token Service)。

  • 用於安全流量的 SSL。

  • 透過 Active Directory 或 OpenLDAP 進行的個人使用者驗證。

  • 透過憑證進行的解決方案使用者驗證。

個人使用者的 vCenter Single Sign-On 信號交換

下圖顯示的是個人使用者的信號交換。

圖表 1. 個人使用者的 vCenter Single Sign-On 信號交換
使用者登入 vSphere Web Client 時,Single Sign-On 伺服器會建立驗證信號交換。
  1. 使用者透過使用者名稱和密碼登入 vSphere Web Client,以存取 vCenter Server 系統或其他 vCenter 服務。

    使用者亦可不使用密碼,而是勾選使用 Windows 工作階段驗證核取方塊登入。

  2. vSphere Web Client 會將登入資訊傳遞到 vCenter Single Sign-On 服務,該服務將檢查 vSphere Web Client 的 SAML Token。如果 vSphere Web Client 的 Token 有效,vCenter Single Sign-On 隨後會檢查使用者是否位於已設定的身分識別來源中 (例如,Active Directory)。

    • 如果僅使用了使用者名稱,則 vCenter Single Sign-On 將在預設網域中檢查。

    • 如果使用者名稱中包含網域名稱 (DOMAIN\user1 或 user1@DOMAIN),則 vCenter Single Sign-On 將檢查該網域。

  3. 如果使用者可驗證身分識別來源,則 vCenter Single Sign-On 會將表示該使用者的 Token 傳回到 vSphere Web Client

  4. vSphere Web Client 會將 Token 傳遞到 vCenter Server 系統。

  5. vCenter ServervCenter Single Sign-On 伺服器確認 Token 是否有效且未到期。

  6. vCenter Single Sign-On 伺服器會將 Token 傳回到 vCenter Server 系統,以利用 vCenter Server 授權架構允許使用者存取。

目前,使用者可以驗證、檢視並修改使用者角色對其擁有權限的任何物件。

備註︰

系統初始會向每個使用者指派「無存取權」的角色。vCenter Server 管理員必須至少為使用者指派「唯讀」角色,使用者才能登入。請參閱 vSphere 安全性說明文件。

解決方案使用者的 vCenter Single Sign-On 信號交換

解決方案使用者是用於 vCenter Server 基礎結構的服務集,例如,vCenter ServervCenter Server 延伸。VMware 延伸和潛在的第三方延伸可能也會驗證 vCenter Single Sign-On

圖表 2. 解決方案使用者的 vCenter Single Sign-On 信號交換
解決方案使用者、vCenter Single Sign-On 和其他 vCenter 元件之間的信號交換會遵循下文中的步驟。

針對解決方案使用者,互動會按如下所示進行:

  1. 解決方案使用者會嘗試連線至 vCenter 服務,

  2. 解決方案使用者會重新導向到 vCenter Single Sign-On。如果該解決方案使用者對 vCenter Single Sign-On 來說是新的使用者,則必須提供有效憑證。

  3. 如果憑證有效,則 vCenter Single Sign-On 會為解決方案使用者指派 SAML Token (Bearer Token)。此 Token 由 vCenter Single Sign-On 簽署。

  4. 然後,解決方案使用者會重新導向到 vCenter Single Sign-On,並且可以根據其權限執行相關工作。

  5. 下次解決方案使用者必須進行驗證,可使用 SAML Token 登入 vCenter Server

依預設,由於啟動期間 VMCA 為解決方案使用者佈建有憑證,所以此信號交換會自動執行。如果公司原則需要第三方 CA 簽署的憑證,您可以用第三方 CA 簽署的憑證取代解決方案使用者憑證。如果這些憑證有效,則 vCenter Single Sign-On 會為解決方案使用者指派 SAML Token。請參閱將自訂憑證與 vSphere 搭配使用

支援的加密

支援 AES 加密,此加密是最高層級加密。

每當 ESXi 主機或 vCenter Server 加入 Active Directory 時,支援的加密會隨時影響安全性。當 vCenter Single Sign-On 使用 Active Directory 做為身分識別來源時,它也會影響安全性。