vCenter Single Sign-On 可讓 vSphere 元件透過安全的 Token 機制相互通訊,而不需要使用者分別驗證每個元件。
vCenter Single Sign-On將使用下列服務。
- STS (Security Token Service)。
- 用於安全流量的 SSL。
- 透過 Active Directory 或 OpenLDAP 進行的個人使用者驗證。
- 透過憑證進行的解決方案使用者驗證。
個人使用者的 vCenter Single Sign-On 信號交換
下圖顯示的是個人使用者的信號交換。
- 使用者透過使用者名稱和密碼登入 vSphere Web Client,以存取 vCenter Server 系統或其他 vCenter 服務。
使用者亦可不使用密碼,而是勾選使用 Windows 工作階段驗證核取方塊登入。
- vSphere Web Client會將登入資訊傳遞到 vCenter Single Sign-On 服務,該服務將檢查vSphere Web Client 的 SAML Token。如果 vSphere Web Client的 Token 有效,vCenter Single Sign-On 隨後會檢查使用者是否位於已設定的身分識別來源中 (例如,Active Directory)。
- 如果僅使用了使用者名稱,則 vCenter Single Sign-On將在預設網域中檢查。
- 如果使用者名稱中包含網域名稱 (DOMAIN\user1 或 user1@DOMAIN),則 vCenter Single Sign-On 將檢查該網域。
- 如果使用者可驗證身分識別來源,則 vCenter Single Sign-On會將表示該使用者的 Token 傳回到 vSphere Web Client。
- vSphere Web Client會將 Token 傳遞到 vCenter Server 系統。
- vCenter Server與 vCenter Single Sign-On 伺服器確認 Token 是否有效且未到期。
- vCenter Single Sign-On伺服器會將 Token 傳回到 vCenter Server 系統,以利用 vCenter Server 授權架構允許使用者存取。
目前,使用者可以驗證、檢視並修改使用者角色對其擁有權限的任何物件。
備註: 系統初始會向每個使用者指派「無存取權」的角色。
vCenter Server管理員必須至少為使用者指派「唯讀」角色,使用者才能登入。請參閱
vSphere 安全性說明文件。
解決方案使用者的 vCenter Single Sign-On 信號交換
解決方案使用者是用於 vCenter Server 基礎結構的服務集,例如,vCenter Server 或 vCenter Server 延伸。VMware 延伸和潛在的第三方延伸可能也會驗證 vCenter Single Sign-On。
針對解決方案使用者,互動會按如下所示進行:
- 解決方案使用者會嘗試連線至 vCenter 服務,
- 解決方案使用者會重新導向到vCenter Single Sign-On。如果該解決方案使用者對 vCenter Single Sign-On來說是新的使用者,則必須提供有效憑證。
- 如果憑證有效,則vCenter Single Sign-On會為解決方案使用者指派 SAML Token (Bearer Token)。此 Token 由 vCenter Single Sign-On簽署。
- 然後,解決方案使用者會重新導向到 vCenter Single Sign-On,並且可以根據其權限執行相關工作。
- 下次解決方案使用者必須進行驗證,可使用 SAML Token 登入 vCenter Server。
依預設,由於啟動期間 VMCA 為解決方案使用者佈建有憑證,所以此信號交換會自動執行。如果公司原則需要第三方 CA 簽署的憑證,您可以用第三方 CA 簽署的憑證取代解決方案使用者憑證。如果這些憑證有效,則vCenter Single Sign-On會為解決方案使用者指派 SAML Token。請參閱將自訂憑證與 vSphere 搭配使用。
支援的加密
支援 AES 加密,此加密是最高層級加密。
每當 ESXi 主機或 vCenter Server 加入 Active Directory 時,支援的加密會隨時影響安全性。當 vCenter Single Sign-On 使用 Active Directory 做為身分識別來源時,它也會影響安全性。