vSphere 提供可讓您對 vCenter Server和 ESXi 元件執行憑證管理工作,以及透過 vCenter Single Sign-On 設定驗證的服務。
vSphere 憑證管理概觀
依預設,vSphere 可讓您使用 VMware Certificate Authority (VMCA) 憑證佈建 vCenter Server元件和ESXi 主機。也可以使用儲存在 VMware Endpoint 憑證存放區 (VECS) 中的自訂憑證。
vCenter Single Sign-On 概觀
vCenter Single Sign-On可讓 vSphere 元件透過安全的 Token 機制相互通訊。vCenter Single Sign-On使用對於理解非常重要的特定詞彙和定義。
| 詞彙 | 定義 |
|---|---|
| 主體 | 可驗證的實體,例如使用者。 |
| 身分識別提供者 | 管理身分識別來源和驗證主體的服務。範例:Microsoft Active Directory Federation Services (AD FS) 和 vCenter Single Sign-On。 |
| 身分識別來源 (目錄服務) | 儲存和管理主體。主體由有關使用者或服務帳戶 (例如名稱、位址、電子郵件和群組成員資格) 的屬性集合組成。範例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。 |
| 驗證 | 判斷某人或某事物實際上是否符合其自身聲明的方式。例如,使用者在提供其認證 (例如智慧卡、使用者名稱和正確密碼等) 時進行驗證。 |
| 授權 | 驗證主體有權存取哪些物件的程序。 |
| Token | 已簽署的資料集合,組成了指定主體的身分識別資訊。Token 可能不僅包括有關主體的基本資訊 (例如,電子郵件地址和全名),也可能包括主體的群組和角色,這取決於 Token 類型。 |
| vmdir | VMware Directory Service。vCenter Server中的內部 (本機) LDAP 存放庫,包含使用者身分識別、群組和組態資料。 |
| OpenID Connect (OIDC) | 以 OAuth2 為基礎的驗證通訊協定。vCenter Server與 Active Directory Federation Services (AD FS) 互動時會使用 OIDC 功能。 |
vCenter Single Sign-On驗證類型
vCenter Single Sign-On使用不同類型的驗證,具體取決於是包含內建 vCenter Server 身分識別提供者還是外部身分識別提供者。
| 驗證類型 | 什麼充當身分識別提供者? | vCenter Server會處理密碼嗎? | 說明 |
|---|---|---|---|
| 基於 Token 的驗證 | 外部身分識別提供者。例如,AD FS。 | 否 | vCenter Server透過特定通訊協定連絡外部身分識別提供者,並取得表示特定使用者身分身分識別的 Token。 |
| 簡單驗證 | vCenter Server | 是 | 使用者名稱和密碼會直接傳遞至 vCenter Server,以透過其身分識別來源驗證認證。 |
