vSphere 提供了通用基礎結構服務來管理 vCenter ServerESXi 元件的憑證,以及管理使用 vCenter Single Sign-On 進行驗證。

如何管理 vSphere 憑證?

依預設,vSphere 可讓您使用 VMware Certificate Authority (VMCA) 憑證佈建 vCenter Server 元件和 ESXi 主機。也可以使用儲存在 VMware Endpoint 憑證存放區 (VECS) 中的自訂憑證。如需詳細資訊,請參閱 可透過哪些選項管理 vSphere 憑證

什麼是 vCenter Single Sign-On

vCenter Single Sign-On 可讓 vSphere 元件透過安全的 Token 機制相互通訊。vCenter Single Sign-On 使用對於理解非常重要的特定詞彙和定義。

表 1. vCenter Single Sign-On 詞彙
詞彙 定義
主體 可驗證的實體,例如使用者。
身分識別提供者 管理身分識別來源和驗證主體的服務。範例:Microsoft Active Directory Federation Services (AD FS) 和 vCenter Single Sign-On
身分識別來源 (目錄服務) 儲存和管理主體。主體由有關使用者或服務帳戶 (例如名稱、位址、電子郵件和群組成員資格) 的屬性集合組成。範例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。
驗證 判斷某人或某事物實際上是否符合其自身聲明的方式。例如,使用者在提供其認證 (例如智慧卡、使用者名稱和正確密碼等) 時進行驗證。
授權 驗證主體有權存取哪些物件的程序。
Token 已簽署的資料集合,組成了指定主體的身分識別資訊。Token 可能不僅包括有關主體的基本資訊 (例如,電子郵件地址和全名),也可能包括主體的群組和角色,這取決於 Token 類型。
vmdir VMware Directory Service。vCenter Server 中的內部 (本機) LDAP 存放庫,包含使用者身分識別、群組和組態資料。
OAuth 2.0 一種開放式授權標準,支援在主體和 Web 服務之間交換資訊,而不會公開主體的認證。
OpenID Connect (OIDC) 以 OAuth 2.0 為基礎的驗證通訊協定憑藉使用者識別資訊擴展了 OAuth。它由授權伺服器在 OAuth 驗證期間與存取 Token 一起返回的識別碼 Token 表示。在與 Active Directory 聯盟服務 (AD FS)、Okta 和 Microsoft Entra ID 和 PingFederate 互動時,vCenter Server 使用 OIDC 功能。
跨網域身分識別管理 (SCIM) 系統 用於在身分識別網域或 IT 系統之間自動交換使用者身分識別資訊的標準。
VMware Identity Services 從版本 8.0 Update 1 開始,VMware Identity Services 是 vCenter Server 中的內建容器,可用於外部身分識別提供者的身分識別聯盟。它充當 vCenter Server 內的獨立身分識別代理,並隨附一組自己的 API。目前,VMware Identity Services 支援將 Okta、Microsoft Entra ID 和 PingFederate 用作外部身分識別提供者。
租用戶 VMware Identity Services 概念。承租人可將資料與同一虛擬環境中其他承租人的資料進行邏輯隔離。
JSON Web Token (JWT) 由 OAuth 2.0 規格定義的 Token 格式。JWT Token 承載有關主體的驗證和授權資訊。
信賴方 信賴方「信賴」授權伺服器 (VMware Identity Services 或 AD FS) 進行身分識別管理。例如,透過聯盟,vCenter Server 對 VMware Identity Services 或 AD FS 建立了信賴方信任。
安全性聲明標記語言 (SAML) 一種以 XML 為基礎的開放標準,用於在 vCenter Server 使用的各方之間交換驗證和授權資料。主體從 vCenter Single Sign-On 取得 SAML Token,然後將其傳送至 vSphere Automation API 端點以取得工作階段識別碼。

vCenter Single Sign-On 驗證類型有哪些?

vCenter Single Sign-On 使用不同類型的驗證,具體取決於是包含內建 vCenter Server 身分識別提供者還是外部身分識別提供者。

表 2. vCenter Single Sign-On 驗證類型
驗證類型 什麼充當身分識別提供者? vCenter Server 會處理密碼嗎? 說明
基於 Token 的驗證 外部身分識別提供者。例如,AD FS。 vCenter Server 透過特定通訊協定連絡外部身分識別提供者,並取得表示特定使用者身分身分識別的 Token。
簡單驗證 vCenter Server 使用者名稱和密碼會直接傳遞至 vCenter Server,以透過其身分識別來源驗證認證。