vSphere 提供了通用基礎結構服務來管理 vCenter Server 和 ESXi 元件的憑證,以及管理使用 vCenter Single Sign-On 進行驗證。
如何管理 vSphere 憑證?
依預設,vSphere 可讓您使用 VMware Certificate Authority (VMCA) 憑證佈建 vCenter Server 元件和 ESXi 主機。也可以使用儲存在 VMware Endpoint 憑證存放區 (VECS) 中的自訂憑證。如需詳細資訊,請參閱 可透過哪些選項管理 vSphere 憑證。
什麼是 vCenter Single Sign-On
vCenter Single Sign-On 可讓 vSphere 元件透過安全的 Token 機制相互通訊。vCenter Single Sign-On 使用對於理解非常重要的特定詞彙和定義。
| 詞彙 | 定義 |
|---|---|
| 主體 | 可驗證的實體,例如使用者。 |
| 身分識別提供者 | 管理身分識別來源和驗證主體的服務。範例:Microsoft Active Directory Federation Services (AD FS) 和 vCenter Single Sign-On。 |
| 身分識別來源 (目錄服務) | 儲存和管理主體。主體由有關使用者或服務帳戶 (例如名稱、位址、電子郵件和群組成員資格) 的屬性集合組成。範例:Microsoft Active Directory 和 VMware Directory Service (vmdir)。 |
| 驗證 | 判斷某人或某事物實際上是否符合其自身聲明的方式。例如,使用者在提供其認證 (例如智慧卡、使用者名稱和正確密碼等) 時進行驗證。 |
| 授權 | 驗證主體有權存取哪些物件的程序。 |
| Token | 已簽署的資料集合,組成了指定主體的身分識別資訊。Token 可能不僅包括有關主體的基本資訊 (例如,電子郵件地址和全名),也可能包括主體的群組和角色,這取決於 Token 類型。 |
| vmdir | VMware Directory Service。vCenter Server 中的內部 (本機) LDAP 存放庫,包含使用者身分識別、群組和組態資料。 |
| OAuth 2.0 | 一種開放式授權標準,支援在主體和 Web 服務之間交換資訊,而不會公開主體的認證。 |
| OpenID Connect (OIDC) | 以 OAuth 2.0 為基礎的驗證通訊協定憑藉使用者識別資訊擴展了 OAuth。它由授權伺服器在 OAuth 驗證期間與存取 Token 一起返回的識別碼 Token 表示。在與 Active Directory 聯盟服務 (AD FS)、Okta 和 Microsoft Entra ID 和 PingFederate 互動時,vCenter Server 使用 OIDC 功能。 |
| 跨網域身分識別管理 (SCIM) 系統 | 用於在身分識別網域或 IT 系統之間自動交換使用者身分識別資訊的標準。 |
| VMware Identity Services | 從版本 8.0 Update 1 開始,VMware Identity Services 是 vCenter Server 中的內建容器,可用於外部身分識別提供者的身分識別聯盟。它充當 vCenter Server 內的獨立身分識別代理,並隨附一組自己的 API。目前,VMware Identity Services 支援將 Okta、Microsoft Entra ID 和 PingFederate 用作外部身分識別提供者。 |
| 租用戶 | VMware Identity Services 概念。承租人可將資料與同一虛擬環境中其他承租人的資料進行邏輯隔離。 |
| JSON Web Token (JWT) | 由 OAuth 2.0 規格定義的 Token 格式。JWT Token 承載有關主體的驗證和授權資訊。 |
| 信賴方 | 信賴方「信賴」授權伺服器 (VMware Identity Services 或 AD FS) 進行身分識別管理。例如,透過聯盟,vCenter Server 對 VMware Identity Services 或 AD FS 建立了信賴方信任。 |
| 安全性聲明標記語言 (SAML) | 一種以 XML 為基礎的開放標準,用於在 vCenter Server 使用的各方之間交換驗證和授權資料。主體從 vCenter Single Sign-On 取得 SAML Token,然後將其傳送至 vSphere Automation API 端點以取得工作階段識別碼。 |
vCenter Single Sign-On 驗證類型有哪些?
vCenter Single Sign-On 使用不同類型的驗證,具體取決於是包含內建 vCenter Server 身分識別提供者還是外部身分識別提供者。
| 驗證類型 | 什麼充當身分識別提供者? | vCenter Server 會處理密碼嗎? | 說明 |
|---|---|---|---|
| 基於 Token 的驗證 | 外部身分識別提供者。例如,AD FS。 | 否 | vCenter Server 透過特定通訊協定連絡外部身分識別提供者,並取得表示特定使用者身分身分識別的 Token。 |
| 簡單驗證 | vCenter Server | 是 | 使用者名稱和密碼會直接傳遞至 vCenter Server,以透過其身分識別來源驗證認證。 |
