Category Archives: Virtualization

1. Single Sign On服务简介

VMware vSphere 从5.1开始将 vCenter Single Sign On 服务作为 vCenter Server 管理基础架构的一部分引入。此更改会影响 vCenter Server 的安装、升级和运行。vCenter Single Sign On 身份验证服务允许各种 vSphere 软件组件通过安全的令牌交换机制相互通信，而不需要每个组件都要使用目录服务（如 Active Directory）分别对用户进行身份验证，从而使 VMware 云基础架构平台更加安全。在您的环境中执行后续 vCenter Server 安装时，无需安装 Single Sign-On。

安装一次 vCenter Single Sign-On 后，可以将所有新 vCenter Server 实例连接到同一身份验证服务器。但是，您必须为每个 vCenter Server 实例安装 Inventory Service 实例。

vCenter Single Sign On可以使用下面的标识源来验证：
■ Windows Active Directory
■ Open LDAP (Lightweight Directory Access Protocol)
■ Local user accounts (vCenter Single Sign On Server resident on the vCenter Server machine)
■ vCenter Single Sign On user accounts

        需要注意的是, Local user account是vCenter SSO所在的主机（或虚拟机)的Windows/Linux的操作系统用户，而非vCenter Server的操作系统用户。

       vCenter Single Sign On 提供一种安全令牌服务(Security Token Service, STS)的机制。一个SSO的客户端（例如vCenter Client, Web Client等)连接到SSO服务器来获得一个STS。令牌使用 Security Assertion Markup Language (SAML)，一种基于XML格式的安全验证技术。

        下图为SSO使用SAML令牌和vCenter Server建立连接:

(1). vCenter SSO客户端向vCenter SSO服务器发出一个令牌请求，令牌请求中包含相关的用户标识信息。
(2). SSO服务器通过identity store(identity store包含添加到该SSO中的标识源)来验证标识信息。
(3). 如果验证通过，则SSO服务器返回一个SAML令牌。
(4). vCenter Client连接到vCenter Server, 然后调用sessionManager.LoginByToken方法，参数包含刚刚获取的SAML令牌。

Continue reading →