vCenter Server 5.1から新しく追加されたvCenter Single Sign On(以下SSOと記述します)についてご存知でしょうか?
本ブログでは、何回かに分けてSSO のご紹介と技術情報について公開します。まず、初回となるこのエントリではSSO とはどういうものなのかをご紹介させていただきます。
SSO が新しく生まれた背景としては、下記3つのポイントがあります。
・vCenterとそのほかの運用管理ツールを一括で認証することにより運用の統合をはかる
・Active Directory やWindows のローカル認証以外の認証基盤に対応し、より多くのプラットフォームで運用管理ツールを利用可能とする
これまでは製品毎に個別に行っていたため、運用管理者にとってはIDやパスワードの管理が煩雑でした。また、Windows ベースの認証基盤であったため、異なるプラットフォームから運用管理を行うことは実質困難でした。その「不便」を解消するためにSSO は生まれました。
SSO は、vCenter Server のコンポーネントの一部としてvCenter Server のユーザーとグループの認証サービスです。vCenter Server 5.1よりも以前のバージョンでは、vCenter Server にアクセスする際はActive Directory ドメインまたはvCenter Server のローカルOS ユーザーのリストに対して認証していました。また、Active Directory 配下の場合にリンクモードを使用して複数のvCenter Server 間においてユーザやグループを一元的に使用することができました。
SSO では、これまでのActive Directory ドメインやローカルOSユーザーだけではなく、Open LDAP などの複数の認証サービスに対応しています。SSO という名前のとおりvCenter Server だけではなく、vCloud Director やvCenter Operations Manager といった他のソリューションの認証もSAML 2.0を使用したセキュアなトークン交換で行うことが可能です。
では、SSO はどのように動作するのでしょうか。
vSphere Web Clinet からvCenter Server にログインする場合に、SSO は次のように動作します。
①ユーザはvSphere Web Client サービスに自身のユーザID、パスワードを入力します。(vCenter Server はリダイレクト先のSSO サーバーをvSphere Web Client に返します。)
②vSphere Web Client はユーザ認証情報をSSO サーバーに送信します。
③SSO サーバは接続されているアイデンティティ・ソース(Active Directory ドメイン、 LDAP など)のいずれかで有効なユーザであるかどうか確認します。
④ユーザが有効である場合、SSO サーバはユーザ認証に成功したことを記述するトークンを生成し、vSphere Web Client に送信します。(トークンはSAML 2.0形式で記述され、デジタル署名されることにより改竄を防止しています。)
⑤vSphere Web Client は受け取ったトークンをvCenter Server に送信します。vCenter Server は登録済みのSSO サーバが発行したトークンであることを確認し、ログインを許可(認証)します。
次回からは、実際の環境からのアップデート方法についてご説明していきます。
