A partir do vSphere 7.0, a federação de provedor de identidade externa é o método de autenticação preferencial para vCenter Server. Você ainda pode autenticar usando a autenticação de sessão do Windows (SSPI), usando um cartão inteligente (cartão de acesso comum baseado em UPN ou CAC) ou usando um token RSA SecurID.

Métodos de autenticação de dois fatores

Os métodos de autenticação de dois fatores são frequentemente exigidos por agências governamentais ou grandes empresas.
Federação do Provedor de Identidade Externa
A federação do provedor de identidade externo permite que você use os mecanismos de autenticação compatíveis com o provedor de identidade externo, incluindo a autenticação multifator.
Autenticação por cartão inteligente
A autenticação de cartão inteligente permite acesso apenas aos usuários que conectam um leitor de cartão físico ao computador no qual eles fazem login. Um exemplo é a autenticação do Cartão de Acesso Comum (CAC).
O administrador pode implantar a PKI para que os certificados de cartão inteligente sejam os únicos certificados de cliente que a autoridade de certificação emite. Para tais implantações, apenas certificados de cartão inteligente são apresentados ao usuário. O usuário seleciona um certificado e é solicitado um PIN. Somente os usuários que têm o cartão físico e o PIN que corresponde ao certificado podem fazer login.
Autenticação do RSA SecurID
Para a autenticação do RSA SecurID, seu ambiente deve incluir um Gerenciador de Autenticação RSA configurado corretamente. Se o vCenter Server estiver configurado para apontar para o servidor RSA e se a autenticação de RSA SecurID estiver ativada, os usuários poderão fazer login com seu nome de usuário e token.
Consulte as duas postagens do vSphere Blog sobre a RSA SecurID configuração para obter detalhes.
Observação: vCenter Single Sign-On oferece suporte apenas ao SecurID nativo. Ele não oferece suporte à autenticação RADIUS.

Especificando um método de autenticação não padrão

Os administradores podem configurar um método de autenticação não padrão a partir do vSphere Client ou usando o script sso-config.

  • Para autenticação de cartão inteligente, você pode realizar a configuração do vCenter Single Sign-On no vSphere Client ou usando o sso-config. A instalação inclui habilitar a autenticação de cartão inteligente e configurar políticas de revogação de certificado.
  • Para RSA SecurID, use o script sso-config para configurar o Gerenciador de Autenticação RSA para o domínio e habilitar a autenticação de token RSA. Você não pode configurar a autenticação do RSA SecurID a partir do vSphere Client. No entanto, se você ativar RSA SecurID, esse método de autenticação aparecerá no vSphere Client.

Combinando métodos de autenticação

Você pode ativar ou desativar cada método de autenticação separadamente usando o sso-config. Deixe a autenticação de nome de usuário e senha ativada inicialmente, enquanto você estiver testando um método de autenticação de dois fatores, e defina apenas um método de autenticação como ativado após o teste.