No vSphere 7.0 e posterior, a federação do provedor de identidade externo é o método de autenticação preferencial para o vCenter Server. Você ainda pode autenticar usando a Autenticação de Sessão (SSPI) do Windows, um cartão inteligente (Cartão de Acesso Comum ou CAC baseado em UPN) ou um token RSA SecurID.

Métodos de autenticação de dois fatores

Agências governamentais ou grandes empresas geralmente exigem autenticação de dois fatores. vSphere é compatível com os seguintes métodos de autenticação de dois fatores.
Federação do Provedor de Identidade Externo
Com a federação de provedor de identidade externo, você pode usar os mecanismos de autenticação compatíveis com o provedor de identidade externo, incluindo a autenticação multifator.
Autenticação de cartão inteligente
A autenticação de cartão inteligente permite o acesso apenas a usuários que conectam um leitor de cartão físico ao computador no qual eles fazem login. Um exemplo é a autenticação do Cartão de Acesso Comum (CAC).
O administrador pode implantar a PKI para que os certificados de cartão inteligente sejam os únicos certificados de cliente emitidos pela autoridade de certificação. Para essas implantações, somente os certificados de cartão inteligente são apresentados ao usuário. O usuário seleciona um certificado e é solicitado a fornecer um PIN. Somente os usuários que tiverem o cartão físico e o PIN que correspondam ao certificado podem fazer login.
RSA SecurID Autenticação
Para a autenticação RSA SecurID, seu ambiente deve incluir um RSA Authentication Manager configurado corretamente. Se o vCenter Server estiver configurado para apontar para o servidor RSA, e se a Autenticação RSA SecurID estiver ativada, os usuários poderão fazer login com seu nome de usuário e token.
Consulte a postagem do blog vSphere, RSA SecurIDconfiguração, para obter detalhes.
Observação: vCenter Single Sign-On é compatível apenas com o SecurID nativo. Ele não é compatível com a autenticação RADIUS.

Especificando um método de autenticação vCenter Server não padrão

Você pode configurar um método de autenticação não padrão do vSphere Client ou usando o script sso-config.

  • Para autenticação de cartão inteligente, você pode executar a configuração do vCenter Single Sign-On no vSphere Client ou usando o sso-config. A instalação inclui a ativação da autenticação do cartão inteligente e a configuração das políticas de revogação de certificado.
  • Para RSA SecurID, use o script sso-config para configurar o RSA Authentication Manager para o domínio e para habilitar a autenticação do token RSA. Você não pode configurar a autenticação do RSA SecurID do vSphere Client. No entanto, se você ativar RSA SecurID, esse método de autenticação aparecerá no vSphere Client.

Combinando vCenter Server métodos de autenticação

Você pode ativar ou desativar cada método de autenticação separadamente usando sso-config. Deixe a autenticação de nome de usuário e senha ativada inicialmente, enquanto estiver testando um método de autenticação de dois fatores, e defina apenas um método de autenticação como ativado após o teste.