vCenter Single Sign-On 允许您通过使用对 vCenter Single Sign-On 已知的标识源中的用户名和密码,或者使用 Active Directory 标识源的 Windows 会话身份验证来进行身份验证。从 vSphere 6.0 Update 2 开始,还可以通过使用智能卡(基于 UPN 的通用访问卡或 CAC)或者通过使用 RSA SecurID 令牌来进行身份验证。

双因素身份验证方法

政府机构或大型企业通常需要双因素身份验证方法。

通用访问卡 (CAC) 身份验证

CAC 身份验证仅允许将物理卡附加到他们所登录的计算机的 USB 驱动器的用户进行访问。如果部署了 PKI,使智能卡证书成为由 CA 颁发的唯一客户端证书,则仅为用户提供智能卡证书。用户选择一个证书,然后系统提示他输入 PIN。只有同时具有物理卡以及与证书匹配的 PIN 的用户才能登录。

RSA SecurID 身份验证

对于 RSA SecureID 身份验证,您的环境必须包括正确配置的 RSA Authentication Manager。如果 Platform Services Controller 已配置为指向 RSA 服务器,并且如果已启用 RSA SecurID 身份验证,则用户可以通过其用户名和令牌进行登录。

注:

vCenter Single Sign-On 仅支持本机 SecurID,它不支持 RADIUS 身份验证。

指定非默认身份验证方法

管理员可以从 Platform Services Controller Web 界面,或者通过使用 sso-config 脚本(Windows 上的 sso-config.bat 和设备上的 sso-config.sh)来执行设置。

  • 对于通用访问卡身份验证,通过使用 sso-config 脚本来设置 Web 浏览器,这样可以从 Platform Services Controller Web 界面或者通过使用 sso-config 来执行 vCenter Single Sign-On 设置。设置包括启用 CAC 身份验证、配置证书吊销策略以及设置登录横幅。

  • 对于 RSA SecureID,使用 sso-config 脚本为域配置 RSA Authentication Manager,并启用 RSA 令牌身份验证。如果已启用,身份验证方法将显示在 Platform Services Controller Web 界面中,但是无法从 Web 界面配置 RSA SecureID 身份验证。

结合使用不同的身份验证方法

可以使用 sso-config 分别启用或禁用每个身份验证方法。例如,以下做法可能是有意义的:在测试双因素身份验证方法之一时最初让用户名和密码身份验证处于启用状态,然后仅将一个身份验证方法设置为启用状态。