通过 vCenter Single Sign-On,您可以作为 vCenter Single Sign-On 可识别的标识源中的用户进行身份验证,或者使用 Windows 会话身份验证。从 vSphere 6.0 Update 2 开始,还可以通过使用智能卡(基于 UPN 的通用访问卡或 CAC)或者通过使用 RSA SecurID 令牌来进行身份验证。

双因素身份验证方法

政府机构或大型企业通常需要双因素身份验证方法。

智能卡身份验证

智能卡身份验证仅允许在所登录计算机的 USB 驱动器上接入了物理卡的用户进行访问。例如,通用访问卡 (Common Access Card, CAC) 身份验证。

管理员可以部署 PKI,使智能卡证书成为由 CA 颁发的唯一客户端证书。对于此类部署,仅为用户提供智能卡证书。用户选择一个证书,然后系统会提示输入 PIN。只有同时具有物理卡以及与证书匹配的 PIN 的用户才能登录。

RSA SecurID 身份验证

对于 RSA SecurID 身份验证,您的环境必须包括正确配置的 RSA Authentication Manager。如果 Platform Services Controller 已配置为指向 RSA 服务器,并且如果已启用 RSA SecurID 身份验证,则用户可以通过其用户名和令牌进行登录。

有关详细信息,请参见两个有关 RSA SecurID 设置的 vSphere 博客帖子。

注:

vCenter Single Sign-On 仅支持本机 SecurID。它不支持 RADIUS 身份验证。

指定非默认身份验证方法

管理员可以从 Platform Services Controller Web 界面或通过使用 sso-config 脚本设置非默认身份验证方法。

  • 对于智能卡身份验证,可以从 Platform Services Controller Web 界面或通过使用 sso-config 执行 vCenter Single Sign-On 设置。设置包括启用智能卡身份验证以及配置证书吊销策略。

  • 对于 RSA SecurID,使用 sso-config 脚本为域配置 RSA Authentication Manager,并启用 RSA 令牌身份验证。无法从 Web 界面配置 RSA SecurID 身份验证。但是,如果启用 RSA SecurID,该身份验证方法将显示在 Web 界面中。

结合使用各种身份验证方法

可以使用 sso-config 分别启用或禁用每种身份验证方法。在测试双因素身份验证方法时,先让用户名和密码身份验证处于启用状态;测试完成之后,仅启用一种身份验证方法。