智能卡是具有嵌入式集成电路芯片的小型塑料卡。许多政府机构和大型企业使用诸如通用访问卡 (CAC) 之类的智能卡来提高其系统的安全性和遵循安全法规。在使用智能卡的环境中,每台计算机都应具有智能卡读取器。通常会预装用于管理智能卡的智能卡硬件驱动程序。

注: 在 vSphere 7.0 Update 2 及更高版本中,可以在 vCenter Server 上启用 FIPS。请参见 《vSphere 安全性》文档。启用 FIPS 后,不支持 RSA SecureID 和 CAC 身份验证。使用外部身份提供程序联合进行 MFA 身份验证。请参见 配置 vCenter Server 身份提供程序联合

系统将提示登录到 vCenter Server 系统的用户通过智能卡和 PIN 的组合进行身份验证,如下所述。

  1. 用户将智能卡插入智能卡读取器时,浏览器将读取卡上的证书。
  2. 浏览器提示用户选择证书,然后提示用户输入该证书的 PIN。
  3. vCenter Single Sign-On 检查智能卡上的证书是否已知。如果打开了吊销检查,则 vCenter Single Sign-On 还会检查证书是否已被吊销。
  4. 如果证书为 vCenter Single Sign-On 已知且未被吊销,则用户通过身份验证,可以执行该用户有权执行的任务。
注: 通常情况下,在测试期间保持用户名和密码身份验证处于启用状态很有意义。测试完成后,停用用户名和密码身份验证并激活智能卡身份验证。随后, vSphere Client 仅允许智能卡登录。只有对计算机具有 root 特权或管理员特权的用户才可以通过直接登录到 vCenter Server 来重新激活用户名和密码身份验证。