从 vSphere 7.0 开始,外部身份提供程序联合是 vCenter Server 的首选身份验证方法。您仍然可以通过使用 Windows 会话身份验证 (SSPI)、使用智能卡(基于 UPN 的通用访问卡或 CAC)或者通过使用 RSA SecurID 令牌来进行身份验证。

双因素身份验证方法

政府机构或大型企业通常需要双因素身份验证方法。
外部身份提供程序联合
通过使用外部身份提供程序联合,可以使用外部身份提供程序支持的身份验证机制,包括多因素身份验证。
智能卡身份验证
智能卡身份验证仅允许在所登录的计算机上接入了物理卡读取器的用户进行访问。例如,通用访问卡 (Common Access Card, CAC) 身份验证。
管理员可以部署 PKI,使智能卡证书成为由 CA 颁发的唯一客户端证书。对于此类部署,仅为用户提供智能卡证书。用户选择一个证书,然后系统会提示输入 PIN。只有同时具有物理卡以及与证书匹配的 PIN 的用户才能登录。
RSA SecurID 身份验证
对于 RSA SecurID 身份验证,您的环境必须包括正确配置的 RSA Authentication Manager。如果 vCenter Server 已配置为指向 RSA 服务器,并且如果已启用 RSA SecurID 身份验证,则用户可以通过其用户名和令牌进行登录。
有关详细信息,请参见两个有关 RSA SecurID 设置的 vSphere 博客帖子。
注: vCenter Single Sign-On 仅支持本机 SecurID。它不支持 RADIUS 身份验证。

指定非默认身份验证方法

管理员可以从 vSphere Client 或通过使用 sso-config 脚本设置非默认身份验证方法。

  • 对于智能卡身份验证,可以从 vSphere Client 或通过使用 sso-config 执行 vCenter Single Sign-On 设置。设置包括启用智能卡身份验证以及配置证书吊销策略。
  • 对于 RSA SecurID,使用 sso-config 脚本为域配置 RSA Authentication Manager,并启用 RSA 令牌身份验证。无法从 vSphere Client 配置 RSA SecurID 身份验证。但是,如果启用 RSA SecurID,该身份验证方法将显示在 vSphere Client 中。

结合使用各种身份验证方法

可以使用 sso-config 分别启用或禁用每种身份验证方法。在测试双因素身份验证方法时,先让用户名和密码身份验证处于启用状态;测试完成之后,仅启用一种身份验证方法。