在 vSphere 7.0 及更高版本中,外部身份提供程序联合是 vCenter Server 的首选身份验证方法。您仍可以通过使用智能卡(基于 UPN 的通用访问卡或 CAC)或者通过使用 RSA SecurID 令牌来进行身份验证。

双因素身份验证方法

公府机构或大型企业通常需要双因素身份验证。vSphere 支持以下双因素身份验证方法。
外部身份提供程序联合
通过外部身份提供程序联合,您可以使用外部身份提供程序支持的身份验证机制,包括多因素身份验证。
智能卡身份验证
智能卡身份验证仅允许在所登录的计算机上接入了物理卡读取器的用户进行访问。例如,通用访问卡 (Common Access Card, CAC) 身份验证。
管理员可以部署 PKI,使智能卡证书成为由 CA 颁发的唯一客户端证书。对于此类部署,仅为用户提供智能卡证书。用户选择一个证书,然后系统会提示输入 PIN。只有同时具有物理卡以及与证书匹配的 PIN 的用户才能登录。
RSA SecurID 身份验证
对于 RSA SecurID 身份验证,您的环境必须包括正确配置的 RSA Authentication Manager。如果 vCenter Server 已配置为指向 RSA 服务器,并且如果已激活 RSA SecurID 身份验证,则用户可以通过其用户名和令牌进行登录。
有关详细信息,请参见有关 RSA SecurID 设置的 vSphere 博客帖子。
注: vCenter Single Sign-On 仅支持本机 SecurID。它不支持 RADIUS 身份验证。

指定 vCenter Server 非默认身份验证方法

可以从 vSphere Client 或通过使用 sso-config 脚本设置非默认身份验证方法。

  • 对于智能卡身份验证,可以从 vSphere Client 或通过使用 sso-config 执行 vCenter Single Sign-On 设置。设置包括激活智能卡身份验证和配置证书吊销策略。
  • 对于 RSA SecurID,使用 sso-config 脚本为域配置 RSA Authentication Manager,并启用 RSA 令牌身份验证。无法从 vSphere Client 配置 RSA SecurID 身份验证。但是,如果启用 RSA SecurID,该身份验证方法将显示在 vSphere Client 中。

结合使用各种 vCenter Server 身份验证方法

可以使用 sso-config 分别激活或停用每种身份验证方法。在测试双因素身份验证方法时,先让用户名和密码身份验证处于启用状态;测试完成之后,仅启用一种身份验证方法。