Mit vCenter Single Sign-On können Sie sich mit dem Namen und Kennwort eines Benutzers bei einer Identitätsquelle authentifizieren, die vCenter Single Sign-On bekannt ist, oder mit der Windows-Sitzungsauthentifizierung bei Active Directory-Identitätsquellen. Ab vSphere 6.0 Update 2 können Sie sich zudem mithilfe einer Smartcard (UPN-basierte allgemeine Zugriffskarte oder CAC) oder mithilfe eines RSA SecurID-Tokens authentifizieren.

Zwei-Faktor-Authentifizierungsmethoden

Die Zwei-Faktor-Authentifizierungsmethoden sind oft bei staatlichen Behörden und großen Unternehmen erforderlich.

Authentifizierung mit einer allgemeinen Zugriffskarte (CAC-Authentifizierung)

Mit der CAC-Authentifizierung erhalten nur die Benutzer Zugriff, die eine physische Karte an das USB-Laufwerk des Computers anschließen, bei dem sie sich anmelden. Wenn die PKI so bereitgestellt wurde, dass die Smartcard-Zertifikate die einzigen durch die Zertifizierungsstelle ausgegebenen Client-Zertifikate sind, werden dem Benutzer nur Smartcard-Zertifikate angezeigt. Der Benutzer wählt ein Zertifikat aus und wird anschließend zur Eingabe der PIN aufgefordert. Es können sich nur diejenigen Benutzer anmelden, die sowohl über eine physische Karte als auch über die mit dem Zertifikat übereinstimmende PIN verfügen.

RSA SecurID-Authentifizierung

Bei der RSA SecureID-Authentifizierung muss Ihre Umgebung einen ordnungsgemäß konfigurierten RSA Authentication Manager enthalten. Wenn der Platform Services Controller für den Verweis auf den RSA-Server konfiguriert wurde und die RSA SecurID-Authentifizierung aktiviert ist, können sich Benutzer mit deren Benutzernamen und Token anmelden.

Anmerkung:

vCenter Single Sign-On unterstützt nur die native SecurID-Authentifizierung, jedoch nicht die RADIUS-Authentifizierung.

Angeben einer nicht standardmäßigen Authentifizierungsmethode

Administratoren können die Einrichtung über die Platform Services Controller-Webschnittstelle durchführen oder aber mithilfe des Skripts sso-config (sso-config.bat auf Windows und sso-config.sh auf der Appliance).

  • Bei der Authentifizierung mit einer allgemeinen Zugriffskarte richten Sie Ihren Webbrowser mithilfe des Skripts sso-config ein, und Sie können vCenter Single Sign-On über die Platform Services Controller-Webschnittstelle oder mithilfe von sso-config einrichten. Das Setup umfasst das Aktivieren der CAC-Authentifizierung, das Konfigurieren der Zertifikatswiderrufsrichtlinie und das Einrichten eines Anmelde-Banners.

  • Bei RSA SecureID verwenden Sie das Skript sso-config, um RSA Authentication Manager für die Domäne zu konfigurieren und die RSA-Tokenauthentifizierung zu aktivieren. Die Authentifizierungsmethode wird in der Platform Services Controller-Webschnittstelle angezeigt (sofern aktiviert), aber die RSA SecureID-Authentifizierung kann nicht über die Webschnittstelle konfiguriert werden.

Kombinieren unterschiedlicher Authentifizierungsmethoden

Mithilfe von sso-config können Sie jede Authentifizierungsmethode separat aktivieren bzw. deaktivieren. Es kann beispielsweise sinnvoll sein, die Benutzernamen- und Kennwort-Authentifizierung aktiviert zu lassen, wenn Sie eine der Zwei-Faktor-Authentifizierungsmethoden testen, und dabei nur eine Authentifizierungsmethode als aktiviert festzulegen.