vCenter Single Sign On ermöglicht die Authentifizierung als Benutzer in einer Identitätsquelle, die vCenter Single Sign On bekannt ist, oder unter Verwendung der Windows-Sitzungsauthentifizierung. Sie können sich zudem mithilfe einer Smartcard (UPN-basierte allgemeine Zugriffskarte oder CAC) oder mithilfe eines RSA SecurID-Tokens authentifizieren.

Zwei-Faktor-Authentifizierungsmethoden

Die Zwei-Faktor-Authentifizierungsmethoden sind oft bei staatlichen Behörden und großen Unternehmen erforderlich.
Smartcard-Authentifizierung
Mit der Smartcard-Authentifizierung erhalten nur die Benutzer Zugriff, die eine physische Karte an das USB-Laufwerk des Computers anschließen, bei dem sie sich anmelden. Ein Beispiel ist die Authentifizierung mit einer allgemeinen Zugriffskarte (Common Access Card, CAC).
Der Administrator kann die PKI so bereitstellen, dass die Smartcard-Zertifikate die einzigen Clientzertifikate sind, die von der Zertifizierungsstelle ausgestellt werden. Für derartige Bereitstellungen werden dem Benutzer nur Smartcard-Zertifikate vorgelegt. Der Benutzer wählt ein Zertifikat aus und wird zur Eingabe der PIN aufgefordert. Es können sich nur diejenigen Benutzer anmelden, die sowohl über eine physische Karte als auch über die mit dem Zertifikat übereinstimmende PIN verfügen.
RSA SecurID-Authentifizierung
Bei der RSA SecurID-Authentifizierung muss Ihre Umgebung einen ordnungsgemäß konfigurierten RSA Authentication Manager enthalten. Wenn der Platform Services Controller für den Verweis auf den RSA-Server konfiguriert wurde und die RSA SecurID-Authentifizierung aktiviert ist, können sich Benutzer mit ihren Benutzernamen und Token anmelden.
Informationen finden Sie in den zwei vSphere Blog-Beiträgen über die RSA SecurID-Einrichtung.
Hinweis: vCenter Single Sign-On unterstützt nur die native SecurID-Authentifizierung. Die RADIUS-Authentifizierung wird nicht unterstützt.

Angeben einer nicht standardmäßigen Authentifizierungsmethode

Administratoren können über den vSphere Client oder mit dem sso-config-Skript eine nicht standardmäßige Authentifizierungsmethode einrichten.

  • Für die Smartcard-Authentifizierung können Sie das vCenter Single Sign-On-Setup über den vSphere Client oder unter Verwendung von sso-config vornehmen. Das Setup umfasst die Aktivierung der Smartcard-Authentifizierung und das Konfigurieren von Widerrufsrichtlinien für Zertifikate
  • Bei RSA SecurID verwenden Sie das Skript sso-config, um RSA Authentication Manager für die Domäne zu konfigurieren und die RSA-Tokenauthentifizierung zu aktivieren. Sie können die RSA SecurID-Authentifizierung nicht über den vSphere Client konfigurieren. Wenn Sie RSA SecurID jedoch aktivieren, wird diese Authentifizierungsmethode im vSphere Client angezeigt.

Kombinieren von Authentifizierungsmethoden

Mithilfe von sso-config können Sie jede Authentifizierungsmethode separat aktivieren bzw. deaktivieren. Lassen Sie anfänglich die Benutzernamen- und Kennwort-Authentifizierung aktiviert, während Sie eine zweistufige Authentifizierungsmethode testen, und aktivieren Sie nach dem Testen nur eine Authentifizierungsmethode.