In vSphere 7.0 und höher ist der externe Identitätsanbieterverbund die bevorzugte Authentifizierungsmethode für vCenter Server. Sie können sich noch über Windows-Sitzungsauthentifizierung (SSPI) mithilfe einer Smartcard (UPN-basierte allgemeine Zugriffskarte oder CAC) oder mithilfe eines RSA SecurID-Tokens authentifizieren.

Zwei-Faktor-Authentifizierungsmethoden

Die Zwei-Faktor-Authentifizierungsmethoden sind oft bei staatlichen Behörden und großen Unternehmen erforderlich.
Externer Identitätsanbieterverbund
Mit dem externen Identitätsanbieterverbund können Sie die Authentifizierungsmechanismen verwenden, die vom externen Identitätsanbieter unterstützt werden, einschließlich der Multifaktor-Authentifizierung.
Smartcard-Authentifizierung
Mit der Smartcard-Authentifizierung erhalten nur die Benutzer Zugriff, die ein physisches Kartenlesegerät an den Computer anschließen, bei dem sie sich anmelden. Ein Beispiel ist die Authentifizierung mit einer allgemeinen Zugriffskarte (Common Access Card, CAC).
Der Administrator kann die PKI so bereitstellen, dass die Smartcard-Zertifikate die einzigen Clientzertifikate sind, die von der Zertifizierungsstelle ausgestellt werden. Für derartige Bereitstellungen werden dem Benutzer nur Smartcard-Zertifikate vorgelegt. Der Benutzer wählt ein Zertifikat aus und wird zur Eingabe der PIN aufgefordert. Es können sich nur diejenigen Benutzer anmelden, die sowohl über eine physische Karte als auch über die mit dem Zertifikat übereinstimmende PIN verfügen.
RSA SecurID-Authentifizierung
Bei der RSA SecurID-Authentifizierung muss Ihre Umgebung einen ordnungsgemäß konfigurierten RSA Authentication Manager enthalten. Wenn der vCenter Server für den Verweis auf den RSA-Server konfiguriert wurde und die RSA SecurID-Authentifizierung aktiviert ist, können sich Benutzer mit ihren Benutzernamen und Token anmelden.
Informationen finden Sie in den zwei vSphere Blog-Beiträgen über die RSA SecurID-Einrichtung.
Hinweis: vCenter Single Sign-On unterstützt nur die native SecurID-Authentifizierung. Die RADIUS-Authentifizierung wird nicht unterstützt.

Angeben einer nicht standardmäßigen vCenter Server-Authentifizierungsmethode

Administratoren können über den vSphere Client oder mit dem sso-config-Skript eine nicht standardmäßige Authentifizierungsmethode einrichten.

  • Für die Smartcard-Authentifizierung können Sie das vCenter Single Sign-On-Setup über den vSphere Client oder unter Verwendung von sso-config vornehmen. Das Setup umfasst die Aktivierung der Smartcard-Authentifizierung und die Konfiguration von Widerrufsrichtlinien für Zertifikate.
  • Bei RSA SecurID verwenden Sie das Skript sso-config, um RSA Authentication Manager für die Domäne zu konfigurieren und die RSA-Tokenauthentifizierung zu aktivieren. Sie können die RSA SecurID-Authentifizierung nicht über den vSphere Client konfigurieren. Wenn Sie RSA SecurID jedoch aktivieren, wird diese Authentifizierungsmethode im vSphere Client angezeigt.

Kombinieren von vCenter Server-Authentifizierungsmethoden

Mithilfe von sso-config können Sie jede Authentifizierungsmethode separat aktivieren bzw. deaktivieren. Lassen Sie anfänglich die Benutzernamen- und Kennwort-Authentifizierung aktiviert, während Sie eine zweistufige Authentifizierungsmethode testen, und aktivieren Sie nach dem Testen nur eine Authentifizierungsmethode.