vCenter Single Sign-On permite la autenticación de usuarios con nombre de usuario y contraseña en un origen de identidad conocido para vCenter Single Sign-On, o a través de la autenticación de sesión de Windows para orígenes de identidades de Active Directory. A partir de vSphere 6.0 Update 2, también puede autenticarse a través de una tarjeta inteligente (Tarjeta de acceso común basado en UPN o CAC), o a través de un token RSA SecurID.

Métodos de autenticación de dos factores

Los métodos de autenticación de dos factores a menudo son requeridos por agencias gubernamentales o empresas de gran tamaño.

Autenticación con tarjeta de acceso común (CAC)

La autenticación CAC solo permite el acceso a usuarios que adjuntan una tarjeta física a la unidad USB de la computadora en donde inician sesión. Si se implementa la PKI de manera que los certificados de tarjeta inteligente sean los únicos certificados del cliente emitidos por la CA, solo se presentan al usuario los certificados de tarjeta inteligente. El usuario selecciona un certificado, y luego se le solicita un PIN. Solo los usuarios que tienen tarjeta física y el PIN que coincide con el certificado pueden iniciar sesión.

Autenticación de RSA SecurID

Para utilizar la autenticación de RSA SecureID, el entorno debe incluir una instancia de RSA Authentication Manager configurada correctamente. Si Platform Services Controller está configurado para apuntar al servidor RSA, y si la autenticación de RSA SecurID está habilitada, los usuarios pueden iniciar sesión con su nombre de usuario y su token.

Nota:

vCenter Single Sign-On solo admite SecurID nativo; no admite autenticación RADIUS.

Especificar un método de autenticación no predeterminado

Los administradores pueden realizar la instalación desde la interfaz web de Platform Services Controller, o a través del script de sso-config (sso-config.bat en Windows y sso-config.sh en el dispositivo).

  • Para la autenticación de tarjeta de acceso común, puede configurar el explorador web a través del script desso-config y puede configurar vCenter Single Sign-On desde la interfaz web de Platform Services Controller o a través de sso-config. La configuración incluye la autenticación CAC, la configuración de directivas de revocación de certificados y la configuración de un banner de inicio de sesión.

  • En el caso de RSA SecureID, puede utilizar el script de sso-config para configurar RSA Authentication Manager para el dominio y para habilitar la autenticación de token de RSA. El método de autenticación se muestra en la interfaz web de Platform Services Controller (si está habilitada), pero no se puede configurar la autenticación RSA SecureID desde la interfaz web.

Combinar diferentes métodos de autenticación

Los métodos de autenticación se pueden habilitar o deshabilitar en forma separada a través de sso-config. Tiene lógica, por ejemplo, inicialmente dejar habilitada la autenticación por nombre de usuario y contraseña mientras está probando uno de los métodos de autenticación de dos factores y, a continuación, configurar un solo método de autenticación como habilitado.