vCenter Single Sign-On le permite autenticarse como usuario en un origen de identidad que vCenter Single Sign-On conoce, o bien mediante la autenticación de sesión de Windows. También puede autenticarse a través de una tarjeta inteligente (tarjeta de acceso común —Common Access Card, CAC— basada en UPN) o mediante un token RSA SecurID.

Métodos de autenticación de dos factores

Los métodos de autenticación de dos factores a menudo son requeridos por agencias gubernamentales o empresas de gran tamaño.
Autenticación de tarjeta inteligente
La autenticación de tarjeta inteligente solo permite el acceso a usuarios que adjuntan una tarjeta física a la unidad USB del equipo donde inician sesión. Un ejemplo es la autenticación de tarjeta de acceso común (Common Access Card, CAC).
El administrador puede implementar la PKI para que los certificados de tarjeta inteligente sean los únicos certificados de cliente que emita la CA. En estas implementaciones, al usuario solo se le presentan certificados de tarjeta inteligente. El usuario selecciona un certificado y se le solicita un PIN. Solo los usuarios que tienen tarjeta física y el PIN que coincide con el certificado pueden iniciar sesión.
Autenticación de RSA SecurID
Para utilizar la autenticación de RSA SecurID, el entorno debe incluir una instancia de RSA Authentication Manager configurada correctamente. Si Platform Services Controller está configurado para apuntar al servidor RSA, y si la autenticación de RSA SecurID está habilitada, los usuarios pueden iniciar sesión con su nombre de usuario y su token.
Para obtener más información, consulte las dos publicaciones del blog de vSphere sobre la configuración de RSA SecurID.
Nota: vCenter Single Sign-On solo admite SecurID nativo. No admite autenticación RADIUS.

Especificar un método de autenticación no predeterminado

Los administradores pueden configurar un método de autenticación no predeterminado en vSphere Client o mediante el script sso-config.

  • Para la autenticación de tarjeta inteligente, puede realizar la configuración de vCenter Single Sign-On desde vSphere Client o mediante sso-config. La configuración incluye la habilitación de la autenticación de tarjetas inteligentes y la configuración de las políticas de revocación de certificados.
  • En el caso de RSA SecurID, puede utilizar el script sso-config para configurar RSA Authentication Manager para el dominio y para habilitar la autenticación de token de RSA. La autenticación de RSA SecurID no puede configurarse desde vSphere Client. Sin embargo, si habilita RSA SecurID, ese método de autenticación aparece en vSphere Client.

Combinar métodos de autenticación

Los métodos de autenticación se pueden habilitar o deshabilitar de forma separada utilizando sso-config. Inicialmente, deje habilitada la autenticación por nombre de usuario y contraseña mientras prueba un método de autenticación de dos factores; después de las pruebas, habilite un único método de autenticación.