A partir de vSphere 7.0, la federación de proveedores de identidad externos es el método de autenticación preferido en vCenter Server. También puede autenticarse usando la autenticación de sesión de Windows (SSPI) a través de una tarjeta inteligente (tarjeta de acceso común —Common Access Card, CAC— basada en UPN) o mediante un token RSA SecurID.

Métodos de autenticación de dos factores

Los métodos de autenticación de dos factores a menudo son requeridos por agencias gubernamentales o empresas de gran tamaño.
Federación de proveedores de identidad externos
La federación de proveedores de identidad externos le permite utilizar los mecanismos de autenticación que admite el proveedor de identidad externo, incluida la autenticación multifactor.
Autenticación de tarjeta inteligente
La autenticación de tarjeta inteligente solo permite el acceso a usuarios que conectan un lector de tarjeta física al equipo donde inician sesión. Un ejemplo es la autenticación de tarjeta de acceso común (Common Access Card, CAC).
El administrador puede implementar la PKI para que los certificados de tarjeta inteligente sean los únicos certificados de cliente que emita la CA. En estas implementaciones, al usuario solo se le presentan certificados de tarjeta inteligente. El usuario selecciona un certificado y se le solicita un PIN. Solo los usuarios que tienen tarjeta física y el PIN que coincide con el certificado pueden iniciar sesión.
Autenticación de RSA SecurID
Para utilizar la autenticación de RSA SecurID, el entorno debe incluir una instancia de RSA Authentication Manager configurada correctamente. Si vCenter Server está configurado para apuntar al servidor RSA, y si la autenticación de RSA SecurID está habilitada, los usuarios pueden iniciar sesión con su nombre de usuario y su token.
Para obtener más información, consulte las dos publicaciones del blog de vSphere sobre la configuración de RSA SecurID.
Nota: vCenter Single Sign-On solo admite SecurID nativo. No admite autenticación RADIUS.

Especificar un método de autenticación no predeterminado

Los administradores pueden configurar un método de autenticación no predeterminado en vSphere Client o mediante el script sso-config.

  • Para la autenticación de tarjeta inteligente, puede realizar la configuración de vCenter Single Sign-On desde vSphere Client o mediante sso-config. La configuración incluye la habilitación de la autenticación de tarjetas inteligentes y la configuración de las políticas de revocación de certificados.
  • En el caso de RSA SecurID, puede utilizar el script sso-config para configurar RSA Authentication Manager para el dominio y para habilitar la autenticación de token de RSA. La autenticación de RSA SecurID no puede configurarse desde vSphere Client. Sin embargo, si habilita RSA SecurID, ese método de autenticación aparece en vSphere Client.

Combinar métodos de autenticación

Los métodos de autenticación se pueden habilitar o deshabilitar de forma separada utilizando sso-config. Inicialmente, deje habilitada la autenticación por nombre de usuario y contraseña mientras prueba un método de autenticación de dos factores; después de las pruebas, habilite un único método de autenticación.