En vSphere 7.0 y versiones posteriores, la federación de proveedores de identidad externos es el método de autenticación preferido en vCenter Server. Todavía puede autenticarse a través de una tarjeta inteligente (tarjeta de acceso común —Common Access Card, CAC— basada en UPN) o mediante un token RSA SecurID.

Métodos de autenticación de dos factores

Las agencias gubernamentales o las grandes empresas a menudo requieren la autenticación de dos factores. vSphere admite los siguientes métodos de autenticación en dos fases .
Federación de proveedores de identidad externos
Con la federación de proveedores de identidad externos, puede utilizar los mecanismos de autenticación compatibles con el proveedor de identidad externo, incluida la autenticación multifactor.
Autenticación de tarjeta inteligente
La autenticación de tarjeta inteligente solo permite el acceso a usuarios que conectan un lector de tarjeta física al equipo donde inician sesión. Un ejemplo es la autenticación de tarjeta de acceso común (Common Access Card, CAC).
El administrador puede implementar la PKI para que los certificados de tarjeta inteligente sean los únicos certificados de cliente que emita la CA. En estas implementaciones, al usuario solo se le presentan certificados de tarjeta inteligente. El usuario selecciona un certificado y se le solicita un PIN. Solo los usuarios que tienen tarjeta física y el PIN que coincide con el certificado pueden iniciar sesión.
Autenticación de RSA SecurID
Para utilizar la autenticación de RSA SecurID, el entorno debe incluir una instancia de RSA Authentication Manager configurada correctamente. Si vCenter Server está configurado para apuntar al servidor RSA, y si la autenticación de RSA SecurID está activada, los usuarios pueden iniciar sesión con su nombre de usuario y su token.
Para obtener más información, consulte la publicación del blog de vSphere, Configuración de RSA SecurID.
Nota: vCenter Single Sign-On solo admite SecurID nativo. No admite la autenticación RADIUS .

Especificar un vCenter Server método de autenticación no predeterminado

Es posible configurar un método de autenticación no predeterminado en vSphere Client o mediante el script sso-config.

  • Para la autenticación de tarjeta inteligente, puede realizar la configuración de vCenter Single Sign-On desde vSphere Client o mediante sso-config. La configuración incluye la activación de la autenticación de tarjetas inteligentes y la configuración de las políticas de revocación de certificados.
  • En el caso de RSA SecurID, puede utilizar el script sso-config para configurar RSA Authentication Manager para el dominio y para habilitar la autenticación de token de RSA. La autenticación de RSA SecurID no puede configurarse desde vSphere Client. Sin embargo, si habilita RSA SecurID, ese método de autenticación aparece en vSphere Client.

Combinar métodos de autenticación vCenter Server

Los métodos de autenticación se pueden activar o desactivar de forma separada utilizando sso-config. Inicialmente, deje habilitada la autenticación por nombre de usuario y contraseña mientras prueba un método de autenticación de dos factores; después de las pruebas, habilite un único método de autenticación.