vCenter Single Sign-On vous permet de vous authentifier en utilisant le nom et le mot de passe d'un utilisateur dans une source d'identité connue par vCenter Single Sign-On, ou en utilisant l'authentification de session Windows pour les sources d'identité Active Directory. À partir de vSphere 6.0 Update 2, vous pouvez également vous authentifier en utilisant une carte à puce (Carte d'accès commun ou CAC basée sur UPN), ou en utilisant un jeton RSA SecurID.

Méthodes d'authentification à deux facteurs

Les méthodes d'authentification à deux facteurs sont souvent requises par les agences gouvernementales ou les grandes entreprises.

Authentification par carte d'accès commun (CAC)

L'authentification CAC permet un accès uniquement aux utilisateurs qui attachent une carte physique au lecteur USB de l'ordinateur sur lequel ils se connectent. Si la PKI est déployée de telle sorte que les certificats de carte à puce sont les seuls certificats clients qui sont émis par l'autorité de certification, seuls les certificats de carte à puce sont présentés à l'utilisateur. L'utilisateur sélectionne un certificat et est ensuite invité à entrer un code PIN. Seuls les utilisateurs disposant de la carte physique et du code PIN correspondant au certificat peuvent se connecter.

Authentification RSA SecurID

Pour l'authentification RSA SecureID, votre environnement doit inclure une instance de RSA Authentication Manager correctement configurée. Si Platform Services Controller est configuré pour pointer vers le serveur RSA et que l'authentification RSA SecurID est activée, les utilisateurs peuvent se connecter avec leur nom d'utilisateur et leur jeton.

Remarque :

vCenter Single Sign-On prend uniquement en charge l'authentification SecurID native, il ne prend pas en charge l'authentification RADIUS.

Spécification d'une méthode d'authentification autre que la méthode par défaut

Les administrateurs peuvent effectuer la configuration à partir de l'interface Web de Platform Services Controller ou en utilisant le script sso-config (sso-config.bat sur Windows et sso-config.sh sur le dispositif).

  • Pour une authentification CAC, vous configurez votre navigateur Web à l'aide du script sso-config et vous pouvez effectuer la configuration de vCenter Single Sign-On à partir de l'interface Web de Platform Services Controller ou en utilisant sso-config. La configuration inclut l'activation de l'authentification CAC, la configuration de stratégies de révocation de certificat et la configuration d'une page de connexion.

  • Pour RSA SecureID, vous utilisez le script sso-config pour configurer RSA Authentication Manager pour le domaine et pour activer l'authentification par jeton RSA. La méthode d'authentification s'affiche dans l'interface Web de Platform Services Controller si elle est activée, mais vous ne pouvez pas configurer l'authentification RSA SecureID à partir de l'interface Web.

Combinaison de différentes méthodes d'authentification

Vous pouvez activer ou désactiver chaque méthode d'authentification séparément à l'aide de sso-config. Il convient, par exemple, de maintenir l'authentification par nom d'utilisateur et par mot de passe initialement activée pendant que vous testez l'une des méthodes d'authentification à deux facteurs, et de définir ensuite une seule méthode d'authentification comme étant activée.