vCenter Single Sign-On vous permet de vous authentifier comme utilisateur d'une source d'identité connue de vCenter Single Sign-On, ou à l'aide de l'authentification de session Windows. À partir de vSphere 6.0 Update 2, vous pouvez également vous authentifier en utilisant une carte à puce (Carte d'accès commun ou CAC basée sur UPN), ou en utilisant un jeton RSA SecurID.

Méthodes d'authentification à deux facteurs

Les méthodes d'authentification à deux facteurs sont souvent requises par les agences gouvernementales ou les grandes entreprises.

Authentification par carte à puce

L'authentification par carte à puce permet un accès uniquement aux utilisateurs qui attachent une carte physique au lecteur USB de l'ordinateur auquel ils se connectent. L'authentification par carte d'accès commun (CAC, Common Access Card) en est un exemple.

L'administrateur peut déployer la PKI afin que les certificats de la carte à puce soient les seuls certificats clients émis par l'autorité de certification. Pour de tels déploiements, seuls les certificats de la carte à puce sont présentés à l'utilisateur. L'utilisateur sélectionne un certificat et est invité à entrer un code PIN. Seuls les utilisateurs disposant de la carte physique et du code PIN correspondant au certificat peuvent se connecter.

Authentification RSA SecurID

Pour l'authentification RSA SecurID, votre environnement doit inclure une instance de RSA Authentication Manager correctement configurée. Si Platform Services Controller est configuré pour pointer vers le serveur RSA et que l'authentification RSA SecurID est activée, les utilisateurs peuvent se connecter avec leur nom d'utilisateur et leur jeton.

Pour plus de détails, reportez-vous aux deux articles du blog vSphere Blog relatifs à la configuration de RSA SecurID.

Remarque :

vCenter Single Sign-On prend uniquement en charge l'authentification SecurID native. Il ne prend pas en charge l'authentification RADIUS.

Spécification d'une méthode d'authentification autre que la méthode par défaut

Les administrateurs peuvent configurer une méthode d'authentification autre que la méthode par défaut à partir de l'interface Web Platform Services Controller ou en utilisant le script sso-config.

  • Pour l'authentification par carte à puce, vous pouvez réaliser la configuration vCenter Single Sign-On à partir de l'interface Web Platform Services Controller ou à l'aide de sso-config. La configuration inclut l'activation de l'authentification par carte à puce et la configuration des stratégies de révocation du certificat.

  • Pour RSA SecurID, utilisez le script sso-config pour configurer RSA Authentication Manager pour le domaine et pour activer l'authentification par jeton RSA. Vous ne pouvez pas configurer l'authentification RSA SecurID à partir de l'interface Web. Cependant, si vous activez l'authentification RSA SecurID, cette méthode d'authentification apparaît dans l'interface Web.

Combinaison des méthodes d'authentification

Vous pouvez activer ou désactiver chaque méthode d'authentification séparément à l'aide de sso-config. Conservez l'activation de l'authentification par nom d'utilisateur et par mot de passe pendant que vous testez une méthode d'authentification à deux facteurs puis, à l'issue du test, définissez une seule méthode d'authentification à activer.