Vous pouvez configurer votre environnement pour exiger que les utilisateurs se connectent avec un jeton RSA SecurID. La configuration de SecurID est uniquement prise en charge à partir de la ligne de commande.

Pour plus de détails, reportez-vous aux deux articles du blog vSphere Blog relatifs à la configuration de RSA SecurID.

Note : RSA Authentication Manager exige que l'ID d'utilisateur soit un identifiant unique qui utilise de 1 à 255 caractères ASCII. Les caractères esperluette (&), pour cent (%), supérieur à (>), inférieur à (<) et guillemet simple (`) ne sont pas autorisés.

Conditions préalables

  • Lors de la configuration de RSA SecurID, vCenter Single Sign-On (SSO) prend en charge l'utilisation du nom d'utilisateur principal (attribut userPrincipalName) comme ID d'utilisateur uniquement lorsque l'authentification Windows intégrée (IWA) est configurée en tant que source d'identité pour les utilisateurs RSA.
  • Vérifiez que votre environnement utilise Platform Services Controller version 6.5 ou ultérieure et que vous utilisez vCenter Server version 6.0 ou ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.
  • Vérifiez que votre environnement dispose d'une instance de RSA Authentication Manager correctement configurée et que les utilisateurs disposent de jetons RSA. RSA Authentication Manager version 8.0 ou version ultérieure est requis.
  • Vérifiez que la source d'identité qui est utilisée par RSA Manager a été ajoutée à vCenter Single Sign-On. Reportez-vous à la section Ajouter ou modifier une source d'identité vCenter Single Sign-On.
  • Vérifiez que le système RSA Authentication Manager peut résoudre le nom d'hôte de Platform Services Controller et que le système Platform Services Controller peut résoudre le nom d'hôte de RSA Authentication Manager.
  • Exportez le fichier sdconf.rec depuis RSA Manager en sélectionnant Accès > Agents d'authentification > Générer le fichier de configuration. Décompressez le fichier AM_Config.zip résultant pour trouver le fichier sdconf.rec.
  • Copiez le fichier sdconf.rec sur le nœud de Platform Services Controller.

Procédure

  1. Changez le répertoire dans lequel le script sso-config réside.
    Option Description
    Windows C:\Program Files\VMware\VCenter server\VMware Identity Services
    Dispositif /opt/vmware/bin
  2. Pour activer l'authentification RSA SecurID, exécutez la commande suivante. 
    sso-config.[sh|bat]  -t tenantName  -set_authn_policy -securIDAuthn true
    tenantName est le nom du domaine vCenter Single Sign-On, vsphere.local par défaut.
  3. (Facultatif) Pour désactiver les autres méthodes d'authentification, exécutez la commande suivante. 
    sso-config.sh -set_authn_policy -pwdAuthn false -winAuthn false -certAuthn false -t vsphere.local
  4. Pour configurer l'environnement afin que le locataire du site actuel utilise le site RSA, exécutez la commande suivante. 
    sso-config.[sh|bat] -set_rsa_site [-t tenantName] [-siteID Location] [-agentName Name] [-sdConfFile Path]
    Par exemple : 
    sso-config.sh -set_rsa_site -agentName SSO_RSA_AUTHSDK_AGENT -sdConfFile /tmp/sdconf.rec
    Vous pouvez spécifier les options suivantes :
    Option Description
    siteID ID de site Platform Services Controller facultatif. Platform Services Controller prend en charge une instance de RSA Authentication Manager ou un cluster par site. Si vous ne spécifiez pas explicitement cette option, la configuration RSA vaut pour le site actuel Platform Services Controller. Utilisez cette option uniquement lorsque vous ajoutez un site différent.
    agentName Défini dans RSA Authentication Manager.
    sdConfFile Copie du fichier sdconf.rec qui est téléchargée à partir de RSA Manager et inclut des informations de configuration pour RSA Manager, telles que l'adresse IP.
  5. (Facultatif) Pour changer les valeurs par défaut de la configuration du locataire, exécutez la commande suivante. 
    sso-config.[sh|bat] -set_rsa_config [-t tenantName] [-logLevel Level] [-logFileSize Size] [-maxLogFileCount Count] [-connTimeOut Seconds] [-readTimeOut Seconds] [-encAlgList Alg1,Alg2,...]
    La valeur par défaut est généralement appropriée, par exemple : 
    sso-config.sh -set_rsa_config -t vsphere.local -logLevel DEBUG
  6. (Facultatif) Si votre source d'identité n'utilise pas le nom d'utilisateur principal comme ID d'utilisateur, configurez l'attribut userID de la source d'identité. (Pris en charge uniquement avec les sources d'identité Active Directory sur LDAP.)

    L'attribut userID détermine l'attribut LDAP qui doit être utilisé comme l'userID RSA. 

    sso-config.[sh|bat] -set_rsa_userid_attr_map [-t tenantName] [-idsName Name] [-ldapAttr AttrName] [-siteID Location]
    Par exemple : 
    sso-config.sh -set_rsa_userid_attr_map -t vsphere.local -idsName ssolabs.com -ldapAttr userPrincipalName
  7. Pour afficher les paramètres actuels, exécutez la commande suivante. 
    sso-config.sh -t tenantName -get_rsa_config

Résultats

Si l'authentification par nom d'utilisateur et par mot de passe est désactivée et que l'authentification RSA est activée, les utilisateurs doivent se connecter avec leur nom d'utilisateur et le jeton RSA. La connexion avec le nom d'utilisateur et le mot de passe n'est plus possible.

Note : Utilisez le format de nom d'utilisateur userID@domainName ou userID@domain_upn_suffix.