À compter de vSphere 7.0, la Fédération de fournisseurs d'identité externes est la méthode d'authentification recommandée pour vCenter Server. Vous pouvez également vous authentifier en utilisant l'authentification de session Windows (SSPI), une carte à puce (carte d'accès commun ou CAC basée sur UPN) ou un jeton RSA SecurID.

Méthodes d'authentification à deux facteurs

Les méthodes d'authentification à deux facteurs sont souvent requises par les agences gouvernementales ou les grandes entreprises.
Fédération de fournisseurs d'identité externe
La fédération de fournisseurs d'identité externe vous permet d'utiliser les mécanismes d'authentification pris en charge par le fournisseur d'identité externe, notamment l'authentification à plusieurs facteurs.
Authentification par carte à puce
L'authentification par carte à puce permet un accès uniquement aux utilisateurs qui attachent un lecteur de carte physique à l'ordinateur auquel ils se connectent. L'authentification par carte d'accès commun (CAC, Common Access Card) en est un exemple.
L'administrateur peut déployer la PKI afin que les certificats de la carte à puce soient les seuls certificats clients émis par l'autorité de certification. Pour de tels déploiements, seuls les certificats de la carte à puce sont présentés à l'utilisateur. L'utilisateur sélectionne un certificat et est invité à entrer un code PIN. Seuls les utilisateurs disposant de la carte physique et du code PIN correspondant au certificat peuvent se connecter.
Authentification RSA SecurID
Pour l'authentification RSA SecurID, votre environnement doit inclure une instance de RSA Authentication Manager correctement configurée. Si vCenter Server est configuré pour pointer vers le serveur RSA et que l'authentification RSA SecurID est activée, les utilisateurs peuvent se connecter avec leur nom d'utilisateur et leur jeton.
Pour plus de détails, reportez-vous aux deux articles du blog vSphere Blog relatifs à la configuration de RSA SecurID.
Note : vCenter Single Sign-On prend uniquement en charge l'authentification SecurID native. Il ne prend pas en charge l'authentification RADIUS.

Spécification d'une méthode d'authentification autre que la méthode par défaut

Les administrateurs peuvent configurer une méthode d'authentification autre que la méthode par défaut à partir de vSphere Client ou en utilisant le script sso-config.

  • Pour l'authentification par carte à puce, vous pouvez réaliser la configuration vCenter Single Sign-On à partir de vSphere Client ou à l'aide de sso-config. La configuration inclut l'activation de l'authentification par carte à puce et la configuration des stratégies de révocation du certificat.
  • Pour RSA SecurID, utilisez le script sso-config pour configurer RSA Authentication Manager pour le domaine et pour activer l'authentification par jeton RSA. Vous ne pouvez pas configurer l'authentification RSA SecurID à partir de vSphere Client. Cependant, si vous activez l'authentification RSA SecurID, cette méthode d'authentification figure dans vSphere Client.

Combinaison des méthodes d'authentification

Vous pouvez activer ou désactiver chaque méthode d'authentification séparément à l'aide de sso-config. Conservez l'activation de l'authentification par nom d'utilisateur et par mot de passe pendant que vous testez une méthode d'authentification à deux facteurs puis, à l'issue du test, définissez une seule méthode d'authentification à activer.