In vSphere 7.0 e versioni successive, la federazione del provider di identità esterno è il metodo di autenticazione preferito per vCenter Server. È comunque possibile eseguire l'autenticazione tramite una smart card (Common Access Card, o CAC, basata su UPN) o tramite token RSA SecurID.

Metodi di autenticazione a due fattori

Gli enti pubblici governativi e le aziende di grandi dimensioni richiedono spesso l'autenticazione a due fattori. vSphere supporta i metodi di autenticazione a due fattori seguenti.
Federazione del provider di identità esterno
La federazione del provider di identità esterno consente di utilizzare i meccanismi di autenticazione supportati dal provider di identità esterno, inclusa l'autenticazione a più fattori.
Autenticazione tramite smart card
L'autenticazione smart card consente l'accesso solo agli utenti che collegano un lettore di schede fisiche al computer a cui accedono. Un esempio è l'autenticazione CAC (Common Access Card).
L'amministratore può distribuire l'infrastruttura PKI in modo che i certificati della smart card siano gli unici certificati client emessi dall'autorità di certificazione. Per tali distribuzioni, l'utente deve presentare solo i certificati della smart card. L'utente seleziona un certificato e gli viene richiesto un PIN. Solo gli utenti che dispongono sia della scheda fisica che del PIN corrispondente al certificato possono accedere.
Autenticazione tramite RSA SecurID
Per l'autenticazione RSA SecurID, è necessario che l'ambiente includa un RSA Authentication Manager correttamente configurato. Se vCenter Server è configurato in modo da puntare al server RSA e l'autenticazione RSA SecurID è attivata, gli utenti possono accedere con il proprio nome utente e il token.
Per informazioni dettagliate, vedere il post del blog di vSphere RSA SecurID setup.
Nota: vCenter Single Sign-On supporta solo SecurID nativo . Non supporta l'autenticazione RADIUS.

Impostazione di un metodo di autenticazione non predefinito di vCenter Server

È possibile configurare un metodo di autenticazione non predefinito da vSphere Client o utilizzando lo script sso-config.

  • Per l'autenticazione smart card, è possibile eseguire la configurazione di vCenter Single Sign-On da vSphere Client o utilizzando sso-config. La configurazione prevede l'attivazione dell'autenticazione smart card e la configurazione dei criteri di revoca del certificato.
  • Per l'autenticazione tramite RSA SecurID, utilizzare lo script sso-config per configurare RSA Authentication Manager per il dominio e per abilitare l'autenticazione con token RSA. Non è possibile configurare l'autenticazione tramite RSA SecurID da vSphere Client. Tuttavia, se si abilita RSA SecurID, tale metodo di autenticazione viene visualizzato in vSphere Client.

Combinazione di metodi di autenticazione di vCenter Server

È possibile attivare o disattivare ciascun metodo di autenticazione separatamente utilizzando sso-config. Lasciare l'autenticazione con nome utente e password abilitata inizialmente, durante la fase di test di un metodo di autenticazione a due fattori, per poi abilitare un solo metodo di autenticazione una volta conclusa la fase di test.