vCenter Single Sign-On では、vCenter Single Sign-On で認識されているアイデンティティ ソース内のユーザ名およびパスワードを使用した認証、または Active Directory アイデンティティ ソースの Windows セッション認証を使用した認証が可能です。また、vSphere 6.0 Update 2 以降では、スマート カード(UPN ベースの Common Access Card (CAC))を使用して、または RSA SecureID トークンを使用して認証を行うことができます。

2 要素認証方法

2 要素認証方法は、一般的に行政機関および大規模企業で利用されます。

Common Access Card (CAC) 認証

CAC 認証を使用すると、ログインしているコンピュータの USB ドライブに物理カードを接続しているユーザーにのみアクセスが許可されます。公開鍵基盤 (PKI) を展開し、認証局が発行する唯一のクライアント証明書としてスマート カード証明書を設定している場合は、スマート カード証明書のみがユーザーに提示されます。ユーザーが証明書を選択すると、PIN を入力するよう求められます。物理カードおよび PIN (証明書と一致するもの)の両方を持っているユーザーのみがログインできます。

RSA SecureID 認証

RSA SecureID 認証の場合は、正しく構成された RSA 認証マネージャが環境内に含まれている必要があります。Platform Services Controller が RSA サーバを指すように構成されており、RSA SecureID 認証が有効である場合、ユーザーはユーザー名およびトークンを使用してログインできます。

注:

vCenter Single Sign-On では、ネイティブの SecureID のみがサポートされており、RADIUS 認証はサポートされていません。

デフォルト以外の認証方法の指定

管理者は、Platform Services Controller Web インターフェイスから、または sso-config スクリプト(Windows では sso-config.bat、およびアプライアンスでは sso-config.sh)を使用して設定を実行できます。

  • Common Access Card 認証の場合、sso-config スクリプトを使用して Web ブラウザを設定し、Platform Services Controller Web インターフェイスから、または sso-config を使用して vCenter Single Sign-On の設定を実行できます。設定には、CAC 認証の有効化、証明書失効ポリシーの構成、およびログイン バナーの設定が含まれます。

  • RSA SecureID の場合、sso-config スクリプトを使用してドメインの RSA 認証マネージャを構成し、RSA トークン認証を有効にします。有効になっている場合、Platform Services Controller Web インターフェイスに認証方法が表示されますが、Web インターフェイスから RSA SecureID 認証を構成することはできません。

異なる認証方法の組み合わせ

sso-config を使用することで、各認証方法を個別に有効または無効にできます。たとえば、2 要素認証方法の 1 つをテストしながら、最初にユーザー名およびパスワードによる認証を有効にしておき、その後に 1 つの認証方法のみを有効にする場合に利用できます。