vCenter Single Sign-On では、vCenter Single Sign-On で認識されているアイデンティティ ソース内のユーザーとして認証するか、Windows セッション認証を使用して認証できます。また、vSphere 6.0 Update 2 以降では、スマート カード(UPN ベースの Common Access Card (CAC))を使用して、または RSA SecureID トークンを使用して認証を行うことができます。

2 要素認証方法

2 要素認証方法は、一般的に行政機関および大規模企業で利用されます。
スマート カード認証
スマート カード認証を使用すると、ログインしているコンピュータの USB ドライブに物理カードを接続しているユーザーにのみアクセスが許可されます。例として、Common Access Card (CAC) 認証があります。
管理者は公開鍵基盤 (PKI) を展開し、認証局が発行する唯一のクライアント証明書としてスマート カード証明書を設定できます。このようなデプロイでは、スマート カード証明書のみがユーザーに提示されます。ユーザーが証明書を選択すると、PIN を入力するよう求められます。物理カードおよび PIN (証明書と一致するもの)の両方を持っているユーザーのみがログインできます。
RSA SecureID 認証
RSA SecurID 認証の場合は、正しく構成された RSA 認証マネージャが環境内に含まれている必要があります。 Platform Services Controller が RSA サーバを指すように構成されており、RSA SecurID 認証が有効である場合、ユーザーはユーザー名およびトークンを使用してログインできます。
詳細については、 RSA SecurID の設定に関する 2 つの vSphere ブログ投稿を参照してください。
注: vCenter Single Sign-On では、ネイティブの SecurID のみがサポートされており、RADIUS 認証はサポートされていません。

デフォルト以外の認証方法の指定

管理者は Platform Services Controller Web インターフェイスから、または sso-config スクリプトを使用して、デフォルト以外の認証方法を設定できます。

  • スマート カード認証の場合、Platform Services Controller Web インターフェイスから、または sso-config を使用して vCenter Single Sign-On の設定を実行できます。設定には、スマート カード認証の有効にしたり証明書の失効ポリシーを設定する作業も含まれます。
  • RSA SecurID の場合、sso-config スクリプトを使用してドメインの RSA 認証マネージャを構成し、RSA トークン認証を有効にします。RSA SecurID 認証は、Web インターフェイスからは設定できません。ただし、RSA SecurID を有効にした場合、その認証方法が Web インターフェイスに表示されます。

認証方法の組み合わせ

sso-config を使用することで、各認証方法を個別に有効または無効にできます。2 要素認証方法のテスト中は、最初に有効にしたユーザー名およびパスワードによる認証方法のままにしておき、テスト後に 1 つの認証方法のみを有効にします。