vSphere 7.0 以降では、vCenter Serverの認証方法として、外部 ID プロバイダ フェデレーションが推奨されています。Windows セッション認証 (SSPI)、スマート カード(UPN ベースの Common Access Card (CAC))、または RSA SecurID トークンを使用して認証を行うことも引き続き可能です。
2 要素認証方法
2 要素認証方法は、一般的に行政機関および大規模企業で利用されます。
-
外部 ID プロバイダ フェデレーション
-
外部 ID プロバイダ フェデレーションでは、外部 ID プロバイダでサポートされている多要素認証などの認証メカニズムを使用できます。
-
スマート カード認証
-
スマート カード認証では、ログインしているコンピュータに物理カード リーダーを接続しているユーザーにのみアクセスが許可されます。例として、Common Access Card (CAC) 認証があります。
-
管理者は公開鍵基盤 (PKI) を展開し、認証局が発行する唯一のクライアント証明書としてスマート カード証明書を設定できます。このようなデプロイでは、スマート カード証明書のみがユーザーに提示されます。ユーザーが証明書を選択すると、PIN を入力するよう求められます。物理カードおよび PIN (証明書と一致するもの)の両方を持っているユーザーのみがログインできます。
-
RSA SecureID 認証
-
RSA SecurID 認証の場合は、正しく構成された RSA 認証マネージャが環境内に含まれている必要があります。
vCenter Serverが RSA サーバを指すように構成されており、RSA SecurID 認証が有効である場合、ユーザーはユーザー名およびトークンを使用してログインできます。
-
詳細については、
RSA SecurID の設定に関する 2 つの vSphere ブログ投稿を参照してください。
-
注: vCenter Single Sign-On では、ネイティブの SecurID のみがサポートされており、RADIUS 認証はサポートされていません。
デフォルト以外の認証方法の指定
管理者は vSphere Clientから、または sso-config スクリプトを使用して、デフォルト以外の認証方法を設定できます。
- スマート カード認証の場合、vSphere Clientから、またはsso-config を使用して vCenter Single Sign-On の設定を実行できます。設定には、スマート カード認証の有効にしたり証明書の失効ポリシーを設定する作業も含まれます。
- RSA SecurID の場合、sso-configスクリプトを使用してドメインの RSA 認証マネージャを構成し、RSA トークン認証を有効にします。RSA SecurID 認証は、vSphere Clientからは設定できません。ただし、RSA SecurID を有効にした場合、その認証方法が vSphere Clientに表示されます。
認証方法の組み合わせ
sso-configを使用することで、各認証方法を個別に有効または無効にできます。2 要素認証方法のテスト中は、最初に有効にしたユーザー名およびパスワードによる認証方法のままにしておき、テスト後に 1 つの認証方法のみを有効にします。
