vSphere 7.0 以降、vCenter Server の認証方法として、外部 ID プロバイダ フェデレーションが推奨されています。スマート カード(UPN ベースの Common Access Card (CAC))を使用して、または RSA SecurID トークンを使用して認証を行うこともできます。
2 要素認証方法
政府機関や大企業では、多くの場合、2 要素認証が必要です。vSphere は、次の 2 要素認証方式をサポートしています。
-
外部 ID プロバイダ フェデレーション
-
外部 ID プロバイダ フェデレーションにより、外部 ID プロバイダでサポートされている多要素認証などの認証メカニズムを使用できます。
-
スマート カード認証
-
スマート カード認証では、ログインしているコンピュータに物理カード リーダーを接続しているユーザーにのみアクセスが許可されます。例として、Common Access Card (CAC) 認証があります。
-
管理者は公開鍵基盤 (PKI) を展開し、認証局が発行する唯一のクライアント証明書としてスマート カード証明書を設定できます。このようなデプロイでは、スマート カード証明書のみがユーザーに提示されます。ユーザーが証明書を選択すると、PIN を入力するよう求められます。物理カードおよび PIN (証明書と一致するもの)の両方を持っているユーザーのみがログインできます。
-
RSA SecureID 認証
-
RSA SecurID 認証の場合は、正しく構成された RSA 認証マネージャが環境内に含まれている必要があります。
vCenter Server が RSA サーバを指すように構成されており、RSA SecurID 認証が有効である場合、ユーザーはユーザー名およびトークンを使用してログインできます。
-
詳細については、
RSA SecurID の設定に関する vSphere ブログ投稿を参照してください。
-
注:
vCenter Single Sign-On では、ネイティブの SecurID のみがサポートされます。RADIUS 認証はサポートされていません。
vCenter Server でのデフォルト以外の認証方法の指定
デフォルト以外の認証方法を設定するには、vSphere Client から実行するか、sso-config スクリプトを使用します。
- vCenter Single Sign-On にスマート カード認証を設定する場合は、vSphere Client から実行するか、sso-config を使用します。設定には、スマート カード認証を有効にしたり証明書の失効ポリシーを構成する作業も含まれます。
- RSA SecurID の場合、sso-config スクリプトを使用してドメインの RSA 認証マネージャを構成し、RSA トークン認証を有効にします。RSA SecurID 認証は、vSphere Client からは設定できません。ただし、RSA SecurID を有効にした場合、その認証方法が vSphere Client に表示されます。
vCenter Server の認証方法の組み合わせ
sso-config を使用することで、各認証方法を個別に有効または無効にできます。2 要素認証方法のテスト中は、最初に有効にしたユーザー名およびパスワードによる認証方法のままにしておき、テスト後に 1 つの認証方法のみを有効にします。
