vSphere 7.0 以降、vCenter Server の認証方法として、外部 ID プロバイダ フェデレーションが推奨されています。Windows セッション認証 (SSPI)、スマート カード(UPN ベースの Common Access Card (CAC))、または RSA SecurID トークンを使用して認証を行うことも引き続き可能です。

2 要素認証方法

2 要素認証方法は、一般的に行政機関および大規模企業で利用されます。
外部 ID プロバイダ フェデレーション
外部 ID プロバイダ フェデレーションにより、外部 ID プロバイダでサポートされている多要素認証などの認証メカニズムを使用できます。
スマート カード認証
スマート カード認証では、ログインしているコンピュータに物理カード リーダーを接続しているユーザーにのみアクセスが許可されます。例として、Common Access Card (CAC) 認証があります。
管理者は公開鍵基盤 (PKI) を展開し、認証局が発行する唯一のクライアント証明書としてスマート カード証明書を設定できます。このようなデプロイでは、スマート カード証明書のみがユーザーに提示されます。ユーザーが証明書を選択すると、PIN を入力するよう求められます。物理カードおよび PIN (証明書と一致するもの)の両方を持っているユーザーのみがログインできます。
RSA SecureID 認証
RSA SecurID 認証の場合は、正しく構成された RSA 認証マネージャが環境内に含まれている必要があります。 vCenter Server が RSA サーバを指すように構成されており、RSA SecurID 認証が有効である場合、ユーザーはユーザー名およびトークンを使用してログインできます。
詳細については、 RSA SecurID の設定に関する 2 つの vSphere ブログ投稿を参照してください。
注: vCenter Single Sign-On では、ネイティブの SecurID のみがサポートされており、RADIUS 認証はサポートされていません。

vCenter Server でのデフォルト以外の認証方法の指定

管理者は vSphere Client から、または sso-config スクリプトを使用して、デフォルト以外の認証方法を設定できます。

  • スマート カード認証の場合、vSphere Client から、または sso-config を使用して vCenter Single Sign-On の設定を実行できます。設定には、スマート カード認証を有効にしたり証明書の失効ポリシーを構成する作業も含まれます。
  • RSA SecurID の場合、sso-config スクリプトを使用してドメインの RSA 認証マネージャを構成し、RSA トークン認証を有効にします。RSA SecurID 認証は、vSphere Client からは設定できません。ただし、RSA SecurID を有効にした場合、その認証方法が vSphere Client に表示されます。

vCenter Server の認証方法の組み合わせ

sso-config を使用することで、各認証方法を個別に有効または無効にできます。2 要素認証方法のテスト中は、最初に有効にしたユーザー名およびパスワードによる認証方法のままにしておき、テスト後に 1 つの認証方法のみを有効にします。