vCenter Single Sign-On 可讓您透過以下兩種方式進行驗證:使用 vCenter Single Sign-On 已知的身分識別來源中的使用者名稱和密碼,或是對 Active Directory 身分識別來源使用 Windows 工作階段驗證。從 vSphere 6.0 Update 2 開始,您還可以使用智慧卡 (UPN 式通用存取卡,簡稱 CAC) 或 RSA SecurID Token 進行驗證。

雙因素驗證方法

政府機關或大型企業經常需要使用雙因素驗證方法。

通用存取卡 (CAC) 驗證

CAC 驗證僅為將實體卡片連接至所登入電腦之 USB 磁碟機的使用者提供存取權。如果部署 PKI,以使智慧卡憑證成為 CA 核發的唯一用戶端憑證,則只會向使用者提供智慧卡憑證。使用者選取憑證後,系統會提示其輸入 PIN。只有實體卡片和 PIN 都與憑證相符的使用者才能登入。

RSA SecurID 驗證

對於 RSA SecureID 驗證,必須正確設定您環境中的 RSA Authentication Manager。如果 Platform Services Controller 設定為指向 RSA 伺服器,且已啟用 RSA SecurID 驗證,則使用者可以使用其使用者名稱和 Token 登入。

備註︰

vCenter Single Sign-On 僅支援原生 SecurID,不支援 RADIUS 驗證。

指定非預設驗證方法

管理員可以從 Platform Services Controller Web 介面,或使用 sso-config 指令碼 (在 Windows 中使用 sso-config.bat,在應用裝置上使用 sso-config.sh) 來執行設定。

  • 對於通用存取卡驗證,您可以使用 sso-config 指令碼設定網頁瀏覽器,並可從 Platform Services Controller Web 介面或使用 sso-config 執行 vCenter Single Sign-On 設定。設定包括啟用 CAC 驗證、設定驗證撤銷原則,以及設定登入橫幅。

  • 對於 RSA SecureID,您可以使用 sso-config 指令碼設定網域的 RSA Authentication Manager,並啟用 RSA Token 驗證。驗證方法啟用後,會顯示在 Platform Services Controller Web 介面中,但您無法從 Web 介面設定 RSA SecureID 驗證。

組合使用不同的驗證方法

您可以使用 sso-config 單獨啟用或停用每種驗證方法。這可能十分有用,例如,當您測試其中一種雙因素驗證方法時,最初可以先讓使用者名稱和密碼驗證保持啟用狀態,然後只將一種驗證方法設為啟用。