vCenter Single Sign-On 允許您在 vCenter Single Sign-On 已知的身分識別來源中以使用者身分進行驗證,或使用 Windows 工作階段驗證進行驗證。您還可以使用智慧卡 (UPN 式通用存取卡,簡稱 CAC) 或 RSA SecurID Token 進行驗證。

雙因素驗證方法

政府機關或大型企業經常需要使用雙因素驗證方法。
智慧卡驗證
智慧卡驗證僅為將實體卡片連結至所登入電腦之 USB 磁碟機的使用者提供存取權。例如,通用存取卡 (CAC) 驗證。
管理員可以部署 PKI,以便讓智慧卡憑證成為 CA 核發的唯一用戶端憑證。對於這種部署,僅提供智慧卡憑證給使用者。使用者選取憑證後,系統會提示輸入 PIN。只有實體卡片和 PIN 都與憑證相符的使用者才能登入。
RSA SecurID 驗證
對於 RSA SecurID 驗證,必須正確設定您環境中的 RSA Authentication Manager。如果 Platform Services Controller 設定為指向 RSA 伺服器,且已啟用 RSA SecurID 驗證,則使用者可以使用其使用者名稱和 Token 登入。
如需詳細資料,請參閱有關 RSA SecurID 設定的兩篇 vSphere 部落格文章。
備註: vCenter Single Sign-On 僅支援原生 SecurID,不支援 RADIUS 驗證。

指定非預設驗證方法

管理員可以從 vSphere Client 設定非預設驗證方法,或使用 sso-config 指令碼進行設定。

  • 對於智慧卡驗證,您可以從 vSphere Client 執行 vCenter Single Sign-On 設定,或使用 sso-config 執行。設定包含啟用智慧卡驗證和設定憑證撤銷原則。
  • 對於 RSA SecurID,您可使用 sso-config 指令碼設定網域的 RSA Authentication Manager,並啟用 RSA Token 驗證。無法從 vSphere Client 設定 RSA SecurID 驗證。然而,如果啟用 RSA SecurID,則該驗證方法會顯示在 vSphere Client 中。

組合使用驗證方法

您可以透過使用 sso-config 單獨啟用或停用每種驗證方法。首先,在測試雙因素驗證方法時,將使用者名稱和密碼驗證保留為啟用狀態,然後在測試後,僅設定一種啟用的驗證方法。