從 vSphere 7.0 開始,外部身分識別提供者聯盟是vCenter Server的慣用驗證方法。您仍可以使用 Windows 工作階段驗證 (SSPI)、使用智慧卡 (UPN 式通用存取卡,簡稱 CAC),或使用 RSA SecurID Token 進行驗證。

雙因素驗證方法

政府機關或大型企業經常需要使用雙因素驗證方法。
外部身分識別提供者同盟
外部身分識別提供者同盟可讓您使用外部身分識別提供者支援的驗證機制,包括多重要素驗證。
智慧卡驗證
智慧卡驗證僅為將實體卡片讀卡機連結至所登入電腦的使用者提供存取權。例如,通用存取卡 (CAC) 驗證。
管理員可以部署 PKI,以便讓智慧卡憑證成為 CA 核發的唯一用戶端憑證。對於這種部署,僅提供智慧卡憑證給使用者。使用者選取憑證後,系統會提示輸入 PIN。只有實體卡片和 PIN 都與憑證相符的使用者才能登入。
RSA SecurID 驗證
對於 RSA SecurID 驗證,必須正確設定您環境中的 RSA Authentication Manager。如果 vCenter Server設定為指向 RSA 伺服器,且已啟用 RSA SecurID 驗證,則使用者可以使用其使用者名稱和 Token 登入。
如需詳細資料,請參閱有關 RSA SecurID 設定的兩篇 vSphere 部落格文章。
備註: vCenter Single Sign-On 僅支援原生 SecurID,不支援 RADIUS 驗證。

指定非預設驗證方法

管理員可以從 vSphere Client設定非預設驗證方法,或使用 sso-config 指令碼進行設定。

  • 對於智慧卡驗證,您可以從 vSphere Client執行 vCenter Single Sign-On 設定,或使用sso-config 執行。設定包含啟用智慧卡驗證和設定憑證撤銷原則。
  • 對於 RSA SecurID,您可使用sso-config指令碼設定網域的 RSA Authentication Manager,並啟用 RSA Token 驗證。無法從vSphere Client設定 RSA SecurID 驗證。然而,如果啟用 RSA SecurID,則該驗證方法會顯示在 vSphere Client中。

組合使用驗證方法

您可以透過使用sso-config單獨啟用或停用每種驗證方法。首先,在測試雙因素驗證方法時,將使用者名稱和密碼驗證保留為啟用狀態,然後在測試後,僅設定一種啟用的驗證方法。