在 vSphere 7.0 及更新版本中,外部身分識別提供者聯盟是 vCenter Server 的慣用驗證方法。您仍可以使用智慧卡 (UPN 式通用存取卡,簡稱 CAC) 或 RSA SecurID Token 進行驗證。

雙因素驗證方法

政府機構或大型企業通常需要雙因素驗證。vSphere 支援以下雙因素驗證方法。
外部身分識別提供者聯盟
透過外部身分識別提供者聯盟,可以使用外部身分識別提供者支援的驗證機制,包括多重要素驗證。
智慧卡驗證
智慧卡驗證僅為將實體卡片讀卡機連結至所登入電腦的使用者提供存取權。例如,通用存取卡 (CAC) 驗證。
管理員可以部署 PKI,以便讓智慧卡憑證成為 CA 核發的唯一用戶端憑證。對於這種部署,僅提供智慧卡憑證給使用者。使用者選取憑證後,系統會提示輸入 PIN。只有實體卡片和 PIN 都與憑證相符的使用者才能登入。
RSA SecurID 驗證
對於 RSA SecurID 驗證,必須正確設定您環境中的 RSA Authentication Manager。如果 vCenter Server 設定為指向 RSA 伺服器,且已啟用 RSA SecurID 驗證,則使用者可以使用其使用者名稱和 Token 登入。
如需詳細資料,請參閱 vSphere 部落格文章 RSA SecurID 設定
備註: vCenter Single Sign-On 僅支援原生 SecurID。它不支援 RADIUS 驗證。

指定 vCenter Server 非預設驗證方法

您可以從 vSphere Client 設定非預設驗證方法,或使用 sso-config 指令碼進行設定。

  • 對於智慧卡驗證,可以從 vSphere Client 或透過使用 sso-config 執行 vCenter Single Sign-On 設定。設定包括啟用智慧卡驗證和設定憑證撤銷原則。
  • 對於 RSA SecurID,您可使用 sso-config 指令碼設定網域的 RSA Authentication Manager,並啟用 RSA Token 驗證。無法從 vSphere Client 設定 RSA SecurID 驗證。然而,如果啟用 RSA SecurID,則該驗證方法會顯示在 vSphere Client 中。

組合使用 vCenter Server 驗證方法

您可以透過使用 sso-config 單獨啟用或停用每種驗證方法。首先,在測試雙因素驗證方法時,將使用者名稱和密碼驗證保留為啟用狀態,然後在測試後,僅設定一種啟用的驗證方法。