Cisco Secure Client 支持在 Windows x86（32 位）和 x64（64 位）上运行 RSA SecurID 客户端软件 1.1 版和更高版本。

RSA SecurID 软件验证器可减少用户为确保企业资产访问安全而需要管理的项目数量。远程设备上的 RSA SecurID 软件令牌将生成一个随机的一次性验证码，该验证码每 60 秒变更一次。术语 SDI 的全称是 Security Dynamics, Inc. 技术，指代这一项使用硬件和软件令牌的一次性密码生成技术。

通常情况下，用户通过点击工具托盘中的 Cisco Secure Client 图标、选择希望连接的连接配置文件，然后在身份验证对话框中输入适当的凭证来建立 Cisco Secure Client 连接。登录（质询）对话框将匹配为用户所属的隧道组配置的身份验证类型。登录对话框中的输入字段可明确表明身份验证需要哪类输入。

对于 SDI 身份验证，远程用户需要在 Cisco Secure Client 软件界面中输入 PIN（个人识别码）并接收 RSA SecurID 验证码。用户在安全应用中输入验证码后，RSA 身份验证管理器将验证该验证码并准许用户获得访问权限。

使用 RSA SecurID 硬件或软件令牌的用户将看到输入字段，这些字段指示用户应输入验证码或 PIN，PIN 或验证码以及对话框底部的状态行可提供更多要求信息。用户直接向 Cisco Secure Client 用户界面输入软件令牌 PIN 或密码。

初始登录对话框的外观取决于安全网关设置：用户可通过主登录页面、主索引 URL、隧道组登录页面或隧道组 URL（URL/隧道组）访问安全网关。要通过主登录页面访问安全网关，则必须在“网络(客户端)访问 AnyConnect 连接配置文件 (Network (Client) Access AnyConnect Connection Profiles)”页面上选中“允许用户选择连接 (Allow user to select connection)”复选框。在任何一种情况中，安全网关都会向客户端发送登录页面。主登录页面具有可供用户选择隧道组的下拉列表。由于在 URL 中指定隧道组，隧道组登录页面不含下拉列表。

在主登录页面（具有连接配置文件或隧道组的下拉列表）上，默认隧道组的身份验证类型将确定密码输入字段标签的初始设置。例如，如果默认隧道组使用 SDI 身份验证，则字段标签为“Passcode”，但如果默认隧道组使用 NTLM 身份验证，字段标签为“Password”。在 2.1 版及更高版本中，字段标签不会因用户选择不同的隧道组而动态更新。对于隧道组登录页面，字段标签将与隧道组要求匹配。

客户端支持在密码输入字段中输入 RSA SecurID 软件令牌 PIN。如果安装 RSA SecurID 软件令牌软件，并且隧道组身份验证类型为 SDI，则字段标签为“Passcode”，并且状态栏会声明“Enter a username and passcode or software token PIN”。如果使用 PIN，则针对同一隧道组和用户名的后续连续登录都将包含“PIN”字段标签。客户端使用输入的 PIN 从 RSA SecurID 软件令牌 DLL 检索验证码。每次身份验证成功后，客户端均会保存隧道组、用户名以及身份验证类型，保存的隧道组将成为新的默认隧道组。

Cisco Secure Client 接受针对任意 SDI 身份验证的验证码。即使密码输入标签为“PIN”，用户仍可按照状态栏的指示输入验证码。客户端将按照原样向安全网关发送验证码。如果使用验证码，则针对同一隧道组和用户名的后续连续登录都将包含“Passcode”字段标签。

RSASecureIDIntegration 配置文件设置有三个可能的值：

Automatic - 客户端首先尝试一种方法，如果失败，则尝试另一种方法。默认将用户输入视为令牌验证码 (HardwareToken)，如果失败，则将其视为软件令牌 PIN (SoftwareToken)。如果身份验证成功，该成功方法将设置为新 SDI 令牌类型，并缓存在用户首选项文件中。对于下一次身份验证尝试，SDI 令牌类型将定义首先尝试的方法。通常，用于当前身份验证尝试的令牌与上次成功身份验证尝试中使用的令牌相同。然而，当用户名或组选择更改时，它将恢复为首先尝试默认方法，如输入字段标签所示。

注

SDI 令牌类型仅在自动设置中有意义。当身份验证型号不是自动型号时，可以忽略 SKI 令牌类型的日志。HardwareToken 作为默认选项可避免触发下一个令牌型号。

SoftwareToken - 客户端始终将用户输入视为软件令牌 PIN，输入字段标签为“PIN:”。

HardwareToken - 客户端始终将用户输入视为令牌验证码，输入字段标签为“Passcode:”。

注

Cisco Secure Client 不支持将多个令牌的令牌选择导入 RSA 软件令牌客户端软件。相反，客户端使用通过 RSA SecurID 软件令牌 GUI 选择的默认选项。