NSX Advanced Load Balancer 虚拟服务能够充当服务提供程序是支持安全断言标记语言 (SAML) 的关键所在。为了履行该职责,NSX Advanced Load Balancer 虚拟服务将身份验证请求发送到身份提供程序 (IDP),来自身份提供程序的响应控制用户对 NSX Advanced Load Balancer 池中运行的后端应用程序的访问。NSX Advanced Load Balancer 实施了多种第三方集成,以使客户能够选择 IDP。本节简要说明了启用 ADFS 以作为 IDP 所需的步骤。

NSX Advanced Load Balancer 作为 SP,并将 ADFS 作为 IDP



必备步骤

  1. 设置 ADFS 服务器及其服务帐户。

  2. 确保已安装 SSL 证书,可以通过 HTTPS 访问该服务器,并且 FQDN 名称与证书中的 CN 相同。

  3. 访问以下 URI 以测试 ADFS 服务器:https://<adfs_fqdn>/adfs/fs/federationserverservice.asmx。它将提供下图所示的输出。



将 ADFS 配置为 IDP

  1. 打开 ADFS 管理控制台。

  2. 信任关系下面,右键单击信赖方信任,然后选择添加信赖方信任

  3. 将打开添加信赖方信任向导;单击开始

  4. 选择手动输入有关信赖方的数据选项,然后单击下一步

  5. 在下一个屏幕上,提供显示名称,然后单击下一步

  6. 选择 AD FS 配置文件选项,然后单击下一步

  7. 配置证书选项卡上,单击下一步

  8. 配置 URL 屏幕上,选择启用 SAML 2.0 WebSSO 协议支持并输入 SP URL,如下所示。它必须与 SP 上的 SSO URL 匹配。



  9. 输入信赖方信任标识符。它必须与 SP 上的实体 ID 相同。

  10. 选择如下所示的第一个选项,然后单击下一步



  11. 选择允许所有用户访问该信赖方选项,然后单击下一步

  12. 准备信任选项卡上,单击下一步

  13. 单击关闭

  14. 将显示编辑声明规则向导。单击添加规则

  15. 声明规则模板下拉菜单中进行选择,然后单击下一步

  16. 配置声明规则屏幕上,添加名称,选择属性存储并添加所需属性的映射,如下面的屏幕截图所示。



  17. 单击确定。单击应用,然后单击确定

  18. 右键单击应用程序名称,然后从下拉菜单中选择属性

  19. 选择端点选项卡并添加 SSO URL,如下面的屏幕截图所示。它必须与 SP 上的 SSO URL 匹配。



检查标识符,以确保它正确无误并与实体 ID 匹配。您的 IDP 现已准备就绪。

可以通过以下链接下载元数据:https://<adfs_fqdn>/FederationMetadata/2007-06/FederationMetadata.xml

在 ADFS 上完成配置后,按照本指南的“在 NSX Advanced Load Balancer 上配置 SAML”中提供的说明配置 NSX Advanced Load Balancer 虚拟服务以充当服务提供程序。