SSO 可提高 vSphere 和 NSX 的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证。可以在 NSX Manager 上配置 Lookup Service,并提供 SSO 管理员凭据以便以 SSO 用户的身份注册 NSX Management Service。将 Single Sign On (SSO) 服务与 NSX 集成在一起可提高 vCenter 用户进行用户身份验证的安全性,并使 NSX 可以通过诸如 AD、NIS 和 LDAP 等其他标识服务对用户进行身份验证。

借助 SSO,NSX 可支持通过 REST API 调用使用受信任源的已验证安全断言标记语言 (SAML) 令牌来进行身份验证。NSX Manager 还可以获取身份验证 SAML 令牌供其他 VMware 解决方案使用。

SSO 用户的 NSX 缓存组信息。对组成员资格进行的更改最多将花费 60 分钟的时间从标识提供程序(例如 Active Directory)传播到 NSX。

前提条件

  • 要在 NSX Manager 上使用 SSO,您必须拥有 vCenter Server 5.5 或更高版本,并且必须在 vCenter Server 上安装 Single Sign On (SSO) 身份验证服务。请注意,这是针对嵌入式 SSO。您的部署可能使用外部集中式 SSO 服务器。

    有关 vSphere 提供的 SSO 服务的信息,请参见 http://kb.vmware.com/kb/2072435http://kb.vmware.com/kb/2113115

  • 必须指定 NTP 服务器,以使 SSO 服务器上的时间与 NSX Manager 上的时间保持同步。

    例如:

过程

  1. 登录到 NSX Manager 虚拟设备。

    在 Web 浏览器中,导航到 NSX Manager 设备 GUI(位于 https://<nsx-manager-ip> 或 https://<nsx-manager-hostname>),然后以管理员身份使用您在 NSX Manager 安装期间配置的密码登录。

  2. 单击管理 (Manage)选项卡,然后单击 NSX Management Service
  3. 键入装有 Lookup Service 的主机的名称或 IP 地址。

    如果使用 vCenter 执行 Lookup Service,请输入 vCenter Server 的 IP 地址或主机名,并输入 vCenter Server 用户名和密码。

  4. 键入端口号。

    如果使用 vSphere 6.0 则输入端口 443。对于 vSphere 5.5,使用端口号 7444。

    系统将根据指定的主机和端口显示 Lookup Service URL。

    例如:

  5. 检查证书指纹是否与 vCenter Server 的证书匹配。

    如果在 CA 服务器上安装了 CA 签名证书,您将获得该 CA 签名证书的指纹。否则,您将获得自签名证书。

  6. 确认 Lookup Service 状态为已连接 (Connected)

    例如:

下一步做什么

为该 SSO 用户分配一个角色。