SSO 可提高 vSphere 和 NSX 的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证。可以在 NSX Manager 上配置 Lookup Service,并提供 SSO 管理员凭据以便以 SSO 用户的身份注册 NSX Management Service。将 Single Sign On (SSO) 服务与 NSX 集成在一起可提高 vCenter 用户进行用户身份验证的安全性,并使 NSX 可以通过诸如 AD、NIS 和 LDAP 等其他标识服务对用户进行身份验证。
借助 SSO,NSX 可支持通过 REST API 调用使用受信任源的已验证安全断言标记语言 (SAML) 令牌来进行身份验证。NSX Manager 还可以获取身份验证 SAML 令牌供其他 VMware 解决方案使用。
SSO 用户的 NSX 缓存组信息。对组成员资格进行的更改最多将花费 60 分钟的时间从标识提供程序(例如 Active Directory)传播到 NSX。
前提条件
要在 NSX Manager 上使用 SSO,您必须拥有 vCenter Server 5.5 或更高版本,并且必须在 vCenter Server 上安装 Single Sign On (SSO) 身份验证服务。请注意,这是针对嵌入式 SSO。您的部署可能使用外部集中式 SSO 服务器。
有关 vSphere 提供的 SSO 服务的信息,请参见 http://kb.vmware.com/kb/2072435 和 http://kb.vmware.com/kb/2113115。
必须指定 NTP 服务器,以使 SSO 服务器上的时间与 NSX Manager 上的时间保持同步。
例如:
过程
下一步做什么
为该 SSO 用户分配一个角色。