SSO 可提高 vSphere 和 NSX Data Center for vSphere 的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证。

可以在 NSX Manager 上配置 Lookup Service,并提供 SSO 管理员凭据以便以 SSO 用户的身份注册 NSX Management Service。将单点登录 (SSO) 服务与 NSX Data Center for vSphere 集成在一起,不仅可提高 vCenter 用户进行用户身份验证的安全性,而且能够使 NSX Data Center for vSphere 通过其他身份服务(如 AD、NIS 和 LDAP 等)对用户进行身份验证。借助 SSO,NSX Data Center for vSphere 可支持通过 REST API 调用使用受信任源的已验证安全断言标记语言 (Security Assertion Markup Language, SAML) 令牌来进行身份验证。NSX Manager 还可以获取身份验证 SAML 令牌供其他 VMware 解决方案使用。

NSX Data Center for vSphere 会缓存 SSO 用户的组信息。对组成员资格的更改最多需要 60 分钟才能从身份提供程序(例如 Active Directory)传播到 NSX Data Center for vSphere

前提条件

  • 要在 NSX Manager 上使用 SSO,必须拥有 vCenter Server 6.0 或更高版本,并且在 vCenter Server 上安装了单点登录 (SSO) 身份验证服务。请注意,这是针对嵌入式 SSO。您的部署可能使用外部集中式 SSO 服务器。

    有关 vSphere 提供的 SSO 服务的信息,请参见《Platform Services Controller 管理》文档。

    重要说明: 必须将 NSX Manager 设备配置为使用相关联的 vCenter Server 系统上所用的同一 SSO 配置。
  • 必须指定 NTP 服务器,以便 SSO 服务器时间和 NSX Manager 时间保持同步。

    例如:

    “时间设置”页面显示 NTP 服务器配置。

过程

  1. 登录到 NSX Manager 虚拟设备。
    在 Web 浏览器中,导航到 NSX Manager 设备 GUI(网址为 https://<nsx-manager-ip> 或 https://<nsx-manager-hostname>),然后以 管理员身份或使用具有 企业管理员角色的帐户登录。
  2. 登录到 NSX Manager 虚拟设备。
  3. 从主页中,单击管理设备设置 (Manage Appliance Settings) > NSX 管理服务 (NSX Management Service)
  4. 在 Lookup Service URL 部分单击编辑 (Edit)
  5. 输入装有 Lookup Service 的主机的名称或 IP 地址。
  6. 输入端口号。

    如果您使用的是 vSphere 6.0 或更高版本,请输入端口 443。

    系统将根据指定的主机和端口显示 Lookup Service URL。
  7. 输入 SSO 管理员用户名和密码,然后单击确定 (OK)
    将显示 SSO 服务器的证书指纹。
  8. 检查证书指纹是否与 SSO 服务器的证书匹配。

    如果在 CA 服务器上安装了 CA 签名证书,您将获得该 CA 签名证书的指纹。否则,您将获得自签名证书。

  9. 确认 Lookup Service 状态为已连接 (Connected)

下一步做什么

请参见NSX 管理指南中的“将角色分配给 vCenter 用户”。