SSO 可提高 vSphere 和 NSX Data Center for vSphere 的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证。
可以在 NSX Manager 上配置 Lookup Service,并提供 SSO 管理员凭据以便以 SSO 用户的身份注册 NSX Management Service。将单点登录 (SSO) 服务与 NSX Data Center for vSphere 集成在一起,不仅可提高 vCenter 用户进行用户身份验证的安全性,而且能够使 NSX Data Center for vSphere 通过其他身份服务(如 AD、NIS 和 LDAP 等)对用户进行身份验证。借助 SSO,NSX Data Center for vSphere 可支持通过 REST API 调用使用受信任源的已验证安全断言标记语言 (Security Assertion Markup Language, SAML) 令牌来进行身份验证。NSX Manager 还可以获取身份验证 SAML 令牌供其他 VMware 解决方案使用。
NSX Data Center for vSphere 会缓存 SSO 用户的组信息。对组成员资格的更改最多需要 60 分钟才能从身份提供程序(例如 Active Directory)传播到 NSX Data Center for vSphere。
前提条件
- 要在 NSX Manager 上使用 SSO,必须拥有 vCenter Server 6.0 或更高版本,并且在 vCenter Server 上安装了单点登录 (SSO) 身份验证服务。请注意,这是针对嵌入式 SSO。您的部署可能使用外部集中式 SSO 服务器。
有关 vSphere 提供的 SSO 服务的信息,请参见《Platform Services Controller 管理》文档。
重要说明: 必须将 NSX Manager 设备配置为使用相关联的 vCenter Server 系统上所用的同一 SSO 配置。 - 必须指定 NTP 服务器,以便 SSO 服务器时间和 NSX Manager 时间保持同步。
例如:
过程
下一步做什么
请参见NSX 管理指南中的“将角色分配给 vCenter 用户”。