可以将 NSX-T Data Center 与 VMware Identity Manager (vIDM) 集成,vIDM 可提供身份管理服务。vIDM 部署可以是一个独立的 vIDM 主机,也可以是一个 vIDM 集群。
注意:VMware Identity Manager 的新产品名称为 VMware Workspace ONE Access。
vIDM 主机或所有 vIDM 集群组件应具有证书颁发机构 (CA) 签名的证书。否则,使用某些浏览器(例如 Microsoft Edge 或 Internet Explorer 11)可能无法从 NSX Manager 登录到 vIDM。有关在 vIDM 上安装 CA 签名证书的信息,请参见 VMware Identity Manager 文档,网址为 https://docs.vmware.com/cn/VMware-Identity-Manager/index.html。
在向 vIDM 注册 NSX Manager 时,指定指向 NSX Manager 的重定向 URI。可以提供完全限定域名 (FQDN) 或 IP 地址。请务必记住使用的是 FQDN 还是 IP 地址。尝试通过 vIDM 登录到 NSX Manager 时,必须以相同的方式在 URL 中指定主机名,也就是说,如果向 vIDM 注册管理器时使用的是 FQDN,则必须在 URL 中使用 FQDN;如果向 vIDM 注册管理器时使用的是 IP 地址,则必须在 URL 中使用 IP 地址。否则,登录将失败。
- vIDM 具有已知的 CA 签名证书。
- vIDM 在 vIDM 服务端信任连接器 CA 证书。
- vIDM 使用出站连接器模式。
如果未使用虚拟 IP 或外部负载均衡器(这意味着管理器是使用节点的物理 IP 或 FQDN 配置的),则必须将 DNS 服务器配置为具有 PTR 记录。
如果您将 vIDM 配置为与外部负载均衡器相集成,则必须在负载均衡器上启用会话持久性,以避免出现无法加载页面或用户意外注销等问题。
如果 vIDM 部署是一个 vIDM 集群,则必须配置 vIDM 负载均衡器以实现 SSL 终止和重新加密功能。
在启用 vIDM 的情况下,如果使用 URL https://<nsx-manager-ip-address>/login.jsp?local=true,您仍然可以使用本地用户帐户登录到 NSX Manager。
如果使用用户主体名称 (User Principal Name, UPN) 登录到 vIDM,则 NSX-T Data Center 身份验证可能会失败。为避免出现此问题,请使用其他类型的凭据,例如,SAM 帐户名称。
如果使用 NSX Cloud,您可以使用 URL https://<csm-ip-address>/login.jsp?local=true 单独登录到 CSM。
前提条件
- 确认您具有来自 vIDM 主机或 vIDM 负载均衡器的证书指纹,证书指纹具体来自何处取决于 vIDM 部署的类型(独立 vIDM 主机或 vIDM 集群)。在这两种情况下,获取指纹的命令相同。请参见从 vIDM 主机中获取证书指纹。
- 确认在 vIDM 中将 NSX Manager 注册为 OAuth 客户端。在注册过程中,请记下客户端 ID 和客户端密码。有关详细信息,请参见 VMware Identity Manager 文档,网址为 https://docs.vmware.com/cn/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html。创建客户端时,只需执行以下操作:
- 将访问类型设置为服务客户端令牌。
- 指定客户端 ID。
- 展开高级字段,然后单击生成共享密钥。
- 单击添加。
NSX Cloud 说明: 如果使用 NSX Cloud,还要确认在 vIDM 中将 CSM 注册为 OAuth 客户端。
