SSO 可提高 vSphere 和 NSX 的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证。

关于此任务

可以在 NSX Manager 上配置 Lookup Service,并提供 SSO 管理员凭据以便以 SSO 用户的身份注册 NSX Management Service。将 Single Sign On (SSO) 服务与 NSX 集成在一起可提高 vCenter 用户进行用户身份验证的安全性,并使 NSX 可以通过诸如 AD、NIS 和 LDAP 等其他标识服务对用户进行身份验证。借助 SSO,NSX 可支持通过 REST API 调用使用受信任源的已验证安全断言标记语言 (SAML) 令牌来进行身份验证。NSX Manager 还可以获取身份验证 SAML 令牌供其他 VMware 解决方案使用。

SSO 用户的 NSX 缓存组信息。对组成员资格进行的更改最多将花费 60 分钟的时间从标识提供程序(例如 Active Directory)传播到 NSX。

先决条件

  • 要在 NSX Manager 上使用 SSO,您必须拥有 vCenter Server 5.5 或更高版本,并且必须在 vCenter Server 上安装 Single Sign On (SSO) 身份验证服务。请注意,这是针对嵌入式 SSO。您的部署可能使用外部集中式 SSO 服务器。

    有关 vSphere 提供的 SSO 服务的信息,请参见 http://kb.vmware.com/kb/2072435http://kb.vmware.com/kb/2113115

  • 必须指定 NTP 服务器,以使 SSO 服务器上的时间与 NSX Manager 上的时间保持同步。

    例如:

过程

  1. 登录到 NSX Manager 虚拟设备。

    在 Web 浏览器中,导航到 NSX Manager 设备 GUI(位于 https://<nsx-manager-ip> 或 https://<nsx-manager-hostname>),然后以管理员身份使用您在 NSX Manager 安装期间配置的密码登录。

  2. 登录到 NSX Manager 虚拟设备。
  3. 从主页中,单击管理设备设置 (Manage Appliance Settings) > NSX 管理服务 (NSX Management Service)
  4. 在 Lookup Service URL 部分单击编辑 (Edit)
  5. 输入装有 Lookup Service 的主机的名称或 IP 地址。
  6. 输入端口号。

    如果使用 vSphere 6.0 则输入端口 443。对于 vSphere 5.5,使用端口号 7444。

    系统将根据指定的主机和端口显示 Lookup Service URL。

  7. 输入 SSO 管理员用户名和密码,然后单击确定 (OK)

    将显示 SSO 服务器的证书指纹。

  8. 检查证书指纹是否与 SSO 服务器的证书匹配。

    如果在 CA 服务器上安装了 CA 签名证书,您将获得该 CA 签名证书的指纹。否则,您将获得自签名证书。

  9. 确认 Lookup Service 状态为已连接 (Connected)

    例如:

下一步做什么

请参见NSX 管理指南中的“将角色分配给 vCenter 用户”。