NSX Manager 支持在多种不同的身份验证类型上使用单点登录 (SSO),并且允许用户轻松登录。
从 NSX 4.1.2 开始,OpenID Connect (OIDC) OAuth 2.0 工作流涉及将用户重定向到外部身份提供程序 (IDP)。
本主题介绍了以下身份验证类型支持的
NSX 登录和注销过程:
- 本地身份验证:用户使用 Unified Appliance 上的 PAM 堆栈进行身份验证。
- LDAP:用户使用 LDAP 服务(Microsoft Active Directory或 OpenLDAP)进行身份验证。
- VMware Identity Manager (vIDM):用户使用 vIDM 实例进行身份验证。vIDM 现在称为 Workspace ONE Access,但功能保持不变。用户通常会配置一个 vIDM 连接器,用于连接其 Active Directory。
- OIDC:用户使用基于 OAuth2 协议构建的简单安全层进行身份验证。VMware Identity Manager、Workspace ONE Access 和 VMware Cloud Services Platform (CSP) 都会实施 OIDC。
下表介绍了支持的身份验证方法的登录行为。
当用户访问 NSX 并且用户浏览器没有有效的会话 Cookie 时,发生的行为将取决于所配置的身份验证方法和部署类型。
| 已配置身份验证方法 | 部署类型 | 操作 | 备注 |
|---|---|---|---|
| 无(仅限本地身份验证) | 内部部署、PCI 模式下的 VMC/AWS | 显示本地登录页面。 | |
| LDAP + 本地身份验证 | 内部部署 | 显示本地登录页面。用户在其登录名后面附加“@domain”以指定 LDAP 帐户。 | |
| vIDM + 本地身份验证 | 内部部署 | 重定向到 vIDM 登录页面。 | 从浏览器中,以本地用户身份登录到 NSX Manager(网址为 https://nsx-manager-ip-address/login.jsp?idp=local)。为了实现向后兼容性,请将相应部分替换为“login.jsp?local=true”,以显示本地登录页面。 |
| LDAP + vIDM + 本地身份验证 | 内部部署 | 重定向到 vIDM 登录页面。 | 从浏览器中,以本地用户或 LDAP 用户身份登录到 NSX Manager(网址为 https://nsx-manager-ip-address/login.jsp?idp=local)。为了实现向后兼容性,请将相应部分替换为“login.jsp?local=true”,以显示本地登录页面。 |
| OIDC + 本地身份验证 | 内部部署 | 显示欢迎页面。 | 用户选择帐户名称,或者使用可重定向到 OIDC 提供程序的另一个帐户登录。 包括使用本地链接登录。用户可选择从浏览器中登录到 NSX Manager(网址为 https://nsx-manager-ip-address/login.jsp?idp=local),以显示本地登录页面。 |
| 仅 OIDC(用户无法使用本地身份验证) | 内部部署 | 显示欢迎页面。 | 不包括使用本地链接登录。 用户选择帐户名称,或者使用可重定向到 OIDC 提供程序的另一个帐户登录。 |
| OIDC + LDAP + 本地身份验证 | 内部部署 | 显示欢迎页面。 | 包括使用本地链接或 LDAP 链接登录。从浏览器中,登录到 NSX Manager(网址为 https://nsx-manager-ip-address/login.jsp?idp=local),以显示本地登录页面。 |
