可以将 NSX 与 VMware Identity Manager (vIDM) 集成,vIDM 可提供身份管理服务。vIDM 部署可以是一个独立的 vIDM 主机,也可以是一个 vIDM 集群。

注意:VMware Identity Manager 的新产品名称为 VMware Workspace ONE Access。

vIDM 主机或所有 vIDM 集群组件应具有证书颁发机构 (CA) 签名的证书。否则,使用某些浏览器(例如 Microsoft Edge 或 Internet Explorer 11)可能无法从 NSX Manager 登录到 vIDM。有关在 vIDM 上安装 CA 签名证书的信息,请参见 VMware Identity Manager 文档,网址为 https://docs.vmware.com/cn/VMware-Identity-Manager/index.html

在向 vIDM 注册 NSX Manager 时,指定指向 NSX Manager 的重定向 URI。可以提供完全限定域名 (FQDN) 或 IP 地址。请务必记住使用的是 FQDN 还是 IP 地址。尝试通过 vIDM 登录到 NSX Manager 时,必须以相同的方式在 URL 中指定主机名,也就是说,如果向 vIDM 注册管理器时使用的是 FQDN,则必须在 URL 中使用 FQDN;如果向 vIDM 注册管理器时使用的是 IP 地址,则必须在 URL 中使用 IP 地址。否则,登录将失败。

如果需要 NSX API 访问权限,则必须具备以下某项配置:
  • vIDM 具有已知的 CA 签名证书。
  • vIDM 在 vIDM 服务端信任连接器 CA 证书。
  • vIDM 使用出站连接器模式。
注: NSX Manager 和 vIDM 必须位于同一时区。建议的方法是使用 UTC。

如果未使用虚拟 IP 或外部负载均衡器(这意味着管理器是使用节点的物理 IP 或 FQDN 配置的),则必须将 DNS 服务器配置为具有 PTR 记录。

如果您将 vIDM 配置为与外部负载均衡器相集成,则必须在负载均衡器上启用会话持久性,以避免出现无法加载页面或用户意外注销等问题。

如果 vIDM 部署是一个 vIDM 集群,则必须配置 vIDM 负载均衡器以实现 SSL 终止和重新加密功能。

在启用 vIDM 的情况下,如果使用 URL https://<nsx-manager-ip-address>/login.jsp?local=true,您仍然可以使用本地用户帐户登录到 NSX Manager

如果使用用户主体名称 (User Principal Name, UPN) 登录到 vIDM,则 NSX 身份验证可能会失败。为避免出现此问题,请使用其他类型的凭据,例如,SAM 帐户名称。

前提条件

  • 确认您具有来自 vIDM 主机或 vIDM 负载均衡器的证书指纹,证书指纹具体来自何处取决于 vIDM 部署的类型(独立 vIDM 主机或 vIDM 集群)。在这两种情况下,获取指纹的命令相同。请参见从 vIDM 主机中获取证书指纹
  • 确认在 vIDM 中将 NSX Manager 注册为 OAuth 客户端。在注册过程中,请记下客户端 ID 和客户端密码。有关详细信息,请参见 VMware Identity Manager 文档,网址为 https://docs.vmware.com/cn/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html。创建客户端时,只需执行以下操作:
    • 访问类型设置为服务客户端令牌
    • 指定客户端 ID。
    • 展开高级字段,然后单击生成共享密钥
    • 单击添加

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择系统 > 用户管理 > 身份验证提供程序 > VMware Identity Manager
  3. 单击编辑
  4. 要启用外部负载均衡器集成,请单击外部负载均衡器集成切换按钮。
    注: 如果您设置了虚拟 IP (Virtual IP, VIP)(请检查 系统 > 设备 > 虚拟 IP),则无法使用 外部负载均衡器集成(即使启用了该集成也是如此)。这是因为,在配置 vIDM 时您可以具有 VIP 或外部负载均衡器,但不能同时具有两者。如果要使用外部负载均衡器,请禁用 VIP。有关详细信息,请参见 NSX 安装指南中的 配置集群的虚拟 IP (VIP) 地址
  5. 要启用 VMware Identity Manager 集成,请单击 VMware Identity Manager 集成切换按钮。
  6. 提供以下信息。
    参数 描述
    VMware Identity Manager 设备 vIDM 主机或 vIDM 负载均衡器的完全限定域名 (FQDN),具体取决于 vIDM 部署的类型(独立 vIDM 主机或 vIDM 集群)。
    OAuth 客户端 ID 在 vIDM 中注册 NSX Manager 时创建的 ID。
    OAuth 客户端密码 在 vIDM 中注册 NSX Manager 时创建的密码。
    SSL 指纹 vIDM 主机的证书指纹。它必须是 SHA-256 指纹。
    NSX 设备 NSX Manager 的 IP 地址或完全限定域名 (FQDN)。如果使用的是 NSX Manager 集群,请使用负载均衡器 FQDN 或集群 VIP FQDN 或 IP 地址。如果您指定 FQDN,则必须在 URL 中使用管理器的 FQDN 从浏览器访问 NSX Manager,如果您指定 IP 地址,则必须在 URL 中使用 IP 地址。或者,vIDM 管理员可以配置 NSX Manager 客户端,以便使用 FQDN 或 IP 地址进行连接。
  7. 单击保存 (Save)