SSO macht vSphere und NSX Data Center for vSphere sicherer, da es die Kommunikation der verschiedenen Komponenten untereinander über einen sicheren Token-Austauschmechanismus ermöglicht. Dadurch ist es nicht mehr nötig, dass jede Komponente einen Benutzer separat authentifizieren muss.

Sie können Lookup Service im NSX Manager konfigurieren und die SSO-Administratoranmeldedaten zum Registrieren von NSX Management Service als SSO-Benutzer bereitstellen. Durch die Integration des Single Sign On-Diensts (SSO) in NSX Data Center for vSphere wird die Sicherheit der Benutzerauthentifizierung für vCenter-Benutzer erhöht und NSX Data Center for vSphere befähigt, Benutzer aus anderen Identitätsdiensten wie AD, NIS und LDAP zu authentifizieren. Mit SSO unterstützt NSX Data Center for vSphere die Authentifizierung mithilfe authentifizierter SAML-Token (Security Assertion Markup Language) einer vertrauenswürdigen Quelle über REST-API-Aufrufe. NSX Manager kann auch Authentifizierungs-SAML-Token für die Verwendung mit anderen VMware-Lösungen erwerben.

NSX Data Center for vSphere speichert Gruppeninformationen für SSO-Benutzer zwischen. Die Weitergabe von Änderungen an Gruppenmitgliedschaften vom Identitätsanbieter (z. B. Active Directory) an NSX Data Center for vSphere kann bis zu 60 Minuten dauern.

Voraussetzungen

  • Zum Verwenden von SSO für NSX Manager ist vCenter Server 6.0 oder höher erforderlich und der Authentifizierungsdienst für Single Sign-On (SSO) muss auf dem vCenter Server installiert sein. Beachten Sie, dass dies für eingebettetes SSO gilt. Ihre Bereitstellung verwendet möglicherweise stattdessen einen externen, zentralisierten SSO-Server.

    Informationen über die von vSphere bereitgestellten SSO-Dienste finden Sie in der Dokumentation zur Platform Services Controller-Verwaltung.

    Wichtig: Sie müssen die NSX Manager-Appliance so konfigurieren, dass dieselbe SSO-Konfiguration verwendet wird wie für das zugehörige vCenter Server-System.
  • Der NTP-Server muss angegeben werden, damit die Zeit des SSO-Servers und die Zeit von NSX Manager synchron sind.

    Beispiel:

    Seite mit Uhrzeiteinstellungen zeigt die Konfiguration des NTP-Servers.

Prozedur

  1. Melden Sie sich bei der virtuellen NSX Manager-Appliance an.
    Navigieren Sie in einem Webbrowser zur NSX Manager-Appliance-GUI unter https://<nsx-manager-ip> oder https://<nsx-manager-hostname> und melden Sie sich als Admin oder mit einem Konto mit der Rolle Enterprise-Administrator an.
  2. Melden Sie sich bei der virtuellen NSX Manager-Appliance an.
  3. Klicken Sie auf der Startseite auf Appliance-Einstellungen verwalten (Manage Appliance Settings) > NSX-Verwaltungsdienst (NSX Management Service).
  4. Klicken Sie im Bereich „Lookup Service-URL“ auf Bearbeiten (Edit).
  5. Geben Sie die IP-Adresse oder den Namen des Hosts mit dem Lookup Service ein.
  6. Geben Sie die Portnummer ein.

    Wenn Sie vSphere 6.0 oder höher verwenden, geben Sie Port 443 ein.

    Die URL des Lookup Service wird basierend auf dem angegebenen Host und Port angezeigt.
  7. Geben Sie den Benutzernamen und das Kennwort des SSO-Administrators ein und klicken Sie auf OK.
    Der Fingerabdruck des Zertifikats für den SSO-Server wird angezeigt.
  8. Überprüfen Sie, ob der Fingerabdruck des Zertifikats mit dem des SSO-Serverzertifikats übereinstimmt.

    Wenn Sie auf dem Server der Zertifizierungsstelle ein von der Zertifizierungsstelle signiertes Zertifikat installiert haben, erhalten Sie den Fingerabdruck des von der Zertifizierungsstelle signierten Zertifikats. Anderenfalls erhalten Sie ein selbstsigniertes Zertifikat.

  9. Vergewissern Sie sich, dass der Status von Lookup Service Verbunden (Connected) lautet.

Nächste Maßnahme

Siehe „Zuweisen einer Rolle zu einem vCenter-Benutzer“ im Administratorhandbuch für NSX.