SSO macht vSphere und NSX sicherer, da es die Kommunikation der verschiedenen Komponenten untereinander über einen sicheren Token-Austauschmechanismus ermöglicht. Dadurch ist es nicht mehr nötig, dass jede Komponente einen Benutzer separat authentifizieren muss. Sie können Lookup Service im NSX Manager konfigurieren und die SSO-Administratoranmeldedaten zum Registrieren von NSX Management Service als SSO-Benutzer bereitstellen. Durch das Integrieren des Single Sign On-Diensts (SSO) in NSX wird die Sicherheit der Benutzerauthentifizierung für vCenter-Benutzer erhöht und NSX ermöglicht, Benutzer aus anderen Identitätsdiensten, wie z. B. AD, NIS und LDAP, zu authentifizieren.

Vorbereitungen

  • Sie benötigen zum Verwenden von SSO auf NSX Manager vCenter Server 5.5 oder höher und der Single Sign On-Dienst (SSO-Dienst) muss auf dem vCenter Server installiert sein. Beachten Sie, dass dies für eingebettetes SSO gilt. Ihre Bereitstellung verwendet möglicherweise stattdessen einen externen, zentralisierten SSO-Server.

    Informationen zu den von vSphere bereitgestellten SSO-Diensten finden Sie unter http://kb.vmware.com/kb/2072435 und http://kb.vmware.com/kb/2113115.

  • Der NTP-Server muss angegeben werden, um sicherzugehen, dass die Zeit des SSO-Servers und von NSX Manager synchron sind.

    Beispiel:

Warum und wann dieser Vorgang ausgeführt wird

Mit SSO unterstützt NSX die Authentifizierung mithilfe authentifizierter SAML-Token (Security Assertion Markup Language) einer vertrauenswürdigen Quelle über REST-API-Aufrufe. NSX Manager kann auch Authentifizierungs-SAML-Token für die Verwendung mit anderen VMware-Lösungen erwerben.

NSX speichert Gruppeninformationen für SSO-Benutzer zwischen. Die Weitergabe von Änderungen an Gruppenmitgliedschaften vom Identitätsanbieter (z. B. Active Directory) an NSX kann bis zu 60 Minuten dauern.

Prozedur

  1. Melden Sie sich bei der virtuellen NSX Manager-Appliance an.

    Navigieren Sie in einem Web-Browser zur NSX Manager Appliance-GUI unter https://<nsx-manager-ip> oder https://<nsx-manager-hostname> und melden Sie sich als Administrator mit dem Kennwort an, das Sie bei der Installation von NSX Manager konfiguriert haben.

  2. Klicken Sie auf die Registerkarte Verwalten (Manage) und anschließend auf NSX Management Service .
  3. Geben Sie die IP-Adresse oder den Namen des Hosts mit dem Lookup Service ein.

    Wenn Sie den Lookup Service mithilfe von vCenter durchführen, geben Sie die IP-Adresse oder den Hostnamen von vCenter Server sowie den Benutzernamen und das Kennwort von vCenter Server ein.

  4. Geben Sie die Portnummer ein.

    Geben Sie Port 443 ein, wenn Sie vSphere 6.0 verwenden. Für vSphere 5.5 verwenden Sie die Portnummer 7444.

    Die URL des Lookup Service wird basierend auf dem angegebenen Host und Port angezeigt.

    Beispiel:

  5. Überprüfen Sie, dass der Fingerabdruck des Zertifikats mit dem des vCenter Server-Zertifikats übereinstimmt.

    Wenn Sie auf dem Server der Zertifizierungsstelle ein von der Zertifizierungsstelle signiertes Zertifikat installiert haben, erhalten Sie den Fingerabdruck des von der Zertifizierungsstelle signierten Zertifikats. Anderenfalls erhalten Sie ein selbstsigniertes Zertifikat.

  6. Vergewissern Sie sich, dass der Status von Lookup Service Verbunden (Connected) lautet.

    Beispiel:

Nächste Maßnahme

Weisen Sie dem SSO-Benutzer eine Rolle zu.