SSO macht vSphere und NSX sicherer, da es die Kommunikation der verschiedenen Komponenten untereinander über einen sicheren Token-Austauschmechanismus ermöglicht. Dadurch ist es nicht mehr nötig, dass jede Komponente einen Benutzer separat authentifizieren muss.

Warum und wann dieser Vorgang ausgeführt wird

Sie können Lookup Service im NSX Manager konfigurieren und die SSO-Administratoranmeldedaten zum Registrieren von NSX Management Service als SSO-Benutzer bereitstellen. Durch das Integrieren des Single Sign On-Diensts (SSO) in NSX wird die Sicherheit der Benutzerauthentifizierung für vCenter-Benutzer erhöht und NSX ermöglicht, Benutzer aus anderen Identitätsdiensten, wie z. B. AD, NIS und LDAP, zu authentifizieren. Mit SSO unterstützt NSX die Authentifizierung mithilfe authentifizierter SAML-Token (Security Assertion Markup Language) einer vertrauenswürdigen Quelle über REST-API-Aufrufe. NSX Manager kann auch Authentifizierungs-SAML-Token für die Verwendung mit anderen VMware-Lösungen erwerben.

NSX speichert Gruppeninformationen für SSO-Benutzer zwischen. Die Weitergabe von Änderungen an Gruppenmitgliedschaften vom Identitätsanbieter (z. B. Active Directory) an NSX kann bis zu 60 Minuten dauern.

Voraussetzungen

  • Sie benötigen zum Verwenden von SSO auf NSX Manager vCenter Server 5.5 oder höher und der Single Sign On-Dienst (SSO-Dienst) muss auf dem vCenter Server installiert sein. Beachten Sie, dass dies für eingebettetes SSO gilt. Ihre Bereitstellung verwendet möglicherweise stattdessen einen externen, zentralisierten SSO-Server.

    Informationen zu den von vSphere bereitgestellten SSO-Diensten finden Sie unter http://kb.vmware.com/kb/2072435 und http://kb.vmware.com/kb/2113115.

  • Der NTP-Server muss angegeben werden, um sicherzugehen, dass die Zeit des SSO-Servers und von NSX Manager synchron sind.

    Beispiel:

Prozedur

  1. Melden Sie sich bei der virtuellen NSX Manager-Appliance an.

    Navigieren Sie in einem Web-Browser zur NSX Manager Appliance-GUI unter https://<nsx-manager-ip> oder https://<nsx-manager-hostname> und melden Sie sich als Administrator mit dem Kennwort an, das Sie bei der Installation von NSX Manager konfiguriert haben.

  2. Melden Sie sich bei der virtuellen NSX Manager-Appliance an.
  3. Klicken Sie auf der Startseite auf Appliance-Einstellungen verwalten (Manage Appliance Settings) > NSX-Verwaltungsdienst (NSX Management Service).
  4. Klicken Sie im Bereich „Lookup Service-URL“ auf Bearbeiten (Edit).
  5. Geben Sie die IP-Adresse oder den Namen des Hosts mit dem Lookup Service ein.
  6. Geben Sie die Portnummer ein.

    Geben Sie Port 443 ein, wenn Sie vSphere 6.0 verwenden. Für vSphere 5.5 verwenden Sie die Portnummer 7444.

    Die URL des Lookup Service wird basierend auf dem angegebenen Host und Port angezeigt.

  7. Geben Sie den Benutzernamen und das Kennwort des SSO-Administrators ein und klicken Sie auf OK.

    Der Fingerabdruck des Zertifikats für den SSO-Server wird angezeigt.

  8. Überprüfen Sie, ob der Fingerabdruck des Zertifikats mit dem des SSO-Serverzertifikats übereinstimmt.

    Wenn Sie auf dem Server der Zertifizierungsstelle ein von der Zertifizierungsstelle signiertes Zertifikat installiert haben, erhalten Sie den Fingerabdruck des von der Zertifizierungsstelle signierten Zertifikats. Anderenfalls erhalten Sie ein selbstsigniertes Zertifikat.

  9. Vergewissern Sie sich, dass der Status von Lookup Service Verbunden (Connected) lautet.

    Beispiel:

Nächste Maßnahme

Siehe „Zuweisen einer Rolle zu einem vCenter-Benutzer“ im Administratorhandbuch für NSX.