Sie können NSX in VMware Identity Manager (vIDM) integrieren, der Identitätsverwaltungsdienste bereitstellt. Bei der vIDM-Bereitstellung kann es sich um einen eigenständigen vIDM-Host oder einen vIDM-Cluster handeln.

Hinweis: Der neue Produktname für VMware Identity Manager ist VMware Workspace ONE Access.

Der vIDM-Host oder alle vIDM-Cluster-Komponenten sollten über ein von einer Zertifizierungsstelle signiertes Zertifikat verfügen. Andernfalls funktioniert die Anmeldung bei vIDM über den NSX Manager möglicherweise nicht mit bestimmten Browsern wie Microsoft Edge oder Internet Explorer 11. Informationen zum Installieren eines von einer Zertifizierungsstelle signierten Zertifikats auf vIDM finden Sie in der VMware Identity Manager-Dokumentation unter https://docs.vmware.com/de/VMware-Identity-Manager/index.html.

Wenn Sie NSX Manager bei vIDM registrieren, geben Sie einen Umleitungs-URI an, der auf NSX Manager verweist. Sie können entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Merken Sie sich unbedingt, ob Sie den FQDN oder die IP-Adresse verwenden. Bei dem Versuch, sich über vIDM bei NSX Manager anzumelden, müssen Sie den Hostnamen in der URL in derselben Weise angeben. Das heißt, wenn Sie den FQDN beim Registrieren von NSX Manager bei vIDM verwenden, müssen Sie den FQDN in der URL verwenden. Verwenden Sie hingegen die IP-Adresse bei der Registrierung von NSX Manager bei vIDM, müssen Sie die IP-Adresse auch in der URL verwenden. Die Anmeldung schlägt sonst fehl.

Wenn NSX-API-Zugriff erforderlich ist, muss eine der folgenden Konfigurationen wahr sein:
  • vIDM verfügt über ein bekanntes, von der Zertifizierungsstelle signiertes Zertifikat.
  • vIDM hat das Connector-CA-Zertifikat auf der vIDM-Dienstseite als vertrauenswürdig eingestuft.
  • vIDM verwendet den ausgehenden Connector-Modus.
Hinweis: NSX Manager und vIDM müssen sich in derselben Zeitzone befinden. Die empfohlene Vorgehensweise ist die Verwendung von UTC.

Sie müssen Ihre DNS-Server so konfigurieren, dass sie über PTR-Datensätze verfügen, wenn Sie keine virtuelle IP oder einen externen Load Balancer verwenden. (Dies bedeutet, dass der Manager mit der physischen IP-Adresse oder dem FQDN des Knotens konfiguriert ist).

Wenn Sie vIDM so konfigurieren, dass er in einen externen Load Balancer integriert wird, müssen Sie die Sitzungspersistenz im Load Balancer aktivieren, um Probleme zu vermeiden, wie Seiten, die nicht geladen werden, oder Benutzer, die unerwartet abgemeldet werden.

Wenn es sich bei der vIDM-Bereitstellung um einen vIDM-Cluster handelt, muss der vIDM-Load Balancer für die SSL-Beendigung und die erneute Verschlüsselung konfiguriert werden.

Wenn vIDM aktiviert ist, können Sie sich weiterhin bei NSX Manager mit einem lokalen Benutzerkonto anmelden, falls Sie die URL https://<nsx-manager-ip-address>/login.jsp?local=true verwenden.

Wenn Sie sich mit dem UserPrincipalName (UPN) bei vIDM anmelden, schlägt die Authentifizierung bei NSX möglicherweise fehl. Um dieses Problem zu vermeiden, verwenden Sie einen anderen Anmeldeinformationstyp, z. B. SAMAccountName.

Wenn Sie NSX Cloud verwenden, können Sie sich mit der URL https://<csm-ip-address>/login.jsp?local=true separat bei CSM anmelden.

Voraussetzungen

  • Stellen Sie sicher, dass Sie den Zertifikatfingerabdruck vom vIDM-Host oder vom vIDM-Load Balancer haben, je nach Typ der vIDM-Bereitstellung (ein eigenständiger vIDM-Host oder ein vIDM-Cluster). Der Befehl zum Abrufen des Fingerabdrucks ist in beiden Fällen identisch. Siehe Abrufen des Certificate Thumbprint von einem vIDM-Host.
  • Stellen Sie sicher, dass NSX Manager als OAuth-Client für den vIDM-Host registriert ist. Notieren Sie sich während der Registrierung die Client-ID und den geheimen Client-Schlüssel. Weitere Informationen finden Sie in der VMware Identity Manager-Dokumentation unter https://docs.vmware.com/de/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Wenn Sie den Client erstellen, müssen Sie nur Folgendes durchführen:
    • Legen Sie für das Feld Zugriffstyp die Option Service-Client-Token fest.
    • Geben Sie eine Client-ID an.
    • Erweitern Sie das Feld Erweitert und klicken Sie auf Gemeinsamen geheimen Schlüssel generieren.
    • Klicken Sie auf Hinzufügen.
    Hinweis zu NSX Cloud: Wenn Sie NSX Cloud verwenden, stellen Sie außerdem sicher, dass CSM als OAuth-Client für vIDM registriert ist.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie System > Benutzerverwaltung > Authentifizierungsanbieter > VMware Identity Manager aus.
  3. Klicken Sie auf Bearbeiten.
  4. Klicken Sie zum Aktivieren der Integration externer Load Balancer auf die Umschaltfläche Integration des externen Load Balancers.
    Hinweis: Wenn Sie eine virtuelle IP (VIP) eingerichtet haben (überprüfen Sie System > Anwendungen > Virtuelle IP), können Sie die Integration des externen Load Balancers auch dann nicht verwenden, wenn Sie sie aktivieren. Dies liegt daran, dass entweder die VIP oder der externe Load Balancer aktiv sein kann, während Sie vIDM konfigurieren, aber nicht beides. Deaktivieren Sie VIP, wenn Sie den externen Load Balancer verwenden möchten. Weitere Informationen finden Sie unter Konfigurieren einer virtuellen IP-Adresse (VIP) für einen Cluster im Installationshandbuch für NSX.
  5. Klicken Sie zum Aktivieren der Integration von VMware Identity Manager auf die Umschaltfläche VMware Identity Manager-Integration.
  6. Geben Sie die folgenden Informationen an.
    Parameter Beschreibung
    VMware Identity Manager-Appliance Der vollqualifizierte Domänenname (FQDN) des vIDM-Hosts oder des vIDM-Load Balancers, je nach Typ der vIDM-Bereitstellung (ein eigenständiger vIDM-Host oder ein vIDM-Cluster).
    OAuth-Client-ID Die ID, die beim Registrieren von NSX Manager für vIDM erstellt wird.
    OAuth-Client-Secret Der geheime Schlüssel, der beim Registrieren von NSX Manager für vIDM erstellt wird.
    SSL-Fingerabdruck Der Certificate Thumbprint des Zertifikats für den vIDM-Host. Es muss sich um einen SHA-256-Fingerabdruck handeln.
    NSX-Appliance Die IP-Adresse oder der vollqualifizierte Domänenname (FQDN) von NSX Manager. Wenn Sie einen NSX Manager-Cluster nutzen, verwenden Sie den FQDN des Load Balancer, den VIP-FQDN oder die IP-Adresse des Clusters. Wenn Sie einen FQDN angeben, müssen Sie über einen Browser mit dem FQDN des Managers in der URL auf NSX Manager zugreifen, und wenn Sie eine IP-Adresse angeben, müssen Sie die IP-Adresse in der URL verwenden. Alternativ dazu kann der vIDM-Administrator den NSX Manager-Client so konfigurieren, dass die Verbindung entweder über den FQDN oder über die IP-Adresse hergestellt werden kann.
  7. Klicken Sie auf Speichern.
  8. Wenn Sie NSX Cloud verwenden, wiederholen Sie die Schritte 1 bis 8 von der CSM-Appliance, indem Sie sich bei CSM statt bei NSX Manager anmelden.