Sie können NSX in VMware Identity Manager (vIDM) integrieren, der Identitätsverwaltungsdienste bereitstellt. Bei der vIDM-Bereitstellung kann es sich um einen eigenständigen vIDM-Host oder einen vIDM-Cluster handeln.
Hinweis: Der neue Produktname für VMware Identity Manager ist VMware Workspace ONE Access.
Der vIDM-Host oder alle vIDM-Cluster-Komponenten sollten über ein von einer Zertifizierungsstelle signiertes Zertifikat verfügen. Andernfalls funktioniert die Anmeldung bei vIDM über den NSX Manager möglicherweise nicht mit bestimmten Browsern wie Microsoft Edge oder Internet Explorer 11. Informationen zum Installieren eines von einer Zertifizierungsstelle signierten Zertifikats auf vIDM finden Sie in der VMware Identity Manager-Dokumentation unter https://docs.vmware.com/de/VMware-Identity-Manager/index.html.
Wenn Sie NSX Manager bei vIDM registrieren, geben Sie einen Umleitungs-URI an, der auf NSX Manager verweist. Sie können entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Merken Sie sich unbedingt, ob Sie den FQDN oder die IP-Adresse verwenden. Bei dem Versuch, sich über vIDM bei NSX Manager anzumelden, müssen Sie den Hostnamen in der URL in derselben Weise angeben. Das heißt, wenn Sie den FQDN beim Registrieren von NSX Manager bei vIDM verwenden, müssen Sie den FQDN in der URL verwenden. Verwenden Sie hingegen die IP-Adresse bei der Registrierung von NSX Manager bei vIDM, müssen Sie die IP-Adresse auch in der URL verwenden. Die Anmeldung schlägt sonst fehl.
- vIDM verfügt über ein bekanntes, von der Zertifizierungsstelle signiertes Zertifikat.
- vIDM hat das Connector-CA-Zertifikat auf der vIDM-Dienstseite als vertrauenswürdig eingestuft.
- vIDM verwendet den ausgehenden Connector-Modus.
Sie müssen Ihre DNS-Server so konfigurieren, dass sie über PTR-Datensätze verfügen, wenn Sie keine virtuelle IP oder einen externen Load Balancer verwenden. (Dies bedeutet, dass der Manager mit der physischen IP-Adresse oder dem FQDN des Knotens konfiguriert ist).
Wenn Sie vIDM so konfigurieren, dass er in einen externen Load Balancer integriert wird, müssen Sie die Sitzungspersistenz im Load Balancer aktivieren, um Probleme zu vermeiden, wie Seiten, die nicht geladen werden, oder Benutzer, die unerwartet abgemeldet werden.
Wenn es sich bei der vIDM-Bereitstellung um einen vIDM-Cluster handelt, muss der vIDM-Load Balancer für die SSL-Beendigung und die erneute Verschlüsselung konfiguriert werden.
Wenn vIDM aktiviert ist, können Sie sich weiterhin bei NSX Manager mit einem lokalen Benutzerkonto anmelden, falls Sie die URL https://<nsx-manager-ip-address>/login.jsp?local=true
verwenden.
Wenn Sie sich mit dem UserPrincipalName (UPN) bei vIDM anmelden, schlägt die Authentifizierung bei NSX möglicherweise fehl. Um dieses Problem zu vermeiden, verwenden Sie einen anderen Anmeldeinformationstyp, z. B. SAMAccountName.
Wenn Sie NSX Cloud verwenden, können Sie sich mit der URL https://<csm-ip-address>/login.jsp?local=true
separat bei CSM anmelden.
Voraussetzungen
- Stellen Sie sicher, dass Sie den Zertifikatfingerabdruck vom vIDM-Host oder vom vIDM-Load Balancer haben, je nach Typ der vIDM-Bereitstellung (ein eigenständiger vIDM-Host oder ein vIDM-Cluster). Der Befehl zum Abrufen des Fingerabdrucks ist in beiden Fällen identisch. Siehe Abrufen des Certificate Thumbprint von einem vIDM-Host.
- Stellen Sie sicher, dass NSX Manager als OAuth-Client für den vIDM-Host registriert ist. Notieren Sie sich während der Registrierung die Client-ID und den geheimen Client-Schlüssel. Weitere Informationen finden Sie in der VMware Identity Manager-Dokumentation unter https://docs.vmware.com/de/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Wenn Sie den Client erstellen, müssen Sie nur Folgendes durchführen:
- Legen Sie für das Feld Zugriffstyp die Option Service-Client-Token fest.
- Geben Sie eine Client-ID an.
- Erweitern Sie das Feld Erweitert und klicken Sie auf Gemeinsamen geheimen Schlüssel generieren.
- Klicken Sie auf Hinzufügen.
Hinweis zu NSX Cloud: Wenn Sie NSX Cloud verwenden, stellen Sie außerdem sicher, dass CSM als OAuth-Client für vIDM registriert ist.