NSX se puede integrar con VMware Identity Manager (vIDM), que proporciona servicios de administración de identidades. La implementación de vIDM puede ser un host vIDM independiente o un clúster de vIDM.

Nota: El nuevo nombre de producto de VMware Identity Manager es VMware Workspace ONE Access.

El host vIDM o todos los componentes del clúster de vIDM deben tener un certificado firmado por una entidad de certificación (CA). De lo contrario, es posible que no se pueda iniciar sesión en vIDM desde NSX Manager en algunos exploradores, como Microsoft Edge o Internet Explorer 11. Para obtener información sobre cómo instalar un certificado firmado por una entidad de certificación en vIDM, consulte la documentación de VMware Identity Manager en https://docs.vmware.com/es/VMware-Identity-Manager/index.html.

Al registrar NSX Manager con vIDM, se especifica un URI de redireccionamiento que apunta a NSX Manager. Puede proporcionar el nombre de dominio completo (Fully Qualified Domain Name, FQDN) o la dirección IP. Es importante que recuerde si utiliza el FQDN o la dirección IP. Cuando intente iniciar sesión en NSX Manager a través de vIDM, debe especificar el nombre de host en la dirección URL del mismo modo: es decir, si se utiliza el FQDN al registrar la instancia de Manager con vIDM, debe utilizar el FQDN en la URL, y si utiliza la dirección IP al registrar la instancia de Manager con vIDM, debe utilizar la dirección IP en la dirección URL. De lo contrario, se producirá un error en el inicio de sesión.

Si se necesita acceso a la API de NSX, una de las siguientes configuraciones debe ser verdadera:
  • vIDM tiene un certificado conocido firmado por una CA.
  • vIDM tiene el certificado de CA del conector de confianza en el lado del servicio vIDM.
  • vIDM utiliza el modo de conector de salida.
Nota: Las instancias de NSX Manager y vIDM deben estar en la misma zona horaria. Se recomienda usar UTC.

Debe configurar los servidores DNS para que tengan registros PTR si no utiliza una IP virtual o un equilibrador de carga externo (esto significa que la instancia de Manager está configurada con la IP física o el FQDN del nodo).

Si configura vIDM para que se integre con un equilibrador de carga externo, debe habilitar la persistencia de sesión en el equilibrador de carga para evitar problemas como páginas que no se cargan o un usuario que cierra la sesión de forma inesperada.

Si la implementación de vIDM es un clúster de vIDM, el equilibrador de carga de vIDM debe estar configurado para la terminación y reencriptación de SSL.

Si vIDM está habilitado, puede seguir iniciando sesión en NSX Manager con una cuenta de usuario local a través de la URL https://<nsx-manager-ip-address>/login.jsp?local=true.

Si utiliza UserPrincipalName (UPN) para iniciar sesión en vIDM, es posible que no pueda autenticarse en NSX. Para evitar este problema, utilice otro tipo de credenciales, por ejemplo, SAMAccountName.

Requisitos previos

  • Compruebe que dispone de la huella digital del certificado del host de vIDM o del equilibrador de carga de vIDM, en función del tipo de implementación de vIDM (un host de vIDM independiente o un clúster de vIDM). El comando para obtener la huella digital es el mismo en ambos casos. Consulte Obtener la huella digital del certificado desde un host de vIDM.
  • Compruebe que NSX Manager está registrado como un cliente OAuth en vIDM. Durante el proceso de registro, anote el ID y el secreto del cliente. Para obtener más información, consulte la documentación de VMware Identity Manager en https://docs.vmware.com/es/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Al crear el cliente, solo es necesario realizar las siguientes acciones:
    • En Tipo de acceso, establezca el valor Token de cliente de servicio.
    • Especifique un identificador de cliente.
    • Expanda el campo Avanzado y haga clic en Generar secreto compartido.
    • Haga clic en Agregar.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Sistema > Administración de usuarios > Proveedores de autenticación > VMware Identity Manager
  3. Haga clic en Editar.
  4. Para habilitar la integración del equilibrador de carga externo, haga clic en el botón de alternancia Integración del equilibrador de carga externo.
    Nota: Si tiene la IP virtual (VIP) configurada (compruebe Sistema > Dispositivos > IP virtual), no podrá utilizar la Integración de equilibrador de carga externo, aunque la habilite. Esto se debe a que puede tener la IP virtual o el equilibrador de carga externo mientras configura vIDM, pero no ambos. Deshabilite la IP virtual si desea utilizar el equilibrador de carga externo. Puede consultar más información en la sección Configurar una dirección IP virtual para un clúster de la Guía de instalación de NSX.
  5. Para habilitar la integración de VMware Identity Manager, haga clic en el botón de alternancia Integración con VMware Identity Manager.
  6. Proporcione la siguiente información.
    Parámetro Descripción
    Dispositivo de VMware Identity Manager El nombre de dominio completo (FQDN) del host de vIDM o del equilibrador de carga de vIDM, en función del tipo de implementación de vIDM (un host de vIDM independiente o un clúster de vIDM).
    Identificador de cliente OAuth El identificador que se crea al registrar NSX Manager en vIDM.
    Secreto de cliente OAuth El secreto que se crea al registrar NSX Manager en vIDM.
    Huella digital de SSL La huella digital del certificado del host de vIDM. Debe ser una huella digital SHA-256.
    Dispositivo de NSX La dirección IP o el nombre de dominio completo (FQDN) de NSX Manager. Si utiliza un clúster de NSX Manager, use el FQDN del equilibrador de carga, o bien la dirección IP o el FQDN de la dirección VIP del clúster. Si especifica un FQDN, debe acceder a NSX Manager desde un explorador utilizando el FQDN del administrador en la URL. Si especifica una dirección IP, debe utilizar la dirección IP en la URL. Opcionalmente, el administrador de vIDM puede configurar el cliente de NSX Manager para que pueda conectarse usando el FQDN o la dirección IP.
  7. Haga clic en Guardar.