SSO renforce la sécurité de vSphere et NSX Data Center for vSphere en autorisant les divers composants à communiquer entre eux par le biais d'un mécanisme sécurisé d'échange de jetons au lieu d'exiger que chaque composant authentifie un utilisateur séparément.

Vous pouvez configurer Lookup Service sur l'instance de NSX Manager et fournir les informations de connexion de l'administrateur SSO pour enregistrer le service de gestion NSX en tant qu'utilisateur SSO. L'intégration du service SSO (Single Sign-On) à NSX Data Center for vSphere améliore la sécurité de l'authentification des utilisateurs vCenter et permet à NSX Data Center for vSphere d'authentifier ces derniers à partir d'autres services d'identité tels qu'AD, NIS et LDAP. Avec SSO, NSX Data Center for vSphere prend en charge l'authentification à l'aide de jetons SAML (Security Assertion Markup Language) authentifiés provenant d'une source approuvée via des appels REST API. NSX Manager peut également acquérir des jetons d'authentification SAML à utiliser avec d'autres solutions VMware.

NSX Data Center for vSphere met en cache les informations de groupe pour les utilisateurs SSO. Les modifications apportées aux appartenances à un groupe se propagent en 60 minutes du fournisseur d'identité (par exemple, Active Directory) à NSX Data Center for vSphere.

Conditions préalables

  • Pour utiliser SSO sur NSX Manager, vous devez disposer de vCenter Server 6.0 ou version ultérieure. En outre, le service d'authentification SSO doit être installé sur vCenter Server. Notez que cela s'applique à la version intégrée de SSO. À la place, votre déploiement peut utiliser un serveur SSO centralisé externe.

    Pour plus d'informations sur les services SSO fournis par vSphere, consultez la documentation Administration de Platform Services Controller.

    Important : Vous devez configurer le dispositif NSX Manager afin qu'il utilise la même configuration SSO que celle utilisée sur le système vCenter Server associé.
  • Le serveur NTP doit être spécifié de sorte que l'heure du serveur SSO et l'heure de NSX Manager soient synchronisées.

    Par exemple :

    La page Paramètres de l'heure affiche la configuration du serveur NTP.

Procédure

  1. Connectez-vous au dispositif virtuel NSX Manager.
    Dans un navigateur Web, accédez à l'interface utilisateur graphique du dispositif NSX Manager à l'adresse https://<adresse-ip-nsx-manager> ou https://<nom-hôte-nsx-manager> et connectez-vous en tant qu' administrateur ou avec un compte ayant le rôle Administrateur d'entreprise.
  2. Connectez-vous au dispositif virtuel NSX Manager.
  3. Dans la page d'accueil, cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings) > NSX Management Service.
  4. Cliquez sur Modifier (Edit) dans la section URL de Lookup Service.
  5. Entrez le nom ou l'adresse IP de l'hôte qui dispose de Lookup Service.
  6. Entrez le numéro de port.

    Si vous utilisez vSphere 6.0 ou version ultérieure, entrez le port 443.

    L'URL de Lookup Service s'affiche en fonction de l'hôte et du port spécifiés.
  7. Entrez le nom d'utilisateur et le mot de passe de l'administrateur SSO, puis cliquez sur OK.
    L'empreinte du certificat du serveur SSO s'affiche.
  8. Vérifiez que l'empreinte du certificat correspond au certificat du serveur SSO.

    Si vous avez installé un certificat signé par une autorité de certification sur le serveur d'autorité de certification, vous recevez l'empreinte de ce certificat. Sinon, vous recevez un certificat auto-signé.

  9. Confirmez que l'état de Lookup Service est Connecté (Connected).

Que faire ensuite

Consultez la section « Attribuer un rôle à un utilisateur vCenter » dans le Guide d'administration de NSX.