Vous pouvez intégrer NSX-T Data Center à VMware Identity Manager (vIDM), qui propose des services de gestion d'identité. Le déploiement vIDM peut être un hôte vIDM autonome ou un cluster vIDM.
Remarque : le nouveau nom de produit de VMware Identity Manager est VMware Workspace ONE Access.
L'hôte vIDM ou tous les composants du cluster vIDM doivent disposer d'un certificat signé par une autorité de certification (CA). Dans le cas contraire, la connexion à vIDM à partir de NSX Manager peut ne pas fonctionner avec certains navigateurs, tels que Microsoft Edge ou Internet Explorer 11. Pour plus d'informations sur l'installation d'un certificat signé par une autorité de certification sur vIDM, consultez la documentation de VMware Identity Manager à l'adresse https://docs.vmware.com/fr/VMware-Identity-Manager/index.html.
Lorsque vous enregistrez NSX Manager auprès de vIDM, vous spécifiez une URI de redirection qui pointe vers NSX Manager. Vous pouvez indiquer le nom de domaine complet ou l'adresse IP. Il est important de se souvenir si vous utilisez le nom de domaine complet ou l'adresse IP. Lorsque vous essayez de vous connecter à NSX Manager via vIDM, vous devez spécifier le nom d'hôte dans l'URL de la même manière, c'est-à-dire, si vous utilisez le nom de domaine complet lors de l'enregistrement du gestionnaire dans vIDM, vous devez utiliser le nom de domaine complet dans l'URL, et si vous utilisez l'adresse IP lors de l'enregistrement du gestionnaire dans vIDM, vous devez utiliser l'adresse IP dans l'URL. Dans le cas contraire, la connexion échouera.
- vIDM dispose d'un certificat signé par une autorité de certification connu.
- vIDM dispose du certificat d'autorité de certification du connecteur approuvé côté service vIDM.
- vIDM utilise le mode connecteur sortant.
Vous devez configurer vos serveurs DNS pour qu'ils disposent d'enregistrements PTR si vous n'utilisez pas l'adresse IP virtuelle ou un équilibreur de charge externe (cela signifie que le gestionnaire est configuré à l'aide de l'adresse IP physique ou du nom de domaine complet du nœud).
Si vous configurez vIDM pour qu'il soit intégré à un équilibreur de charge externe, vous devez activer la persistance de session sur l'équilibreur de charge pour éviter des problèmes tels que les pages qui ne se chargent pas ou un utilisateur qui se déconnecte de manière inattendue.
Si le déploiement vIDM est un cluster vIDM, l'équilibreur de charge vIDM doit être configuré pour l'arrêt et le rechiffrement SSL.
Lorsque vIDM est activé, vous pouvez toujours vous connecter à NSX Manager avec un compte d'utilisateur local si vous utilisez l'URL https://<nsx-manager-ip-address>/login.jsp?local=true
.
Si vous utilisez l'attribut UserPrincipalName (UPN) pour vous connecter à vIDM, l'authentification sur NSX-T peut échouer. Pour éviter ce problème, utilisez un type d'informations d'identification différent, par exemple, SAMAccountName.
Si vous utilisez NSX Cloud, vous pouvez vous connecter à CSM séparément à l'aide de l'URL https://<csm-ip-address>/login.jsp?local=true
Conditions préalables
- Vérifiez que vous disposez de l'empreinte numérique de certificat de l'hôte vIDM ou de l'équilibreur de charge vIDM, selon le type de déploiement vIDM (un hôte vIDM autonome ou un cluster vIDM). La commande permettant d'obtenir l'empreinte numérique est la même dans les deux cas. Reportez-vous à la section Obtenir l'empreinte numérique de certificat à partir d'un hôte vIDM.
- Vérifiez que NSX Manager est enregistré en tant que client OAuth sur vIDM. Lors du processus d'enregistrement, notez l'identifiant de client et le secret de client. Pour plus d'informations, consultez la documentation de VMware Identity Manager à l'adresse https://docs.vmware.com/fr/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Lorsque vous créez le client, vous devez uniquement effectuer les opérations suivantes :
- Définissez Type d'accès sur Jeton du client de service.
- Spécifiez un ID de client.
- Développez le champ Avancé, puis cliquez sur Générer un secret partagé.
- Cliquez sur Ajouter.
Remarque sur NSX Cloud : Si vous utilisez NSX Cloud, vérifiez également que CSM est enregistré en tant que client OAuth sur vIDM.