Vous pouvez intégrer NSX à VMware Identity Manager (vIDM), qui propose des services de gestion d'identité. Le déploiement vIDM peut être un hôte vIDM autonome ou un cluster vIDM.

Remarque : le nouveau nom de produit de VMware Identity Manager est VMware Workspace ONE Access.

L'hôte vIDM ou tous les composants du cluster vIDM doivent disposer d'un certificat signé par une autorité de certification (CA). Dans le cas contraire, la connexion à vIDM à partir de NSX Manager peut ne pas fonctionner avec certains navigateurs, tels que Microsoft Edge ou Internet Explorer 11. Pour plus d'informations sur l'installation d'un certificat signé par une autorité de certification sur vIDM, consultez la documentation de VMware Identity Manager à l'adresse https://docs.vmware.com/fr/VMware-Identity-Manager/index.html.

Lorsque vous enregistrez NSX Manager auprès de vIDM, vous spécifiez une URI de redirection qui pointe vers NSX Manager. Vous pouvez indiquer le nom de domaine complet ou l'adresse IP. Il est important de se souvenir si vous utilisez le nom de domaine complet ou l'adresse IP. Lorsque vous essayez de vous connecter à NSX Manager via vIDM, vous devez spécifier le nom d'hôte dans l'URL de la même manière, c'est-à-dire, si vous utilisez le nom de domaine complet lors de l'enregistrement du gestionnaire dans vIDM, vous devez utiliser le nom de domaine complet dans l'URL, et si vous utilisez l'adresse IP lors de l'enregistrement du gestionnaire dans vIDM, vous devez utiliser l'adresse IP dans l'URL. Dans le cas contraire, la connexion échouera.

Si l'accès à l'API de NSX est nécessaire, l'une des configurations suivantes doit être vraie :
  • vIDM dispose d'un certificat signé par une autorité de certification connu.
  • vIDM dispose du certificat d'autorité de certification du connecteur approuvé côté service vIDM.
  • vIDM utilise le mode connecteur sortant.
Note : NSX Manager et vIDM doivent être dans le même fuseau horaire. Il est recommandé d'utiliser UTC.

Vous devez configurer vos serveurs DNS pour qu'ils disposent d'enregistrements PTR si vous n'utilisez pas l'adresse IP virtuelle ou un équilibreur de charge externe (cela signifie que le gestionnaire est configuré à l'aide de l'adresse IP physique ou du nom de domaine complet du nœud).

Si vous configurez vIDM pour qu'il soit intégré à un équilibreur de charge externe, vous devez activer la persistance de session sur l'équilibreur de charge pour éviter des problèmes tels que les pages qui ne se chargent pas ou un utilisateur qui se déconnecte de manière inattendue.

Si le déploiement vIDM est un cluster vIDM, l'équilibreur de charge vIDM doit être configuré pour l'arrêt et le rechiffrement SSL.

Lorsque vIDM est activé, vous pouvez toujours vous connecter à NSX Manager avec un compte d'utilisateur local si vous utilisez l'URL https://<nsx-manager-ip-address>/login.jsp?local=true.

Si vous utilisez l'attribut UserPrincipalName (UPN) pour vous connecter à vIDM, l'authentification sur NSX peut échouer. Pour éviter ce problème, utilisez un type d'informations d'identification différent, par exemple, SAMAccountName.

Conditions préalables

  • Vérifiez que vous disposez de l'empreinte numérique de certificat de l'hôte vIDM ou de l'équilibreur de charge vIDM, selon le type de déploiement vIDM (un hôte vIDM autonome ou un cluster vIDM). La commande permettant d'obtenir l'empreinte numérique est la même dans les deux cas. Reportez-vous à la section Obtenir l'empreinte numérique de certificat à partir d'un hôte vIDM.
  • Vérifiez que NSX Manager est enregistré en tant que client OAuth sur vIDM. Lors du processus d'enregistrement, notez l'identifiant de client et le secret de client. Pour plus d'informations, consultez la documentation de VMware Identity Manager à l'adresse https://docs.vmware.com/fr/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Lorsque vous créez le client, vous devez uniquement effectuer les opérations suivantes :
    • Définissez Type d'accès sur Jeton du client de service.
    • Spécifiez un ID de client.
    • Développez le champ Avancé, puis cliquez sur Générer un secret partagé.
    • Cliquez sur Ajouter.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Système > Gestion des utilisateurs > Fournisseurs d'authentification > VMware Identity Manager
  3. Cliquez sur Modifier.
  4. Pour activer l'intégration de l'équilibreur de charge externe, cliquez sur le bouton bascule Intégration de l'équilibreur de charge externe.
    Note : Si l'adresse IP virtuelle (VIP) est définie (vérifiez Système > Dispositifs > Adresse IP virtuelle), vous ne pouvez pas utiliser l'intégration de l'équilibreur de charge externe même si vous l'activez. Cela est dû au fait que vous pouvez disposer d'une adresse IP virtuelle ou de l'équilibreur de charge externe lors de la configuration de vIDM, mais pas des deux. Désactivez l'adresse IP virtuelle si vous souhaitez utiliser l'équilibreur de charge externe. Pour plus d'informations, reportez-vous à la section Configurer une adresse IP virtuelle pour un cluster dans le Guide d'installation de NSX.
  5. Pour activer l'intégration de VMware Identity Manager, cliquez sur le bouton bascule Intégration de VMware Identity Manager.
  6. Fournissez les informations suivantes.
    Paramètre Description
    Dispositif VMware Identity Manager Nom de domaine complet (FQDN) de l'hôte vIDM ou de l'équilibreur de charge vIDM, selon le type de déploiement vIDM (un hôte vIDM autonome ou un cluster vIDM).
    ID de client OAuth Identifiant créé lors de l'enregistrement de NSX Manager sur vIDM.
    Secret du client OAuth Code secret créé lors de l'enregistrement de NSX Manager sur vIDM.
    Empreinte numérique SSL Empreinte numérique du certificat de l'hôte vIDM. Il doit s'agir d'une empreinte numérique SHA-256.
    Dispositif NSX Adresse IP ou nom de domaine complet (FQDN) de NSX Manager. Si vous utilisez un cluster NSX Manager, utilisez le nom de domaine complet de l'équilibreur de charge ou le nom de domaine complet ou l'adresse IP du VIP du cluster. Si vous spécifiez un nom de domaine complet, vous devez accéder à NSX Manager à partir d'un navigateur à l'aide du nom de domaine complet du responsable dans l'URL, et si vous spécifiez une adresse IP, vous devez utiliser l'adresse IP dans l'URL. L'administrateur vIDM peut également configurer le client NSX Manager pour que vous puissiez vous connecter en utilisant le nom de domaine complet ou l'adresse IP.
  7. Cliquez sur Enregistrer.