È possibile integrare NSX-T Data Center con VMware Identity Manager (vIDM), che fornisce servizi di gestione dell'identità. La distribuzione di vIDM può essere un host vIDM autonomo o un cluster vIDM.

Nota: il nome del prodotto VMware Identity Manager è stato sostituito da VMware Workspace ONE Access.

L'host vIDM o tutti i componenti del cluster vIDM devono disporre di un certificato firmato da un'autorità di certificazione (CA). In caso contrario, l'accesso a vIDM da NSX Manager potrebbe non funzionare in determinati browser, ad esempio Microsoft Edge o Internet Explorer 11. Per informazioni sull'installazione di un certificato firmato dall'autorità di certificazione in vIDM, vedere la documentazione di VMware Identity Manager all'indirizzo https://docs.vmware.com/it/VMware-Identity-Manager/index.html.

Quando si registra NSX Manager in vIDM, si specifica un URI di reindirizzamento che punta a NSX Manager. È possibile specificare il nome di dominio completo o l'indirizzo IP. È importante ricordare se si utilizza il nome di dominio completo o l'indirizzo IP. Quando si tenta di accedere a NSX Manager tramite vIDM, è necessario specificare il nome host nell'URL nello stesso modo, ovvero se si utilizza il nome di dominio completo durante la registrazione di Manager in vIDM, è necessario utilizzare il nome di dominio completo anche nell'URL, mentre se si utilizza l'indirizzo IP durante la registrazione di Manager in vIDM, è necessario utilizzare l'indirizzo IP anche nell'URL. In caso contrario, l'accesso non riesce.

Se è necessario l'accesso all'API di NSX-T Data Center, deve essere presente una delle configurazioni seguenti:
  • vIDM ha un certificato noto firmato dall'autorità di certificazione.
  • Il certificato CA del connettore di vIDM è attendibile sul lato del servizio vIDM.
  • vIDM utilizza la modalità del connettore in uscita.
Nota: NSX Manager e vIDM devono trovarsi nello stesso fuso orario. È consigliabile utilizzare l'ora UTC.

È necessario configurare i server DNS in modo che abbiano record PTR se non si utilizza un IP virtuale o un bilanciamento del carico esterno (ciò significa che Manager è configurato utilizzando l'IP fisico o il nome di dominio completo del nodo).

Se si configura vIDM per l'integrazione con un bilanciamento del carico esterno, è necessario abilitare la persistenza della sessione nel bilanciamento del carico per evitare problemi come il mancato caricamento delle pagine o la disconnessione imprevista di un utente.

Se la distribuzione di vIDM è un cluster vIDM, il bilanciamento del carico di vIDM deve essere configurato per terminare e crittografare nuovamente SSL.

Se vIDM è abilitato, è comunque possibile accedere a NSX Manager con un account utente locale se si utilizza l'URL https://<nsx-manager-ip-address>/login.jsp?local=true.

Se si utilizza UPN (User Principal Name) per accedere a vIDM, l'autenticazione in NSX-T Data Center potrebbe non riuscire. Per evitare questo problema, utilizzare un tipo diverso di credenziali, ad esempio SAMAccountName.

Se si utilizza NSX Cloud, è possibile accedere a CSM separatamente utilizzando l'URL https://<csm-ip-address>/login.jsp?local=true

Prerequisiti

  • Verificare di disporre dell'identificazione personale del certificato dell'host vIDM o del bilanciamento del carico vIDM, in base al tipo di distribuzione di vIDM (un host vIDM autonomo o un cluster vIDM). Il comando per ottenere l'identificazione personale è lo stesso in entrambi i casi. Vedere Acquisizione dell'identificazione personale del certificato da un host vIDM.
  • Verificare che NSX Manager sia registrato come client OAuth in vIDM. Durante il processo di registrazione, prendere nota dell'ID client e del segreto client. Per ulteriori informazioni, vedere la documentazione di VMware Identity Manager all'indirizzo https://docs.vmware.com/it/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Quando si crea il client, è sufficiente eseguire le operazioni seguenti:
    • Impostare Tipo di accesso su Token client del servizio.
    • Specificare un ID client.
    • Espandere il campo Avanzate e fare clic su Genera segreto condiviso.
    • Fare clic su Aggiungi.
    Nota per NSX Cloud: Se si utilizza NSX Cloud, verificare anche che CSM sia registrato come client OAuth in vIDM.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sistema > Gestione utente > Provider di autenticazione > VMware Identity Manager
  3. Fare clic su Modifica.
  4. Per abilitare l'integrazione del bilanciamento del carico esterno, fare clic sull'interruttore Integrazione del bilanciamento del carico esterno.
    Nota: Se è configurato un indirizzo IP virtuale (VIP) (controllare Sistema > Appliance > IP virtuale), non è possibile utilizzare l'opzione Integrazione del bilanciamento del carico esterno anche se la si è abilitata. Ciò è dovuto al fatto che mentre si configura vIDM può essere presente un VIP o un bilanciamento del carico esterno, ma non entrambi. Disabilitare il VIP se si desidera utilizzare il bilanciamento del carico esterno. Per informazioni dettagliate, vedere Configurazione di un indirizzo IP virtuale (VIP) per un cluster nella Guida all'installazione di NSX-T Data Center.
  5. Per abilitare l'integrazione di VMware Identity Manager, fare clic sull'interruttore Integrazione di VMware Identity Manager.
  6. Specificare le informazioni seguenti.
    Parametro Descrizione
    Appliance VMware Identity Manager Nome di dominio completo dell'host vIDM o del bilanciamento del carico di vIDM, in base al tipo di distribuzione di vIDM (un host vIDM autonomo o un cluster vIDM).
    ID client OAuth ID creato durante la registrazione di NSX Manager in vIDM.
    Segreto client OAuth Segreto creato durante la registrazione di NSX Manager in vIDM.
    Identificazione personale SSL Identificazione personale del certificato dell'host vIDM. Deve essere un'identificazione personale SHA-256.
    Appliance NSX Indirizzo IP o nome di dominio completo di NSX Manager. Se si utilizza un cluster NSX Manager, utilizzare il nome di dominio completo del bilanciamento del carico oppure il nome di dominio completo o l'indirizzo IP del VIP del cluster. Se si specifica un nome di dominio completo, è necessario accedere a NSX Manager da un browser utilizzando il nome di dominio completo di Manager nell'URL mentre se si specifica un indirizzo IP, è necessario utilizzare l'indirizzo IP nell'URL. In alternativa, l'amministratore di vIDM può configurare il client NSX Manager in modo che sia possibile connettersi utilizzando il nome di dominio completo o l'indirizzo IP.
  7. Fare clic su Salva.
  8. Se si utilizza NSX Cloud, ripetere i passaggi da 1 a 8 dall'appliance CSM accedendo a CSM anziché a NSX Manager.