È possibile integrare NSX con VMware Identity Manager (vIDM), che fornisce servizi di gestione dell'identità. La distribuzione di vIDM può essere un host vIDM autonomo o un cluster vIDM.
Nota: il nome del prodotto VMware Identity Manager è stato sostituito da VMware Workspace ONE Access.
L'host vIDM o tutti i componenti del cluster vIDM devono disporre di un certificato firmato da un'autorità di certificazione (CA). In caso contrario, l'accesso a vIDM da NSX Manager potrebbe non funzionare in determinati browser, ad esempio Microsoft Edge o Internet Explorer 11. Per informazioni sull'installazione di un certificato firmato dall'autorità di certificazione in vIDM, vedere la documentazione di VMware Identity Manager all'indirizzo https://docs.vmware.com/it/VMware-Identity-Manager/index.html.
Quando si registra NSX Manager in vIDM, si specifica un URI di reindirizzamento che punta a NSX Manager. È possibile specificare il nome di dominio completo o l'indirizzo IP. È importante ricordare se si utilizza il nome di dominio completo o l'indirizzo IP. Quando si tenta di accedere a NSX Manager tramite vIDM, è necessario specificare il nome host nell'URL nello stesso modo, ovvero se si utilizza il nome di dominio completo durante la registrazione di Manager in vIDM, è necessario utilizzare il nome di dominio completo anche nell'URL, mentre se si utilizza l'indirizzo IP durante la registrazione di Manager in vIDM, è necessario utilizzare l'indirizzo IP anche nell'URL. In caso contrario, l'accesso non riesce.
- vIDM ha un certificato noto firmato dall'autorità di certificazione.
- Il certificato CA del connettore di vIDM è attendibile sul lato del servizio vIDM.
- vIDM utilizza la modalità del connettore in uscita.
È necessario configurare i server DNS in modo che abbiano record PTR se non si utilizza un IP virtuale o un bilanciamento del carico esterno (ciò significa che Manager è configurato utilizzando l'IP fisico o il nome di dominio completo del nodo).
Se si configura vIDM per l'integrazione con un bilanciamento del carico esterno, è necessario abilitare la persistenza della sessione nel bilanciamento del carico per evitare problemi come il mancato caricamento delle pagine o la disconnessione imprevista di un utente.
Se la distribuzione di vIDM è un cluster vIDM, il bilanciamento del carico di vIDM deve essere configurato per terminare e crittografare nuovamente SSL.
Se vIDM è abilitato, è comunque possibile accedere a NSX Manager con un account utente locale se si utilizza l'URL https://<nsx-manager-ip-address>/login.jsp?local=true
.
Se si utilizza UPN (User Principal Name) per accedere a vIDM, l'autenticazione in NSX potrebbe non riuscire. Per evitare questo problema, utilizzare un tipo diverso di credenziali, ad esempio SAMAccountName.
Se si utilizza NSX Cloud, è possibile accedere a CSM separatamente utilizzando l'URL https://<csm-ip-address>/login.jsp?local=true
Prerequisiti
- Verificare di disporre dell'identificazione personale del certificato dell'host vIDM o del bilanciamento del carico vIDM, in base al tipo di distribuzione di vIDM (un host vIDM autonomo o un cluster vIDM). Il comando per ottenere l'identificazione personale è lo stesso in entrambi i casi. Vedere Acquisizione dell'identificazione personale del certificato da un host vIDM.
- Verificare che NSX Manager sia registrato come client OAuth in vIDM. Durante il processo di registrazione, prendere nota dell'ID client e del segreto client. Per ulteriori informazioni, vedere la documentazione di VMware Identity Manager all'indirizzo https://docs.vmware.com/it/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html. Quando si crea il client, è sufficiente eseguire le operazioni seguenti:
- Impostare Tipo di accesso su Token client del servizio.
- Specificare un ID client.
- Espandere il campo Avanzate e fare clic su Genera segreto condiviso.
- Fare clic su Aggiungi.
Nota per NSX Cloud: Se si utilizza NSX Cloud, verificare anche che CSM sia registrato come client OAuth in vIDM.