您可以將 NSX-T Data Center 與提供身分識別管理服務的 VMware Identity Manager (vIDM) 整合。vIDM 部署可以是獨立 vIDM 主機或 vIDM 叢集。
附註:VMware Identity Manager 的新產品名稱為 VMware Workspace ONE Access。
vIDM 主機或所有 vIDM 叢集元件應具有憑證授權機構 (CA) 簽署的憑證。否則,可能無法在某些瀏覽器上從 NSX Manager 登入 vIDM,例如 Microsoft Edge 或 Internet Explorer 11。如需在 vIDM 上安裝 CA 簽署憑證的相關資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Identity-Manager/index.html 的 VMware Identity Manager 說明文件。
當您向 vIDM 登錄 NSX Manager 時,會指定指向至 NSX Manager 的重新導向 URI。您可以提供完整網域名稱 (FQDN) 或 IP 位址。請務必記住您是使用 FQDN 還是 IP 位址。當您嘗試透過 vIDM 登入 NSX Manager 時,必須以相同方式在 URL 中指定主機名稱,即,如果您向 vIDM 登錄管理程式時使用 FQDN,則必須在 URL 中使用 FQDN,且如果向 vIDM 登錄管理程式時使用 IP 位址,則必須在 URL 中使用 IP 位址。否則,將無法登入。
- vIDM 具有已知的 CA 簽署憑證。
- vIDM 在 vIDM 服務端上具有受信任的連接器 CA 憑證。
- vIDM 使用輸出連接器模式。
如果您未使用虛擬 IP 或外部負載平衡器,則必須將 DNS 伺服器設定為具有 PTR 記錄 (這表示,管理程式會使用節點的實體 IP 或 FQDN 進行設定)。
如果將 vIDM 設定為與外部負載平衡器整合,則必須在負載平衡器上啟用工作階段持續性,以避免發生頁面未載入或使用者非預期登出之類的問題。
如果 vIDM 部署是 vIDM 叢集,則必須針對 SSL 終止和重新加密設定 vIDM 負載平衡器。
在啟用 vIDM 的情況下,如果您使用 URL https://<nsx-manager-ip-address>/login.jsp?local=true
,您仍可使用本機使用者帳戶登入 NSX Manager。
如果您使用 UserPrincipalName (UPN) 登入 vIDM,則對 NSX-T 的驗證可能會失敗。若要避免此問題,請使用不同類型的認證,例如 SAMAccountName。
如果您使用 NSX Cloud,則可以使用 URL https://<csm-ip-address>/login.jsp?local=true
個別登入 CSM。
必要條件
- 根據 vIDM 部署的類型 (獨立 vIDM 主機或 vIDM 叢集),確認您擁有 vIDM 主機或 vIDM 負載平衡器的憑證指紋。兩種情況下用來取得指紋的命令皆相同。請參閱從 vIDM 主機取得憑證指紋。
- 確認已向 vIDM 登錄 NSX Manager 作為 OAuth 用戶端。在登錄程序期間,記下用戶端識別碼和用戶端密碼。如需詳細資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html 的 VMware Identity Manager 說明文件。建立用戶端時,您僅需要執行下列操作:
- 將存取類型設定為服務用戶端 Token。
- 指定用戶端識別碼。
- 展開進階欄位,然後按一下產生共用密碼。
- 按一下新增。
NSX Cloud 附註: 如果使用 NSX Cloud,也請確認已向 vIDM 將 CSM 登錄為 OAuth 用戶端。