您可以將 NSX 與提供身分識別管理服務的 VMware Identity Manager (vIDM) 整合。vIDM 部署可以是獨立 vIDM 主機或 vIDM 叢集。

附註:VMware Identity Manager 的新產品名稱為 VMware Workspace ONE Access。

vIDM 主機或所有 vIDM 叢集元件應具有憑證授權機構 (CA) 簽署的憑證。否則,可能無法在某些瀏覽器上從 NSX Manager 登入 vIDM,例如 Microsoft Edge 或 Internet Explorer 11。如需在 vIDM 上安裝 CA 簽署憑證的相關資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Identity-Manager/index.html 的 VMware Identity Manager 說明文件。

當您向 vIDM 登錄 NSX Manager 時,會指定指向至 NSX Manager 的重新導向 URI。您可以提供完整網域名稱 (FQDN) 或 IP 位址。請務必記住您是使用 FQDN 還是 IP 位址。當您嘗試透過 vIDM 登入 NSX Manager 時,必須以相同方式在 URL 中指定主機名稱,即,如果您向 vIDM 登錄管理程式時使用 FQDN,則必須在 URL 中使用 FQDN,且如果向 vIDM 登錄管理程式時使用 IP 位址,則必須在 URL 中使用 IP 位址。否則,將無法登入。

如果需要存取 NSX API,下列其中一個組態必須成立:
  • vIDM 具有已知的 CA 簽署憑證。
  • vIDM 在 vIDM 服務端上具有受信任的連接器 CA 憑證。
  • vIDM 使用輸出連接器模式。
備註: NSX Manager 和 vIDM 必須位於相同的時區。建議的方式是使用 UTC。

如果您未使用虛擬 IP 或外部負載平衡器,則必須將 DNS 伺服器設定為具有 PTR 記錄 (這表示,管理程式會使用節點的實體 IP 或 FQDN 進行設定)。

如果將 vIDM 設定為與外部負載平衡器整合,則必須在負載平衡器上啟用工作階段持續性,以避免發生頁面未載入或使用者非預期登出之類的問題。

如果 vIDM 部署是 vIDM 叢集,則必須針對 SSL 終止和重新加密設定 vIDM 負載平衡器。

在啟用 vIDM 的情況下,如果您使用 URL https://<nsx-manager-ip-address>/login.jsp?local=true,您仍可使用本機使用者帳戶登入 NSX Manager

如果您使用 UserPrincipalName (UPN) 登入 vIDM,則對 NSX 的驗證可能會失敗。若要避免此問題,請使用不同類型的認證,例如 SAMAccountName。

如果您使用 NSX Cloud,則可以使用 URL https://<csm-ip-address>/login.jsp?local=true 個別登入 CSM。

必要條件

  • 根據 vIDM 部署的類型 (獨立 vIDM 主機或 vIDM 叢集),確認您擁有 vIDM 主機或 vIDM 負載平衡器的憑證指紋。兩種情況下用來取得指紋的命令皆相同。請參閱從 vIDM 主機取得憑證指紋
  • 確認已向 vIDM 登錄 NSX Manager 作為 OAuth 用戶端。在登錄程序期間,記下用戶端識別碼和用戶端密碼。如需詳細資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html 的 VMware Identity Manager 說明文件。建立用戶端時,您僅需要執行下列操作:
    • 存取類型設定為服務用戶端 Token
    • 指定用戶端識別碼。
    • 展開進階欄位,然後按一下產生共用密碼
    • 按一下新增
    NSX Cloud 附註: 如果使用 NSX Cloud,也請確認已向 vIDM 將 CSM 登錄為 OAuth 用戶端。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取系統 > 使用者管理 > 驗證提供者 > VMware Identity Manager
  3. 按一下編輯
  4. 若要啟用外部負載平衡器整合,請按一下外部負載平衡器整合切換按鈕。
    備註: 如果您已設定虛擬 IP (VIP) (檢查 系統 > 應用裝置 > 虛擬 IP),則您無法使用 外部負載平衡器整合 (即使您已啟用)。這是因為您可以在設定 vIDM 時使用 VIP 或外部負載平衡器,但不能同時使用兩者。如果您想要使用外部負載平衡器,請停用 VIP。如需詳細資料,請參閱 《NSX 安裝指南》中的 設定叢集的虛擬 IP (VIP) 位址
  5. 若要啟用 VMware Identity Manager 整合,請按一下 VMware Identity Manager 整合切換按鈕。
  6. 請提供下列資訊。
    參數 說明
    VMware Identity Manager 應用裝置 根據 vIDM 部署的類型 (獨立 vIDM 主機或 vIDM 叢集),vIDM 主機或 vIDM 負載平衡器的完整網域名稱 (FQDN)。
    OAuth 用戶端識別碼 向 vIDM 登錄 NSX Manager 時所建立的識別碼。
    OAuth 用戶端密碼 向 vIDM 登錄 NSX Manager 時所建立的密碼。
    SSL 指紋 vIDM 主機的憑證指紋。它必須是 SHA-256 指紋。
    NSX 應用裝置 NSX Manager 的 IP 位址或完整網域名稱 (FQDN)。如果您使用 NSX Manager 叢集,請使用負載平衡器 FQDN 或叢集 VIP FQDN 或 IP 位址。如果指定 FQDN,必須在 URL 中使用 Manager 的 FQDN 從瀏覽器存取 NSX Manager;如果指定 IP 位址,則必須在 URL 中使用 IP 位址。或者,vIDM 管理員可以設定 NSX Manager 用戶端,以便您使用 FQDN 或 IP 位址連線。
  7. 按一下儲存
  8. 如果您使用 NSX Cloud,請登入 CSM (而非 NSX Manager),並從 CSM 應用裝置重複步驟 1 至 8。