将角色分配给 SSO 用户时,vCenter 通过在 SSO 服务器上配置的身份服务对该用户进行身份验证。如果 SSO 服务器未配置或不可用,则用户在本地进行身份验证或基于 vCenter 配置通过 Active Directory 进行身份验证。

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击 NSX Manager (NSX Managers)
  3. 在“名称”列中单击 NSX Manager,然后单击管理 (Manage)选项卡。
  4. 单击用户 (Users)
  5. 单击添加 (Add)

    此时将打开“分配角色”窗口。

  6. 单击指定 vCenter 用户 (Specify a vCenter user)指定 vCenter 组 (Specify a vCenter group)
  7. 键入用户的 vCenter 用户 (User)名称或组 (Group)名称。

    有关详细信息,请参见以下示例。

    域名:corp.vmware.com

    别名:corp

    组名称:group1@corp.vmware.com

    用户名:user1@corp.vmware.com

    如果在 NSX Manager 中为某个组分配一个角色,该组中的任何用户都可以登录到 NSX Manager 用户界面。

    将角色分配给用户时,键入用户别名。例如,user1@corp。

  8. 单击下一步 (Next)
  9. 为用户选择角色,然后单击下一步 (Next)。有关可用角色的详细信息,请参见管理用户权限
  10. 单击完成 (Finish)

    用户帐户将显示在“用户”表中。

了解基于组的角色分配

组织创建用户组以进行适当的用户管理。与 SSO 集成后,NSX Manager 可以获得用户所属组的详细信息。NSX Manager 可以将角色分配给组,而无需将角色分配给同一组中的各个用户。以下场景说明了 NSX Manager 如何分配角色。

基于角色的访问控制场景

此场景为 IT 网络工程师 (Sally Moore) 提供了对以下环境中 NSX 组件的访问权限。

AD 域:corp.local,vCenter 组:neteng@corp.local,用户名:smoore@corp.local

必备条件:已向 NSX Manager 注册了 vCenter Server,且已配置 SSO。 请注意,仅组需要使用 SSO。

  1. 向 Sally 分配角色。
    1. 登录到 vSphere Web Client。
    2. 单击网络和安全 (Networking & Security),然后单击 NSX Manager (NSX Managers)
    3. 在“名称”列中单击 NSX Manager,然后单击管理 (Manage)选项卡。
    4. 单击用户 (Users),然后单击添加 (Add)

      此时将打开“分配角色”窗口。

    5. 单击指定 vCenter 组 (Specify a vCenter group),然后在组 (Group)中键入 neteng@corp.local
    6. 单击下一步 (Next)
    7. 在“选择角色”中,单击 NSX 管理员 (NSX Administrator),然后单击下一步 (Next)
  2. 向 Sally 授予数据中心权限。
    1. 单击“主页”图标,然后单击 vCenter 主页 (vCenter Home) > 数据中心 (Datacenters)
    2. 选择数据中心,然后单击操作 (Actions) > 所有 vCenter 操作 (All vCenter Actions) > 添加权限 (Add Permission)
    3. 单击添加 (Add),然后选择域 CORP。
    4. 用户和组 (Users and Groups)中,选择先显示组 (Show Groups First)
    5. 选择 NetEng,然后单击确定 (OK)
    6. 分配的角色 (Assigned Role)中,选择只读 (Read-only)并取消选择传播到子项 (Propagate to children),然后单击确定 (OK)
  3. 注销 vSphere Web Client,然后重新以 smoore@corp.local 身份登录。

    Sally 仅可执行 NSX 操作。例如,安装虚拟设备、创建逻辑交换机等。

通过用户组成员资格继承权限的场景

组选项
名称 G1
分配的角色 审核员(只读)
资源 全局根
用户选项
名称 John
属于组 G1
分配的角色

John 属于组 G1,该组已被分配审核员角色。John 继承了组角色和资源权限。

用户成员属于多个组的场景

组选项
名称 G1
分配的角色 审核员(只读)
资源 全局根
组选项
名称 G2
分配的角色 安全管理员(读和写)
资源 Datacenter1
用户选项
名称 Joseph
属于组 G1、G2
分配的角色

Joseph 属于组 G1 和 G2,并且继承了审核员和安全管理员角色的组合权限。例如,John 拥有以下权限:

  • 对 Datacenter1 的读、写(安全管理员角色)权限
  • 对全局根的只读(审核员)权限

用户成员具有多个角色的场景

组选项
名称 G1
分配的角色 企业管理员
资源 全局根
用户选项
名称 Bob
属于组 G1
分配的角色 安全管理员(读和写)
资源 Datacenter1

Bob 已被分配安全管理员角色,因此他未继承组角色权限。Bob 拥有以下权限

  • 对 Datacenter1 及其子资源的读、写(安全管理员角色)权限
  • Datacenter1 上的企业管理员角色