组织创建用户组以进行适当的用户管理。与 SSO 集成后,NSX Manager 可以获得用户所属组的详细信息。NSX Manager 将角色分配给组,而不是将角色分配给可能属于同一组的各个用户。以下场景说明了 NSX Manager 如何分配角色。
基于角色的访问控制场景
此场景为 IT 网络工程师 (Sally Moore) 提供了对以下环境中
NSX 组件的访问权限。
- AD 域:corp.local
- vCenter 组:[email protected]
- 用户名:[email protected]
必备条件:必须在 NSX Manager 中注册 vCenter Server,并且必须配置 SSO。 请注意,仅组需要使用 SSO。
- 向 Sally 分配角色。
- 登录到 vSphere Web Client。
- 导航到。
- 确保您处于用户 (Users)选项卡中。
- 单击添加 (Add)图标。
此时会打开分配角色窗口。
- 单击指定 vCenter 组 (Specify a vCenter group),然后在组 (Group)中键入 [email protected]。
- 单击下一步 (Next)。
- 在选择角色 (Select Roles)中,单击 NSX 管理员 (NSX Administrator),然后单击下一步 (Next)。
- 为 Sally 授予数据中心权限。
- 单击主页图标,然后单击网络 (Networking)。
- 选择一个数据中心,然后单击。
- 单击添加 (Add),然后选择 corp.local 域。
- 在用户和组 (Users and Groups)中,选择先显示组 (Show Groups First)。
- 选择 NetEng,然后单击确定 (OK)。
- 在分配的角色 (Assigned Role)中,选择只读 (Read-only),取消选择传播到子项 (Propagate to children),然后单击确定 (OK)。
- 注销 vSphere Web Client,然后以 [email protected] 身份重新登录。
Sally 只能执行 NSX 操作。例如,安装虚拟设备,创建逻辑交换机以及执行其他操作任务。
通过用户组成员资格继承权限的场景
在该场景中,John 属于 G1 组,为该组分配了审核员角色。John 继承了组角色和资源权限。
| 组选项 | 示例值 |
|---|---|
| 名称 | G1 |
| 分配的角色 | 审核员(只读) |
| 资源 | 全局根 |
| 用户选项 | 示例值 |
|---|---|
| 名称 | John |
| 属于组 | G1 |
| 分配的角色 | 无 |
用户成员属于多个组的场景
在此场景中,Joseph 属于组 G1 和 G2,并且继承了
审核员和
安全管理员角色的组合权限。例如,Joseph 具有以下权限:
- 对 Datacenter1 的读、写(安全管理员角色)权限
- 对全局根的只读(审核员角色)权限
| 组选项 | 示例值 |
|---|---|
| 名称 | G1 |
| 分配的角色 | 审核员(只读) |
| 资源 | 全局根 |
| 组选项 | 示例值 |
|---|---|
| 名称 | G2 |
| 分配的角色 | 安全管理员(读和写) |
| 资源 | Datacenter1 |
| 用户选项 | 示例值 |
|---|---|
| 名称 | Joseph |
| 属于组 | G1、G2 |
| 分配的角色 | 无 |
用户成员具有多个角色的场景
在此场景中,为 Bob 分配了
安全管理员角色,因此他未继承组角色权限。Bob 拥有以下权限:
- 对 Datacenter1 及其子资源的读、写(安全管理员角色)权限
- Datacenter1 上的企业管理员角色
| 组选项 | 示例值 |
|---|---|
| 名称 | G1 |
| 分配的角色 | 企业管理员 |
| 资源 | 全局根 |
| 用户选项 | 示例值 |
|---|---|
| 名称 | Bob |
| 属于组 | G1 |
| 分配的角色 | 安全管理员(读和写) |
| 资源 | Datacenter1 |
