组织创建用户组以进行适当的用户管理。与 SSO 集成后,NSX Manager 可以获得用户所属组的详细信息。NSX Manager 将角色分配给组,而不是将角色分配给可能属于同一组的各个用户。以下场景说明了 NSX Manager 如何分配角色。

基于角色的访问控制场景

此场景为 IT 网络工程师 (Sally Moore) 提供了对以下环境中 NSX 组件的访问权限。
  • AD 域:corp.local
  • vCenter 组:neteng@corp.local
  • 用户名:smoore@corp.local

必备条件:必须在 NSX Manager 中注册 vCenter Server,并且必须配置 SSO。 请注意,仅组需要使用 SSO。

  1. 向 Sally 分配角色。
    1. 登录到 vSphere Web Client
    2. 导航到网络和安全 (Networking & Security) > 系统 (System) > 用户和域 (Users and Domains)
    3. 确保您处于用户 (Users)选项卡中。
    4. 单击添加 (Add)图标。

      此时会打开分配角色窗口。

    5. 单击指定 vCenter 组 (Specify a vCenter group),然后在组 (Group)中键入 neteng@corp.local
    6. 单击下一步 (Next)
    7. 选择角色 (Select Roles)中,单击 NSX 管理员 (NSX Administrator),然后单击下一步 (Next)
  2. 为 Sally 授予数据中心权限。
    1. 单击主页图标,然后单击网络 (Networking)
    2. 选择一个数据中心,然后单击操作 (Actions) > 添加权限 (Add Permission)
    3. 单击添加 (Add),然后选择 corp.local 域。
    4. 用户和组 (Users and Groups)中,选择先显示组 (Show Groups First)
    5. 选择 NetEng,然后单击确定 (OK)
    6. 分配的角色 (Assigned Role)中,选择只读 (Read-only),取消选择传播到子项 (Propagate to children),然后单击确定 (OK)
  3. 注销 vSphere Web Client,然后以 smoore@corp.local 身份重新登录。

    Sally 只能执行 NSX 操作。例如,安装虚拟设备,创建逻辑交换机以及执行其他操作任务。

通过用户组成员资格继承权限的场景

在该场景中,John 属于 G1 组,为该组分配了审核员角色。John 继承了组角色和资源权限。

组选项 示例值
名称 G1
分配的角色 审核员(只读)
资源 全局根
用户选项 示例值
名称 John
属于组 G1
分配的角色

用户成员属于多个组的场景

在此场景中,Joseph 属于组 G1 和 G2,并且继承了 审核员安全管理员角色的组合权限。例如,Joseph 具有以下权限:
  • 对 Datacenter1 的读、写(安全管理员角色)权限
  • 对全局根的只读(审核员角色)权限
组选项 示例值
名称 G1
分配的角色 审核员(只读)
资源 全局根
组选项 示例值
名称 G2
分配的角色 安全管理员(读和写)
资源 Datacenter1
用户选项 示例值
名称 Joseph
属于组 G1、G2
分配的角色

用户成员具有多个角色的场景

在此场景中,为 Bob 分配了 安全管理员角色,因此他未继承组角色权限。Bob 拥有以下权限:
  • 对 Datacenter1 及其子资源的读、写(安全管理员角色)权限
  • Datacenter1 上的企业管理员角色
组选项 示例值
名称 G1
分配的角色 企业管理员
资源 全局根
用户选项 示例值
名称 Bob
属于组 G1
分配的角色 安全管理员(读和写)
资源 Datacenter1