在添加项目后,您可以将角色分配给项目中的用户。然后,这些用户可以开始在项目中配置网络或安全对象。

在项目中,您可以将以下角色分配给用户:
  • 项目管理员
  • 安全管理员
  • 网络管理员
  • 安全操作员
  • 网络操作员

项目管理员对项目中的所有网络和安全对象具有完全访问权限。其他项目特定的用户角色对项目内的对象具有有限的访问受限,具体取决于这些角色的权限。

注: 默认情况下,只有企业管理员才能在项目中添加用户角色分配。项目管理员没有在项目中添加用户角色分配的权限,除非企业管理员将项目管理员角色配置为可以执行用户角色分配。

如果允许项目管理员执行用户角色分配,则可能会在某些 NSX 环境中被视为引入了安全风险,因为这允许项目管理员为系统中的任何用户配置角色分配。因此,默认行为是仅允许企业管理员在项目中添加用户角色分配。

企业管理员可以执行以下步骤以向项目管理员角色授予添加用户角色分配的权限:
  1. 默认视图中,导航到系统 > 用户管理 > 角色
  2. 项目管理员角色旁边,单击 “操作”菜单。,然后单击允许角色分配
对于用户身份验证和授权, NSX 多租户支持以下标识源:
  • 本地用户(例如 guestuser1、guestuser2)
  • VMware Identity Manager
  • 轻型目录访问协议 (LDAP)
  • OpenID Connect(请参阅此项目符号列表后面的注释)
  • 主体标识(使用证书或 Jason Web 令牌)
注:NSX 4.1.2 开始,支持 OpenID Connect 标识源。但是,仅当您从系统的 用户管理页面添加用户角色分配时,才支持使用此标识源进行用户身份验证。如果要从 管理项目页面添加用户角色分配,则当前不支持此标识源。

要在项目中添加用户角色分配,可以使用以下两种方法:

方法 1:从“用户管理”页面添加用户角色分配

用户管理页面仅供企业管理员使用。即使企业管理员向项目管理员角色授予了在项目中执行用户角色分配的权限,项目管理员也无法使用此页面。

方法 2:从“管理项目”页面添加用户角色分配

企业管理员和项目管理员均可使用管理项目页面。但是,仅当企业管理员向项目管理员角色授予了执行用户角色分配的权限时,项目管理员才可以从此页面添加用户角色。