在项目中添加 NSX VPC 后,您可以将角色分配给 NSX VPC 中的用户。然后,这些用户即可根据在 NSX VPC 中运行的工作负载的要求,开始配置网络或安全对象。

NSX VPC 中,您可以将以下角色分配给用户:
  • VPC 管理员
  • 安全管理员
  • 网络管理员
  • 安全操作员
  • 网络操作员

VPC 管理员对 NSX VPC 中的所有网络和安全对象具有完全访问权限。NSX VPC 中的其他用户角色对 NSX VPC 中的对象具有有限的访问权限,具体取决于这些角色的权限。

注: 默认情况下,只有企业管理员可以在 NSX VPC 中添加用户角色分配。项目管理员和 VPC 管理员没有在 NSX VPC 中添加用户角色分配的权限,除非企业管理员将项目管理员和 VPC 管理员角色配置为可以执行用户角色分配。

如果允许项目管理员和 VPC 管理员角色执行用户角色分配,则可能会在某些 NSX 环境中被视为引入了安全风险,因为这允许这些角色为系统中的任何用户配置角色分配。因此,默认行为是仅允许企业管理员在 NSX VPC 中添加用户角色分配。

企业管理员可以执行以下步骤以向项目管理员和 VPC 管理员角色授予添加用户角色分配的权限:

  1. 默认视图中,导航到系统 > 用户管理 > 角色
  2. 项目管理员角色旁边,单击 “操作”菜单。,然后单击允许角色分配
  3. VPC 管理员角色旁边,单击 “操作”菜单。,然后单击允许角色分配

对于用户身份验证和授权,NSX 多租户支持以下标识源:

  • 本地用户(例如 guestuser1、guestuser2)
  • VMware Identity Manager
  • 轻型目录访问协议 (LDAP)
  • OpenID Connect
注:NSX 4.1.2 开始,支持 OpenID Connect 标识源。但是,仅当您从系统的 用户管理页面添加用户角色分配时,才支持使用此标识源进行用户身份验证。如果要从 管理项目页面或 VPC 页面添加用户角色分配,则当前不支持此标识源。

要在 NSX VPC 中添加用户角色分配,可以使用以下三种方法:

方法 1:从“用户管理”页面为 NSX VPC 添加角色分配

用户管理页面仅供企业管理员使用。项目管理员和 VPC 管理员无法使用此页面,即使企业管理员向他们授予了执行用户角色分配的权限也是如此。

方法 2:从 VPC 页面为 NSX VPC 添加角色分配

项目管理员和 VPC 管理员均可使用 VPC 页面。但是,仅当企业管理员向他们授予了执行用户角色分配的权限时,他们才能从此页面添加用户角色。

方法 3:从“管理项目”页面为 NSX VPC 添加角色分配

企业管理员和项目管理员均可使用管理项目页面。但是,仅当企业管理员向项目管理员角色授予了执行用户角色分配的权限时,项目管理员才可以从此页面添加用户角色。

要了解此方法的更多信息,请参见从“管理项目”页面为 NSX 项目添加角色分配

VPC 管理员无法访问管理项目页面。