Organisationen erstellen Benutzergruppen, um Benutzer ordnungsgemäß zu verwalten. Nach der Integration in SSO kann NSX Manager Details zu den Gruppen abrufen, denen ein Benutzer angehört. Statt einzelnen, derselben Gruppe angehörenden Benutzern Rollen zuzuweisen, weist NSX Manager Gruppen Rollen zu. In den folgenden Szenarien wird veranschaulicht, wie NSX Manager Rollen zuweist.
Rollenbasiertes Zugriffssteuerungsszenario
In diesem Szenario wird einer IT-Netzwerk-Ingenieurin (Sarah Maier) in der folgenden Umgebung Zugriff auf
NSX-Komponenten gewährt.
Voraussetzungen: vCenter Server muss bei NSX Manager registriert sein, und SSO muss konfiguriert sein. Beachten Sie, dass SSO nur für Gruppen erforderlich ist.
- Weisen Sie Sarah eine Rolle zu.
- Melden Sie sich bei vSphere Web Client an.
- Navigieren Sie zu .
- Stellen Sie sicher, dass Sie sich auf der Registerkarte Benutzer (Users) befinden.
- Klicken Sie auf das Symbol Hinzufügen (Add).
Das Fenster Rolle zuweisen wird geöffnet.
- Klicken Sie auf vCenter-Gruppe festlegen (Specify a vCenter group) und geben Sie unter Gruppe (Group) Folgendes ein: [email protected].
- Klicken Sie auf Weiter (Next).
- Klicken Sie unter Rollen auswählen (Select Roles) auf NSX-Administrator (NSX Administrator) und klicken Sie anschließend auf Weiter (Next).
- Gewähren Sie Sarah Zugriffsrechte auf das Datencenter.
- Klicken Sie auf das Symbol Home und dann auf Netzwerk (Networking).
- Wählen Sie ein Datencenter aus und klicken Sie auf .
- Klicken Sie auf Hinzufügen (Add) und wählen Sie die Domäne corp.local aus.
- Wählen Sie unter Benutzer und Gruppen (Users and Groups) die Option Gruppen zuerst anzeigen (Show Groups First) aus.
- Wählen Sie NetEng aus und klicken Sie auf OK.
- Wählen Sie unter Zugewiesene Rolle (Assigned Role) die Option Nur Lesen (Read-only) aus, deaktivieren Sie An untergeordnete Objekte weitergeben (Propagate to children) und klicken Sie anschließend auf OK.
- Melden Sie sich beim vSphere Web Client ab und als [email protected] wieder an.
Sarah kann nur NSX-Vorgänge ausführen. Beispiele hierfür sind das Installieren von virtuellen Appliances, das Erstellen von logischen Switches und andere Vorgänge.
Berechtigungen durch eine Mitgliedschaft in einer Benutzergruppe vererben
In diesem Szenario gehört Peter der Gruppe G1 an, der die Rolle Auditor zugewiesen wird. Peter übernimmt die Gruppenrolle und die Ressourcenberechtigungen.
Gruppenoption |
Beispielwert |
Name |
G1 |
Zugewiesene Rolle |
Auditor (schreibgeschützt) |
Ressourcen |
Global Root |
Benutzeroption |
Beispielwert |
Name |
Peter |
Gehört zur Gruppe |
G1 |
Zugewiesene Rolle |
Keine |
Szenario eines Benutzers, der Mitglied von mehreren Gruppen ist
In diesem Szenario gehört Paul den Gruppen G1 und G2 an und übernimmt eine Kombination von Rechten und Berechtigungen der Rollen
Auditor und
Sicherheitsadministrator. Paul verfügt beispielsweise über folgende Berechtigungen:
- Lesen, Schreiben (Rolle Sicherheitsadministrator) für Datacenter1
- Nur Lesen (Auditor) für Global Root
Gruppenoption |
Beispielwert |
Name |
G1 |
Zugewiesene Rolle |
Auditor (schreibgeschützt) |
Ressourcen |
Global Root |
Gruppenoption |
Beispielwert |
Name |
G2 |
Zugewiesene Rolle |
Sicherheitsadministrator (Lesen und Schreiben) |
Ressourcen |
Datacenter1 |
Benutzeroption |
Beispielwert |
Name |
Paul |
Gehört zur Gruppe |
G1, G2 |
Zugewiesene Rolle |
Keine |
Szenario eines Benutzers, der Mitglied von mehreren Rollen ist
In diesem Szenario ist Florian die Rolle als
Sicherheitsadministrator zugewiesen, sodass er die Rollenberechtigungen der Gruppe nicht übernimmt. Florian verfügt über folgende Berechtigungen:
- Lesen, Schreiben (Rolle Sicherheitsadministrator) für Datacenter1 und dessen untergeordnete Ressourcen
- Rolle Enterprise-Administrator für Datacenter1
Gruppenoption |
Beispielwert |
Name |
G1 |
Zugewiesene Rolle |
Enterprise-Administrator |
Ressourcen |
Global Root |
Benutzeroption |
Beispielwert |
Name |
Florian |
Gehört zur Gruppe |
G1 |
Zugewiesene Rolle |
Sicherheitsadministrator (Lesen und Schreiben) |
Ressourcen |
Datacenter1 |