Organisationen erstellen Benutzergruppen, um Benutzer ordnungsgemäß zu verwalten. Nach der Integration in SSO kann NSX Manager Details zu den Gruppen abrufen, denen ein Benutzer angehört. Statt einzelnen, derselben Gruppe angehörenden Benutzern Rollen zuzuweisen, weist NSX Manager Gruppen Rollen zu. In den folgenden Szenarien wird veranschaulicht, wie NSX Manager Rollen zuweist.

Rollenbasiertes Zugriffssteuerungsszenario

In diesem Szenario wird einer IT-Netzwerk-Ingenieurin (Sarah Maier) in der folgenden Umgebung Zugriff auf NSX-Komponenten gewährt.
  • Active Directory-Domäne: corp.local
  • vCenter-Gruppe: neteng@corp.local
  • Benutzername: smaier@corp.local

Voraussetzungen: vCenter Server muss bei NSX Manager registriert sein, und SSO muss konfiguriert sein. Beachten Sie, dass SSO nur für Gruppen erforderlich ist.

  1. Weisen Sie Sarah eine Rolle zu.
    1. Melden Sie sich bei vSphere Web Client an.
    2. Navigieren Sie zu Netzwerk und Sicherheit (Networking & Security) > System > Benutzer und Domänen (Users and Domains).
    3. Stellen Sie sicher, dass Sie sich auf der Registerkarte Benutzer (Users) befinden.
    4. Klicken Sie auf das Symbol Hinzufügen (Add).

      Das Fenster Rolle zuweisen wird geöffnet.

    5. Klicken Sie auf vCenter-Gruppe festlegen (Specify a vCenter group) und geben Sie unter Gruppe (Group) Folgendes ein: neteng@corp.local.
    6. Klicken Sie auf Weiter (Next).
    7. Klicken Sie unter Rollen auswählen (Select Roles) auf NSX-Administrator (NSX Administrator) und klicken Sie anschließend auf Weiter (Next).
  2. Gewähren Sie Sarah Zugriffsrechte auf das Datencenter.
    1. Klicken Sie auf das Symbol Home und dann auf Netzwerk (Networking).
    2. Wählen Sie ein Datencenter aus und klicken Sie auf Aktionen (Actions) > Berechtigung hinzufügen (Add Permission).
    3. Klicken Sie auf Hinzufügen (Add) und wählen Sie die Domäne corp.local aus.
    4. Wählen Sie unter Benutzer und Gruppen (Users and Groups) die Option Gruppen zuerst anzeigen (Show Groups First) aus.
    5. Wählen Sie NetEng aus und klicken Sie auf OK.
    6. Wählen Sie unter Zugewiesene Rolle (Assigned Role) die Option Nur Lesen (Read-only) aus, deaktivieren Sie An untergeordnete Objekte weitergeben (Propagate to children) und klicken Sie anschließend auf OK.
  3. Melden Sie sich beim vSphere Web Client ab und als smoore@corp.local wieder an.

    Sarah kann nur NSX-Vorgänge ausführen. Beispiele hierfür sind das Installieren von virtuellen Appliances, das Erstellen von logischen Switches und andere Vorgänge.

Berechtigungen durch eine Mitgliedschaft in einer Benutzergruppe vererben

In diesem Szenario gehört Peter der Gruppe G1 an, der die Rolle Auditor zugewiesen wird. Peter übernimmt die Gruppenrolle und die Ressourcenberechtigungen.

Gruppenoption Beispielwert
Name G1
Zugewiesene Rolle Auditor (schreibgeschützt)
Ressourcen Global Root
Benutzeroption Beispielwert
Name Peter
Gehört zur Gruppe G1
Zugewiesene Rolle Keine

Szenario eines Benutzers, der Mitglied von mehreren Gruppen ist

In diesem Szenario gehört Paul den Gruppen G1 und G2 an und übernimmt eine Kombination von Rechten und Berechtigungen der Rollen Auditor und Sicherheitsadministrator. Paul verfügt beispielsweise über folgende Berechtigungen:
  • Lesen, Schreiben (Rolle Sicherheitsadministrator) für Datacenter1
  • Nur Lesen (Auditor) für Global Root
Gruppenoption Beispielwert
Name G1
Zugewiesene Rolle Auditor (schreibgeschützt)
Ressourcen Global Root
Gruppenoption Beispielwert
Name G2
Zugewiesene Rolle Sicherheitsadministrator (Lesen und Schreiben)
Ressourcen Datacenter1
Benutzeroption Beispielwert
Name Paul
Gehört zur Gruppe G1, G2
Zugewiesene Rolle Keine

Szenario eines Benutzers, der Mitglied von mehreren Rollen ist

In diesem Szenario ist Florian die Rolle als Sicherheitsadministrator zugewiesen, sodass er die Rollenberechtigungen der Gruppe nicht übernimmt. Florian verfügt über folgende Berechtigungen:
  • Lesen, Schreiben (Rolle Sicherheitsadministrator) für Datacenter1 und dessen untergeordnete Ressourcen
  • Rolle Enterprise-Administrator für Datacenter1
Gruppenoption Beispielwert
Name G1
Zugewiesene Rolle Enterprise-Administrator
Ressourcen Global Root
Benutzeroption Beispielwert
Name Florian
Gehört zur Gruppe G1
Zugewiesene Rolle Sicherheitsadministrator (Lesen und Schreiben)
Ressourcen Datacenter1