Wenn Sie einem SSO-Benutzer eine Rolle zuweisen, authentifiziert vCenter den Benutzer anhand des Identitätsdiensts, der auf dem SSO-Server konfiguriert ist. Wenn der SSO-Server nicht konfiguriert oder nicht verfügbar ist, wird der Benutzer basierend auf der vCenter-Konfiguration entweder lokal oder mit Active Directory authentifiziert.

  1. Melden Sie sich beim vSphere Web Client an.

  2. Klicken Sie auf Networking & Security und anschließend auf NSX Manager (NSX Managers).

  3. Klicken Sie in der Spalte „Name“ auf einen NSX Manager und anschließend auf die Registerkarte Verwalten (Manage).

  4. Klicken Sie auf Benutzer (Users).

  5. Klicken Sie auf Hinzufügen (Add).

    Das Fenster „Rolle zuweisen“ wird geöffnet.

  6. Klicken Sie auf vCenter-Benutzer festlegen (Specify a vCenter user) oder vCenter-Gruppe festlegen (Specify a vCenter group).

  7. Geben Sie den vCenter-Benutzer (User)- oder Gruppen (Group)-Namen für den Benutzer ein.

    Weitere Informationen finden Sie im nachfolgenden Beispiel.

    Domänenname: corp.vmware.com

    Alias: corp

    Gruppenname: group1@corp.vmware.com

    Benutzername: user1@corp.vmware.com

    Wenn einer Gruppe eine Rolle des NSX Manager zugewiesen wurde, kann sich jeder Benutzer dieser Gruppe bei der Benutzeroberfläche des NSX Manager anmelden.

    Wenn Sie einem Benutzer eine Rolle zuweisen, geben Sie den Alias des Benutzers ein. Beispiel: user1@corp.

  8. Klicken Sie auf Weiter (Next).

  9. Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf Weiter (Next). Weitere Informationen zu den verfügbaren Rollen finden Sie unter Verwalten von Benutzerrechten.

  10. Klicken Sie auf Beenden (Finish).

    Das Benutzerkonto wird in der Benutzertabelle angezeigt.

Grundlegendes zu gruppenbasierten Rollenzuweisungen

Organisationen erstellen Benutzergruppen, um Benutzer ordnungsgemäß zu verwalten. Nach der Integration in SSO kann NSX Manager Details zu den Gruppen abrufen, denen ein Benutzer angehört. Statt einzelnen derselben Gruppe angehörenden Benutzern Rollen zuzuweisen, weist NSX Manager Rollen zu Gruppen zu. In den folgenden Szenarien werden Szenarien dargestellt, wie NSX Manager Rollen zuweist.

Rollenbasiertes Zugriffssteuerungsszenario

In diesem Szenario wird einer IT-Netzwerk-Ingenieurin (Sarah Maier) in der folgenden Umgebung Zugriff auf NSX-Komponenten eingeräumt.

AD-Domäne: corp.local, vCenter-Gruppe: neteng@corp.local, Benutzername: smaier@corp.local

Voraussetzungen: vCenter Server wurde bei NSX Manager registriert und SSO wurde konfiguriert. Beachten Sie, dass SSO nur für Gruppen erforderlich ist.

  1. Weisen Sie Sarah eine Rolle zu.

    1. Melden Sie sich beim vSphere Web Client an.

    2. Klicken Sie auf Networking & Security und anschließend auf NSX Manager (NSX Managers).

    3. Klicken Sie in der Spalte „Name“ auf einen NSX Manager und anschließend auf die Registerkarte Verwalten (Manage).

    4. Klicken Sie auf Benutzer (Users) und anschließend auf Hinzufügen (Add).

      Das Fenster „Rolle zuweisen“ wird geöffnet.

    5. Klicken Sie auf vCenter-Gruppe festlegen (Specify a vCenter group) und geben Sie unter Gruppe (Group) den Gruppennamen neteng@corp.local ein.

    6. Klicken Sie auf Weiter (Next).

    7. Klicken Sie unter „Rollen auswählen“ auf NSX Administrator und klicken Sie anschließend auf Weiter (Next).

  2. Gewähren Sie Sarah Zugriffsrechte auf das Datencenter.

    1. Klicken Sie auf das Startseiten-Symbol und klicken Sie anschließend auf vCenter-Home (vCenter Home) > Datencenter (Datacenters).

    2. Wählen Sie ein Datencenter aus und klicken Sie auf Aktionen (Actions) > Alle vCenter-Aktionen (All vCenter Actions) > Berechtigung hinzufügen (Add Permission).

    3. Klicken Sie auf Hinzufügen (Add) und wählen Sie die Domäne CORP aus.

    4. Wählen Sie unter Benutzer und Gruppen (Users and Groups) die Option Gruppen zuerst anzeigen (Show Groups First) aus.

    5. Wählen Sie „NetEng“ aus, und klicken Sie auf OK.

    6. Wählen Sie unter Zugewiesene Rolle (Assigned Role) die Option Nur Lesen (Read-only) aus, deaktivieren Sie An untergeordnete Objekte weitergeben (Propagate to children) und klicken Sie anschließend auf OK.

  3. Melden Sie sich beim vSphere Web Client ab und als „smaier@corp.local“ wieder an.

    Sarah kann nur NSX-Vorgänge ausführen. Beispiele hierfür sind das Installieren von virtuellen Appliances, das Erstellen von logischen Switches usw.

Berechtigungen durch eine Mitgliedschaft in einer Benutzergruppe vererben

Gruppenoption

Wert

Name

G1

Zugewiesene Rolle

Auditor (schreibgeschützt)

Ressourcen

Global Root

Benutzeroption

Wert

Name

Peter

Gehört zur Gruppe

G1

Zugewiesene Rolle

Keine

Peter gehört der Gruppe G1 an, der die Rolle „Auditor“ zugewiesen wurde. Peter übernimmt die Gruppenrolle und die Ressourcenberechtigungen.

Szenario eines Benutzers, der Mitglied von mehreren Gruppen ist

Gruppenoption

Wert

Name

G1

Zugewiesene Rolle

Auditor (schreibgeschützt)

Ressourcen

Global Root

Gruppenoption

Wert

Name

G2

Zugewiesene Rolle

Sicherheitsadministrator (Lesen und Schreiben)

Ressourcen

Datacenter1

Benutzeroption

Wert

Name

Paul

Gehört zur Gruppe

G1, G2

Zugewiesene Rolle

Keine

Paul gehört den Gruppen G1 und G2 an und übernimmt eine Kombination von Rechten und Berechtigungen der Rollen „Auditor“ und „Sicherheitsadministrator“. Peter verfügt beispielsweise über folgende Berechtigungen:

  • Lesen, Schreiben (Rolle „Sicherheitsadministrator“) für Datacenter1

  • Nur Lesen (Auditor) für Global Root

Szenario eines Benutzers, der Mitglied von mehreren Rollen ist

Gruppenoption

Wert

Name

G1

Zugewiesene Rolle

Enterprise-Administrator

Ressourcen

Global Root

Benutzeroption

Wert

Name

Florian

Gehört zur Gruppe

G1

Zugewiesene Rolle

Sicherheitsadministrator (Lesen und Schreiben)

Ressourcen

Datacenter1

Florian wurde die Rolle „Sicherheitsadministrator“ zugewiesen, sodass er die Rollenberechtigungen der Gruppe nicht übernimmt. Florian verfügt über folgende Berechtigungen

  • Lesen, Schreiben (Rolle „Sicherheitsadministrator“) für Datacenter1 und dessen untergeordnete Ressourcen

  • Die Rolle „Enterprise-Administrator“ für Datacenter1